Los 10 consejos de Fortinet para mitigar vulnerabilidades en las Infraestructuras Críticas

De acuerdo con Fortinet, compañía destacada en soluciones de ciberseguridad de alto rendimiento, casi un 80% de los incidentes de ciberseguridad industrial que se producen en organizaciones con infraestructuras críticas están provocados por cuestiones internas como errores humanos involuntarios en la configuración del software o el funcionamiento inadecuado de protocolos de red.

Las Infraestructuras Críticas, en concreto las de servicios, transporte, y proveedores de recursos naturales, junto a las comunidades a las que prestan estos bienes y servicios, se enfrentan no solo a los daños causados por los propios ciberataques, sino que también tienen que gestionar la complejidad que conllevan sus operaciones.

“Las organizaciones de múltiples industrias se enfrentan a un panorama de amenazas cambiante y a una creciente presión a la hora de replantearse una estrategia de ciberseguridad sostenible en el largo plazo. Se requiere una estrategia holística de seguridad para protegerse tanto de los ataques dirigidos intencionadamente, como de los errores humanos de procedencia interna”, comentó Jose Luis Laguna, director técnico de Fortinet Iberia. “Dar respuesta a los problemas de ciberseguridad de los ICS (Sistemas de Control Industrial), requiere aplicar una solución que unifique las mejores capacidades de ciberseguridad de las redes OT con una completa comprensión de los procesos y protocolos de los ICS”.

Los dispositivos y las tecnologías utilizadas para gestionar y operar los sistemas de control de compañías de energía hidráulica, petróleo y gas, y otras infraestructuras no fueron diseñados para ser conectados a redes remotas o públicas. Como estos sistemas de control estaban a menudo aislados e incluso con acceso físico restringido, la ciberseguridad nunca se había considerado una máxima prioridad.

“Con el surgimiento de la industria 4.0, estos entornos están ahora interconectados. La proliferación de estándares abiertos, el hardware y el software de propósito general se han incrementado sus vulnerabilidades. Esto significa que los Sistemas de Control Industrial tienen ahora una mayor superficie de ataque”, explica Jose Luis.

Las organizaciones no pueden predecir cada amenaza, por lo que deben centrarse en lo que sí pueden controlar. Fortinet ha publicado una guía con los 10 consejos principales para ayudar a las empresas a evaluar las vulnerabilidades de su tecnología operacional (OT):

1. Identificar los elementos críticos que necesitan protección inmediata es un primer paso importante.
2. Establecer protocolos para la gestión de permisos. Antes, la mayoría de los sistemas estaban aislados. Ahora que las redes IT y OT están interconectadas, es necesario aplicar las mejores prácticas de ciberseguridad en OT. Además, determinar los privilegios apropiados para los usuarios autorizados es tan importante como bloquear el acceso no autorizado.
3. Actualizar regularmente los sistemas operativos, el hadware y el software. Algunos sistemas hardware y software son anteriores al surgimiento del concepto de la ciberseguridad. Las organizaciones necesitan garantizar la compatibilidad con las protecciones modernas, tales como el software antivirus o las tecnologías de escaneado de amenazas.
4. Llevar a cabo una rutina periódica de actualización y parcheo. Aunque la mayoría de las operaciones no pueden permitirse una parada del sistema ni los costes de parcheo, posponer las actualizaciones conlleva ampliar las brechas en la ciberseguridad.
5. Identificar los dispositivos inseguros y los accesibles por IP, como sensores e indicadores de presión. Los datos en estos dispositivos pueden ser manipulados, lo que impacta en la seguridad y fiabilidad de todo el sistema.
6. Emplear las mejores prácticas en la programación. A menudo se usa y se incorpora software a medida programado con escasa atención a las técnicas de ciberseguridad recomendadas, dejando el sistema OT expuesto para ser atacado.
7. Establecer procedimientos de registro de incidentes. Las organizaciones que establecen un proceso para la notificación y comunicación de eventos del sistema pueden usar estos datos para detectar irregularidades e implementar medidas de seguridad.
8. Definir controles de los fabricantes de componentes y de la cadena de suministro. Sin la monitorización y control adecuado, los equipos pueden estar comprometidos incluso antes de que hayan sido instalados.
9. Segmentar la red. Muchas organizaciones no han separado todavía sus redes en diferentes segmentos funcionales, siguen estando totalmente interconectadas. Sin la segmentación adecuada, los datos y las aplicaciones infectadas pueden expandirse de un segmento a otro y los atacantes que consiguen traspasar las defensas perimetrales pueden, fácilmente, moverse trasversalmente por la red sin ser detectados.
10. Preparar un Plan de recuperación Operacional. En el desafortunado caso de un desastre, todas las organizaciones necesitan un proceso documentado para evaluar los daños, reparar sistemas y máquinas y reestablecer sus operaciones. Los simulacros regulares de seguridad también ayudan a los operadores a adoptar una recuperación rápida y eficiente cuando más se necesita.