La recuperación comienza con una mejor gestión del cambio

Antes y después de un ciberataque, las sólidas técnicas de gestión de cambios pueden garantizar el tiempo de actividad y la resiliencia de la producción. Esta característica apareció originalmente en AUTOMATION 2022 Volumen 4: Ciberseguridad y conectividad.

Los riesgos cibernéticos están en aumento. Hace mucho tiempo, las operaciones industriales y de fabricación se despojaron de su creencia de que eran invulnerables porque sus sistemas estaban demasiado aislados o eran demasiado oscuros para ser atacados. Las organizaciones ahora buscan comprender el impacto y la probabilidad de sus riesgos de ciberseguridad y luego buscan reducir esos riesgos. Pero mitigar el riesgo es solo la primera parte de la planificación integral de la seguridad cibernética. Para permitir operaciones continuas y limitar el impacto comercial cuando ocurre un ataque cibernético, las organizaciones necesitan tácticas adicionales. Estos pueden incluir la contratación estratégica de talento en ciberseguridad o el uso de nuevos métodos para identificar, combatir y recuperarse de los ataques. Dados los sistemas cada vez más interconectados y actualizados con frecuencia, la gestión robusta del sistema de software es una herramienta particularmente útil.

Las mejoras en los planes de mitigación y gestión de riesgos cibernéticos de la tecnología operativa (OT) de una planta deben realizarse junto con el aumento de los ataques, que aumentaron un 144 % desde 2020, según Industrial Safety & Security Source (ISSSource). Datos del informe Incidentes de seguridad OT de la compañía en 2021: Tendencias y análisis, que analiza datos de su base de datos ICSSTRIVE.com, dice que "el año 2021 vio la cantidad de ataques cibernéticos con consecuencias físicas en procesos y industrias de fabricación discreta más del doble los informados en 2020... Casi todos estos incidentes fueron el resultado de ransomware dirigido. Casi todos estos ataques afectaron a múltiples sitios físicos". , y que las estimaciones publicadas citan hasta $140 millones en daños por evento. Los tipos de instalaciones sujetas a estos ataques cubren los espectros de la industria (Figura 1).

La automatización se puede utilizar para contrarrestar más ataques sofisticados que llegan a las organizaciones, dijo McKinsey. "La automatización debe centrarse en las capacidades defensivas, como las contramedidas del centro de operaciones de seguridad (SOC) y las actividades que requieren mucha mano de obra, como la gestión de identidades y accesos (IAM) y los informes. La IA y el aprendizaje automático deben usarse para mantenerse al tanto de los patrones de ataque cambiantes. Finalmente, el desarrollo de respuestas técnicas automatizadas y organizativas automáticas a las amenazas de ransomware ayuda a mitigar el riesgo en caso de un ataque". A medida que se acelera el nivel de digitalización, las organizaciones pueden usar la automatización para manejar procesos rutinarios y de menor riesgo, liberando recursos para procesos de mayor nivel. actividades de valor, aconseja McKinsey. Las decisiones de automatización deben basarse en evaluaciones de riesgo y segmentación para garantizar que no se creen vulnerabilidades adicionales. Por ejemplo, las organizaciones pueden aplicar actualizaciones de software, configuración y parches automatizados a activos de bajo riesgo, pero usar una supervisión más directa para los de mayor riesgo. A medida que aumentan los ataques de ransomware, las organizaciones deben responder con cambios técnicos y operativos, agrega McKinsey. "Los cambios técnicos incluyen el uso de repositorios e infraestructura de datos resilientes, respuestas automatizadas al cifrado malicioso y autenticación multifactorial avanzada para limitar el impacto potencial de un ataque, así como abordar continuamente la higiene cibernética. Los cambios organizacionales incluyen la realización de ejercicios de simulación, el desarrollo detallado y libros de jugadas multidimensionales y prepararse para todas las opciones y contingencias, incluidas las decisiones de respuesta ejecutiva, para que la respuesta empresarial sea automática", afirma el informe.

Independientemente de su sector, tamaño o conjunto de tareas, los entornos de producción industrial requieren configuraciones complejas de tecnología de la información (TI) diseñadas para manejar sistemas integrados y grandes volúmenes de datos. Si bien los departamentos de OT y TI utilizan la digitalización para mejorar la productividad y otros resultados comerciales, a veces los dos mundos requieren traducción y trabajo en equipo para que se puedan lograr sus diferentes métodos y mejores prácticas. Por ejemplo, aunque se ha convertido en una práctica estándar para los departamentos de TI programar copias de seguridad de rutina y administrar el almacenamiento de datos, el personal de OT ha tardado en adoptar tales soluciones de gestión de sistemas de software y de higiene de datos. es primordial para mantener la producción en funcionamiento, ya sea que el personal de OT o de TI tenga la tarea de administrar el sistema. Con las herramientas de gestión de cambios y control de versiones, los operadores pueden tener acceso al software más reciente y saber cuándo los cambios requieren una acción adicional. Las soluciones de software avanzadas pueden resumir la totalidad de un entorno de producción automatizado y analizar dispositivos en el taller. Debido a que pueden detectar diferencias en la configuración de programación y las versiones de firmware, incluso para sensores idénticos, estos sistemas facilitan el aislamiento de errores. La gestión de cambios es un proceso estructurado para planificar e implementar nuevas formas de operar. Según un artículo de la edición de abril de 2022 de InTech, la publicación oficial de ISA, Sociedad Internacional de Automatización, "Un proceso de documentación automatizado basado en estándares ahorra tiempo y costos al mismo tiempo que aumenta la calidad. Con procesos y flujos de trabajo basados ​​en estándares viene la garantía de seguir las mejores prácticas de la industria durante la definición, diseño, desarrollo, integración, documentación y soporte de proyectos de automatización. Esto asegura la ejecución de proyectos con precisión y estandarización. "La gestión exitosa del cambio se basa en cuatro principios fundamentales:

