El Centro Canadiense de Seguridad Cibernética (Cyber Center) ha colaborado con la Agencia de Infraestructura y Ciberseguridad (CISA) de Estados Unidos y varias agencias internacionales para desarrollar una guía de seguridad cibernética centrada en la tecnología operativa (OT). Este esfuerzo conjunto incluye socios como el Departamento de Energía de EE. UU., la Agencia de Protección Ambiental de EE. UU. (EPA), el FBI, la NSA, la Administración de Seguridad del Transporte de EE. UU., el Centro Australiano de Seguridad Cibernética (ACSC), la Comisión Europea, el Oficina Federal de Seguridad de la Información (BSI) de Alemania, el Centro Nacional de Seguridad Cibernética de Holanda (NCSC-NL) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK).
La creciente digitalización de los sistemas de tecnología operativa ha expuesto a estos sistemas a diversas amenazas cibernéticas. A través de la guía, se destaca que los actores maliciosos pueden explotar debilidades en los productos de OT, tales como autenticación débil, vulnerabilidades de software no corregido y prácticas de registro inadecuadas. Si una organización utiliza un producto que carece de principios de diseño seguro, se torna complejo y costoso defenderlo contra intrusiones.
Esta guía, parte de la serie "Secure by Demand" de CISA, está diseñada para ayudar a los propietarios y operadores de tecnología operativa a integrar medidas de seguridad en sus procesos de adquisición de dispositivos. En este sentido, se busca que los responsables de la compra de productos OT tengan en cuenta ciertos elementos de seguridad clave, principalmente cuando se trata de sistemas de control y automatización industrial.
Entre los elementos de seguridad esenciales que la guía sugiere que deben estar presentes en los productos de OT se encuentran:
-
Gestión de configuración: Asegurar que los ajustes del sistema se mantengan controlados y documentados para evitar configuraciones inseguras.
-
Registro de inicio de sesión: Los productos deben registrar accesos y acciones para facilitar la auditoría y la detección de incidentes.
-
Estándares abiertos: Promover el uso de protocolos y estándares que faciliten la interoperabilidad y la seguridad.
-
Propiedad: Definir claramente la propiedad de los datos y los sistemas, lo que incluye derechos de acceso y uso.
-
Protección de datos: Implementar medidas que aseguren la integridad y disponibilidad de la información almacenada y transmitida.
-
Seguro por defecto: Configurar productos con opciones de seguridad predeterminadas que protejan adecuadamente al sistema.
-
Comunicaciones seguras: Utilizar protocolos de comunicación encriptados para salvaguardar la información en tránsito.
-
Controles seguros: Integrar controles que validen la seguridad en todo el ciclo de vida del producto.
-
Autenticación fuerte: Emplear métodos de autenticación que minimicen el riesgo de accesos no autorizados.
-
Modelado de amenazas: Utilizar una metodología para identificar posibles amenazas y vulnerabilidades específicas en el contexto del sistema.
-
Gestión de vulnerabilidades: Implementar un enfoque sistemático para identificar y solucionar vulnerabilidades en los productos.
- Herramientas de actualización y parcheo: Asegurar que los productos puedan ser actualizados de manera eficiente para abordar nuevas amenazas y vulnerabilidades.
Al considerar estos elementos clave durante el proceso de compra, las organizaciones pueden reducir significamente los riesgos asociados a la ciberseguridad en sus sistemas de tecnología operativa. La guía ofrece un recurso vital para mejorar la postura de seguridad cibernética y alinear la adquisición de tecnología con los principios de seguridad modernos.
Para más detalles, se aconseja consultar la guía "Seguro según la demanda: consideraciones prioritarias para propietarios y operadores de tecnología operativa al seleccionar productos digitales".