La transformación digital ha abierto una nueva forma de vivir y trabajar. A medida que el rendimiento y los nuevos niveles de conectividad permiten a las empresas aprovechar los beneficios de las tecnologías innovadoras, el mundo se vuelve más rápido, más flexible y más eficiente . Este cambio está creando un ecosistema global donde las cosas físicas y digitales están cada vez más conectadas, desde activos de infraestructura críticos hasta personas y datos.
La Industria 4.0 requiere una cooperación intensiva entre los múltiples actores de las etapas productivas. La digitalización puede ayudar a que la producción sea más eficiente y rentable, pero cuanto más se extiende, más habituales y claros son los potenciales riesgos y peligros asociados a su uso.
El auge del Internet de las cosas o IoT proporciona un entorno donde los objetos cotidianos se alían y contribuyen juntos en un sistema que da paso a la convergencia de los dispositivos inteligentes y los dispositivos conectados convencionalmente. El IoT – IIoT se considera la tercera ola mundial de la industria de la información después de los inventos de la computadora y la Internet.
Principio general del holismo
Como fue resumido de forma concisa por Aristóteles en sus escritos sobre metafísica (después o «más allá» de la física): «el todo es mayor que la suma de sus partes». De todos los seres vivos el ser humano es el único que puede evolucionar durante su existencia como individuo y no como especie. El simple hecho de tomar consciencia de dicha capacidad le inunda de responsabilidad e impulsa al cambio. Y qué es la empresa sino que la suma de sus individuos, cuyas capacidades lejos de sumarse se multiplican, haciendo del todo algo mucho mayor que la suma de sus partes.
La transformación digital es un cambio de paradigma, que requiere revisar el modelo de negocio, procesos empresariales, herramientas, metodologías de trabajo y mentalidad. No es suficiente con dotar de alta tecnología a procesos antiguos u obsoletos que sirven de modelos de negocio envejecidos. Se menciona que la cuarta revolución industrial es la revolución del dato, difuminando los límites entre IT y OT y eliminando progresivamente la segmentada pirámide de automatización. Uno de los pilares determinantes de la Digitalización es la Ciberseguridad.
Debemos comenzar el camino de la transformación digital identificando los activos, roles y procesos necesarios, una vez identificados, debemos definir su modelo digital, es decir identificar qué datos se necesitan para cada una de las actividades u operaciones de la industria. Posteriormente deben estar listos para definir cuál será la mejor manera de extraer, limpiar, analizar, e interpretar dichos datos en base a las tecnologías disponibles y nuestros propios intereses, todo esto de forma segura.
Mayor valor digital – mayor riesgo
La llegada de las tecnologías digitales no solo conlleva un importante valor añadido, sino también riesgos. Con los complejos procesos en red y las cadenas de suministro, se generan constantemente enormes flujos de datos entrelazados con el flujo de materiales entre fabricantes, proveedores de equipos, proveedores de servicios y clientes. Esto significa que los equipos, las máquinas y la instrumentación de campo forman parte de la red y, por lo tanto, son más vulnerables a los ataques de ciberdelincuentes.
La instrumentación de campo incorporada, como los sensores de nivel o los instrumentos para medir la presión, también deben cumplir con los estándares de ciberseguridad deseados. Es por eso que, el reto es: acompañar el desarrollo de la nueva instrumentación con la premisa de conseguir la seguridad en un entorno conectado y tomar medidas para conseguir la seguridad integral. No basta con adaptar un diseño existente para solucionar posibles brechas; para cumplir con las estrictas normas de ciberseguridad, los requisitos deben tenerse en cuenta desde el inicio del desarrollo, ya que implementarlos posteriormente es prácticamente imposible.
Para ello, primero se deben definir los requisitos de ciberseguridad, tanto para el hardware, como para el software, realizando un temprano y exhaustivo análisis de amenazas que sirva para identificar los posibles peligros y puntos débiles del diseño; de modo que se pudieran considerar e integrar las contramedidas más eficaces durante el desarrollo.
