L’Evolució del Sector…….
-
Dos companys de viatge inseparables
-
Ciberseguretat i transformació digital
-
Això es part del “Barcelona Cyber Security Congress”
En aquest punt del recorregut de la digitalització en què estem immersos, és difícil trobar una empresa que no estigui ja involucrada en un projecte d'automatització dels seus processos industrials per millorar-ne l'eficiència i seguir sent competitiva. Tot i que els pioners en la digitalització van ser organitzacions centrades en negocis més orientats als serveis, amb exemples destacats com la banca o el comerç electrònic, en els últims anys el sector de la indústria ha anat avançant posicions molt ràpidament.
En aquest sentit, les organitzacions industrials han iniciat diferents projectes de digitalització, des d'iniciatives d'automatització de processos fins a projectes de control remot i accés que proporcionen informació en temps real sobre la producció i permeten la seva adequació en temps real amb la demanda o atendre de manera immediata i remota qualsevol incidència, amb l'objectiu per evitar interrupcions que puguin afectar el negoci. En tots ells és una constant la necessitat de connectar entorns que no fa gaire romanien aïllats i protegits per barreres físiques. A més, cal afegir que els requisits per donar suport a aquests casos d'ús no es van considerar en la seva concepció original.
És precisament en aquest punt on la ciberseguretat esdevé especialment rellevant. No en va, aquesta tendència de digitalització accelerada en el sector manufacturer en particular ha empès aquest sector al capdamunt del rànquing dels sectors més ciberatacats . La urgència de digitalitzar i automatitzar els processos de producció sense tenir en compte els requisits de seguretat pertinents obre una finestra d'oportunitat que els ciberdelinqüents no dubten a aprofitar.
Si bé és cert que diàriament apareixen noves amenaces a la ciberseguretat i acaben en atacs sofisticats, la majoria dels incidents s'aprofiten de les vulnerabilitats més fàcils d'explotar, ja que els ciberdelinqüents també apliquen les regles de mínim esforç i màxima rendibilitat. Com a resultat, aquelles organitzacions que s'afanyen a iniciar projectes sense avaluar i gestionar els riscos de ciberseguretat solen ser la presa més fàcil.
Per tant, és fonamental conèixer la postura de seguretat de les plantes específiques on es despleguen aquestes tecnologies. Disposar d'un inventari dels actius, coneixements actualitzats de l'arquitectura de la xarxa i una visió clara dels principals riscos als quals està exposada cada planta és el primer pas. A partir d'aquest punt, cal proposar un pla director de ciberseguretat que permeti mitigar els riscos identificats. Aquest pla ha d'identificar i prioritzar les solucions a desplegar, tenint en compte les necessitats específiques de l'organització i la rendibilitat que s'aconsegueix, mesurada en termes de mitigació de riscos. Els sospitosos habituals d'aquesta llista inclouen:
• La segregació de xarxes TI i OT, inclosa la definició d'un segment de xarxa a través del qual publicar serveis que necessiten connectar ambdós mons, comunament anomenat DMZ industrial.
• La segmentació de xarxes OT, per dificultar els moviments laterals en cas que un ciberdelinqüent aconseguís arribar a alguna de les xarxes industrials.
• Accés remot centralitzat per controlar qui, quan i què pot accedir
• Supervisió de seguretat per mantenir actualitzada la nostra visibilitat de l'entorn industrial, detectar possibles incidències i reaccionar ràpidament.
És important remarcar que aquestes solucions no es basen exclusivament en el desplegament de tecnologies. És fonamental interioritzar el seu ús en el dia a dia de l'organització, per la qual cosa ha d'anar acompanyat de la definició i implantació de processos que garanteixin l'ús correcte de la solució tenint en compte el factor humà, és a dir, la formació i sensibilització. dels empleats i altres usuaris, així com la usabilitat de la solució.
Perfil de Vicente Segura
Vicente Segura es Cap de Seguretat d'OT i IoT de Telefónica Tech. Enginyer de Telecomunicacions amb més de 20 anys d'experiència en Seguretat de la Informació. Durant la meva trajectòria professional he ocupat diferents llocs de treball (R+D, desenvolupament, consultoria), tot i que els darrers 5 anys he estat centrat en la gestió de productes i l'estratègia empresarial, que són les àrees que m'interessen més.