Antes de comenzar a analizar la situación actual y la convergencia de los ámbitos de las tecnologías de la información (IT, Information Technology) y de las llamadas tecnologías de la operación (OT, Operation Technology) debemos remontarnos a sus orígenes para contextualizarlo. El desarrollo de los sistemas OT comenzó a principios de los años setenta, con la finalidad de controlar y gestionar de manera más eficiente los distintos procesos industriales. Ya desde su origen, dichos sistemas fueron diseñados para entornos exigentes, donde se soportan condiciones ambientales no óptimas y en las que se necesita un funcionamiento permanente de unos sistemas normalmente aislados con el fin de salvaguardar la continuidad del servicio que prestan.
Tratando de simplificar, podemos distinguir tres elementos básicos y comunes de los sistemas OT:
- Sistemas de control de supervisión y adquisición de datos o SCADA, orientados al control y supervisión remota de los procesos industriales.
- Sistemas de control distribuido o DCS, que tratan de ofrecer una solución integral a los procesos industriales continuos o discretos.
- Controladores lógicos programables o PLC, también conocidos como autómatas programables, dado que automatizan procesos electromecánicos.
Estos elementos, de carácter modular, podrán desplegarse en función de la necesidad o de la política empresarial, por lo que podemos encontrar innumerables casuísticas: desde ecosistemas OT que cuentan con varios controladores agrupados en un único panel, hasta enormes sistemas de control y operación ubicados en complejos industriales interconectados.
En particular en el ámbito de las infraestructuras críticas, los sectores que cuentan actualmente con una mayor presencia de sistemas OT son los de transporte, energía y químico.
Para subsanar deficiencias, habría que identificar los elementos de seguridad que no pueden ser aplicados a entornos OT y definir unas medidas compensatorias establecidas y reconocidas por todos los actores
Por otra parte, pasamos ahora a considerar los sistemas IT, cuyo origen moderno se inició en la segunda mitad del siglo XX y que hacen referencia de manera amplia a los sistemas de información. Su principal función es la telecomunicación y la gestión del ciclo de vida de la información, entendiéndose como tal la generación, procesamiento, transmisión y almacenamiento. Su ámbito de uso es cada vez más generalizado, si bien destaca especialmente el empresarial y el de los negocios.
Estas tecnologías han sido tradicionalmente muy dinámicas e innovadoras, orientadas siempre a la interconexión, basándose en la transmisión de información y la protección de la misma, atendiendo a las dimensiones de confidencialidad, disponibilidad e integridad.
La necesidad de durabilidad
Aunque ambas tecnologías han corrido caminos paralelos, su desarrollo pasa por la interconexión de sistemas donde, de manera cada vez más habitual, se entrecruzan sistemas de los mencionados ámbitos IT y OT. Esta cada vez más demandada interconexión está evidenciando las diferencias entre ambas tecnologías, tanto en su concepción y diseño como en la manera de enfocar la seguridad lógica, que por sus propias características hace especialmente a los sistemas OT mucho más vulnerables.
Los principales problemas que plantea la seguridad lógica de los sistemas de operación es que estos han sido diseñados para trabajar de manera aislada e ininterrumpida, mediante un diseño robusto donde la seguridad no es prioritaria (en ocasiones ni siquiera está contemplada), a costa de la eficacia y eficiencia. Es precisamente esa necesidad de durabilidad lo que ha provocado que hoy en día encontremos en funcionamiento sistemas de operación con una vida superior a diez años (o incluso más), cuya sustitución o actualización, aparte de provocar pérdidas económicas por la consecuente parada de producción, suele conllevar una fuerte inversión económica por parte de los responsables.
Dado que en la mayoría de las ocasiones la balanza entre producción y seguridad suele inclinarse hacia el lado más lucrativo, la seguridad queda lastrada de manera evidente. Esto implica que una vulnerabilidad detectada en un elemento concreto pueda estar semanas o meses expuesta a un ataque hasta que se realice una parada necesaria de la producción y se puedan aplicar los correspondientes parches a los elementos vulnerables o proceder a su sustitución.
Además de lo anterior, se añade el hecho de la escasa estandarización de los protocolos de comunicación de los sistemas OT, dada la extensa cantidad de protocolos propietarios diferentes entre ellos. Esto complica enormemente su protección, habida cuenta de que, por un lado, se hace necesaria una alta especialización de los equipos técnicos de seguridad y, por otro, no existe prácticamente comunicación con los dispositivos de seguridad IT.
Los sistemas IT
Esto no es así en el mundo IT, donde el desarrollo de la seguridad ha sido mucho más rápido debido a la necesidad de preservar la información que manejan unos sistemas altamente interconectados. Esto ha dotado a los sistemas IT de elementos de seguridad muy específicos y dinámicos, en los que se efectúan actualizaciones constantemente en función de la cantidad de información que se procesa, considerando todo tipo de riesgos, ataques y vulnerabilidades.
Los sistemas de información presentan, además, una alta estandarización que permite la provisión de personal técnico de seguridad con relativa facilidad, y en base a estándares y certificaciones ampliamente reconocidas a nivel internacional.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?