Eso es solo el comienzo. Si varias personas realizan cambios en el código centrado en OT, existe la posibilidad de que un grupo no sepa lo que está haciendo otro grupo. Si se realizan cambios que afectan el funcionamiento y/o la seguridad cibernética de una instalación de fabricación, deben realizarse por una razón válida. Debe haber una justificación documentada para el cambio. Si existe un sistema sólido de gestión de cambios, ese sistema debe rastrear y detectar cualquier desviación de lo que se espera en los procedimientos o el código. El historial de actividad del sistema revelará quién cambió qué, dónde, cuándo y por qué. Una buena gestión de cambios no es una propuesta única, ni se ejecuta mejor mediante una verificación puntual. Una buena gestión del cambio debe estar en su lugar continuamente, en tiempo real. Ya sea que los cambios no autorizados provengan de la falta de comunicación de los empleados, usuarios del sistema OT no autorizados o malversación cibernética real, la gestión de cambios que se realiza correctamente es el mejor seguro de una empresa contra el tiempo de inactividad y el recurso para la recuperación.

Las herramientas de control de versiones y gestión de cambios de software pueden ayudar a las organizaciones en todas las etapas de la actividad de ciberseguridad, desde la detección de vulnerabilidades hasta la recuperación de un ataque. Se pueden usar para garantizar que los datos estén actualizados y correspondan a la última iteración. Pueden revelar anomalías de datos y, por lo tanto, vulnerabilidades y exposiciones. Un sistema de gestión de cambios de última generación puede gestionar programas de software y datos de ajustes de configuración de forma estandarizada, de modo que el historial de cambios pueda revelar quién cambió qué, dónde, cuándo y por qué. Dichas herramientas pueden ayudar al usuario a administrar protocolos inseguros, configuraciones incorrectas y otros puntos de seguridad vulnerables, así como proporcionar una evaluación automática de vulnerabilidades, activos afectados y todo el sistema de control industrial. A través de la funcionalidad de detección de amenazas, la herramienta puede descubrir, proteger y administrar automáticamente los activos críticos de un sistema de control industrial y proporcionar a los usuarios informes de riesgo y vulnerabilidad. Cuando un sistema de producción falla por cualquier motivo, el personal de mantenimiento puede tardar un promedio de tres o cuatro horas en realizar un seguimiento de los cambios utilizando un enfoque manual para la gestión de versiones de software. Las copias de seguridad automáticas reducen el tiempo de inactividad y facilitan la recuperación rápida. Las copias de seguridad permiten a los usuarios restaurar la última versión autorizada o una anterior si esa era la que se estaba ejecutando antes de que ocurriera el mal funcionamiento. desde la detección hasta la copia de seguridad y la recuperación se puede automatizar. El sistema debe permitir que las direcciones IP de los activos y dispositivos se escaneen y agreguen al sistema, incluso si están ubicados por debajo del nivel del controlador lógico programable (PLC). La información recopilada debe incluir la marca del dispositivo, el fabricante, la versión del firmware y la ubicación física del dispositivo en el rack. Cuando los usuarios ejecutan una copia de seguridad automática, también debería ser posible enviar esta información a un componente de análisis de amenazas, que puede verificar la web para ver si hay vulnerabilidades en los componentes de software o versiones de firmware. También es útil si el análisis de amenazas puede identificar patrones de tráfico inusuales, malware o acceso externo no aprobado a la red.

Un ejemplo de un sistema de gestión de cambios de última generación es octoplant de AUVESY-MDT. octoplant es una nueva plataforma de gestión de datos que proporciona una visión completa e independiente del proveedor de todos los procesos de copia de seguridad de automatización que involucran OT y TI. Esta plataforma de gestión de cambios consta de ocho conjuntos de soluciones adaptadas a las necesidades industriales específicas (Figura 2).

Los ataques cibernéticos van en aumento, por lo que se deben realizar mejoras en la gestión del riesgo cibernético y los planes de mitigación ahora. Con sistemas cada vez más interconectados y cantidades de datos en crecimiento exponencial, las operaciones industriales deben implementar sistemas que les permitan detectar vulnerabilidades y responder cuando se produce una infracción. Las sólidas herramientas de gestión de cambios en el sistema de datos y software pueden ayudar a garantizar que las empresas sigan funcionando durante las operaciones normales y respondan rápidamente cuando ocurra lo peor y eviten el tiempo de inactividad de la producción durante las operaciones normales y garanticen una recuperación resiliente cuando ocurra lo peor. Esta función apareció originalmente en el volumen AUTOMATION 2022 4: Ciberseguridad y Conectividad.

Jack Smith ([email protected]) es editor colaborador de Automation.com y la revista InTech de ISA. Pasó más de 20 años trabajando en la industria, desde generación de energía eléctrica hasta instrumentación y control, automatización y desde comunicaciones electrónicas hasta computadoras, y ha sido periodista especializado durante 22 años.

Consulte nuestros boletines electrónicos gratuitos para leer más artículos excelentes.