Ciberseguridad Industrial en Chile_2017

CENTRO DE CIBERSEGURIDAD INDUSTRIAL

Estudio sobre el estado de la Ciberseguridad Industrial en Chile Edición 2017

Estudio sobre el estado de la Ciberseguridad Industrial en Chile

El Centro de Ciberseguridad Industrial (CCI) es una organización independiente, sin ánimo de lucro, cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad Industrial, en un contexto en el que las organizaciones de sectores como el de fabricación o el energético juegan un papel crítico en la construcción de l a sociedad actual, como puntales del estado del bienestar. bienestar. El CCI afronta ese reto mediante el desarrollo de actividades de investigación y análisis, generación de opinión, elaboración y publicación de estudios y herramientas, e intercambio de información y conocimiento, sobre la influencia, tanto de las tecnologías, incluidos sus procesos y prácticas, como de los individuos, en lo relativo a los riesgos -y su gestión- derivados de la integración de los procesos e infraestructuras industriales en el Ciberespacio. CCI es, hoy, el ecosistema y el punto de encuentro de las entidades -privadas y públicas- y de los profesionales afectados, preocupados u ocupados de la Ciberseguridad Industrial; y es, asimismo, la referencia hispanohablante para el intercambio de experiencias y la dinamización de los sectores involucrados en este ámbito.

IISACA Santiago Chapter es el capítulo chileno de la asociación internacional ISACA que apoya y patrocina el desarrollo de

metodologías y certificaciones para la realización de actividades de Gobierno de las l as Tecnologías Tecnologías de Información, Auditoría, Riesgos, Controles y Seguridad de Sistemas de Información.

ISC2 Chapter Chile es una organización sin fines de lucro que tiene como misión liderar y avanzar en seguridad de la información

en la comunidad chilena, proporcionando a nuestros miembros y otros profesionales de la seguridad la oportunidad de compartir conocimientos, crecer profesionalmente, educar a los demás y colaborar en proyectos.

ISBN: 978-84-947727-1-9 Primera edición: octubre de 2017 Cualquier forma de reproducción, distribución, distribución, comunicación pública o transformación de esta obra queda rigurosamente prohibida y estará sometida a las sanciones establecidas por la ley. Solamente el autor (Centro de Ciberseguridad Industrial, www.CCI-es.org), www.CCI-es.org), puede autorizar la fotocopia o el escaneado de algún fragmento a las personas que estén interesadas en ello.

     

Maiquez, 18 · 28009 MADRID +34 910 910 751 [email protected] www.CCI-es.org blog.CCI-es.org @info_CCI

2


El Centro de Ciberseguridad Industrial (CCI) es una organización independiente, sin ánimo de lucro, cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad Industrial, en un contexto en el que las organizaciones de sectores como el de fabricación o el energético juegan un papel crítico en la construcción de l a sociedad actual, como puntales del estado del bienestar. bienestar. El CCI afronta ese reto mediante el desarrollo de actividades de investigación y análisis, generación de opinión, elaboración y publicación de estudios y herramientas, e intercambio de información y conocimiento, sobre la influencia, tanto de las tecnologías, incluidos sus procesos y prácticas, como de los individuos, en lo relativo a los riesgos -y su gestión- derivados de la integración de los procesos e infraestructuras industriales en el Ciberespacio. CCI es, hoy, el ecosistema y el punto de encuentro de las entidades -privadas y públicas- y de los profesionales afectados, preocupados u ocupados de la Ciberseguridad Industrial; y es, asimismo, la referencia hispanohablante para el intercambio de experiencias y la dinamización de los sectores involucrados en este ámbito.

IISACA Santiago Chapter es el capítulo chileno de la asociación internacional ISACA que apoya y patrocina el desarrollo de

metodologías y certificaciones para la realización de actividades de Gobierno de las l as Tecnologías Tecnologías de Información, Auditoría, Riesgos, Controles y Seguridad de Sistemas de Información.

ISC2 Chapter Chile es una organización sin fines de lucro que tiene como misión liderar y avanzar en seguridad de la información

en la comunidad chilena, proporcionando a nuestros miembros y otros profesionales de la seguridad la oportunidad de compartir conocimientos, crecer profesionalmente, educar a los demás y colaborar en proyectos.

ISBN: 978-84-947727-1-9 Primera edición: octubre de 2017 Cualquier forma de reproducción, distribución, distribución, comunicación pública o transformación de esta obra queda rigurosamente prohibida y estará sometida a las sanciones establecidas por la ley. Solamente el autor (Centro de Ciberseguridad Industrial, www.CCI-es.org), www.CCI-es.org), puede autorizar la fotocopia o el escaneado de algún fragmento a las personas que estén interesadas en ello.

     

Maiquez, 18 · 28009 MADRID +34 910 910 751 [email protected] www.CCI-es.org blog.CCI-es.org @info_CCI

2

Autores › › › › ›

Susana Asensio. Gabriel Bergel. Miguel García-Menéndez. Jesús Peña. José Valiente.

Patrocinadores del CCI Platinum

Gold

Silver

Bronze


Índice

›

i

›

i

›

i

6

›

2. DESCRIPCIÓN DEL ESTUDIO

9

›

3. EMPRESAS ANALIZADAS

11

›

4. ORGANIZACIÓN DE LA CIBERSEGURIDAD INDUSTRIAL RESPONSABILIDAD RESPECTO A LA CIBERSEGURIDAD INDUSTRIAL GRADO DE CAPACITACIÓN EN CIBERSEGURIDAD INDUSTRIAL ›

13 14 15

5. GESTIÓN DE LA CIBERSEGURIDAD INDUSTRIAL EVALUACIÓN DE RIESGOS GESTIÓN DE INCIDENCIAS DE SEGURIDAD PLANIFICACIÓN DE INICIATIVAS DE CIBERSEGURIDAD INDUSTRIAL

›

16 17 17 18

6. ASPECTOS TÉCNICOS DE LA CIBERSEGURIDAD INDUSTRIAL CONEXIONES DE REDES ACCESOS REMOTOS USO DE NORMAS Y PATRONES MEDIDAS DE CIBERSEGURIDAD INDUSTRIAL

›

19 20 20 21 22

7. MERCADO DE LA CIBERSEGURIDAD INDUSTRIAL PREVISIÓN DE NUEVAS ACTIVIDADES DE CIBERSEGURIDAD INDUSTRIAL REQUISITOS PARA NUEVOS PROYECTOS CONTRATACIÓN DE PROYECTOS DE CIBERSEGURIDAD INDUSTRIAL CERTIFICACIONES PROFESIONALES

›

24 25 26 26 27

8. CONCLUSIONES

28

›

9. GLOSARIO

30

›

›

› ›

› › ›

› › ›

Consejos

›

i i i i

1. PRÓLOGO

Al hacer clic sobre el logotipo

regresas al índice

Alt+flecha izquierda para volver a la vista anterior después de ir a un hipervínculo.

i i

5

PRÓLOGO


Como buena parte de los lectores de este estudio sobre el estado de la Ciberseguridad Industrial en Chile sabrán, el ciberespacio se está posicionado como una dimensión de la vida cotidiana de las personas, en torno al cual se registra uno de los mayores procesos de innovación tecnológica en la historia de la humanidad.

