Seguridad y protección: la una no existe sin la otra

Seguridad y protección: la una no existe sin la otra

La mayoría de las conversaciones sobre Internet Industrial de las cosas (IIoT), protección y seguridad giran en torno a dos temas distintos: la seguridad de la maquinaria “inteligente” o de los procesos para proteger a las personas y los equipos, o la seguridad del sistema de control industrial, como si fueran aspectos independientes. Estas conversaciones son importantes y válidas. No obstante, demasiadas empresas industriales no se centran en las implicaciones de protección inherentes de los riesgos de seguridad comunes.

En Turquía se produjo un ataque informático a un oleoducto que causó una explosión en la que se derramaron 30 000 barriles de petróleo. Los atacantes evitaron que el sistema de seguridad existente desconectara las alarmas, cortara las comunicaciones y presurizara el crudo en la canalización.

Una empresa regional de distribución de agua sufrió un ataque de ciberseguridad que no solo comprometió los datos de clientes, sino que también causó movimientos inexplicables de válvulas y conductos, y la manipulación de los controladores lógicos programables que gestionaban el tratamiento del agua y la seguridad pública.

Seguridad y protección: proteger a las personas, el medio ambiente y la infraestructura crítica contra las amenazas de la seguridad industrial

En las operaciones industriales, los programas de seguridad y protección están inextricablemente vinculados.

Muchos clientes nuestros aprovechan la tecnología de IIoT para tener acceso remoto a la maquinaria de producción, permitir el acceso inalámbrico a las estaciones de bombeo o conectar el equipo de la planta a la infraestructura de IT. Esto es el futuro. De este modo pueden obtener un mejor uso de los activos, un tiempo de lanzamiento al mercado más breve y un menor coste total de propiedad. No obstante, una mayor conectividad puede aumentar los riesgos de seguridad que afectan a la protección. Aquí es donde la mejor gestión de riesgos de la empresa resulta más importante.

Integración de los esfuerzos de seguridad y protección

La seguridad y la protección se han considerado tradicionalmente entidades independientes, pero existe una similitud entre ambas en cuanto a los enfoques que se utilizan para analizar y mitigar los riesgos. Por ejemplo, la seguridad y la protección tienen en común el concepto de “control de acceso”. En ambos casos, las políticas y los procedimientos se crean en función de las prácticas de la empresa, los enfoques de gestión de riesgos, los requisitos de la aplicación y los estándares industriales.

Los fabricantes y los operadores industriales que desean reducir la probabilidad de accidentes de seguridad tienen que replantearse la protección de esta manera. Específicamente, empiezan a pensar en la relación que existe entre la seguridad y la protección. Hay tres áreas clave en las que esto puede tener un gran impacto:

  1. Comportamiento: además de ayudar a proteger la propiedad intelectual, los procesos y los activos físicos, el personal de seguridad debe convertir la protección de los sistemas de seguridad en un valor esencial de todo lo que hacen. Una mayor colaboración entre los equipos de salud y seguridad medioambiental, IT y operaciones también es de gran importancia. Por ejemplo, los tres equipos deben colaborar para desarrollar objetivos de seguridad y protección gestionados conjuntamente e identificar los requisitos fundamentales de los datos de seguridad que provienen de los sistemas de la planta. Dado que una cultura de seguridad sólida implica a todos los empleados, es necesario que toda la empresa conozca la relación entre seguridad y protección.
  2. Procedimiento: los esfuerzos de conformidad deben dirigirse a satisfacer los requisitos de seguridad de los estándares de protección, por ejemplo, los estándares de la Comisión Electrotécnica Internacional (IEC) 61508 y 61511. Por su parte, los esfuerzos de seguridad deben seguir un enfoque de defensa en profundidad y resolver los riesgos de seguridad relacionados con la protección en todos los niveles de una empresa. La defensa en profundidad se recomienda en la serie de estándares IEC 62443, “Seguridad para automatización industrial y sistemas de control”, (anteriormente ISA99) y en otros estándares.
  3. Tecnología: todas las tecnologías de protección deben tener características de seguridad incorporadas. También deben usar tecnologías de seguridad que ayuden a protegerse frente a infracciones al sistema de seguridad y que permitan una recuperación rápida en caso de que se produzca una infracción.

Mitigación de riesgos

La lista de amenazas de seguridad potenciales que pueden tener implicaciones en la protección es bastante larga. Por lo tanto, cualquier mitigación de riesgos de seguridad que afecte a la protección debe comenzar por comprender dónde es más vulnerable la empresa.

Para ello, se deben realizar evaluaciones de riesgos de seguridad y protección independientes, y después se deben comparar los informes para examinar dónde tiene la seguridad mayor efecto sobre la protección. Esto permitirá abordar mejor un conjunto de riesgos exclusivos de cada empresa.

Hemos descrito algunas medidas de mitigación que los fabricantes y los operadores industriales deben implementar en el informe técnico “Safety through Security: Protecting People, the Environment and Critical Infrastructure against Industrial Security Threats” (Seguridad y protección: proteger a las personas, el medio ambiente y la infraestructura crítica contra las amenazas de la seguridad industrial).

El concepto de transformación digital aporta inteligencia de producción a nuestros clientes para medir y mejorar prácticamente todos los aspectos de sus operaciones. También proporciona uso compartido de información instantánea y colaboración transparente entre las organizaciones.

En todas estas oportunidades, más puntos de conexión pueden crear más puntos de entrada para las amenazas de seguridad. La seguridad de sus empleados, su infraestructura y el entorno de sus operaciones son responsabilidad suya y usted debe abordar las repercusiones que las amenazas de ciberseguridad puedan suponer para ella. IIoT trae consigo oportunidades, riesgos y la posibilidad de integrar de forma global sus programas de seguridad y protección para optimizar las operaciones.

Lee Lane
Publicado 11 Diciembre 2017 Por Lee Lane, Chief Product Security Officer, Rockwell Automation
  • Contacto:

Contacto

Rockwell Automation y nuestros socios ofrecen un excelente conocimiento para ayudarlo a diseñar, implementar y respaldar su inversión en automatización.

Últimas noticias

Suscríbase a Rockwell Automation y reciba las últimas noticias e información directamente en su bandeja de entrada.