Riesgos cibernéticos en el ámbito de las tecnologías de la información: ningún sitio es demasiado remoto

¿Por qué está aumentando el riesgo cibernético en la tecnología operativa (OT)?

En todo el sector energético, desde las perforaciones en tierra o mar adentro hasta las explotaciones mineras o las instalaciones de energías renovables, casi todos los activos están ahora conectados las 24 horas del día, los 7 días de la semana. A medida que más operaciones industriales se conectan a Internet, las amenazas cibernéticas van en aumento. Los sistemas de TI están cada vez más integrados con la tecnología operativa (OT), y los fabricantes están incorporando sensores para recopilar datos. Esto mejora el funcionamiento de las instalaciones, pero también abre más vías para que se produzcan ciberataques.

Los operadores del sector energético están empleando una gama cada vez más amplia de herramientas para la recopilación de datos y el mantenimiento remoto, lo que aumenta los posibles vectores de amenaza para los atacantes, así como los ataques a la cadena de suministro de terceros. Los hackers atacan cada vez más objetivos del sector energético, ya sea con fines comerciales o con intenciones maliciosas. Al explotar vulnerabilidades sin parchear, a menudo comenzando con ataques de phishing o de ingeniería social contra los usuarios, los ciberdelincuentes pueden infiltrarse en los sistemas de TI y desplazarse lateralmente hacia entornos de TO, especialmente cuando las redes no están segmentadas adecuadamente. Las consecuencias pueden ser graves para la seguridad de las personas que trabajan en las instalaciones, para el medio ambiente y pueden generar pérdidas en la producción por valor de millones de dólares por minuto.

¿Cuáles son los riesgos para los equipos de TO?

La ciberseguridad es ahora tan crítica como la seguridad física. Los equipos de OT se enfrentan a riesgos que van desde la pérdida de control de las máquinas en las instalaciones, ralentizando o incluso deteniendo la producción, hasta graves problemas de seguridad, incluyendo poner en peligro a los trabajadores y al medio ambiente.

Muchas brechas no se deben a ataques maliciosos, sino a errores humanos, como conectar memorias USB infectadas o pasar por alto las actualizaciones rutinarias. En consonancia con esto, también es una práctica habitual que los fabricantes de equipos originales (OEM) utilicen su propio cortafuegos, lo que hace que los propietarios de las plataformas no vean el tráfico. Por eso, implementar medidas sólidas de detección y prevención de amenazas sin comprometer las garantías de los OEM es esencial para mantener la seguridad operativa y el tiempo de actividad.

¿Cómo puedo protegerme de este riesgo?

Los operadores del sector energético y de recursos deben asignar responsabilidades claras a lo largo del ciclo de vida de los activos.

Durante el diseño y la construcción

• Los contratistas de ingeniería y los fabricantes de equipos originales deben proporcionar una arquitectura segura desde el diseño
• Los entregables incluyen inventarios de activos, diagramas de zonas y conductos, directrices de configuración segura y capacidades de seguridad documentadas de los sistemas industriales
• Los fabricantes deben demostrar el cumplimiento de ciclos de vida de desarrollo seguros, de acuerdo con la norma ISA/IEC 62443

Durante la puesta en marcha

• Los operadores deben elaborar un plan de mantenimiento y operaciones de ciberseguridad que abarque la gestión de parches, el acceso remoto seguro, la gestión de incidentes y la supervisión de proveedores
• Las pruebas de seguridad de referencia (pruebas de penetración, evaluaciones de resiliencia y simulacros de conmutación por error) deben documentarse antes de la puesta en marcha

Durante las operaciones

• Los propietarios son responsables de mantener un programa de resiliencia cibernética que debe incluir actualizaciones periódicas de los inventarios de activos, la aplicación del control de acceso, los procedimientos para soportes extraíbles y las medidas de seguridad físicas
• Se deben mantener planes de respuesta a incidentes, simulacros cibernéticos y pruebas de la formación del personal para cumplir con los requisitos de los reguladores
   

¿Cómo puedo saber si mi equipo de TO es seguro y cumple con la normativa?

Saber si su equipo de TO es seguro y cumple con la normativa comienza con la visibilidad y la verificación. Necesita comprender claramente cada sistema de control y conexión en todas sus operaciones, respaldado por un inventario preciso de activos y una evaluación de riesgos para revelar qué es lo más crítico y dónde existen vulnerabilidades.

Combinar esto con una sólida segmentación de la red y un control de acceso preciso ayuda a mantener los sistemas aislados y seguros, mientras que las auditorías y pruebas periódicas confirman que sus defensas se ajustan a las normas pertinentes, como ISA IEC 62443, NIST 800-82 e ISO 27001. Una instalación totalmente conforme también depende de sus socios, por lo que es fundamental garantizar que los proveedores y contratistas sigan las mismas normas de seguridad.

Gracias a la supervisión continua, que proporciona garantías en tiempo real, los operadores y propietarios pueden demostrar con confianza que sus entornos de TO son seguros y cumplen con las exigencias normativas en constante evolución.

En consonancia con esto, las auditorías periódicas, las pruebas de penetración o las evaluaciones de terceros son fundamentales para mantener una postura segura y conforme a la normativa en los equipos de TO.

¿Es suficiente el cumplimiento normativo para garantizar la seguridad?

El cumplimiento normativo es solo el punto de partida. La verdadera ciberresiliencia requiere un enfoque continuo y proactivo que combine gobernanza, tecnología y concienciación.

Los propietarios y operadores deben colaborar con socios tecnológicos para garantizar que cuentan con prácticas de ciberseguridad eficaces, desde la red hasta los dispositivos y el personal. Existen soluciones para detectar amenazas cibernéticas contra los equipos de TO, combinadas con la segregación entre redes de TI y TO y la seguridad y el control en múltiples niveles.

En conclusión, dado que los riesgos cibernéticos de la OT siguen aumentando en los sectores de la energía, las energías renovables y la minería, es esencial adoptar medidas de seguridad integrales y operar de conformidad con las normativas regionales y del sector.

Al comprender los riesgos, implementar protecciones sólidas y mantener la vigilancia, los propietarios y operadores pueden ayudar a proteger sus operaciones contra las amenazas cibernéticas y mejorar la seguridad de su personal y del medio ambiente.

Con su presencia global, Marlink está bien posicionada para ayudar a los clientes a cumplir con las normativas locales y globales. Nuestro equipo de más de 150 profesionales de la ciberseguridad está listo para intervenir y evaluar, proteger y ayudarle a defenderse contra los ciberataques. 

¿Quiere asegurarse de que los sistemas OT de sus instalaciones de petróleo y gas, energía, energías renovables o minería cumplen con la normativa y están protegidos? Póngase en contacto con nosotros hoy mismo para hablar de cómo podemos ayudarle.