Una de las primeras de corto plazo propuesta consiste en la creación de un Grupo de Trabajo específico sobre Infraestructura Crítica que «establezca un marco normativo y de obligaciones para las infraestructuras críticas en Chile, desde un enfoque de gestión de riesgos» atendida la falta de desarrollo que enfrentamos en este ámbito.

Ya no sólo estamos hablamos de internet o de la tecnificación de los procesos productivos sino que nos referimos también al desarrollo de la computación cuántica, a las consecuencias del uso de herramientas de inteligencia artificial, a los desafíos éticos y legales de la utilización de sistemas letales autónomos, sin dejar de mencionar la robotización, la expansión de la internet de las cosas o la automatización de procesos críticos, todas tecnologías o desarrollos que nos brindan o que nos brindarán un cúmulo de facilidades para el desenvolvimiento de la vida moderna pero que también pueden exponernos a nuevos riesgos y amenazas.

De ahí que la Política Nacional de Ciberseguridad propone —dentro de su agenda de medidas de mediano y largo plazo— la identificación y jerarquización de las infraestructuras críticas de la información (ICI), mientras se adopta una política específica para infraestructuras críticas, considerando inicialmente a los siguientes sectores de la actividad nacional como críticos: energía, telecomunicaciones, agua, salud, servicios financieros, seguridad pública, transporte, administración pública, protección civil y defensa, entre otras.

Estos nuevos escenarios nos obligan a detenernos un minuto a reflexionar acerca de las medidas que deberemos adoptar para gestionar adecuadamente esos riesgos, tanto a nivel personal y organizacional como en el diseño y ejecución de políticas públicas que orienten y regulen a los diversos actores involucrados. En este sentido, a partir del año 2014, el gobierno de Chile inició el proceso de diseño de una política pública en materia de ciberseguridad, que orientara la acción del Estado, del gobierno, de las empresas y sus organizaciones gremiales, de la sociedad civil y los ciudadanos en estas importantísimas materias. Luego de más de tres años de trabajo, el 27 de abril de 2017, la Presidenta de la República aprobó la Política Nacional de Ciberseguridad1, que es el primer instrumento del Estado de Chile que tiene por objeto resguardar la seguridad de las personas y de sus derechos en el ciberespacio, estableciendo cinco objetivos estratégicos y un conjunto de medidas que se deben adoptar para contar con un ciberespacio libre, abierto, seguro y resiliente. La protección de las infraestructuras críticas es uno de los elementos centrales de la Política Nacional de Ciberseguridad, formando parte del objetivo estratégico Nº1 que nos compromete a contar «con una infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad, bajo una óptica de gestión de riesgos».

1

Disponible en www.ciberseguridad.gob.cl

La Política Nacional de Ciberseguridad contiene un esquema detallado de las áreas, funciones y entidades estatales responsables que servirán para identificar y delimitar el nivel de criticidad de cada sector y determina que serán los órganos técnicos de la administración del Estado los encargados de ejecutar las medidas específicas que deberán considerar «estándares especiales de ciberseguridad, atendido sus particulares niveles de madurez, para las ICI, especialmente respecto a sus procesos esenciales» .

Así, por ejemplo, el Banco Central y la Superintendencia de Bancos e Instituciones Financieras han comenzado a dictar algunas normas técnicas sobre ciberseguridad que deberá adoptar el sector financiero. Asimismo, la Política establece que se avanzará —en el mediano plazo— en la implementación de medidas que garanticen la continuidad de servicio mediante redundancia de instalaciones físicas de algunas ICI, especialmente en los sectores de telecomunicaciones, administración pública, protección civil y defensa. Todas estas medidas se proponen teniendo especialmente en consideración que Chile ostenta una de las mayores tasas de penetración de internet en América Latina, con más de un 70 por ciento de su población conectada, lo que permite que cada vez más y más ciudadanos puedan desenvolverse en este ambiente digital, aprovechando las ventajas de la mensajería instantánea, las amplitud de las redes sociales y la variedad de plataformas de comercio electrónico.

7


Sin embargo, este incremento en el uso aumenta también nuestra dependencia y vulnerabilidad frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar los estándares de seguridad informática del país, a encarar eficazmente los ciberdelitos, y a garantizar a la población el ejercicio de sus derechos en el ciberespacio.

También el estudio viene a confirmar la impresión que existe —transmitida de boca en boca— sobre la falta de profesionales especializados en estos asuntos, cuestión que está comenzando a ser enfrentada —quizás con demasiada demora— por las instituciones de educación superior del país, las que ya han comenzado a ofrecer algunos programas de postítulo en materia de ciberseguridad.

Una de las mayores dificultades que se experimentó en el proceso de diseño de la Política Nacional de Ciberseguridad, es la falta de información sobre el estado de la seguridad digital tanto en el sector público como privado, ya sea por el bajo nivel de madurez que tenemos en este ámbito como también por la resistencia de las organizaciones a develar sus debilidades.

Con todo, el presente estudio es una prueba más de que la adecuada gestión de riesgos en el ciberespacio en general y en la ciberseguridad industrial en particular, requiere del compromiso y la acción mancomunada del sector público, de los actores privados y de la sociedad civil organizada, de manera de prevenir, minimizar y sobreponerse a los incidentes de ciberseguridad, poniendo especial énfasis en aquellos que afectan a las infraestructuras críticas para el funcionamiento del país.

Por ello, felicitamos la realización de este estudio, que nos permite contar con información más específica en materia de ciberseguridad industrial en nuestro país, que seguro será de mucha utilidad para precisar y profundizar el diagnóstico del estado de la cuestión como en la implementación de las medidas o acciones necesarias para resolver aquellas debilidades que afectan al sector productivo de nuestro país. Asimismo, el estudio permite dar cuenta de un incipiente incremento en los niveles de madurez de la ciberseguridad industrial en nuestro país, si nos fijamos, por ejemplo, en el número de organizaciones que cuentan con alguna persona responsable del área.

De ahí que el desafío que enfrentamos es implementar aquellas medidas específicas de la Política Nacional de Ciberseguridad, donde la colaboración de todos los actores involucrados es imprescindible para que el país siga avanzando de manera segura y decidida hacia el desarrollo.

