Blog del CCI

miércoles, 10 de abril de 2013

Conocimiento: La principal carencia en la Ciberseguridad Industrial


El problema fundamental que encontramos en el ámbito de la Ciberseguridad Industrial es la escasez de conocimiento específico sobre esta materia entre los diferentes actores involucrados en la implantación, operación y mantenimiento de los sistemas de control industrial, lo cual causa que los responsables de dichos sistemas no sean conscientes de los riesgos que están afrontando, y por tanto no se tomen las medidas adecuadas para tratarlos. Creando, de esta manera, instalaciones vulnerables que podrían comprometer la seguridad de procesos físicos con resultados potencialmente desastrosos.

Esto tiene un efecto dominó en el que la falta de concienciación sobre la necesidad de ciberseguridad en los entornos industriales se transmite a los distintos actores involucrados creando una especie de círculo vicioso del que hay difícil salida.

Los usuarios finales, al no ser conscientes de los problemas que están afrontando no exigen a sus suministradores soluciones a dichos problemas. Por tanto, los integradores de sistemas y los fabricantes de componentes no incorporan de manera habitual aspectos de ciberseguridad desde el diseño. Esta actitud, que históricamente estaba justificada por el aislamiento y la dificultad de acceso remoto a estos sistemas de control, hoy en día no puede mantenerse debido a las interconexiones entre las redes de control, las redes corporativas y las interdependencias entre ellas.

Por otra parte, los profesionales que desean adquirir conocimientos sobre ciberseguridad industrial se encuentran con que existe poca documentación sobre técnicas, métodos y metodologías de ciberseguridad que tengan en cuenta las necesidades específicas de los entornos industriales. Además, buena parte de la documentación existente carece de la profundidad técnica deseable o trata los problemas desde puntos de vista clásicos de TI o de la seguridad física, que como se ha comprobado en distintas ocasiones, puede provocar problemas adicionales a los que se intenta solucionar.

La solución a este problema pasa por la realización de labores de concienciación y formación que contribuyan a mejorar el conocimiento sobre los problemas afrontados por estos sistemas y a aumentar el número de profesionales interesados en la Ciberseguridad Industrial. Logrando de esta manera abordar el desarrollo de documentación, metodologías y herramientas de ciberseguridad aplicables a los entornos industriales.

A esta concienciación contribuye en gran medida la aparición en prensa y medios de comunicación de incidentes relacionados con la ciberseguridad en entornos industriales o de herramientas (i.e. Shodan) que permitirían a cualquiera con conocimientos mínimos comprometer la seguridad de sistemas de control a través de Internet. Sin embargo, para poder aprovechar el impulso de esta manera generado, deben existir iniciativas alineadas con las necesidades de la industria y el mercado que sean capaces de diseminar de manera adecuada el conocimiento necesario para mejorar de manera general la ciberseguridad.

No hay comentarios :

Publicar un comentario en la entrada