La formación especializada en áreas de la Ciberseguridad Industrial es un pilar básico en la era digital y ecosistema actual. Analizando el perfil técnico de las profesionales que trabajan en el ámbito de la automatización industrial se identifica que requiere de un conjunto de habilidades tremendamente especializadas. Los planes de estudio de las formaciones regladas (universitarias o de formación profesional) no incluyen, salvo excepciones, el nivel de detalle necesario en este ámbito. Es por este motivo que se hace necesaria una formación o capacitación adicional mas específica para afrontar con éxito las responsabilidades de estos puestos de trabajo. Basta con hacer una sencilla consulta en cualquier buscador para recibir una avalancha de ofertas de cursos, masters, formaciones, etc. Pero ¿cuál elegir?
Si a esta escasez de formación ultra especializada se añade la necesidad de contemplar ciertos aspectos de ciberseguridad de estos sistemas, la ausencia de formación específica en los planes de estudios es prácticamente absoluta. El alumnado necesitará acudir a ciertas capacitaciones adicionales para adquirir la formación adecuada. Y lo mismo ocurre con los profesionales ya en activo.
Ciberamenazas a los sistemas de producción industrial
A día de hoy casi nadie puede negar que la ciberdelincuencia y los ataques cibernéticos son, por desgracia, una realidad cada vez más habitual en el mundo actual. Sólo en España, el INCIBE gestionó más de 118.000 incidentes durante 2022 siendo el 52% de ellos empresas[1]. De igual forma tampoco se puede negar que en los últimos años la cantidad de incidentes (hablemos claro: ataques) dirigidos directa y específicamente contra los sistemas (en mayor o menor medida) automatizados de producción están tomando un elevado protagonismo. La necesaria especialización de los ciberataques conlleva, por tanto, una imperante especialización de las medidas de ciberprotección a tomar en cuenta por parte de las organizaciones.
Historia y conceptos clave
Hasta hace no demasiado tiempo, los ciberdelincuentes dirigían su atención a los sistemas informáticos clásicos, lo que se conoce como Sistemas IT. Las organizaciones respondieron con medidas de ciberseguridad específicas y los profesionales especializados eran en su mayoría de perfil informático. La formación de base así como la formación específica de ciberseguridad ofrecida por los centros y escuelas estaba totalmente enfocada a ese perfil informático o IT. En este ámbito destaca como referencia la familia de normas ISO/IEC 27000[2] para la gestión de la seguridad de la información que comenzaron a publicarse en 2004.
Posteriormente los malos se fueron dando cuenta del daño que supone el ataque directo a los sistemas de control de los procesos de producción industrial. Estos sistemas no sólo se componen de equipos informáticos en el sentido clásico del término (ordenadores) sino de numerosos equipos diseñados específicamente para estos entornos: PLCs, instrumentación inteligente, protocolos de comunicaciones propios, etc
Muchos de ellos están microprocesados y comunicados por lo que son tan ciberatacables como los equipos IT
Estos sistemas se identifican de manera genérica como OT (Operational Technologies o Tecnologías de la Operación). La norma de referencia en materia de ciberseguridad para el ámbito industrial son las del conjunto ISA/IEC 62443[1]. El primer documento (Parte 1-1: Terminología, Conceptos y Modelos) se publicó en 2007. En él se utiliza el término IACS (Industrial Automation Control Systems) para referirse a los sistemas OT. En Español se utiliza de forma habitual SCI (Sistemas de Control Industrial) tal y como aparecerá en este contenido.
El gap IT-OT y la formación especializada en Ciberseguridad Industrial
Los perfiles técnicos de los profesionales que trabajan en nivel OT son totalmente diferentes a los de IT. Un hecho realmente importante y transcendental ya que las necesidades de protección en este nivel no son sólo para la información gestionada (como ocurre en IT, como se remarcó más arriba al mencionar la familia de normas ISO 27000). En los SCI se prioriza la disponibilidad (para que la producción no se detenga) y las prestaciones de los equipos (para que el producto no se vea alterado). Todo un paradigma muy diferente al de las prioridades de IT. Por lo tanto el enfoque de la ciberprotección que necesitan es también muy distinto.
Hasta hace relativamente poco tiempo, la separación entre IT y OT era casi total no sólo a nivel de los equipos sino, sobre todo, a nivel de la formación de base y capacitación específica de los profesionales que atendían ambos ámbitos. Hoy en día los niveles IT y OT están totalmente conectados a nivel técnico pero los profesionales de ambas áreas, no lo están. Consecuencia: El profesional IT no sabe (o sabe muy poco) de OT y viceversa. Y, rara vez, trabajaban juntos y mucho menos, coordinados.
En general y en la práctica (y bajo nuestra consideración) los profesionales de ciberseguridad IT van por delante de los de OT ya que históricamente fueron atacados primero y tuvieron la necesidad de reaccionar antes. Casi nadie contaba con la posibilidad de que se ciberatacara a los equipos de los niveles OT. A pesar de que la norma 62443 se empezó a publicar 2007, fue 2010 con el ataque de STUXNET[2] contra PLCs y SCADA Siemens donde se empezaron a encender, de verdad y de forma generalizada, las luces de alarma en este ámbito. Ciertamente no fue el primer incidente de ciberseguridad detectado pero realmente supuso un antes y un después en la concienciación de las organizaciones. Hasta entonces, los propios diseñadores de equipos y sistemas OT no habían tenido en cuenta tal posibilidad. Esta situación unida al hecho de que los equipos OT tienen un ciclo de vida muchísimo más largo que los equipos IT, lleva a que hoy en día muchas organizaciones tienen funcionando en sus plantas equipos poco o nada protegidos por diseño. La antigüedad media de los equipos de automatización está entre 5 y 10 años, algo totalmente impensable en los sistemas IT.