Daniel Álvarez Valenzuela Abogado especialista en ciberseguridad

8

DESCRIPCIÓN DEL ESTUDIO


El estudio se ha realizado de forma online . Fue enviado por e-mail, con un formulario adjunto, a gestores de empresas chilenas. Durante el tiempo en el que el formulario estuvo abierto, del 4/5/16 al 13/6/17, 34 empresas industriales lo diligenciaron íntegramente. Este documento presenta los resultados del estudio y proporciona una interpretación de los mismos basada en el conocimiento y experiencia de sus redactores y de los participantes en el proceso de revisión. Confiamos al criterio del lector la obtención de sus propias conclusiones. Ningún nombre de cliente, proyecto, información técnica o financiera será revelado en este estudio, que contiene únicamente datos cuantitativos consolidados y no representa ninguna amenaza para la confidencialidad de los datos de las organizaciones que han participado.

10

EMPRESAS ANALIZADAS


Las empresas analizadas abarcan los principales sectores de la economía chilena, destacando, en primer lugar, las del sistema financiero y tributario, seguidas de las del sector de las tecnologías de la información, y, en tercer lugar, las del sector eléctrico. No obstante, el estudio también ha incluido otros sectores como: las ingenierías, el sector transporte (aeropuertos, puertos, ferroviario, tráfico, etc), sanitario, aguas y residuos, farmacéutica, administración pública y fabricación, entre otros.

Sector de la organización a la que representa 12%

12%

9%

3% 27%

6% 3% 3% 3%

El hecho de que muchas de las empresas participantes sean importantes industrias se debe a que, actualmente, son las que tienen una mayor conciencia de la necesidad de implantar y mantener medidas de Ciberseguridad Industrial, y se ven directamente afectadas por algún requisito legal; además, son las que disponen de recursos humanos especializados que dan soporte a las diferentes plantas e instalaciones. Entre las organizaciones industriales no existe una manera definida de afrontar los desafíos que supone la Ciberseguridad Industrial. Uno de los principales causantes de esta actitud, es todavía la falta de referencias normativas y estándares reconocidos (la Política Nacional de Ciberseguridad recién se promulgo en abril de este año). De esto se deduce que el mercado, tanto las organizaciones industriales, los proveedores de servicios y los profesionales de la ciberseguridad y la automatización de procesos industriales, necesitan legislación y normativas que ayuden a afrontar los desafíos que supone la Ciberseguridad Industrial. También deberá avanzarse en metodologías que permitan el desarrollo de productos seguros desde el diseño y en la capacidad por parte de los clientes de verificar la seguridad de los componentes utilizados en sus redes y sistemas.

3% 21%

Eléctrico Sistema financiero y tributario Tecnologías de la información Sanitario Agua Industria Farmacéutica

Administración pública Transporte Fabricación Ingeniería Otro

Gráfico 1 – Sectores representados en el estudio.

La variedad de sectores representados en el estudio es producto de la heterogeneidad vigente en el ecosistema y de la transversalidad de la Ciberseguridad Industrial, cuyas implicaciones alcanzan a gran parte de los sectores de la industria. La presencia en el estudio de tantos sectores diferentes es muy interesante, ya que proporciona una amplitud de puntos de vista que incrementa la representatividad y el valor de los resultados obtenidos. Las empresas participantes son principalmente importantes industrias chilenas y parte esencial de las infraestructuras críticas del país.

Los departamentos de TI (Tecnologías de Información) y Seguridad de la Información, seguidos por los de Seguridad Física son sobre los que más habitualmente recae la responsabilidad en materia de Ciberseguridad Industrial. Con el fin de mejorar el conocimiento requerido para la gestión de la Ciberseguridad Industrial, será necesario fomentar el trabajo en equipo entre los departamentos de TI y TO (Tecnologías de Operación) de las organizaciones. La capacitación en CI es mayor en los departamentos de TI que en el resto de áreas. De aquí podría inferirse que el nexo de unión entre TI y TO, en lo que se refiere a ciberseguridad, es mucho más cercano a TI. Uno de los motivos para esto podría ser que tradicionalmente los aspectos de TI, incluida la ciberseguridad, no han sido relevantes para OT, sin embargo, hoy en día no se puede seguir manteniendo esa postura. Las áreas que más participan en las acciones de Ciberseguridad Industrial son las que tienen relación con algún tipo de seguridad (ciberseguridad o física) y las que son conscientes de los posibles impactos que los incidentes de ciberseguridad podrían tener sobre el negocio (operaciones, ingeniería).

12

ORGANIZACIÓN DE LA CIBERSEGURIDAD INDUSTRIAL

14


RESPONSABILIDAD RESPECTO A LA CIBERSEGURIDAD INDUSTRIAL ¿Quién(-es) tiene(-n) en su organización la responsabilidad de proteger, en materia de Ciberseguridad, los sistemas de automatización y control industrial?

Gran parte de las organizaciones encuestadas (55,2%) reconocen la tarea de proteger las redes industriales, desde un punto de vista cibernético, como una responsabilidad del área de seguridad de la información y/o seguridad lógica, lo que puede ser prueba de la mayor madurez de estas áreas en materia de ciberseguridad, frente a las áreas técnicas de operación industrial, u otras. En segundo lugar, en torno a un 34,5% de las respuestas obtenidas asignan dicha responsabilidad, a partes iguales, a las áreas de Tecnologías de la Información corporativa (TI) y al CISO-Oficial de Seguridad Informática. Un amplio 24,1% afirma que dicha responsabilidad se encuentra disgregada entre varias unidades organizativas, frente a un poco significante 3,4% en el cual la responsabilidad se encuentra concentrada en un único departamento de la entidad. Ha de tenerse en cuenta que la más que probable diferente estructura organizativa de las instituciones analizadas, puede determinar las diferentes atribuciones de responsabilidades para la Ciberseguridad Industrial observadas. Es notable, en todo caso, el hecho de que un 10,3% de las empresas encuestadas haya identificado al CISO-Responsable de Seguridad en los Sistemas de Automatización y Control Industrial como responsable de la materia. Sin que ello forme parte, de manera explícita, de la pregunta planteada, tal vez podría desprenderse de ese resultado que tal figura va incorporándose paulatinamente en la actualidad en las organizaciones que han participado en el estudio, primeros síntomas de madurez en la asignación de real de responsabilidades en esta materia.