Desarrollo de las Comunicaciones Industriales
La comunicación entre equipos industriales se inicia en la década de los 80. Por entonces, los protocolos eran propietarios de cada fabricante, lo que dificultaba la comunicación entre los mismos. En los años 90 se avanzó tanto en la estandarización de protocolos, como en el desarrollo del modelo ISA-95 de 5 niveles de la pirámide industrial. La década de los 2000 supuso una nueva etapa en el campo de las comunicaciones industriales gracias a la aparición de Ethernet Industrial (Modbus TCP se creó en 1999). Las ventajas fundamentales eran la unificación del medio físico de transporte y la velocidad. Sin embargo, no garantizaba que los paquetes de datos llegaran a tiempo a su destino. Ethernet Industrial ha crecido hasta posicionarse en torno al 60% de los protocolos usados en buses de campo. Principalmente Ethernet IP (Industrial Protocol) y ProfiNet, con crecimientos anuales del 20% frente a un 6% de los protocolos tradicionales.
Se presentan cada vez más solicitudes de comunicaciones inalámbricas más ágiles, flexibles y seguras. Se necesitan protocolos industriales específicos con necesidades ínfimas de consumo y, por supuesto, sin ningún cable físico, como es el caso del protocolo LoRaWan o Zigbee. Se incorporan nuevos protocolos y estándares de comunicación de la mano del IIoT tales como el MQTT, el cual dispone de diferentes medidas para proteger las comunicaciones. Esto incluye el estándar de seguridad SSL/TLS a nivel de transporte y autenticación de cliente/servidor mediante certificado. OPC UA también incorpora medidas de seguridad como la encriptación de mensajes o la autenticación de aplicaciones.
Este nuevo escenario lleva a una revisión del modelo de pirámide industrial, probablemente a una estructura de niveles mucho más plana donde las diferentes capas del modelo ISA-95 ya no están tan definidas. La ciberseguridad pasa a reconocerse como una necesidad prioritaria desde diseño.
Los Datos 4.0 como pilar de la Transformación Digital
Las organizaciones están abordando una transformación en la manera de hacer las cosas, y la economía de los datos es ya una realidad que se debe abordar para ser cada vez más eficientes y dinámicos con los nuevos requerimientos. La transformación digital de las empresas se basa en tres pilares: personas, procesos y tecnología. Si se intenta abordar la transformación, y no se trabaja en alguno de los pilares adecuadamente, es muy probable que la transformación no sea exitosa o lleve mucho más tiempo del inicialmente proyectado.
El pilar inicial, al tocar las personas y la cultura de las empresas, es el más arduo e importante, y sin duda, la causa de gran cantidad de intentos fallidos, por lo que nunca debemos abordar un programa de transformación sin tener en cuenta la implicación y adopción por parte de las personas, y un modelo de trabajo basado en la confianza, donde los departamentos dejen de ser silos, y su conocimiento se ponga al servicio del resto de la organización.
Para poder llevar a cabo el programa, es fundamental marcar objetivos cuantificables, medir en continuo para ver la evolución, y hacer un seguimiento. Para eso debemos trabajar con datos, que estos sean parte del proceso, core en las tecnologías y la herramienta principal, para que los expertos del negocio analicen lo que está sucediendo con el objetivo de tomar acciones más inteligentes.
El Internet Industrial de las Cosas como impulsor de la Transformación Digital Industrial
La híper – convergencia de ambientes como lo son las tecnologías de la información, las tecnologías de operación, el internet de las cosas y el internet industrial de las cosas (TI – OT – IoT – IIoT) ha impulsado el desarrollo de diversas verticales entre las cuales están las Smartcities, Smart Building, Smart Energy, Smart Medical, Smart Grid, al igual que, han apoyado el desarrollo de las diferentes infraestructuras críticas entre otros puntos estratégicos en nuestras naciones. Actualmente estamos viendo un impulso continuo en los mercados claves del IoT, incluidos los industriales, empresariales, energéticos y de servicios esenciales entre otros, lo cual acelera el desarrollo de la Industria 4.0
Por medio de uso de habilitadores se aplican métodos analíticos y sofisticados en los ambientes IIoT: los sensores del Big Data recopilan la información, la Inteligencia Artificial la procesa y en función los resultados, el Cloud la transmiten a través de las señales que se envían a las máquinas, para que se genere la electricidad adecuada y así cubrir la demanda de energía. La interacción de todos estos habilitadores describen el uso de los ambientes hiperconvergentes IoT – IIoT. A través de este proceso es posible elaborar modelos sofisticados que estimarán la necesidad del producto o servicio, todos teniendo como pieza angular la ciberseguridad.
