REDSEGURIDAD 083

red seguridad cuarto trimestre 2018 29 desarrollo y las operaciones para un despliegue más rápido de nuevas fun- ciones sin comprometer los controles que gobiernan la calidad del software (ver la figura 1, que muestra un proce- so de DevOps convergente). En el ámbito de OT, las mejoras en el análisis de riesgos de los pro- cesos están impulsando la evolución del análisis de riesgos del proceso cibernético, como se muestra en la figura 2. La evolución del OT muestra dos procesos: a la izquierda y en azul, el análisis de seguridad de activos en curso, que influye en el programa OT, y el modelo de gobierno en el paso 5, a la derecha. A medida que salen a la luz nuevas amenazas, los ingenieros actualizan el modelo que desemboca en un nuevo estado más seguro y estable para el entorno. Evolución La tecnología de OT está evolucio- nando a medida que las tecnologías centrales ofrecen mayor potencia de procesamiento, capacidad de alma- cenamiento, duración de la batería y conectividad de red. Los primeros pro- tocolos de OT no tenían autenticación ni cifrado, y no podían aceptar actua- lizaciones de software y firmware de manera inalámbrica de forma segura. Los chips de procesador más nuevos pueden soportar estos requisitos, pero los proveedores de IIoT deben cons- truir estas capacidades, requiriendo bases de código más grandes para el desarrollo y algún mecanismo para emitir parches durante las operacio- nes. Sin embargo, los proveedores de IIoT no tienen experiencia en la ejecu- ción de programas de recompensas para la identificación de fallos, sino que necesitarán alguna forma de obte- ner retroalimentación de sus clientes e investigadores para solucionar los problemas antes de que se les vaya de las manos. La formación significa más que el aprendizaje ad hoc a medida que se presenta la oportunidad, siendo las capacidades de seguridad de la información alarmantes y cada vez mayores. Las organizaciones deben proporcionar habilidades y capacida- des adicionales a su personal, y es posible que tengan que contar con apoyo externo para cerrar la brecha mientras se ponen en marcha esas nuevas capacidades online . Pero la simple transferencia de la responsa- bilidad a un tercero no eliminará el riesgo: la propia organización tendrá que mejorar sus procedimientos ope- rativos para manejar y cumplir con los requisitos de parchear/arreglar a tiempo. Proteger el mundo conectado Hoy ya se entiende esta compleji- dad, por lo que es abordada desde diferentes ángulos por los fabricantes de seguridad. Asegurar el mundo conectado es una de las prioridades del sector. En lo que va de año, se han lanzado una serie de programas y asociaciones para ayudar a los fabricantes de IIoT y sus mercados. Por ejemplo, Zero-Day Initiative inclu- ye informes de fallos de sistemas de control industrial; no en vano procesó 202 fallos SCADA HCI en la primera mitad de 2018. Además, existen pla- taformas tecnológicas que ya cuentan con más de 500 filtros/parches vir- tuales para protocolos OT que viajan sobre IP. Ahora, los fabricantes de segu- ridad ofrecen orientación sobre la implementación de herramientas de seguridad de la información en el ciclo de desarrollo para que el proceso de CD/CI no experimente interrupcio- nes a medida que los contextos de seguridad cambian con el despliegue de la producción. El kit de desarrollo de software IoT ayuda a los fabrican- tes de dispositivos IoT a integrar las funciones básicas de seguridad de la información en los dispositivos duran- te el desarrollo, como ocurre con los sistemas de infoentretenimiento en los vehículos de Panasonic. El hecho de ofrecer a los proveedores de IoT acceso a programas e iniciativas de la industria de la seguridad permite ampliar la experiencia en la gestión de los programas de recompensas a los nuevos participantes que no per- tenecen al ámbito convencional de la IT. Las alianzas con proveedores de IIoT permiten a los proveedores de seguridad trasladar su experiencia a una amplia gama de plataformas de control industrial para garantizar unas comunicaciones seguras y fiables. En definitiva, se lleva tiempo advir- tiendo de que las infraestructuras crí- ticas se han convertido en un objetivo prioritario para los cibercriminales, quienes han intensificado sus ataques aprovechando campañas destructi- vas contra ellas. Motivar y promover los cambios que se necesitan en materia de ciberseguridad exige que tanto líderes de gobiernos como de la industria valoren la gravedad de esta amenaza y muestren un firme com- promiso y su voluntad de abordar el desafío a través de una mayor inver- sión y de la colaboración público-pri- vada. pic monográfico Figura 2: análisis de riesgos del proceso cibernético (Cyber PHA). OPINIÓN