¿Es su infraestructura de redes intencional o no intencional?
Piénselo. ¿Cómo hace posible el intercambio de datos entre sistemas disímiles?
Por supuesto que la manera más fácil de lograr esta meta es integrar todo en la misma red, lo cual es una práctica común.
Por conveniencia una organización podría decidir implementar una red plana no segmentada en la que se intercambie libremente la información. Más a menudo, las redes no segmentadas son el resultado no intencional de una infraestructura obsoleta que se ha ampliado con el tiempo sin beneficio de VLAN, firewalls ni ningún otro tipo de fronteras.
El problema que representan las redes no segmentadas
Independientemente de la causa, una red no segmentada podría proporcionar acceso y comunicación fáciles, pero a un costo muy alto.
En primer lugar, una infraestructura de redes plana no segmentada expone los datos tanto críticos como no críticos a riesgos de ciberseguridad. Sin restricciones ni limitaciones de acceso a redes, los atacantes cibernéticos pueden explotar los puntos de entrada más vulnerables y adentrarse más profundamente en la red o en cualquier cosa conectada a dicha red.
El contenido expuesto a riesgos podría comprender la información de fabricación o de recetas, así como datos de ensayos clínicos, y estrategias de marketing y de determinación de precios.
Además, una red no segmentada es normalmente una red ineficiente. Al principio es posible que las empresas no se den cuenta de los problemas de rendimiento de sus redes ya que todavía pueden llevar a cabo sus operaciones. Pero a medida que se actualizan los sistemas y se incorporan nuevas capacidades, aumenta igualmente el tráfico en las redes y se producen con mayor frecuencia colisiones y reducciones en la velocidad de transmisión de las redes, lo cual ocasiona problemas de producción.
¿Usted o un conocido ha perdido datos o la visibilidad del sistema? Esto le puede ocurrir a cualquiera.
Como parte de un enfoque de defensa en profundidad, la segmentación de redes, es decir, la fragmentación de una red en redes más pequeñas, podría ayudar a reducir el tráfico de difusión innecesario y a limitar lo que está disponible inmediatamente a un atacante cibernético.
Incorporar segmentación en su sistema
¿Contempló el diseño y el rendimiento de la rede cuando implementó su sistema de automatización? ¿Cómo incorpora la segmentación para ayudar a limitar posibles brechas y a mejorar el rendimiento de redes?
Según mi experiencia, la mayor parte de las empresas de ciencias biológicas gestionan muy bien sus procesos de producción. Sin embargo, muchas no perciben cómo sus opciones seleccionadas afectan la infraestructura de redes. Como consecuencia, puede que ignoren el alcance del contenido y los patrones de tráfico en su infraestructura existente, así como los posibles riesgos y limitaciones de rendimiento.
Una auditoría puede ayudarlo a entender mejor qué contenido se incluye en su sistema, cómo se comunican los dispositivos y cómo se transmite la información. Como primer paso, una auditoría del sistema le suministrará la información fundamental necesaria para identificar posibles riesgos y evaluar mejoras de rendimiento.
Tras una auditoría, es una buena práctica de la industria llevar a cabo una evaluación de riesgos según la norma IEC 62443 que puede mostrarle el camino correcto hacia un mejor diseño y segmentación de la red.
La norma IEC 62443 está compuesta de un grupo de normas internacionales que proporcionan un marco flexible para abordar y mitigar las vulnerabilidades de seguridad actuales y futuras en sistemas de automatización y control industriales (IACS). De manera específica, la norma IEC 62443-3-2 ofrece pautas para evaluación de riesgos.
Una evaluación de riesgos le proporcionará el panorama de su estado de seguridad actual y lo que necesita hacer para lograr un nivel de riesgos aceptable.
Sin lugar a dudas, descubrirá que áreas diferentes en su sistema tienen necesidades de seguridad diferentes. La evaluación de riesgos lo ayudará a tomar decisiones razonables sobre el nivel de riesgos que está dispuesto a aceptar para implementar nuevas tecnologías, así como a segmentar su red de una manera lógica para alcanzar los objetivos de seguridad y productividad.
Según sus requisitos, puede escoger entre múltiples métodos de segmentación, incluyendo listas de control de acceso, firewalls, VLAN, zonas desmilitarizadas industriales (IDMZ) y otras tecnologías.
La protección de su instalación conectada
Tenga en cuenta que la segmentación de redes representa solo una de muchas prácticas recomendadas como parte de una estrategia de defensa en profundidad en el área de ciberseguridad. Una estrategia eficaz incluye múltiples capas de protección, que van desde dispositivos de seguridad físicos tan simples como puertas, hasta sofisticadas protecciones electrónicas y procedimentales.
Una estrategia eficaz es un continuo proceso que supone no solo un diseño cuidadoso, sino también intervención y mantenimiento activos.
Conozca cómo Rockwell Automation puede ayudarlo a diseñar y mantener su sistema en consonancia con las pautas de la norma IEC 62443. Consulte también nuestras certificaciones IEC 62443 más recientes.