¿Quién o quienes tienen en su organización la responsabilidad de proteger los sistemas que controlan procesos industriales? 55,2% 34,5%

34,5% 27,6%

17,2%

24,1%

13,8%

10,3%

6,9% a c i s í f d a d i r u g e S

l l ) a a r o t b n e a i l b o m g s a i e d i R e ( m E S y H

3,4% 0,0% a v i t a r o p r o c I T

s n s e ó i o s l a c e i a r c t z i o t r s u a p d m e i n o t d u A

s e n o i c a r e p O

a o a e a l / c d i c t l t e y i á i á d n a ó i r m c r m d c o fi o a a d f O f i r n - n m i i u r o d O d g f e a S I a i i d C d S n i r r u u g g e e s s

e L d l C S a i s c l fi o O n - e O d a S I d i C r u g e s

s d s a a a i r v d i t l a i i v b a i a n z n s e n a a o d g p a r s g o e r r e s e a g d l s a , i d s d i n á á t u m e s d e A

d a a v a n i t d i a l u i z i b n e a n s a a n d g r a o o r p t s n d e e a r c d i a n n l , o u s c a á á c t m s i n e e u d ç A

10,3% s o r t O

e t a d s i i n x fi e o e d N d a d i l i b a s n o p s e r

Gráfico 2 – Responsabilidad sobre la ciberprotección de los sistemas de automatización y control industrial.

¿Cómo participan las distintas áreas de la organización en los aspectos de ciberseguridad?

En concordancia con el grado de responsabilidad en la protección de los sistemas que controlan los procesos industriales, se observa como el área TI tiene la mayor participación e implicación, seguido de las áreas de T.O. (Tecnologías de Operación) y seguridad física, e ingeniería.

¿Cómo participan las distintas áreas de la organización en los aspectos de ciberseguridad? 100% 80% 60% 40% 20% 0%

I T e d s a e r á s a L

Se implica Participa

T O e d s a e r á s a L

H H R R e d s a e r á s a L

a c i s í F d a d i r u g e S e d s a e r á s a L

n ó i c a t a r t n o C e d s a e r á s a L

Valida No se implica

E S H o / y d a d i l a C e d s a e r á s a L

l a g e L e d s a e r á s a L

a í r e i n e g n I e d s a e r á s a L

s a r e i c n a n i F s a e r á s a L

Lo ignora No sé

Gráfico 3 – Participación de las áreas de la organización


¿Los responsables del negocio están sensibilizados con las normas y los riesgos de la Seguridad de las redes industriales?

Los datos muestran que la mitad de los gestores de las empresas estudiadas (50%) se encuentran sensibilizados en un nivel considerado normal, frente a las normas y riesgos en redes industriales. Un importante 27% de los gestores afirma estar muy poco sensibilizado frente a estos riesgos, y en casi similar número (23%) considera el nivel de sensibilización bastante significativo. Estas cifras pueden permitir mejoras importantes en lo que se refiere a las implicaciones de la dirección en la gestión de la continuidad y el buen funcionamiento de los procesos de negocio. De lo anteriormente descrito se puede concluir que el largo camino por recorrer en términos de esfuerzo de concienciación a nivel directivo está avanzando en Chile, en la dirección correcta..

¿Están los responsables del negocio sensibilizados con las regulaciones o los riesgos de ciberseguridad?

GRADO DE CAPACITACIÓN EN CIBERSEGURIDAD INDUSTRIAL ¿Cuál es el grado de capacitación de su organización en Ciberseguridad Industrial?

La capacitación de las empresas en materia de Ciberseguridad Industrial varía según los departamentos. Las empresas industriales chilenas invierten más en la capacitación de los departamentos que están directamente relacionados con la Seguridad de la información (T.I.) que en la capacitación de los responsables del mantenimiento de los procesos de negocio (T.O.). Existe así una inversión de valores, puesto que el núcleo del negocio de las empresas está basado en procesos productivos que son habilitados por los sistemas de automatización y control industrial.

¿Cuál es el grado de capacitación de su organización en Ciberseguridad Industrial? 100% 80% 60%

27%

23%

40% 20% 0%

50%

Bastante

Normal

Muy poco

I T e d s a e r á s a L

No sé

Gráfico 4 – Nivel de sensibilización de los responsables del negocio.

Es importante precisar que los esfuerzos por mejorar el control del riesgo en estos entornos deben ser orientados a educar en materia de Ciberseguridad Industrial no sólo a la sociedad en general, sino también a las direcciones de las empresas y así mismo, de una forma diferente a la de un ambiente de gestión, generalmente más enfocado a la confidencialidad de la información. La concienciación respecto a la Ciberseguridad Industrial debe focalizarse en el peligro que entraña la manipulación malintencionada de sistemas de control para la población. Únicamente así las medidas tomadas para asegurar estos entornos dejarán de ser vistas como una imposición de los departamentos interesados y serán vistas como una contribución a la seguridad global. Podemos observar en la gráfica anterior que queda mucho camino por recorrer en la sensibilización de los responsables de negocio.

Alto Normal

T O e d s a e r á s a L

H H R R e d s a e r á s a L

Bajo Ninguno

a c i s í F d a d i r u g e S e d s a e r á s a L

n ó i c a t a r t n o C e d s a e r á s a L

E S H o / y d a d i l a C e d s a e r á s a L

No sé

Gráfico 5 – Comparativa del nivel de capacitación de los equipos de TI y TA.

Un dato bastante notable es que gran número de los encuestados considera que sus empleados en las áreas de OT poseen un nivel bajo (31%) o normal (31%) de capacitación, y solo un 3% de los gestores considera que su equipo de automatización esté adecuadamente formado. Incluso un importante 21% considera que hay una falta total de capacitación en dicho equipo. Esto refleja perfectamente la carencia que existe en las industrias a la hora de elaborar y ejecutar planes anuales de formación y capacitación en Seguridad Cibernética Industrial para los equipos de T.O. con el mismo nivel de inversión que el que se realiza para el personal que gestiona las redes de tecnología de la información.

15

GESTIÓN DE LA CIBERSEGURIDAD INDUSTRIAL


EVALUACIÓN DE RIESGOS

GESTIÓN DE INCIDENCIAS DE SEGURIDAD

¿Su empresa ha realizado evaluaciones del nivel de riesgo de los sistemas de automatización y control?

En lo que respecta a la realización de evaluación de riesgos en redes industriales, el 27,6% de las empresas revela no haber efectuado ningún tipo de evaluación de riesgos, mientras que el 41,4% admite realizar periódicamente evaluaciones técnicas como análisis de vulnerabilidad y test de intrusión. Es significativo también el número de ellas que declara realizar evaluaciones organizativas, respecto a políticas y procedimientos, ascendiendo esta cifra al 48,3%. El resto de las empresas presenta porcentajes menores en otro tipo de evaluaciones, principalmente normativas: -por orden de incidencia- ISO 27005, ISA99 y otras, AS/NZS Australiana.

¿Cómo es el proceso de Gestión de Incidencias de Seguridad en las redes de automatización de su empresa?

