Protección de la fábrica conectada: por qué la visibilidad y la segmentación son imprescindibles

En Cisco y Rockwell Automation, nuestro objetivo no es solo utilizar Converged Plantwide Ethernet (CPwE) para conectar los equipos de la fábrica, las soluciones de IT, las soluciones en la nube y el personal.

Nuestro objetivo es ayudar a las organizaciones a lograr más a través de esa conexión, a la vez que mantenemos su organización segura.

Las oportunidades de CPwE conllevan riesgos de CPwE

A medida que añade dispositivos industriales a la red Ethernet, proporciona a las ciberamenazas, desde ciberdelincuentes comunes hasta estados nacionales y terroristas, puntos de entrada para acceder a ellos y tomar el control.

A partir de ahí, las posibilidades son aterradoras y numerosas.

Para proteger los dispositivos industriales frente a estos riesgos, necesita dos cosas: una visión clara de la actividad de su red y la capacidad de segmentar su red en partes discretas.

La visibilidad de la red debe extenderse a los dispositivos industriales

Sin una visión precisa de lo que ocurre en la red de IT/OT, su equipo de seguridad no puede identificar los ataques ni crear políticas eficaces para gobernar el acceso.

El problema es que muchas herramientas de monitoreo de redes de IT comunes no pueden ofrecer la visibilidad necesaria. ¿Por qué? Los activos industriales utilizan protocolos IACS que las herramientas simplemente nunca estuvieron destinadas a admitir.

Para ayudar a los clientes a habilitar una vista más completa de la planta, Cisco y Rockwell Automation ofrecen una herramienta conjunta de monitoreo IT/OT que admite tanto los protocolos de IT principales como el Common Industrial Protocol (CIP).

Segmente su red para controlar las infiltraciones

Los ciberdelincuentes se infiltran en las redes de IACS buscando el punto más vulnerable y explotándolo.

Para combatir esto, la segmentación de redes divide su red en zonas más pequeñas con un flujo de datos estrictamente controlado entre ellas. El tráfico (y los atacantes o el malware) no puede moverse de una zona a otra sin permiso.

Para los clientes industriales, un método común de segmentación es separar la zona industrial de la zona empresarial mediante una zona desmilitarizada industrial. Los equipos de OT/IT colaboran para definir el acceso a cada zona mediante listas de control de acceso (ACL).

Sin embargo, gestionar las ACL manualmente puede ser tedioso. Y las listas grandes pueden afectar el rendimiento de los dispositivos de red.

Por eso, para simplificar y flexibilizar la segmentación, le permitimos definir políticas de acceso mediante grupos de seguridad. Las etiquetas de grupo predefinidas pueden aplicarse automáticamente a los activos según su ubicación, finalidad, intención del usuario y más.

Control de acceso para socios y empleados móviles

Cada vez más, se pide a las organizaciones industriales habilitar el acceso seguro para socios y trabajadores móviles.

Cisco Identity Services Engine (ISE) permite a IT definir roles para empleados y socios de confianza. Estos roles pueden configurarse para permitir y limitar el acceso a los activos dentro de la red industrial y empresarial.

Cisco ISE también proporciona un portal de registro de autoservicio para que el personal de la planta, los proveedores, los socios y los invitados puedan registrar y aprovisionar nuevos dispositivos automáticamente.

La defensa en profundidad es más que visibilidad y segmentación

Es fundamental tener en cuenta que ningún producto, tecnología o metodología puede proteger por completo las arquitecturas a nivel de toda la planta. La visibilidad y la segmentación son fundamentales, pero solo son dos partes de su estrategia más amplia.

La protección de los activos de IACS requiere un enfoque de seguridad holístico de defensa en profundidad que aborde las amenazas de seguridad internas y externas.

En Cisco y Rockwell Automation, nos dedicamos a hacer posible ese enfoque y a ayudarle a mantener su operación segura. Hablemos pronto sobre sus retos de seguridad de CPwE.