Lista de verificación de seguridad de punto final para organizaciones de OT

En muchas organizaciones industriales actualmente hay numerosos dispositivos de punto final que todavía no se rastrean ni monitorean.

La mayoría de ellos se desplegó durante décadas de operaciones de producción. En consecuencia, muchas organizaciones industriales aún carecen de una visibilidad clara de las operaciones de tecnología de la información (IT) y tecnología de operaciones (OT), y esos activos de punto final potencialmente expuestos siguen siendo vulnerables a los ciberataques. Cuando se combinan con la conectividad cada vez mayor de las operaciones de OT y la continua escasez de destrezas/recursos, estos factores están contribuyendo a aumentar los riesgos en el sector industrial.

Aunque tal vez no sea posible cerrar todas las brechas de seguridad de OT, puede usar un enfoque de seguridad basado en riesgos para ayudar a proteger rápidamente los puntos finales con base en las brechas de seguridad más críticas de su organización. Nuestra lista de verificación de seguridad de punto final de cuatro pasos puede ayudarle a crear un plan personalizado de seguridad basado en riesgos para que pueda robustecer las protecciones de ciberseguridad de su organización.

Paso 1: Obtenga visibilidad de todos los puntos finales conectados a sus redes.

Como todo profesional de ciberseguridad sabe bien, no se puede proteger lo que no se ve. Si está comenzando en el área de ciberseguridad industrial, cerrar las brechas de visibilidad es un primer paso firme y fundamental. En este paso, debe adaptar las protecciones a los requisitos concretos de su organización, para lo que tal vez tenga que hacer lo siguiente:

• Automatizar el descubrimiento de activos de redes. Una plataforma automatizada permite un inventario profundo en tiempo real de cualquier dispositivo en un segmento de la red; no solo de los dispositivos basados en IP tradicionales, sino también de los activos de ICS de nivel inferior.
• Minimice las disrupciones. Busque soluciones capaces de realizar un descubrimiento profundo de activos sin perjudicar la disponibilidad de la red ni el tiempo productivo de las operaciones.
• Revise la arquitectura de la red. Si bien los productos de seguridad mejorarán su postura de seguridad respecto a su estado actual, tener una arquitectura de red adecuada es un aspecto fundamental para aprovechar al máximo estas herramientas.
• Despliegue un tablero centralizado de los puntos finales. El tablero mostrará los datos más importantes como, por ejemplo, puntos finales sin parches, en un lugar prominente.
• Reciba alertas en tiempo real sobre actividad sospechosa. Si un punto final obtiene acceso a algo que no debiera, usted tiene que saberlo de inmediato.
• Adapte las perspectivas a los roles. Los ejecutivos de alto nivel querrán datos resumidos, pero es posible que los ingenieros necesiten más detalles para disponer de más contexto.
• Adopte un sistema que sea independiente del proveedor. Un sistema de gestión de puntos finales independiente del proveedor le ofrecerá un contexto unificado para su perfil de riesgo.
• Piense de manera integral. Esfuércese por cubrir todos los sistemas, no solo los puntos finales, los controles de nivel superior y los dispositivos conectados a la Internet. La seguridad integral de los puntos finales se centra en todos los aspectos de su ambiente, incluso hasta el nivel de E/S más bajo, y debe considerar factores adicionales como el estado del ciclo de vida, la disponibilidad de piezas de repuesto, la garantía y los plazos de entrega.

Paso 2: Priorice las brechas mediante un enfoque basado en riesgos.

Una evaluación de riesgos puede ayudarle a identificar y priorizar los riesgos que puedan tener el mayor impacto en la organización. Algunas medidas clave que puede tomar para evaluar y reducir los riesgos incluyen:

• Determinar lo que se considera un “buen” estado para cada punto final. Capture datos como, por ejemplo, los accesos a puntos finales, programas/archivos accedidos comúnmente, cuentas de usuario y estado de parches para establecer una línea base.
• Implementar un monitoreo continuo en tiempo real. Monitoree constantemente los puntos finales en busca de desviaciones del comportamiento normal para identificar rápidamente las amenazas.
• Ajustar las alertas de seguridad para alinearlas con las normas operacionales. Evite la fatiga de alertas ajustando sus sistemas de forma coherente con base en los patrones de comportamiento normal en su ambiente único.
• Cumplir las normas regulatorias básicas. Asegúrese de que su plan de mitigación de puntos finales cumpla con los requisitos de la industria y con los requisitos gubernamentales.
• Priorizar las brechas de seguridad en función de sus mayores riesgos. Solo porque algo sea vulnerable no significa que su ambiente de OT lo sea. Haga una evaluación de riesgos para guiar sus prioridades de seguridad de puntos finales y reducir el riesgo general, a la vez que minimiza el impacto en sus recursos.

Paso 3: Despliegue protecciones adicionales para las redes y puntos finales. 

