Blog del CCI

miércoles, 24 de junio de 2015

Encontrar la aguja en el depósito de agua (Al menos deberíamos buscarla)




La guía de gestión de la Ciberseguridad en el sector del Agua de la American Water Works Association (AWWA) olvida controles críticos en sus redes de control.

¿Estamos aún a tiempo en España para evitar esto?

Sé que debería buscar la aguja en el pajar, pero buscarla en un depósito de aguas residuales tampoco es fácil. Cuando tienes que proteger la red de control de una planta potabilizadora (ETAP) o de tratamiento de aguas residuales (EDAR), debes alinearte con las mejores prácticas y además cumplir con la regulación nacional.

Desde Febrero de 2014, EEUU ha desplegado su marco de referencia de Ciberseguridad, desarrollado por el National Institute of Standards and Technology (NIST). En este marco de referencia general, la detección de anomalías de comportamiento en las redes de control se refleja en la tercera función de dicho marco: Detección (DE).

Bajo esta función de detección (DE) se recoge la categoría de Eventos y anomalías y debajo de ella hay una sub categoría concreta:

· DE.AE-1: Existirá una línea base gestionada para las operaciones y flujos de datos esperados de los usuarios y de los dispositivos de la red.

(La necesidad de detectar anomalía en las redes de control también se contempla en los siguientes estándares: COBIT 5 DSS03.01, ISA 62443-2-1:2009 4.4.3.3 and NIST SP 800-53 Rev. 4 AC-4, AC-3, CM-2, SI-4)


En el sector del agua Norteamericano y en 2014 también, la AWWA desarrollo otra guía para proteger sus redes de control (Control System Security Guidance for the Water Sector). En esta guía se reflejaba una correspondencia entre las medidas del marco de referencia de Ciberseguridad del NIST y el suyo propio, y las únicas dos medidas no contempladas por dicha guía estaban relacionadas con la detección de eventos!!!




¿Por qué ha pasado esto? Yo no lo sé muy bien, pero lo que sí sé muy bien es que una monitorización continua de la ciberseguridad de nuestra red de control es el único mecanismo para poder detectar cualquier amenaza y poder gestionar correctamente el riesgo de la misma.

Ahora vamos a tener un reglamento sectorial para el agua en España pero, ¿También vamos a olvidar la detección de anomalías en nuestras medidas de seguridad permanentes?

Si lo hacemos, nunca encontraremos la aguja (o el virus) en nuestro depósito de agua.


Autor:
Enrique Martín García (Telvent Global Services)

No hay comentarios :

Publicar un comentario