El 24,1% de las empresas estudiadas afirma tener un proceso de Gestión de Incidencias de Ciberseguridad Industrial desarrollado y en aplicación. En el 6,9% de las empresas este proceso no existe, y el 17,2% actúa de forma reactiva cuando ocurren incidencias de Seguridad. Por otro lado, el 13,8% de las empresas estudiadas afirma estar definiendo este proceso.

¿Cómo es el proceso de gestión de incidentes de ciberseguridad en el ámbito industrial de su organización?

¿Se ha evaluado en su organización el nivel de riesgo de los sistemas de control y automatización?

10%

7%

0% 17%

60% 50%

24%

40% 30% 20% 10% 0%

14% a o n g u s e g i n r i l n e o d h n c ó e i h c s a l o u a m v e e h o N

n ) a ó r i t c a o u l u a I v C e P o L , d 9 a z i 9 l A a S I e ( r l a a h n o e i S c n u f

a ) n c i ó n i c s u é t r t n n i ó i e c d a t u s l e a v t , e n o ó d i c a a z t i l n a e e r m g a e h s e ( S

a ) v i s o t t a n z e i i n a m i g d r e o c n o ó i r c p , a s u a l c a t i v í l e o o p d ( a z i l a e r a h e S

5 0 0 7 2 O S I

T I R E G A M

a n a i l a r t s u A S Z N / S A

o r t O

é s o N

Gráfico 6 – Análisis de riesgos en sistemas de control y automatización industriales.

Los datos indican que casi un cuarto de las industrias no ha realizado ningún tipo de evaluación de riesgos, lo cual es tremendamente significativo, sobre todo por el tamaño y nivel crítico de las empresas que han respondido a este estudio. Es un número muy elevado, puesto que, sin estos análisis, las empresas ni siquiera conocen los riesgos a los que se enfrentan. Es importante que las evaluaciones de riesgo tengan en cuenta dimensiones de los activos de la red que excedan las meramente técnicas (más habituales) y analicen también el ambiente operativo de una forma global.

4% 24%

No existe ese proceso Se realiza de manera reactiva Se está definiendo el proceso Está definido, desarrollado y probado La gestión de incidentes es tercerizada a través de proveedores o terceros La gestión de incidentes es delegada a personal de TI, Mantenimiento o Soporte La gestión de incidentes es delegada por el personal de Operación No sé Gráfico 7 - Gestión de Incidencias de Seguridad Industrial.

17


Las organizaciones deben disponer de un enfoque formal, bien definido y coordinado para responder a los incidentes, incluyendo una hoja de ruta de capacidades de respuesta a incidentes. Cada organización necesita un plan que satisfaga sus necesidades específicas, que se contemple la misión, el tamaño, la estructura y funciones de la organización. Se deberá definir el intercambio de información de manera cooperativa con organismos públicos y privados, como los CERT y/o CSIRT. La respuesta ante incidentes, a menudo, es un esfuerzo compartido, en el que el equipo de respuesta a incidentes de la organización agrega información relacionada con, o derivada de, otros incidentes; y, al mismo tiempo, la comparte de forma eficaz con otras organizaciones.

¿Cómo se planifican habitualmente las iniciativas de Ciberseguridad Industrial en su organización? 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%

PLANIFICACIÓN DE INICIATIVAS DE CIBERSEGURIDAD INDUSTRIAL ¿Cómo se planifican habitualmente en su empresa las iniciativas de Ciberseguridad Industrial?

En relación a la planificación de las iniciativas de Ciberseguridad Industrial, es llamativo observar que ninguna empresa reconoce seguir recomendaciones de una consultora externa, y mientras que asciende al 26,9% los que afirman seguir recomendaciones de la operativa interna. Un importante 38,5% planifican, diseñan y ejecutan las iniciativas a lo largo del tiempo, y un 15,4% de las empresas industriales reconocen promover iniciativas bajo el motivo de la adecuación a directrices mínimas marcadas por legislación. Significativo es también el número de aquellas que solo actúan bajo reacción ante algún incidente (26,9%).

y o n p a m ñ e e i s t l i d e , n n a e c n a fi i t n u a c l e p j e e S

s n a ó i m i c a n l í s i m g e s l e a c l i r i r t c l e p r i d m u s c a a l r n a e p l p m u c e S

s a e n n r o e t i c n a i d a v n i e t a r m o e c p e o r a s l a l e n d e u g i s e S

y e a t h n o e i d d n c n a i u n c u o l ó s a ú t c a e S

e a d n r s e t e x n e o i a c r a o d t n l u e s n m o o c c e a r s n u a l n e u g i s e S

é s o N

Gráfico 8 – Planificación de iniciativas de Ciberseguridad Industrial.

El cumplimiento sólo de directrices mínimas de seguridad (cumplimiento mínimo de la normativa) puede estar relacionado con restricciones presupuestarias o con una falta de concienciación frente a la necesidad de adoptar otras medidas de protección adicionales. Algunas organizaciones evitan, incluso, poner en marcha las orientaciones básicas si éstas no han sido aprobadas -e implantadas- por los fabricantes de los sistemas de control, atribuyendo a éstos la responsabilidad de tales medidas. Por otro lado, la única aplicación de acciones de ciberseguridad, como medida reactiva frente a incidentes reconocidos, es poco eficiente en la protección global de los sistemas de automatización. Por todo ello, se haría oportuna la creación de un marco legal -en cuya definición habrán de participar expertos en la materia- que obligue a los fabricantes a incorporar en sus soluciones las medidas mínimas de Ciberseguridad Industrial; impidiendo que la misma sea objeto de la decisión arbitraria, y voluntaria, de los operadores de infraestructuras industriales y críticas.

18

ASPECTOS TÉCNICOS DE LA CIBERSEGURIDAD INDUSTRIAL


CONEXIONES DE REDES

ACCESOS REMOTOS

¿Las redes de automatización de su empresa están segmentadas y protegidas?

¿Su red industrial posee dispositivos conectados a Internet, independientemente de los mecanismos de protección aplicados?

Más de la cuarta parte (34,5%) de las empresas industriales estudiadas afirman que existe una separación total entre sus redes, la corporativa y la industrial.

La mayoría de las empresas estudiadas (65,5%) afirma tener dispositivos que están conectados a Internet de forma permanente o temporal, mientras que un porcentaje menor (31%) afirma que su red industrial no posee dispositivos conectados a Internet.

¿Están segmentadas y protegidas las redes en la organización? 50% 45% 40% 35%

¿Tiene su red industrial o alguno de los dispositivos o sistemas albergados en ella conexión a internet (independientemente de los mecanismos de protección aplicados)?