El refuerzo del ambiente de OT añadirá más capas de defensa para ayudar a proteger los puntos finales y mejorar su postura de seguridad general. Algunas opciones incluyen:

• Implementar un motor de políticas de confianza cero. Autentificar los dispositivos de manera constante y dinámica, tanto desde dentro como desde fuera, antes de que puedan tener acceso a la red.
• Segmentar la red. La segmentación de red limita lo que los actores de amenazas pueden hacer si penetran en su ambiente.
• Desplegar un cortafuego. Los cortafuegos protegen el perímetro de sus redes externas y evitan que entre o salga tráfico no autorizado.
• Crear un enclave seguro para los datos críticos. La inserción de un cortafuegos entre sus activos críticos y su red de área local (LAN) reduce la superficie de ataque en caso de que un actor de amenazas obtenga acceso.
• Crear zonas desmilitarizadas (DMZ). Aloje en una DMZ las aplicaciones que necesiten comunicarse con el mundo exterior, como una plataforma de respuesta y detección de punto final (EDR) habilitada para la nube, a fin de ayudar a evitar el acceso malicioso.
• Usar cortafuegos junto con una DMZ. Esto crea una protección adicional si un actor de amenazas penetra en la DMZ.
• Obligar a usar quioscos de seguridad USB. Antes de conectar los dispositivos USB a su ambiente, escanéelos en busca de amenazas en terminales dedicados.
• Planificar la recuperación ante desastres. Los incidentes ocasionados por brechas son inevitables en el ambiente de amenazas de hoy día. Prepárese con un plan de recuperación ante desastres que incluya la copia de seguridad de datos, y pruebe ese plan regularmente.

Paso 4: Establezca procesos de seguridad de punto final continuos.

¿Ha implementado los sistemas y procesos fundamentales? A continuación, concéntrese en mejorar y desarrollar sus estrategias. Considere las siguientes mejoras adicionales:

• Inventaríe sus activos con mayor frecuencia. La velocidad de los ataques y la evolución de las amenazas aumentan a una velocidad increíble. Quizá ya no baste con el inventario de activos trimestral o incluso mensual.
• Automatice la gestión de parches. Evite que su equipo de seguridad tenga que ocuparse de esta tediosa y laboriosa labor para mejorar la eficiencia.
• Monitoree las amenazas 24/7. Los actores de amenazas nunca se detienen; usted tampoco debería detenerse. Monitoree las amenazas las 24 horas del día con una plataforma como un EDR que le ayude a actuar con rapidez.
• Implemente un plan de respuesta a incidentes. Lo último que usted quisiera es tener que averiguar cómo responder a un incidente mientras está ocurriendo uno. Un plan de respuesta a incidentes establece un proceso paso a paso por adelantado. Si sus recursos internos son limitados, consiga el apoyo de un proveedor de respuesta a incidentes mediante un contrato de servicios como Rockwell Automation.
• Mejore la eficacia de la concientización sobre la seguridad. Fomente un enfoque colaborativo entre sus equipos de trabajo en las áreas de seguridad y fabricación. Al hacerlo, mejorará su cultura de seguridad y dará a los equipos de la planta mayor control sobre la seguridad.

La implementación de medidas de seguridad de IT tradicionales por sí sola no basta en los ambientes de OT. Los sistemas de OT tienen requisitos, restricciones y riesgos únicos que han de abordarse mediante un enfoque especializado. Aunque aprovechar las mejores prácticas de seguridad de IT puede ser beneficioso, es fundamental adoptar una estrategia de ciberseguridad integral a la medida de las necesidades específicas de su infraestructura de OT.

La protección de puntos finales de OT como, por ejemplo, sistemas de control industrial (ICSlos sistemas de control de supervisión y adquisición de datos (SCADA) y otros activos operacionales críticos, requiere una profunda comprensión del ambiente operativo, los vectores de posibles ataques y el impacto de las medidas de seguridad en la disponibilidad y el rendimiento del sistema.

Además de desplegar las herramientas y tecnologías de seguridad adecuadas, es esencial establecer políticas, procedimientos y marcos de gobernanza sólidos que se alineen con las normas industriales y los requisitos normativos específicos de su ambiente de OT. Esto incluye la implementación de medidas como segmentación de redes, acceso remoto seguro, gestión de parches y planificación de la respuesta a incidentes.

Asociarse con una empresa de ciberseguridad de OT con experiencia y especializada en sistemas de control industrial puede ser muy valioso en este proceso. Un socio puede proporcionar una guía experta sobre el desarrollo y la ejecución de un programa integral de ciberseguridad de OT que aborde los retos y factores de riesgo únicos de su ambiente operacional. Sus conocimientos profundos pueden ayudar a cubrir la brecha entre la seguridad de IT y OT, para confirmar que sus sistemas críticos estén adecuadamente protegidos sin comprometer la integridad operacional ni la resiliencia.

Comuníquese con Rockwell Automation aquí para seguirle el ritmo a los cambios.