Visiones Encontradas de la Ciberseguridad: Un Problema Generalizado, que Requiere Romper Paradigmas

Revista InTech México Automatización
Edición Enero – Marzo 2019.

Jorge E. Olivares Olmos
Business Continuity SpA, Miembro ISA Chile, CHILE,
Jorge_Olivares@BusinessContinuity.cl

RESUMEN: La conceptualización de entornos de red que diferencia “lo administrativo” de “lo industrial”, con visiones distintas y hasta encontradas del gobierno y gestión para su Ciberseguridad, hacen que esta misma conceptualización sea parte del problema y una razón importante del por qué la ciberseguridad industrial no ha evolucionado al ritmo que debería.  Tratando de romper esta inercia, el presente artículo se focaliza en promover acercamientos, sobre puntos de convergencia y cooperación entre estas visiones.

Existen miradas polarizadas entre lo privado o público, lo civil o militar, lo nacional o internacional, lo preventivo o reactivo y por cierto lo que más nos vincula, la dicotomía de lo administrativo o industrial, lo TI o TO e incluso lo ISO o ISA. Frente a ellas y para responder el ¿qué hacer?… se propone aquí el romper paradigmas.

PALABRAS CLAVES: visiones encontradas, gobierno, gestión, ciberseguridad industrial, administrativa, relaciones, polarización, paradigmas.

LA NECESIDAD DE ROMPER PARADIGMAS Y PROPICIAR UN TRABAJO COOPERATIVO

Con el afán de compartir una mirada particular a la evolución y madurez de la Ciberseguridad Industrial en nuestro contexto latinoamericano, la presente es una invitación a buscar puntos de conexión y consenso, en oposición a la postura de atrincherarse en defensa de paradigmas históricos o inflexibles.

Esto es, desde el convencimiento personal y como base para una nueva línea de trabajo, una propuesta de aunar esfuerzos en la búsqueda de puntos de concordia y acuerdo, que permitan acercar visiones, principios y prácticas para un trabajo de cooperación entre los diferentes actores y gestores de la Ciberseguridad, reconociendo e integrando sus distintos enfoques, sabores y colores, en que muchas veces presentan visiones encontradas, más claramente, acercar puntos de vista para la integración de la(s) Ciberseguridad(es) Corporativa, Institucional, Comercial, Industrial, Seguridad de la Información, Continuidad TI, Continuidad TO, del Negocio y más recientemente Resiliencia.

Porque…  ¿Serán realmente tan distintas? ¿Hasta dónde prima la moda, la tradición, el paradigma, la trinchera conceptual?  ¿Por qué deben ser islas o feudos aislados?  El presente artículo busca “escarbar” en las bases de estas visiones encontradas de la ciberseguridad, por considerar que es un problema global, y por un convencimiento personal de que existen más puntos comunes que disímiles, por tanto, la idea es abordar este nuevo enfoque de romper paradigmas, bajar las barreras y acercarse a un trabajo de cooperación y unificación para el bien de la Ciberseguridad (así, sin apellidos), de la empresa o institución como un todo y de su resiliencia, para el bien del negocio.

CIBERSEGURIDAD UN PROBLEMA GLOBAL

Como muestra de la globalidad de estos temas, permitan ejemplificar con un caso ocurrido en Chile a fines de mayo de 2018, que comenzó por la viralización en redes sociales de muchas fotos de estaciones de trabajo de un conocido banco nacional, con pantalla gris y el mensaje “Non-System disk or disk error”, lo que obviamente presionó a una reacción formal de la banca, por su Superintendencia (SBIF [01], el ente regulador) y hasta el ámbito político, sesionando el nuevo Comité Interministerial para la Ciberseguridad, CICS [02], frente a la evidencia de ser un notorio ciberataque.

El impacto financiero se debió al hackeo del sistema internacional de transferencia interbancaria SWIFT [03], logrando una sustracción “reconocida” de 10 millones de dólares USA y que señalan han rastreado dichas transacciones hasta cuentas en Hong Kong. ¿Qué llama la atención de este ciberataque internacional?, que se usara un elemento distractivo, como explotar una “amenaza de día cero[04] por una variante del malware “SWAPQ”, afectando alrededor de 1000 puestos de trabajo y de 500 servidores de la institución, lo que logró desencadenar en redes sociales la viralización ya señalada. También el hecho que esto fuese sólo para desviar la atención y esfuerzos del verdadero robo, en el sistema SWIFT.

