En el punto de mira: las infraestructuras críticas - Belt Ibérica SA

More documents

Recommendations

Info

El 80% admitía que los sistemas SCADA estaban conectados a redes IP o a Internet, a pesar de los riesgos que conlleva. Seguridad en sistemas SCADA 22 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra También creamos una escala de tasas de adopción de medidas de seguridad para los sistemas SCADA e ICS, basada en una lista de 16 medidas de seguridad y autenticación sobre las que se preguntó a los responsables de dichos sistemas. (Estas cifras deben interpretarse con precaución, debido al tamaño reducido de la muestra. Sólo 143 de 600 tenía responsabilidades en sistemas SCADA y se les preguntó sobre los sistemas SCADA de sus empresas). China (74%) volvió a liderar la lista, con una tasa de adopción de medidas de seguridad en sistemas SCADA/ICS, muy por delante de Australia (57%) y de Brasil (54%). El margen de las tasas de adopción de medidas de seguridad entre los distintos países era especialmente sorprendente. Las tasas de adopción de medidas SCADA/ICS más bajas correspondían a India y España (ambas con un 29%), y al Reino Unido (31%); lo que quiere decir que los operadores de sistemas SCADA/ICS chinos han adoptado casi tres veces más medidas de seguridad clave que los operadores indios y españoles. En una posición intermedia se situaban Estados Unidos y Japón, con tasas del 50%, seguidos por Francia, Rusia, Alemania y Arabia Saudí, en el rango de más del 40%, y, a continuación, Italia y México, con un 38 y un 35%, respectivamente. Algunas herramientas, como las listas blancas de aplicaciones y SIEM, parecían haberse adoptado más ampliamente en los sistemas SCADA/ICS que en las redes de TI. Los directivos, por lo general, admitían la existencia de altos niveles de conexión de los sistemas SCADA a redes IP o a Internet, a pesar de que son ampliamente conocidos los riesgos que conlleva. El 76% de los encuestados con responsabilidades en sistemas SCADA/ICS reconocieron que sus redes estaban "conectadas a una red IP o a Internet". Casi la mitad de los conectados, el 47%, admitieron que dicha conexión creaba un "problema de seguridad no resuelto". Según un veterano directivo del sector de la seguridad de TI, las conexiones a las redes IP generan una vulnerabilidad, ya que pueden permitir a usuarios no autorizados el acceso a los sistemas clave de infraestructuras críticas. "El diseño original de SCADA no suponía que los sistemas de control quedarían desprotegidos en las redes en las que hay personas que no son de confianza y que tienen al menos algún nivel de acceso a ellos". Una buena parte del software SCADA se escribió "hace bastante tiempo y no se ha modificado desde entonces". Los sistemas "no emplean las plataformas más modernas, por lo que aún tienen las vulnerabilidades que se han ido descubriendo en este tiempo". Los sistemas SCADA suelen ser una combinación de hardware y software, por lo que no se pueden actualizar como el software habitual y su sustitución resulta "extremadamente compleja y costosa", según este experto. No hay "ningún mecanismo para revisar el sistema y realizar las modificaciones oportunas una vez que se descubren vulnerabilidades".
Según un especialista en ciberseguridad del sector energético, los sistemas SCADA "se desarrollaron como entornos técnicos" con escasas funciones de seguridad. Normalmente son "abiertos y difíciles de proteger". Algunos expertos manifestaron que las redes SCADA/ ICS simplemente no deberían conectarse a Internet, y punto. "Los sistemas de control deben poseer su propia infraestructura dedicada y no deben conectarse a un Internet abierto", afirmó un especialista del sector del transporte, que agregó que él creía que en ocasiones el motivo por el que se conectan las redes ICS a Internet es "simple comodidad". En cierto sentido, el gusano Conficker, que se propagó por Internet, ha sido una llamada de alerta, agregó el especialista del sector energético. "Se observó en lugares que despertaron una preocupación real sobre cómo había conseguido llegar ahí". Sin embargo, los expertos también dijeron que existe una mayor concienciación acerca de las vulnerabilidades de los sistemas SCADA, lo que confirmaron los datos del estudio. Según el especialista en transportes, "para ser realistas, si hace cinco años hubieras ido a las empresas clave de este sector, o de cualquier otro, y hubieras hablado con los responsables de la ciberseguridad (...) probablemente no conocían los sistemas de control y, en muchos casos, ni siquiera sabían que existían, qué eran o cómo funcionaban; simplemente no eran competencia del personal de ciberseguridad ni de los responsables de TI de estas empresas. Pertenecían al ámbito del personal de explotación y no se le prestaba absolutamente ninguna atención a la ciberseguridad". Según la conclusión de este especialista, "Probablemente se puede decir que todos seguimos poniéndonos al día". El 92% de los responsables de los sistemas SCADA indicaron que se supervisaban de alguna forma. Las medidas de seguridad más ampliamente adoptadas eran las herramientas de análisis de comportamiento de la red (62% en general); China (100%), Reino Unido (78%) y México (75%) eran los principales países que habían implementado estas herramientas. Un 59% de los encuestados utilizaban registros de auditoría; Alemania (90%) y China (82%) mostraban las tasas más altas. Sólo el 8% dijeron no haber supervisado las nuevas conexiones IP realizadas a sistemas SCADA/ICS. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 23
Page 1 and 2: En el punto de mira las infraestruc
Page 3 and 4: Introducción y contexto del estudi
Page 5 and 6: Las redes y los sistemas de control
Page 7 and 8: En 2007, el Informe anual sobre Cri
Page 9 and 10: Porcentaje que informó de ataques
Page 11 and 12: "El agua potable es algo que la may
Page 13 and 14: 100% 80% 60% 40% 20% Arabia Saudí/
Page 15 and 16: Los recortes en los recursos de seg
Page 17 and 18: Recortes en los recursos de segurid
Page 19 and 20: Confianza en que los servicios púb
Page 21 and 22: Adopción poco generalizada de algu
Page 23: China en un extremo e India en el o
Page 27 and 28: Los ejecutivos de TI califican a Es
Page 29 and 30: "implementado nuevas políticas, pr
Page 31 and 32: Porcentaje que se había sometido a
Page 33 and 34: Porcentaje que eligió a EE. UU., C
Page 35 and 36: En lo que se refiere a estrategias
Page 37 and 38: Más de la mitad afirmó que sus or
Page 39 and 40: Como las infraestructuras críticas
Page 41 and 42: Los datos muestran una relación ex
Page 43 and 44: Notas 1 La encuesta se llevó a cab

En el punto de mira: las infraestructuras críticas - Belt Ibérica SA

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?