Cuando la seguridad en el diseño empieza a dejar de ser utopía

Cuando la seguridad en el diseño empieza a dejar de ser utopía

Cuando la seguridad en el diseño empieza a dejar de ser utopía 2560 1708 Centro de Ciberseguridad Industrial

La “seguridad desde el diseño” es un concepto que cualquiera que este leyendo este blog conoce y que seguramente fomenta en su organización, sin embargo, en el ámbito de los sistemas de control industrial durante años esto ha sido un concepto utópico ya que no existían documentos específicos que ayudasen a las organizaciones a trabajar en tal sentido. Si bien es cierto que las normas y estándares de seguridad del sector hacen referencia tanto al tema como también a la concepción de la defensa en profundidad, si realizamos una comparación con respecto al ámbito corporativo claramente nos encontraremos con diferencias.   Por empezar, en el ámbito corporativo existen desde hace muchos años documentos orientados a la configuración segura de estaciones de trabajo, de servidores, de equipos de comunicaciones, de dispositivos móviles, servicios en la nube o incluso servicios de virtualización, independientemente de los publicados por los propios fabricantes de cada tecnología, tal como es el caso de los muy famosos CIS Benchmarks del Center for Internet Security. Si bien algunos de esos documentos son aplicables en el ámbito de los ICS, no son específicos y si nos focalizamos en las capas inferiores del famoso Purdue Model (la pirámide de la automatización), esta búsqueda de estándares de configuración segura era mucho más compleja hasta que a mediados del 2021 se hace público un proyecto de PLC-security llamado Top 20 Secure PLC Coding Practices.

«Electrical and Instrument technician replacing input and output card of programable logic controller (PLC) for oil and gas process control system»

Toda documentación relacionada al mundo de la ciberseguridad es importante, no tengo ninguna duda de ello, sin embargo, existen proyectos a los que personalmente valoro aún más porque no están pensados sólo desde el marco teórico, de lo que debería ser, sino que están destinados a ayudar a las personas a mejorar la seguridad en su trabajo y en sus organizaciones, por esto, proyectos como los de OWASP en general o el mencionado de PLC-Security me parecen sencillamente maravillosos.  El Top 20 Secure PLC Coding Practices fue un documento pensado como guía para que los ingenieros que crean programas industriales, aquellos que verdaderamente pasan su día a día con este tipo de dispositivos y que no están involucrados en el mundo de la ciberseguridad, puedan tener una base que les permita realizar sus proyectos con la seguridad en mente, ayudando a las organizaciones a mejorar su postura en esta línea de los sistemas de control de industrial.  Las directrices definidas en este documento para los PLC no están pensadas desde la óptica del fabricante, sino desde las funcionalidades nativas sin la necesidad inicial de agregar nuevo hardware o software y pensando en el flujo de su programación.    Un documento pensado para especialistas en programación de PLC que necesitan que alguien le pase las pautas de seguridad a contemplar en sus definiciones con un lenguaje claro.

 

En el CCI hemos tenido la oportunidad y el honor de trabajar durante este 2022 junto al equipo de PLC-Security en la traducción al Español de este documento tan importante, permitiendo no solo ampliar su difusión per se sino que a partir de este trabajo buscar:

  • llegar a aquellos que programan PLC hacen años en las regiones del CCI pero que no suelen leer documentos en Ingles.
  • llegar a las universidades con un material que pueda ser de utilidad durante la carrera profesional de los alumnos para generar una base en sistemas seguros desde el diseño en los futuros ingenieros.
  • ayudar a las organizaciones a definir un estándar en su propio idioma.
  • Trabajar en guías y verificación para las organizaciones industriales.

 

La reciente publicación del Top 20 Secure Coding Practices o Prácticas Seguras de Codificación de PLC no es un hito más dentro del CCI, es un gran logro, que sin duda ayudará a muchísimos profesionales y organizaciones, por ello es de destacar el trabajo realizado por los expertos que han trabajado en este proyecto.

Prácticas seguras de codificación de PLC: lista de las 20 principales

Aquellos que aún no han visto este documento, les recomiendo hacerlo y les recuerdo que pueden encontrarlo publicado y de manera gratuita tanto en nuestro sitio web del CCI como en el sitio oficial de PLC-security

 

AUTOR:

Claudio Caracciolo

@holesec

Responsable de Plataformas, Innovación y Talento en el CCI.

Ecosistema par avanzar juntos en Ciberseguridad Industrial
Networking | Conocimiento | Experiencias