30%

3%

25% 20%

38%

31%

15% 10% 5% 0% y a l d c e i a t t r á a o l t m e á fi t d o s a / e d l a v i a a t l i r t s i a r s a o u e r p d t o n n c i e d m e r a c a i s L í f

l n o a u d i r a t r s r t l u o fi d p s n i a e d e d t o a a v n i v e t i t i s a o r m o g p s e p r s i o n d c á d t s e r e a L

e s e a t a n v d e i t a t a c m r a o e n t c p e r o r o c i c n d á d t e s r e a l L a i r t s u d n i

s n o ó t i n c i a t t s n i d e e m n g e e i t s l e a i d r t s s e u l d e v n i i d n e r a L

é s o N

Gráfico 9 – Segmentación y protección de redes de automatización.

Un porcentaje significativo de las empresas que reconocen una conexión entre la red corporativa y la de automatización disponen de un firewall entre estas redes (44,8%). Sin embargo, existe un muy preocupante 13,8% de empresas que mantiene sus redes directamente conectadas, lo que representa un enorme riesgo de incidencias de Seguridad.

28%

Si, permanentemente conectado a internet Si, solo conexión temporal por petición No No sé Gráfico 10 – Dispositivos de redes de automatización conectados a Internet.

La existencia de conexiones a Internet desde la red industrial, especialmente cuando éstas son permanentes, genera uno de los principales riesgos a las organizaciones industriales. La existencia de sistemas de operación accesibles desde Internet, combinada con la escasa seguridad incorporada en estos dispositivos (puertas traseras, configuraciones por defecto, vulnerabilidades conocidas), y la criticidad de muchos de los procesos controlados por estos dispositivos, hace que el riesgo sea muy elevado. Es evidente que las conexiones a Internet de estos sistemas deberían ser adecuadamente controlado y gestionado.

20


¿Su red industrial posee accesos remotos?

En caso afirmativo en la pregunta anterior, ¿por qué motivo?

La gran mayoría de las empresas industriales estudiadas afirma que dispone de accesos remotos (75,8%). De todas ellas, el 24,1% tiene el acceso remoto permanentemente disponible para la conexión, mientras que en el 51,7% de estas empresas, los dispositivos de comunicación se conectan a demanda.

Los motivos para el establecimiento de accesos remotos a los sistemas de control industriales de las empresas estudiadas son principalmente el soporte y el mantenimiento remoto de los mismos, bien a nivel del personal de empresa, o por terceras partes (73,7%).

¿Tiene su red industrial accesos remotos? 3% 21%

¿Cuál es el motivo para tener accesos remotos a la red industrial? 80%

24%

70% 60% 50% 40% 30% 20% 10% 0%

52%

Si, permanentes Si, solo conexión temporal por petición No No sé

o s t t n e e r i a p m i n s a e t r n e a c r e m t y r o e t r p o p o S

a t o m e r n ó i t s e G

n s o o c t o n m ó i e c r a r s g a e m t e n I t s i s

s o r t O

Gráfico 12 – Motivos para la utilización del acceso remoto.

Gráfico 11 – Acceso remoto.

USO DE NORMAS Y PATRONES ¿Qué normas se utilizan en el ámbito de la Ciberseguridad Industrial de su empresa?

La mayor parte de las empresas utilizan normas para el establecimiento de la Ciberseguridad Industrial de la empresa. La familia ISO 27001 lidera las preferencias de los entrevistados (57,7%). Llama la atención el hecho de que hay industrias que no utilizan ninguna norma para implementar la Ciberseguridad Industrial (23,1%), e incluso que existen industrias que utilizan únicamente la familia ISO 27000 para implementar la Seguridad en redes de automatización, lo que puede llevar a graves errores de implementación por las particularidades operativas de las redes en tiempo real en comparación con las redes de tecnología de la información.

21


¿Están utilizando normas y estándares en el ámbito industrial?

¿Qué medidas tiene implantadas la organización en el ámbito industrial?

70% 0% 10% 20% 30% 40% 50% 60% 70%

60% 50%

Firewalls convencionales

40% Firewalls industriales

30% 20%

Gateways unidireccionales

10% 0%

o N

s s o l e t a a d n o e s d r e n p ó i c c e t o r p e d s e y e L

e s d a c i n t ó r i í c c c s e a t r o r u p t c e u r d t y s e e a L r f n i

9 9 A S I a i l i m a F

P I C C R E N

2 8 0 0 8 T S I N

3 5 0 0 8 T S I N

1 0 0 7 2 O S I

9 9 9 5 2 S B / 1 0 3 2 2 O S I

e d d a l i d e r v u i n g a e s 9 r e 1 i b 0 c 7 2 O S I

o r t O

IDS/IPS Backup/ Copias de seguridad SIEM (Gestión de eventos e información de ciberseguridad) Correlación de eventos Comunicaciones cifradas

Gráfico 13 – Normas utilizadas en la Seguridad Cibernética Industrial Control de aplicaciones industriales

De las normas específicas para la Ciberseguridad Industrial, aparecen las reglamentaciones sectoriales, como NERC CIP enfocada a la protección de infraestructuras críticas de sistemas de energía eléctrica, aspecto muy lógico por la participación elevada de este sector, seguida de las recomendaciones propuestas para controles de Seguridad en ISA-99 (IEC 62443), ISO 27019 a nivel de ciberseguridad y NIST SP 800-53 y 800-82. También encuentran fuerte cabida en el gráfico la aplicación de la Ley de Protección de Datos Personales (26,9%), y la Ley de Protección de Infraestructuras Críticas (23,1%).

MEDIDAS DE CIBERSEGURIDAD INDUSTRIAL

Antivirus Whitelisting Auditorías de seguridad internas Auditorías de seguridad externas Acuerdos de nivel de servicio en Ciberseguridad Políticas y Procedimientos Documentales Arquitectura de red documentada Gestión de Respuesta a Incidentes Gestión de Recuperación ante desastres Gestión de Continuidad de negocio Gestión de seguridad en la cadena de suministro

¿Qué medidas de Seguridad industrial ya ha implantado su empresa?

Casi todas las empresas estudiadas afirman tener implantado algún tipo de medida de Ciberseguridad Industrial. De las medidas técnicas, las más habituales son los firewalls convencionales, los antivirus, y soluciones automatizadas de respaldo: backups o copias de seguridad, todas ellas con un índice de incidencia de un 65,4%. Siguen de cerca (61,5%) el mantener la arquitectura de red documentada, y los IDS/IPS y políticas y procedimiento (ambas con un 57,7%).

Gestión de identidades Ciberseguridad Gestionada Ninguna de las anteriores

Gráfico 14 – Medidas de Seguridad Cibernética Industrial utilizadas.