Otro factor fundamental es que los criterios de ciberseguridad IT no se pueden aplicar directamente a OT. En muchas empresas, las primeras medidas de ciberseguridad en los niveles OT fueron encargadas directamente a los responsables de ciberseguridad IT… con consecuencias “inesperadas”. Como, por ejemplo, aplicar actualizaciones a sistemas operativos o parches que en “sus” ordenadores ya estaban actualizados sin problema, resultando en equipos inoperativos por incompatibilidades con el software OT que corre en ellos No olvidar que los fabricantes de los sistemas de control deben validar los parches para la instalación en sus equipos con el objetivo de asegurar su compatibilidad
Ante este escenario, a día de hoy, las organizaciones se encuentran mucho más enfocadas y avanzadas en disponer de profesionales específicos en ciberseguridad IT (CISO), cosa que no ocurre para los sistemas OT. Según el Informe del estado de la tecnología operativa y ciberseguridad de 2023 [3] publicado por Fortinet, en el 95% de las organizaciones encuestadas el CISO es responsable también de la ciberseguridad OT. Y no sólo eso, sino que hay más profesionales de la ciberseguridad de OT procedentes de la dirección de seguridad de TI que del equipo de operaciones.
Afortunadamente este problema, aunque no resuelto, sí que está identificado. El “gap” se va a tapar trabajando en la Convergencia IT/OT, como muestra el INCIBE[4]
La innegable necesidad de una formación especializada en Ciberseguridad Industrial
En conclusión, la situación actual se resume y asienta en tres factores principales:
- Los ciberataques específicos contra los sistemas OT ocurren y están incrementando de forma exponencial.
- Los Sistemas OT son muy específicos, a menudo de diseño anticuado y ciclos de vida muy largos que no se pueden ciberproteger con medidas puramente IT.
- La formación de los ciberprofesionales IT no es adecuada para los sistemas OT y la capacitación de los profesionales OT actuales no incluye la ciberseguridad de los sistemas con los que trabajan. Esta situación además obstaculiza el necesario trabajo coordinado de ambos perfiles.
Por lo tanto es fundamental que la ciberseguridad de los niveles OT sea diseñada, aplicada y mantenida por personal que reciba la formación y capacitación especializadas. Tanto si se procede del mundo IT como del OT.
En este ámbito, la Escuela del Centro de Ciberseguridad Industrial ofrece cursos, talleres así como el Master Profesional Online de Ciberseguridad Industrial que cubren a la perfección las necesidades de capacitación y formación especializada en Ciberseguridad Industrial mencionadas en este artículo.
Ventajas de una capacitación especializada en CI
*Hablando desde mi propia experiencia (con formación informática pero con una carrera profesional desarrollada desde siempre en el mundo OT), las principales ventajas que he visto en el Máster del CCI son estas:
- A los alumnos con perfil IT les ha permitido tomar conciencia de las particularidades de los sistemas OT, sus protocolos de comunicaciones industriales, etc.
- De forma contraria, a los que venimos del mundo OT, nos ha ayudado a conocer (al menos en mi caso) numerosas vías de ataque de los ciberdelincuentes, así como a profundizar en las principales medidas tecnológicas de protección de las redes que históricamente eran del dominio IT (firewalls, VPNs, DMZs, dominios, etc.).
- Conocer y contextualizar la enorme variedad de recursos, normas, frameworks, referencias y legislación existentes. Nos encontramos con una avalancha enorme de recursos y terminología que cuesta organizar: 62443, NIST, CISA, MITRE, DRAGOS, NIS2, Infraestructuras Críticas y un largo etc.
- Participar en una de las principales labores del CCI como es el fomento del intercambio de experiencias e información entre profesionales. Al abrir la página web del CCI, lo primero que se lee en letras bien grandes es: “Ecosistema para avanzar juntos en Ciberseguridad Industrial: Networking, Conocimiento y Experiencias”. Los eventos “La Voz De La Industria” (accesibles para el alumnado del Master) son fundamentales para ello. El profesorado del CCI es un equipo formado por profesionales de dilatada experiencia, auténticas referencias del mundo de la ciberseguridad industrial.
- Interiorizar la necesidad de trabajar en equipo de forma multidisciplinar gracias a los diversos perfiles técnicos de los compañeros participantes (me remito al apartado “Gap IT-OT” de este artículo).
Por todo ello, tanto si eres profesional IT como si procedes del mundo OT, no hay duda de que los recursos formativos del CCI y sus actividades son la alternativa perfecta.
————————–
Autor: Eduardo Blanco Rodríguez
Coordinador del Equipo de Automatización de Iturcemi Ingeniería S.L.
Alumno del Master Profesional Online de Ciberseguridad Industrial, edición 2022.
https://www.linkedin.com/in/eduardo-blanco-rodr%C3%ADguez-90791150/
————————————————————
[1] https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
[2] ¿Qué es Stuxnet? ¿Qué representa para el sector de ciberseguridad? https://www.linkedin.com/pulse/qu%C3%A9-es-stuxnet-representa-para-el-sector-de-victor-ruiz/?originalSubdomain=es
[3] Informe del estado de la tecnología operativa y ciberseguridad de 2023: https://www.fortinet.com/lat/demand/gated/report-state-ot-cybersecurity
[4] Convergencia TI-OT: https://www.incibe.es/incibe-cert/blog/convergencia-ti
