Un estándar global de seguridad cibernética y un esquema de evaluación de cumplimiento pueden disminuir el tiempo de inactividad y la pérdida de ingresos

En un mundo de conectividad predominante, los equipos de confianza conforman la columna vertebral de los entornos de red seguros. Sin embargo, a medida que más fabricantes e industrias construyen e implementan dispositivos inteligentes de Internet Industrial de las Cosas (IIdC), la seguridad y protección de los sistemas que proporcionan operaciones esenciales se vuelven más importantes y más difíciles de administrar. Estas complejidades se deben, en parte, a la falta de un estándar global de seguridad cibernética que esté universalmente aceptado y un esquema de evaluación de cumplimiento diseñado para validar los productos conectados.

Actualmente, muchos países del mundo desarrollan requisitos sin tener en cuenta el cumplimiento global. Este déficit en materia de cumplimiento hace que a los fabricantes les cueste determinar los estándares que deben crear y cumplir, particularmente a medida que los productos se fabrican y venden en todo el mundo. Dada esta situación, creo que los socios de la industria y los organismos de estándares deben tomar medidas proactivas para codificar las expectativas y las prácticas recomendadas de seguridad para los ecosistemas de IIdC. Esto ayudará a garantizar que la seguridad se incorpore de manera sistemática en los productos y, en última instancia, ahorrará a las empresas miles de millones de dólares en costos de diseño de sistemas y recuperación ante ataques cibernéticos.

Las realidades de seguridad que enfrentan las empresas

Debido a la creciente integración de dispositivos de IIdC en soluciones y sistemas heredados, las infraestructuras críticas y otras redes de sistemas de control industrial están cada vez más expuestas a los ataques cibernéticos que, a su vez, son cada vez más difíciles de mitigar. En la actualidad, las pérdidas globales causadas por delitos de seguridad cibernética se estiman en USD 600 000 millones¹, 0,8 % del PIB mundial. Varios incidentes en los últimos años se manifestaron en una serie de violaciones de seguridad graves que atrajeron la atención mundial, incluidos los ataques de 2015 del malware «Industroyer» o «Crash Override» que comprometieron la red eléctrica de Ucrania y los ataques masivos de la red de robots Mirai de 2016, que pusieron en riesgo los enrutadores y las cámaras de seguridad de IdC, dado que se ejecutaron varios ataques distribuidos de denegación de servicio.

Dichos ataques suelen ser más sofisticados y dañinos que muchos ataques cibernéticos previos a la IIdC debido a su escala y sus consecuencias en los sistemas físicos. Además, son más difíciles de mitigar. Mientras que los gobiernos y fabricantes emiten advertencias de defensa cibernética y sugieren actualizaciones, los protocolos dependen de que los propietarios de activos individuales presten atención y sigan instrucciones detalladas. Si bien las recomendaciones emitidas por las agencias gubernamentales y los fabricantes suelen ser oportunas, los procedimientos de actualización de sistemas pueden ser lentos, ineficaces y difíciles de manejar. Muy a menudo, las empresas están limitadas por la falta de arquitecturas de sistemas que admitan actualizaciones de sistemas «sobre la marcha» sin que esto afecte el tiempo de inactividad. Poner estos sistemas de infraestructuras cruciales fuera de línea para aplicar actualizaciones provocaría la pérdida de productividad e ingresos. La mayoría de las veces, las actualizaciones de seguridad cibernética deben programarse o alinearse con los programas de mantenimiento anuales. 

Los desafíos y las posibles soluciones para proteger los ecosistemas conectados

Las características únicas de las tecnologías de IIdC presentan desafíos técnicos y económicos. Desde una perspectiva técnica, los dispositivos de IIdC tienen capacidades de computación y almacenamiento limitadas; no están diseñados para admitir medidas de seguridad eficaces, como cifrado avanzado o gestión de vulnerabilidades y parches. La solución a este desafío requiere el desarrollo de algoritmos criptográficos ligeros y modelos de negocios que permitan actualizaciones más oportunas a los productos de IIdC y sistemas de diseño para admitir actualizaciones de firmware inalámbricas. En mi opinión, la seguridad de una red o de un sistema es tan sólida como su eslabón más débil. Las organizaciones deben emplear la protección básica en materia de seguridad cibernética y analizar continuamente las amenazas emergentes para garantizar que los sistemas se implementen de manera segura. Además, las empresas deben hacer un inventario de todo lo conectado a sus redes y emplear un modelo de confianza cero. Para esto, será necesario asociarse y colaborar con proveedores de confianza para identificar amenazas. 

Los desafíos económicos para resguardar los ecosistemas de IIdC surgen de la compleja cadena de suministro de fabricación y la dificultad de asignar responsabilidades claras a los fabricantes e integradores de sistemas para cualquier vulnerabilidad introducida. La mayoría de los conjuntos de productos y sistemas constan de componentes de diferentes proveedores. ¿Dónde debe comenzar y finalizar el elemento de confianza si no hay un esquema de evaluación de cumplimiento global para garantizar que los componentes integrados no tengan vulnerabilidades? Tener un conjunto común de requisitos de productos verificados a nivel global, similar a lo que ya tenemos para las evaluaciones de seguridad, es un excelente punto de partida. Las posibles soluciones a la cuestión de la responsabilidad incluyen evaluaciones de cumplimiento de terceros de los componentes de dispositivos de IIdC, así como el inventario periódico de tecnologías de IIdC implementadas en redes para garantizar que solo se instalen dispositivos de confianza. 