Resulta importante destacar que luego de tal evento surgiera la creación de nuevas áreas de Ciberseguridad (palabra de moda) y roles de “champions” en varias instituciones o que motivara una de las pocas reuniones del Comité CICS a nivel de gobierno y poco después se generara el rol de Asesor Presidencial de Ciberseguridad en Chile, al que denominaron el “Sheriff de los ciberdelitos”, aunque su primer designado haya permanecido sólo cuatro meses en el cargo.  El ataque en sí lo han relacionado al grupo de hackers norcoreanos Lazarus, que ha migrado y se ha sofisticado desde ciertos ataques DDoS [05], luego, el robo de información sensible a Sony Picture; hace dos años, al menos 81 millones de dólares desde el Banco Central de Bangladesh, hace un año su vinculación con los ataques de “WannaCry” y ahora esta nueva muestra en este angosto país al sur del mundo, al menos eso circula en el ciberespacio.

Claro que el rumor de fraude interno también circula, y es inevitable; porque se han suscitado otros casos por esa vía, en otras instituciones.  Todo lo anterior, para evidenciar que los umbrales de lo interno/externo; nacional/internacional; público/privado; prevención/reacción, no es tan claro y muchas veces dicho umbral ya no existe y todos esos ámbitos podrían llegar a estar vinculados.  Como analogía, resulta natural pensar entonces en lo que ocurre en el umbral de la Ciberseguridad Administrativa y la Ciberseguridad Industrial, donde aún quedan muchos paradigmas y umbrales que “repensar”.

LA CIBERSEGURIDAD INDUSTRIAL EN RIESGO

Por lo anterior, tanto Lazarus Group, como cualquier otro grupo radical o delictivo y desde cualquier parte del mundo, podría centrar un “innovador” y sofisticado ataque en México para afectar seriamente, no otra institución financiera; sino que, por ejemplo, al sistema de agua potable, u otro sistema de abastecimiento público, así como cualquier otro componente o servicio de su infraestructura crítica nacional, pero no sólo en México; sino en Chile o en cualquiera de nuestros países vecinos.

Los hechos demuestran que la banca y los mercados más regulados y con mayores exigencias en cuanto a la ciberseguridad se han visto vulnerados, qué queda entonces para el ámbito industrial, qué sabemos, salvo muy honrosas excepciones, está menos evolucionado, con vagamente definidas e incluso inexistentes estructuras de gobierno y una débil gestión de mejora continua.  Donde menos aún existe una presencia madura y gestionada de controles de ciberseguridad industrial, ya que se invierte comparativamente menos y, por consiguiente, existe un nivel de madurez significativamente menor en este tema.

El entorno industrial tiene grandes riesgos en ciberseguridad; sólo que dichos riesgos están latentes y con poca o nula visibilidad en las esferas estratégicas de las mismas empresas.  Lamentablemente los mismos factores de amenaza, vulnerabilidad e impacto de la ecuación de riesgo han jugado en contra, ya que, si bien en promedio existen críticas e históricas vulnerabilidades, destacándose la obsolescencia TI de equipos de subredes de gestión e inmadurez en la gestión de dichas plataformas, que las dejaría propensas a ciberataques, las amenazas internas no son identificadas y las amenazas externas por ahora se han mantenido tras otras víctimas “más lucrativas”.

En esta misma línea se suma que, los eventos ocurridos son poco difundidos o no son asociados a ciberseguridad y, por tanto, los potenciales impactos no son analizados ni ayudan a mejorar la postura de ciberseguridad industrial.  Lo “tragicómico” de aquello, es que el riesgo está ahí y es grave.  Por tanto, nuestra obligación como profesionales del rubro, es hacerlo presente y visible a las instancias decisionales.

OBSOLESCENCIA DE PARADIGMAS

En el ámbito de la Ciberseguridad Industrial hay consenso de que aún persisten viejos paradigmas que atentan contra una sana y necesaria integración del mundo TI y su seguridad.  El paradigma más relevante (aunque ya obsoleto) consideraba que las redes industriales estaban aisladas de su homóloga red administrativa; además, que sólo se requería disponibilidad del equipamiento, o que los estándares industriales tenían que ver con PLC’s y válvulas y nada con computadores.  Para cada uno de ellos hay sendas evidencias prácticas y en muchos casos lamentables hechos que confirman la obsolescencia del paradigma.

Pero, qué tanto se ha evolucionado para lograr modelos, metodologías o estrategias integrales que vayan en el sentido correcto de los cambios.  Con poco buscar se pueden encontrar propuestas tecnológicas, pero el problema no son las marcas o los fabricantes TI/TO, ya que las tecnologías existen y ofrecen alternativas de solución, por lo que no es un problema tecnológico, sino principalmente humano, asociado al relacionamiento entre personas que poseen visiones encontradas, polarizadas e incluso antagónicas.

VISIONES ENCONTRADAS

Estando de acuerdo que ciertos paradigmas de ciberseguridad industrial habría que cambiarlos, más de una vez, al replantear su orientación mediante el desarrollo de nuevas conceptualizaciones de la ciberseguridad, se encuentran con “visiones” o “posturas mentales” que marcan sesgos polarizados o encontrados entre los principales actores del entorno industrial y del entorno que se pueden catalogar de “oficina”, llamado también administrativo o de negocios.

