Recomendado para usted
En un mundo en el que cada vez más dispositivos inteligentes se comunican entre sí, las organizaciones industriales reconocen que, para realizar mejoras operativas significativas, es fundamental contar con un flujo continuo de información resultado de conectar sistemas de control a la empresa.
Un sistema de control evalúa la condición de las variables de entrada (sensores) junto con las solicitudes de una HMI, ejecuta una secuencia lógica o de control y acciona algunas salidas (accionadores).
La principal diferencia es que, en este proceso, cualquier interferencia, incluidos los ataques a la red, puede afectar la disponibilidad y la calidad del producto fabricado, así como representar un riesgo para las personas, las instalaciones o el medio ambiente.
Los sistemas de información corporativos tienen requisitos de confiabilidad, funcionamiento y gestión de riesgos muy diferentes a los de un sistema de control industrial. Mientras que los sistemas corporativos se centran en el alto rendimiento, las grandes cantidades de datos y las tareas programadas, el sistema de control es en tiempo real, el proceso es continuo y el volumen de datos es comparativamente mucho menor.
Si bien la conexión de dispositivos ayuda a crear un flujo continuo de información, proteger estos activos industriales de los riesgos de seguridad se vuelve cada vez más importante. Los sistemas de información corporativos se basan en la protección de la información. La falta de disponibilidad del sistema sugiere la posibilidad de que las operaciones comerciales se detengan, y una interrupción temporal del servicio puede ser aceptable, con tiempos de recuperación de minutos o incluso horas.
Sin embargo, en los sistemas de control industrial, la protección de las personas y el medioambiente es clave. La falta de disponibilidad del sistema puede causar defectos o daños al producto fabricado o a las instalaciones, así como un peligro para las personas o el medio ambiente y, por último, la tolerancia a fallos y/o tiempos de recuperación muy cortos son esenciales.
Por lo tanto, un punto clave será categorizar la instalación para indicar cuál es el posible impacto de un problema de seguridad que desafía la disponibilidad, la integridad y la confidencialidad del sistema.
El impacto no será el mismo si se fabrican componentes automotrices o productos químicos peligrosos. Del mismo modo, el tipo de industria es relevante: alimentos, productos farmacéuticos o distribución de agua potable. Sin embargo, la seguridad industrial es importante para todas las industrias y aplicaciones. Requiere un enfoque de seguridad para la defensa en profundidad que aborde las amenazas de seguridad tanto internas como externas. La seguridad para la defensa en profundidad es un enfoque en capas centrado en la seguridad física, de red, informática, de la aplicación y del dispositivo.
Para llevar a cabo la categorización, deben considerarse varias cuestiones, como la peligrosidad de los materiales, el proceso de producción, la propiedad intelectual, si los productos fabricados están destinados al consumo humano, el impacto potencial en el medio ambiente, si es una infraestructura crítica, etc.
Por lo tanto, debemos pensar en el enfoque para la defensa en profundidad y reconocer que necesitamos políticas de seguridad bien definidas para construir una red de control industrial más segura, con metas y procedimientos claros.
El personal involucrado en la producción, el mantenimiento, la ingeniería y la TI debe conocer estas políticas y ayudar a asegurar la conformidad con ellas, por lo que será necesario contar con la información correspondiente, así como brindar capacitación sobre los procedimientos a seguir.
A veces los problemas de seguridad experimentados por las redes de control industrial surgen debido a acciones realizadas por el personal de operaciones y de mantenimiento, interno o externo. Por ejemplo, en una red no segura con vulnerabilidades en la capa física, un empleado podría crear un lazo en la red y una posible saturación de tráfico, un cambio de topología inadvertido o un cambio de configuración accidental.
Por lo tanto, el factor humano es muy relevante porque puede iniciar la vulnerabilidad, incluso sin intención. Recuerde adoptar un enfoque integral respecto de la seguridad, porque los sistemas de control, redes y software pueden ayudar a defenderse contra las amenazas y riesgos de seguridad.
Para obtener más información sobre la seguridad de red, visite nuestro sitio web.
Publicado 24 de febrero de 2015
