Red Seguridad 87

opinión 52 red seguridad cuarto trimestre 2019 servicios esenciales monográfico Para subsanar estas deficiencias, se trataría de identificar estos ele- mentos de seguridad que no pueden ser aplicados a entornos OT y defi- nir unas medidas compensatorias perfectamente establecidas y reco- nocidas por todos los actores. Una vez aplicadas correctamente, han de proveer un nivel de seguridad sufi- ciente y, si es posible, equivalente a las medidas de seguridad propias de los sistemas de información. La definición y el reconocimiento de estas medidas compensatorias para entornos OT, que mal preci- sadas podrían dar lugar a fallos de seguridad o a interpretaciones erró- neas por parte de los responsables de su implantación o explotación, debería ser consensuada. No solo por los usuarios de los sistemas, sino que también habría que implicar a fabricantes, mundo académico y organismos oficiales involucrados en el mundo de la ciberseguridad, ya sea en el ámbito de la supervisión como en el de la acreditación y cer- tificación en estándares y esquemas de seguridad. Es innegable que en un corto periodo de tiempo los sistemas de operación serán diseñados para que ya desde un primer momento sean muy parecidos y compatibles con los sistemas de información; pero aten- diendo a la especificidad de su fun- ción, siempre habrá que respetar sus particularidades y el objetivo de su aplicación, así como proveerlos de un nivel de seguridad adecuado. dades de los sistemas de operación, como por ejemplo su necesidad de funcionamiento ininterrumpido, que impide la aplicación de determinadas medias de seguridad necesarias en los sistemas de información, como son los controles de acceso o las actualizaciones periódicas de segu- ridad. Medidas compensatorias Esta necesidad de tener en consi- deración las peculiaridades de los entornos OT dificultan sobremane- ra los procesos de certificación en estándares de seguridad. Esto es debido a que ciertos controles a apli- car y que resultan obligatorios para obtener determinados certificados podrían no quedar satisfechos en los sistemas de operación debido a su naturaleza. Aunque se adapten los sistemas OT, siempre habrá que respetar sus particularidades y el objetivo de su aplicación, así como proveerlos de seguridad. su función y en su diseño, deben ser tratados de manera autónoma, adaptándose cada uno a sus pecu- liaridades y con un desarrollo inde- pendiente. La segunda de ellas, por el contra- rio, trata la seguridad de los sistemas de información y de operación de la misma manera, exigiendo a los fabri- cantes la implantación de medidas de ciberseguridad en los nuevos modelos (seguridad desde el diseño) con las mismas medidas, intentando trasladar la filosofía de ciberseguri- dad IT al mundo OT hasta su total convergencia. Por último, cabe reseñar una ter- cera solución intermedia donde se intentan hacer converger las medidas de seguridad que se puedan aplicar desde el diseño, sin perder el punto de vista de las peculiaridades propias de los sistemas de operación. En este punto de convivencia, se están diseñando soluciones que traducen los protocolos OT al mundo IT y que permiten incluir dichos sistemas OT en determinados sistemas de protección que trabajan en las redes de IT, como soluciones de seguridad estándar. Esta tendencia pasa por reconocer y respetar las particulari- En poco tiempo, los sistemas OT serán diseñados para ser compatibles con los IT