Dichas “visiones encontradas” o polarizadas, se hallan también entre lo multinacional/local, civil/militar, privado/público; Triada CIA [06] v/s AIC [07] (por la supuesta prioridad de objetivos), Prevención/Recuperación, Cloud u OnPremise, lo que obviamente incluye a nuestro foco de la Ciberseguridad Industrial, al analizar las visiones entre “lo TI” y “lo TO” o entre “lo administrativo” y “lo industrial”, dejando así evidenciadas estas distanciadas visiones; pero “mirando el vaso medio lleno”, y siendo positivos y proactivos, veamos cómo acercarlas…

¿POR DÓNDE COMENZAR?

Para acercar las visiones señaladas, se requieren hacer cambios, entonces, se parte por algo más reconocible y palpable como son los aspectos netamente técnicos. Así, el llamado inicial apuntaría a abocarse a implementar y mantener un conjunto necesario y suficiente de controles que permitan un servicio resiliente y acorde a los cambiantes requerimientos institucionales y del entorno.  Se debe velar porque tales controles integren factores esenciales como mejores prácticas de seguridad de la información, de continuidad operacional, de calidad, de resiliencia, de riesgo y de mejora continua, justificados por necesidades concretas en los procesos críticos de la propia empresa. Dichos controles se deben focalizar en lo realmente esencial y prioritario para cada realidad, ya que las mejores prácticas identificadas como necesarias, son “mapeables” a la mayoría de los marcos de referencia generales de ciberseguridad o específicos del ámbito industrial.

Por ejemplo, el requerimiento de ciberseguridad (mejor práctica) de respaldo (Backup), protección/retención de medios y recuperación de información, se encuentra referenciado en los principales marcos de referencia internacionales, “mapeado” como:

  • ISO/IEC 27002:2013 / Controles 12.3.1; 17.1.2; 17.1.3 y 18.1.3: “Copias de seguridad de la información” y otros controles de continuidad y cumplimiento;
  • SANS CIS Critical Security Controls, Control Fundacional Nro.10: “Capacidad de recuperación de datos”;
  • CobIT 4.1 / DS 11.5: “Respaldo y Restauración”;
  • CobIT 5 / APO13.01, DSS01.01, DSS04.07: En Gestiones de Seguridad, de Operaciones y de Continuidad;
  • ITIL 5.2.3.1: Considerado en el punto: “Operación del servicio”;
  • NIST CSF / PR.IP-4: Los respaldos de la información se realizan, mantienen y prueban periódicamente.

y, por supuesto, lo encontramos en marcos referencias específicas para el ámbito industrial, como:

  • En el establecimiento de un Sistema de Gestión de Ciberseguridad para los Sistemas de Automatización y Control Industrial (CSMS-IACS):
    • ANSI/ISA 62443-2-1:2009 [08] Requerimiento 4.3.4.3.9: Establecer procedimientos de respaldo y restauración, o
    • ANSI/ISA 62443-3-3:2013 [09]: Requerimiento SR 7.3: Respaldo del Sistema de Control; Requerimiento SR 7.4: Recuperación y Reconstitución del Sistema de Control.

Se ha confirmado que esta mirada “integradora” de las mejores prácticas es útil, y como ejemplo ya ha facilitado el trabajo en una asesoría previa para entregar rápidamente una “vista” de cumplimientos CSF NIST [10] de controles de ciberseguridad industrial que originalmente habían sido identificados y justificados mediante un GAP Análisis de ciberseguridad derivado de ANSI/ISA 62443, en una empresa minera internacional.  Lo importante fue el foco en la implementación del control en sí, y la derivación a una u otra vista de cumplimiento, un aspecto de presentación o “dashboard”.

LAS RELACIONES HUMANAS, LA BASE PARA EL CAMBIO

Atender la convergencia de los aspectos más técnicos, como las mejores prácticas señaladas en la sección anterior, resulta más obvio y ejemplificable, pero la tarea de fondo que es esencial y necesaria, consiste en lograr hacer cambios en la forma en que se relacionan las personas que gobiernan y gestionan los aspectos de ciberseguridad administrativa, por una parte, versus su equivalente en el ámbito industrial. Lo que ha sucedido históricamente y por culpa de antiguos paradigmas, es que sus particulares lineamientos generan “mundos” con visiones desconectadas y más de alguna vez, antagónicas. Esto, a pesar de existir propuestas y soluciones de convergencia e integración tecnológica, pero claramente la tecnología no es “EL” problema; sino las relaciones humanas, que producen las decisiones, el gobierno y la gestión respectiva.