Ciberseguridad en el Ciclo de Vida de un proyecto de digitalización industrial
El probable impacto de no contar con el correcto nivel de ciberseguridad en el momento en el que miles de dispositivos inteligentes se conectan a Internet bajo el paraguas del IIoT y, todos estos interactúen sin mecanismos de ciberseguridad sólidos para llevar la información correcta a las cosas correctas, en el lugar correcto en el momento correcto a través del canal correcto serían simplemente catastróficas. Esta situación podría impactar de forma muy diversa. Por ejemplo en la posibilidad de que se creen espacios que faciliten la creación de ilícitos, la caída o indisponibilidad de servicios críticos, el colocar en riesgo la soberanía de un país o lo más importante y/o en la pérdida de vidas humanas, etc.
La necesidad de elevar los niveles de ciberseguridad en los ambientes convergentes son inexcusables y por este motivo el Centro de Ciberseguridad Industrial (CCI) ha desarrollado en conjunto con el Centro de Investigación de Ciberseguridad IoT- IIoT un contenido para el desarrollo profesional en estos ambientes denominado Taller de Ciberseguridad en el Ciclo de Vida de un proyecto de digitalización industrial.
El Programa del taller considera los siguientes puntos:
- Kit documental CCI. Guía de ciberseguridad en el ciclo de vida + Zonas y Conductos
- Principios del Internet Industrial de las Cosas (IIoT)
- Caso Práctico de reconocimiento de Dispositivos del Internet Industrial de las Cosas
- Ciberseguridad en la etapa de diseño. Documento Guía
- Ciberseguridad en la etapa de diseño. Caso Práctico en RECIN
- Arquitectura de Referencia del Internet Industrial de las Cosas (IIRA)
- Caso Practico Arquitectura de Referencia (IIRA)
- Revisión y puesta en común del ejercicio práctico
- Ciberseguridad en la etapa de provisión. Documento Guía + Catálogo.
- Arquitectura de Referencia del Internet Industrial de las Cosas (RAMI)
- Caso Practico Arquitectura de Referencia (RAMI)
- Ciberseguridad en la etapa de ejecución. Documento Guía + Práctica Evaluación
- Ciberseguridad en la etapa de operación y mantenimiento.
La convergencia de las actividades de las tecnologías de la información (TI) tradicional, las tecnologías de operación (OT) o redes industriales y la computación en la nube dan como resultado lo que se ha impulsado con el nombre de hiper – convergencia. Esto facilita la interacción entre el IoT y las smarcities y el IIoT y las infraestructuras críticas, lo que amplía notablemente la complejidad de poder entregar niveles de ciberseguridad acordes a la necesidad que actualmente se requieren. La aceleración hacia la digitalización y el trabajo remoto han impulsado que el uso de la hiper-convergencia se incremente con enorme rapidez.
La integración del mundo físico en el tejido de la web impone requisitos de ciberseguridad avanzados que deben satisfacerse para garantizar un control estricto sobre la interacción de los diversos ambientes y un nuevo desafío para los profesionales de la ciberseguridad.
𝗧𝟬𝟳 🚩 𝗧𝗮𝗹𝗹𝗲𝗿 𝗱𝗲 𝗖𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 𝗲𝗻 𝗲𝗹 𝗖𝗶𝗰𝗹𝗼 𝗱𝗲 𝗩𝗶𝗱𝗮 𝗱𝗲 𝘂𝗻 𝗽𝗿𝗼𝘆𝗲𝗰𝘁𝗼 𝗱𝗲 𝗱𝗶𝗴𝗶𝘁𝗮𝗹𝗶𝘇𝗮𝗰𝗶ó𝗻 𝗶𝗻𝗱𝘂𝘀𝘁𝗿𝗶𝗮𝗹.
¡𝙋𝙡𝙖𝙯𝙖𝙨 𝙡𝙞𝙢𝙞𝙩𝙖𝙙𝙖𝙨! https://www.cci-es.org/CiclodeVida-digitalizacion
Freddy Macho
Presidente del Centro de Investigación de Ciberseguridad IoT – IIoT.
Presidente del Comité IoT del Laboratorio de Ciberseguridad (OEA).
Coordinador Regional del Centro de Ciberseguridad Industrial (CCI).
Expert Researcher ICS – IoT – IIoT (Global Foundation for Cyber Studies and Research) Washington, Distrito de Columbia.