22


Conforme a lo esperado, las medidas de Seguridad corporativa más maduras y establecidas son también las más utilizadas en ambientes industriales ( firewalls convencionales, antivirus, backups ). Por otro lado, tampoco es una sorpresa que las medidas específicas de Ciberseguridad Industrial ( gateways unidireccionales, ) whitelisting o control de aplicaciones industriales todavía tengan un uso menor, posiblemente porque su implementación depende de departamentos de TI con poca experiencia en el mundo industrial. Sin embargo, se espera un incremento en el uso de tecnologías específicas, paralelo al aumento de la cultura y la concienciación de los usuarios finales y de las empresas, que los llevará a comprender que las soluciones de Seguridad clásicas para ámbitos de TI no son completamente válidas para ámbitos de control industrial.

23

MERCADO DE LA CIBERSEGURIDAD INDUSTRIAL


PREVISIÓN DE NUEVAS ACTIVIDADES DE CIBERSEGURIDAD INDUSTRIAL ¿Tienen previsto iniciar nuevas actividades en el ámbito de la Ciberseguridad Industrial?

Casi un determinante 88,4% de las empresas estudiadas prevé iniciar actividades de Ciberseguridad Industrial, y más de la mitad de ellas (53,8%) lo hará en los próximos 6 meses. Solamente el 11,5% de las empresas estudiadas todavía no contempla las acciones de Ciberseguridad Industrial en sus presupuestos.

¿Tiene previsto iniciar nuevas actividades en el ámbito de la Ciberseguridad Industrial?

ellos. Los profesionales tienen la oportunidad de diversificar o reconvertir sus carreras profesionales, y para ello necesitarán entrenamiento y formación, lo que contribuirá también al desarrollo del mercado educativo específico para el sector.

¿Cuáles son las motivaciones para la ejecución de proyectos y la implantación de soluciones de Ciberseguridad Industrial?

¿Cuáles son las motivaciones para la ejecución de proyectos e implantación de soluciones de ciberseguridad en el ámbito industrial? 70% 60% 50%

12%

40% 30% 20% 10%

19%

0% 54%

15%

Sí, en los próximos 6 meses Sí, en el próximo año Sí, sin una fecha determinada No existe presupuesto destinado a ciberseguridad industrial en los próximos años Gráfico 15 – Previsión de nuevas actividades en Ciberseguridad Industrial.

La existencia de actividades planificadas para los próximos meses implica la existencia de presupuestos destinados a actividades de Ciberseguridad Industrial y, por lo tanto, una demanda para los proveedores de servicios y productos que verán en esas actividades una forma de expandir su oferta y diversificar sus servicios. Será únicamente cuestión de tiempo la aparición de nuevos servicios innovadores que ayudarán a estimular el mercado. Esta dinámica no sólo alcanzará a los grupos directamente involucrados (proveedores y usuarios finales), sino que afecta también a los profesionales del sector, al crearse una demanda para

a u n i t n o c a r o j e m e d o s e c o r P

a o í r n r o t e i d t n u i a l o a r n t u n o e c d o r d i t r a d a i p r a u g a e i c s n e e d g i x E

s s e r e r o o t l d u e s e n v o o c r p e o d s e n o i c a d n e m o c e R

s e t n e i l c o o d a c r e m e d a i c n e g i x E

n ó i c c e r i D e d e t r a p r o p a i c n e g i x E

e d d a s d i r e t u n e g e d i s c n i a a t s e u p s e R

s a r t O

Gráfico 16 – Motivación para la ejecución de Proyectos de Ciberseguridad Industrial.

La principal motivación, mejora continua (61,5%), es coherente con el escenario actual, en el que las amenazas a los procesos industriales están cambiando debido a la introducción de componentes tecnológicos (principalmente tecnología de la información), que incorporan un riesgo para el cuál las industrias no están preparadas. Es significativa la mucho menor presencia de otros factores importantes en este contexto, como las exigencias por parte de Dirección, las auditorías internas, las recomendaciones de consultores o proveedores, y son las necesidades del mercado, y la explicación para ello es, sin duda, la escasa madurez de este tema, que impide al mercado reconocer la demanda y necesidad de implantar soluciones específicas de Ciberseguridad Industrial. Posiblemente, la incipiente identificación de incidentes ayude a que esto se perciba como uno de los principales motivos para la ejecución de proyectos e implantación de soluciones.

25


En su opinión, ¿cuál es la tendencia de las inversiones financieras de su empresa en Ciberseguridad Industrial para los próximos años?

La inmensa mayoría de las empresas estudiadas (80,8%) consideran que la inversión en Ciberseguridad Industrial se incrementará, mientras que unánimemente, nadie ha considerado que disminuirá.

¿Se incluyen requisitos de ciberseguridad industrial en los proyectos nuevos o recientes? 100% 80% 60% 40% 20% 0% o ñ e s i D l e n e s o t i s i u q e R

En su opinión ¿Cuál será la evolución de cara al futuro en inversión de recursos humanos y presupuesto en Ciberseguridad Industrial? 19%

No sé

a n l ó n i e c a s t n o t e i s m i e u l q p e m R i

a N r u t A c L e t d e i u r a q l r a n e e d s o t i s i u q e R

Nunca

n ó i c a r e p o a l n e s o t i s i u q e R

Básicos

a N r u t A c W e d t e i u r q e r a d e d s o t i s i u q e R

a n r ó i a p c s a m o t i r o s f i n u i q e r R e g e t o r p

Completos

Gráfico 18 –Requisitos de Ciberseguridad Industrial en nuevos Proyectos. 81%

Se incrementará Se mantendrá Disminuirá Gráfico 17 – Tendencia de las inversiones en Ciberseguridad Industrial.

REQUISITOS PARA NUEVOS PROYECTOS ¿Se incluyen requisitos de Ciberseguridad Industrial en los nuevos Proyectos de la empresa?

La mayoría de las empresas industriales estudiadas contemplan requisitos completos o básicos de Ciberseguridad Industrial en todos los aspectos de sus nuevos proyectos. Sin embargo, todavía es muy preocupante que el 28% de las empresas no considere requisitos de ciberseguridad en sus nuevos proyectos. Creemos que este escenario irá cambiando a medida que aumente la concienciación de los equipos de automatización frente a la Ciberseguridad Industrial.

CONTRATACIÓN DE PROYECTOS DE CIBERSEGURIDAD INDUSTRIAL En su empresa, ¿quién toma la decisión sobre contratación de proyectos de Seguridad Cibernética para las redes de automatización?

La mayoría parte de las decisiones sobre contratación de Ciberseguridad Industrial la realiza el área de T.I. (46,2%) sobre quien parece que recae está responsabilidad en buena parte de los casos, mientras que, desde los ámbitos de negocio de la organización, y seguridad de la información, asciende la toma de decisiones de Ciberseguridad Industrial al 30,8% en ambos casos.