Volviendo a tratar de ofrecer soluciones al respecto y no sólo quejarnos, permitan presentarles una propuesta de Modelo de Niveles de Madurez para la relación del gobierno y gestión de Ciberseguridad Administrativa y su contraparte Industrial, iniciativa iniciadas hace ya dos años, el cual presenta 6 niveles de madurez particulares, fácilmente reconocibles en la realidad de cada empresa y que van desde el peor Nivel, el 0, definido como “Intolerancia”, pasando por la “Coordinación”, la “Convergencia”, la “Integración”, la “Colaboración” y un Nivel 5 o situación aspiracional de “Cooperación” final.

Recientemente, con Felipe Beroíza, un exalumno del MTI-UTFSM [11] hemos seguido depurando este modelo propuesto, quien junto a múltiples colegas del rubro, motivados por hacer cambios, han aportado para perfeccionar sus detalles de aplicación, convencidos que una herramienta así puede ayudar a comprender qué tan “disociadas” están las visiones entre ambos entornos y así entregar pautas, como todo modelo de madurez, para ir avanzando nivel a nivel en la forma de relacionarse entre quienes gobiernan y gestionan la Ciberseguridad Administrativa y la Industrial. Se tiene el convencimiento de que si se logra que dichas personas acerquen sus visiones y comiencen o mejoren su trabajar en conjunto, se podrá avanzar en la madurez global de una postura corporativa, erradicando las visiones encontradas de la ciberseguridad.

EL PROPÓSITO DE LA COOPERACIÓN PARA GENERAR CAMBIOS CORPORATIVOS

Se sabe que queda aún mucho por hacer, el llamado, nuevamente, es a no sentarse a esperar que lleguen las soluciones a tu puerta o e-mail, ¡sino, ser partícipes del cambio… se puede!  Sólo se requiere mantener el firme propósito de acercar posturas y construir puentes que disminuyan las brechas en la dinámica del relacionamiento humano, ya que según la hipótesis planteada esto facilitaría el acceder de manera más natural a mejoras en la integración de los necesarios aspectos tecnológicos, acelerando así la efectividad de la Ciberseguridad Corporativa, que integre los entornos administrativos e industrial.

REFERENCIAS

[01] SBIF (La Superintendencia de Bancos e Instituciones Financieras de Chile): Es una institución pública cuya misión es velar por la estabilidad del sistema financiero chileno.

[02] CICS (Comité Interministerial sobre Ciberseguridad Chileno): Fue creado el 2015 con la misión esencial proponer y mantener una Política Nacional de Ciberseguridad.

[03] SWIFT (The Society for Worldwide Interbank Financial Telecomunications), Sistema de mensajes usado para intercambio de transacciones interbancarias.

[04] Amenaza de día cero, son aquellas nuevas amenazas que aparecen antes de que los proveedores de tecnologías de seguridad publiquen alguna protección específica, por lo que se asocia a un tiempo acotado de exposición.

[05] DDoS, en internet, corresponde a un ataque de denegación de servicio distribuido (por su sigla en inglés), el que ocurre cuando una gran cantidad de nodos atacan a un objetivo único, provocando la denegación o inhabilitación del servicio ofrecido por el sistema afectado.

[06] CIA o Triada CIA por las siglas de Confidencialidad, Integridad y Disponibilidad, en inglés.

[07] AIC, por priorización diferente de los principios de la triada CIA para entornos industriales.

[08] ANSI/ISA–62443-2-1 (99.02.01)–2009 Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program / www.isa.org

[09] ANSI/ISA-62443-3-3 (99.03.03)-2013 Security for industrial automation and control systems Part 3-3: System security requirements and security levels / www.isa.org

[10] CSF NIST: El NIST Cybersecurity Framework / Una guía voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. https://www.nist.gov/cyberframework

[11] MTI – UTFSM: Magister de Tecnologías de la Información – Universidad Técnica Federico Santa María, Chile, https://www.mti.cl

ACERCA DEL AUTOR

Jorge E. Olivares Olmos, es Consultor Senior de Ciberseguridad y Continuidad del Negocio, actualmente se desempeña como Gerente de Consultoría y Formación de Business Continuity SpA, es miembro de ISA Chile y participa activamente con publicaciones e iniciativas de Ciberseguridad Industrial.  Posee certificaciones CISSP, ABCP, ISO 27001 Lead Auditor y ha sido instructor de CSIRTs por Carnegie Mellon University. Es profesor de Gestión de Seguridad de la Información del Magister de Tecnologías MTI-UTFSM [09]; y ha sido relator de talleres y ramos de Seguridad de la Información en Diplomados y Magisters de Seguridad de la Información.  Posee propuestas de modelos de madurez de procesos de ciberseguridad y el modelo de madurez para el relacionamiento de la gestión y gobierno de ciberseguridad administrativa e industrial, acá comentado.

 

0
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.