Juan Huechucura G.
¿En qué se diferencia la ciberseguridad “industrial” de la “tradicional”?
La forma en que se deben administrar es completamente diferente desde todo punto de vista, lo que queda en evidencia en la norma ISO 27.001 sobre la Gestión de la Seguridad de la Información. En las Tecnologías Operacionales (TO) se priorizan temas de disponibilidad de información, integridad y, por último, confidencialidad. Si un entorno industrial se ve afectado por un ciberataque, este no solo sufre el riesgo de interrumpir sus servicios, sino además puede tener importantes efectos en la población, incluso, en algunos casos, comprometer vidas humanas. Desde las TO debemos revisar constantemente la obsolescencia de las tecnologías, ya que es fundamental tener un enfoque preventivo.
¿Cómo la convergencia TO/TI ha marcado la ciberseguridad en el ámbito industrial?
La convergencia es algo que se da entre las TI y TO debido a la toma de decisiones. Asimismo, para explotar la información que obtienes desde las TO necesitas de las TI, para así cumplir con los requerimientos de los reguladores. Existe un especial cuidado de asegurar que la información que circule debe ser confiable y segura, por lo que vemos que el avance de las TI ha complementado las medidas de seguridad de las TO con mejores prestaciones.
¿La pandemia ha afectado a la ciberseguridad industrial de su empresa?
Como organización, el contexto del Covid-19 nos ha significado diversos desafíos a los que, afortunadamente y gracias a un trabajo en conjunto con otras áreas, hemos podido responder satisfactoriamente. De todas maneras, específicamente, en temas de ciberseguridad TO, es poco lo que ha variado, sin embargo, destaco la coordinación y compromiso entre las diversas áreas de la empresa. En este sentido, fue fundamental el rol de los operarios de los recintos, quienes estuvieron participando en un programa de confinamiento voluntario en las plantas y operaciones críticas, para así asegurar el abastecimiento y continuar entregando un servicio de calidad a la población, a pesar de las cuarentenas y otras restricciones sanitarias.
¿La ciberseguridad industrial precisa de un conjunto de conocimientos y expertise distinto?
Efectivamente, la ciberseguridad industrial requiere de conocimientos distintos al enfoque tradicional, abarcando desafíos adicionales a los de la ofimática convencional (informática aplicada los procesos de oficina). En los entornos TO, nos encontramos con una cantidad enorme de dispositivos repartidos geográficamente, como son sensores, PLC, y terminales, entre muchos otros. Para esto se debe tener conocimiento de sus comportamientos y un especial cuidado con sus tráficos y protocolos propietarios.
¿Es este un tema para los sectores productivos en Chile?
Actualmente, se habla poco de seguridad industrial, pero hay compañías muy comprometidas en este tema. En Aguas Andinas hemos apoyado a empresas en su viaje hacia la seguridad industrial, enseñándoles lo que hacemos. De esta manera, buscamos lograr sinergias entre tecnologías y proveedores. Hoy podemos decir que esas compañías con las cuales trabajamos ya cuentan con un responsable de ciberseguridad para TO y, en otros casos, este cumple las dos funciones, ya que también se preocupa de la seguridad industrial para dar cumplimiento a los requisitos del regulador, cuando corresponda.
Los proveedores de ciberseguridad nacionales, ¿cuentan con tecnologías para proteger sistemas industriales?
Actualmente, en Chile no hemos podido encontrar a una empresa que tenga la madurez sufi ciente en el desarrollo de la seguridad industrial, pero sí hay compañías locales que están ofreciendo servicios de TO. Creemos que, a la fecha, no podrían cumplir con las exigencias con las cuales estamos trabajando en Aguas Andinas. En términos de seguridad TO, operamos con Rockwell Automation, y la verdad es que nos ha funcionado muy bien.
¿Es difícil encontrar profesionales con el perfil idóneo para una posición de ciberseguridad industrial?
En general, es muy difícil conseguir personas que tengan un alto nivel técnico y currículum para trabajar en los temas de seguridad TI, y esta situación es más compleja aún para TO. Actualmente, suelen especializarse en aspectos específi cos como, por ejemplo, el cómo atacar estos entornos, pero hay muy poca expertise en la forma en que se debe defender y los cuidados que debemos tener al trabajar en entornos TO.
A simple vista, parece fácil, pero si realizas una revisión o ethical hacking no controlado, lo más seguro es que interrumpas los servicios, provocando indisponibilidad en la producción, lo cual traería graves consecuencias.
¿Qué recomendaciones compartiría con las empresas?
La recomendación clave es tomarse en serio la ciberseguridad industrial. Para esto debe existir un compromiso de la alta dirección, levantando todos los riesgos asociados y las consecuencias que puede traer el no aplicar seguridad a estos entornos. Además, hoy es factible explotar la información de TO con infografías, BI y demás herramientas, con el fin de obtener indicadores del tipo ejecutivo y técnico, que permitan tomar decisiones en base a los eventos que ocurren en estos entornos.