¿Quién toma en la organización las decisiones de contratación de los proyectos de ciberseguridad? 50% 40% 30% 20% 10% 0%

e a c d i s a í f e r d á a l d E i r u g e s

e a n e n s o d l ó ó i d i s a e a c e d c e e r d a r a z c i m á a r á t o l d o l a r p f E m E i r e n u i o t d g u e a s

e e n d d ó i a s c a a e í r g á o m l l r o f E o n n i c e t

o i c o g e n l E

a e e t r r á a p a u d s a C

s a e r á s a r t O

é s o N

Gráfico 19 – Decisiones de contratación.

26


CERTIFICACIONES PROFESIONALES ¿Cuáles son los proveedores de Ciberseguridad para redes de automatización de su empresa?

En cuanto al tipo de empresa proveedora de Ciberseguridad para empresas industriales, el estudio muestra que existe cierta inclinación por las empresas consultoras especializadas en ciberseguridad (65,4%), aunque también tienen amplia cabida entre los agentes identificados el propio equipo interno (26,9%) y los fabricantes de ciberseguridad (23,1%).

¿Cómo valora usted las certificaciones profesionales del equipo de proveedores a la hora de contratar servicios de Ciberseguridad Industrial?

Mayoritariamente la existencia de certificaciones profesionales entre el personal de los proveedores de servicios de Ciberseguridad Industrial recibe una valoración muy positiva (42,3%) o positiva (53,8%). Únicamente el 3,8% de las empresas no valora las referidas certificaciones. A juicio de CCI las certificaciones profesionales que están ampliamente reconocidas dentro del sector tecnológico constituyen un aval, siquiera mínimo, de los conocimientos, experiencia y preocupación por la continua puesta al día de quien las ostenta, lo que las convierte en un criterio de valor a tener en cuenta en todo proceso de selección de personal y proveedores que presten servicios de Ciberseguridad Industrial.

¿Quiénes son los proveedores de ciberseguridad en su organización? 70% 60% 50% 40% 30% 20% 10% 0%

s e l a i r t s u d n i s e t n a c i r b a f s o L

s s d e t a a l d a i s i i r l r t a u s i g u c e e d p r n s s i e s e b i e t n c n o n a c e c s i r a z b n a f a i s l o a L n o c

s s s e o o r i s r o p d o r u a r p c e g s r e t u n i s n o o s c a s í r l e e a i n i r e t g s n i u d n s i a L

s n d a a z e d i n s r a t u i a l s g i e a l a s n i r o c e c e b p i s s a e c í r e i n n o e c g n i s a L

s d a a t d s i r l i a u i c g e e p s r s e e b i s c a n r o t e l u s n o c s a L

e d d a d s i r e t n u g a e c s i r r e b b a i f c s o L

e t n e m a n r e t n i a n o i c r o p o r p e S

¿Cómo valora las certificaciones profesionales del equipo del proveedor a la hora de contratar servicios en este ámbito? 4%

42%

Gráfico 20 – Proveedores de Seguridad Cibernética Industrial.

54%

Las considero un requisito fundamental Las valoro positivamente Creo que no sirven para nada Gráfico 21 – Valoración de la importancia de las certificaciones.

27

CONCLUSIONES


›

›

›

›

›

›

Es importante destacar la aparición en algunas organizaciones chilenas de la figura del responsable de ciberseguridad industrial, siendo un claro síntoma de madurez. La mayor participación de empresas del sector financiero y bancario, y de tecnologías de la información, en el presente estudio permite concluir su mayor nivel de sensibilización frente a estas cuestiones, pero el resto de sectores ha experimentado también un aumento de la conciencia en ciberseguridad. De lo anterior, se desprende, igualmente, que la paulatina incorporación de la Ciberseguridad Industrial en las organizaciones se ve favorecida cuando existen normativas y regulación. Es muy destacable también que el largo camino por recorrer en términos de esfuerzo de concienciación a nivel directivo está avanzando en Chile en la dirección correcta, como así se demuestra en este estudio. Es preocupante que casi un cuarto de las industrias del estudio no haya realizado ningún tipo de evaluación de riesgos, sobre todo por el tamaño y nivel crítico de las empresas que han respondido a este estudio. Destacan en el estudio los aportes de aquellos sectores con mayor madurez en la adopción de nuevas tecnologías. Experiencia que les facilitará su proceso natural de acercamiento a la Industria 4.0 y junto a ello, una aproximación menos tímida a la Ciberseguridad Industrial. El mercado, las empresas y los proveedores de servicios en el ámbito industrial precisan de profesionales especializados en la ciberprotección de los entornos de producción industrial. Los esfuerzos en capacitación en ciberseguridad, en el conjunto de las empresas chilenas estudiadas, siguen dedicándose, principalmente, a los departamentos de TI, en perjuicio del resto de áreas de la empresa.

›

›

›

Eso es motivo, de que las tecnologías de ciberseguridad más utilizadas en las redes de control de procesos sigan siendo las de uso habitual en las redes corporativas; aun cuando tales soluciones no sean siempre las óptimas para el entorno industrial. Por ello, se recomienda la adopción de medidas más específicas para dicho entorno, tales como la elaboración de listas blancas de aplicaciones (whitelisting, en inglés), cortafuegos industriales, las pasarelas (nos referimos a swiths o gateways?) unidireccionales o los sistemas de prevención y detección de intrusiones (IDPS) con características específicas para reconocer protocolos industriales, entre otras. Según el estudio se aprecian reticencias a la hora de reconocer y notificar los impactos derivados de ciberincidentes ocurridos en las plantas industriales; a diferencias de lo que ocurre en otros países en los cuales se dispone, incluso, de bases de datos específicas, y compartidas, al menos sectorialmente, con información de incidentes de Ciberseguridad Industrial. Finalmente, cabe subrayar que muchas organizaciones chilenas de todos los sectores de la industria tienen previsto abordar, a lo largo del presente año, iniciativas de Ciberseguridad Industrial, lo que implicará un aumento de los presupuestos destinados a esta materia. Este paradigma se ve impulsado por la reciente promulgación de la política nacional de Ciberseguridad donde uno de los objetivos principales es identificar y proteger la infraestructura critica del país.

29

GLOSARIO


›

Ciberseguridad Industrial

›

IDPS

›

IEC

›

ISA

›

ISO

›

NIST

›

SIEM

›

T.O.

›

T.I.

Conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías Intrusion Detection and Prevention Systems. International Electrotechnical Commission. The International Society of Automation. International Organization for Standardization. National Institute of Standards and Technology. Security information and event management. Tecnología de Operación (Automatización Industrial). Tecnología de la Información.

31

Ciberseguridad Industrial en Chile_2017

Recommend Documents