La falta de una norma de cumplimiento común global de seguridad cibernética

Aunque las soluciones que menciono son factibles, la falta de estándares armonizados globales de productos para la seguridad de IIdC ralentiza drásticamente la adopción e implementación de dichas opciones. Los estándares, las pautas y las regulaciones en materia de seguridad cibernética descoordinadas de varias entidades de todo el mundo hacen que alinear los requisitos universales de seguridad cibernética a nivel de sistemas de IIdC sea difícil o imposible para los fabricantes. Muchos países, regiones y gobiernos locales desarrollan sus propias prácticas recomendadas y estándares de seguridad cibernética para los dispositivos de IIdC y la infraestructura crucial, lo que ocasiona una falta de paridad. En muchos casos, dichos organismos gubernamentales carecen de la experiencia necesaria para dar cuenta de las complejidades de los dispositivos de IIdC y su aplicación.

Además, los estándares y requisitos de seguridad cibernética están altamente fragmentados por región y país, ya que los gobiernos han comenzado a regular las tecnologías de IIdC de maneras muy diferentes y, a veces, conflictivas.  Esto da lugar a desafíos para los fabricantes e integradores de sistemas que intentan desarrollar e implementar servicios para un mercado global.

Esquemas de evaluación de cumplimiento global estándar y de vía rápida de la industria para IIdC

La industria y los organismos de estándares deben respaldar los esquemas de evaluación de cumplimiento adecuados para ayudar a validar los requisitos globales de los productos y sistemas para resolver las complejidades de cumplir con múltiples requisitos de diferentes países y regiones.

Creo firmemente que los organismos de estándares pueden liderar el desarrollo de estándares globales de seguridad cibernética para IIdC, incluidos los esquemas de evaluación de cumplimiento adecuados. Los estándares globales también allanarán el camino para las asociaciones corporativas y académicas; estas relaciones ayudarán a construir el canal de talentos más sólido necesario para abordar la escasez de mano de obra calificada en seguridad cibernética y, sobre todo, IIdC. 

¿Qué pueden hacer las industrias ahora?

El desafío que tenemos por delante es entablar más diálogos entre los organismos de estándares al educar a los fabricantes, proveedores y consumidores de IIdC sobre los riesgos asociados con soluciones y productos no seguros. Si bien siento que los organismos de estándares pueden ayudar a guiar las conversaciones sobre seguridad cibernética, la seguridad cibernética es un esfuerzo de colaboración, y la colaboración lleva tiempo, especialmente en sectores más lentos para reaccionar a los avances tecnológicos.

A medida que las industrias comienzan a impulsar lentamente la seguridad cibernética, existen pasos que los propietarios de negocios y los administradores de instalaciones pueden seguir hoy para reducir los riesgos de seguridad cibernética en sistemas y redes: 

Integrar la seguridad cibernética en el diseño y desarrollo de productos 

La seguridad es un viaje continuo. Las complejidades de los productos, los escenarios de amenazas y las tecnologías evolucionan, por lo que es crucial contar con protocolos para cada fase del ciclo de vida de desarrollo de productos, desde el modelado de amenazas hasta el análisis de requisitos, la verificación y el mantenimiento continuo. Estos procedimientos ayudan a las organizaciones a detectar amenazas emergentes, identificar formas de defenderse de ellas y ayudar a los clientes a maximizar la eficiencia, la confiabilidad y la seguridad. El proceso del «Ciclo de vida de desarrollo seguro» (SDLC) de Eaton es un excelente ejemplo de un modelo donde la seguridad se integra en cada fase de desarrollo del producto.  

Aplicar la protección básica de seguridad cibernética en las redes

La protección básica de seguridad cibernética garantiza el mantenimiento de un inventario actualizado de activos y el conocimiento de lo que está conectado a una red. Esto debe incluir activos físicos y de datos, la aplicación de parches cuando se descubren vulnerabilidades, las políticas de control de acceso sólidas y el monitoreo continuo de registros y sistemas para detectar comportamientos anormales. Las organizaciones también deben trabajar para programar una serie de actualizaciones de seguridad cibernética basadas en sus evaluaciones de nivel de riesgo realizadas en cada parche de seguridad.

Colaborar con organizaciones de terceros expertas

Desarrollar procedimientos estrictos en cada etapa del desarrollo de productos ayuda a establecer criterios de seguridad cibernética medibles para productos y sistemas conectados a la red. Las asociaciones con terceros de confianza pueden ayudar a las organizaciones a mejorar las prácticas recomendadas de seguridad cibernética, ya que dichas entidades suelen crear pautas ampliamente aceptadas en la comunidad internacional. Nuestra colaboración con UL es un modelo de trabajo, ya que Eaton ahora prueba productos con inteligencia o lógica integrada para corroborar aspectos clave de las normas UL 2900-1 e IEC 62443, que requieren protocolos de prueba obligatorios para vulnerabilidades, debilidades de software y malware.

Ahora es el momento de actuar

Los fabricantes ya no pueden permitirse operar en el marco de diferentes estándares de seguridad. Los delincuentes cibernéticos y las tecnologías que utilizan continúan evolucionando, y los diversos estándares carecen de la uniformidad necesaria para combatir las amenazas más recientes.

El momento de impulsar una evaluación de cumplimiento global para la seguridad cibernética en todas las industrias es ahora. Las industrias y los organismos de estándares de todo el mundo deben acelerar el diálogo necesario para abordar los desafíos actuales de seguridad cibernética y mantenerse al día con el ritmo de las tecnologías cambiantes antes de que sea demasiado tarde.

Referencias

1, 2 - Lau, Lynette (febrero de 2018). La «pandemia» del delito cibernético puede haberle costado al mundo USD 600 000 millones el año pasado. Consultado en: https://www.csis.org/analysis/economic-impact-cybercrime.