Las empresas cuyo negocio se basa en los procesos industriales históricamente disponían de dos entornos tecnológicos muy diferenciados y totalmente separados.
Por un lado, los sistemas de información ubicados en la red corporativa de IT (Information Technology), como base principal para proporcionar datos e información que ayuda a los gestores a tomar de decisiones empresariales, y por otro lado los sistemas de control industrial ubicados en la red industrial de OT (Operational Technology), que sirven para controlar los procesos industriales.
Debido a su naturaleza y objetivos tan diferentes, los responsables de gestionar cada entorno generalmente han sido personas con perfiles muy distintos. El mundo IT gestionado por personal informático, y el mundo OT gestionado por ingenieros industriales.
El camino de ambos entornos, a lo largo del tiempo, han seguido diferentes ritmos y estrategias en materia de seguridad, y si nos fijamos por un momento en la ciberseguridad industrial, el mundo de IT hace ya mucho tiempo que tuvo que empezar a protegerse de las amenazas provenientes del exterior, mientras que el mundo de OT no tuvo necesidades especiales de protección en ese sentido, pues su propio aislamiento con el exterior les hacía en sí mismo entornos seguros.
No obstante, desde hace ya unos años, con la irrupción de la digitalización y la Industria 4.0, la inclusión de elementos IIoT (Industrial Internet of Things), la necesidad de obtener datos de los procesos industriales e incorporarlos en forma de información para ayudar a la toma de decisiones empresarial, ha pillado con el pie cambiado a los responsables de IT, ya que para poder abordar proyectos, por ejemplo, de BigData o Inteligencia Artifical, es necesario conectar la red IT y la red OT, y por tanto es esencial proteger la red OT tal y como se hizo en el pasado con la red IT, estableciendo un puente entre ambos mundos, hasta ahora inexistente.
Sin embargo, el proceso no es fácil, y supone un reto en sí mismo. Por un lado, los sistemas propietarios conectados a la red OT son muy dependientes de unos pocos fabricantes que hasta hace no mucho tiempo no evaluaban las vulnerabilidades de sus sistemas en materia de ciberseguridad industrial, y por otro lado suele existir un gran desconocimiento por parte de IT de los elementos conectados en la red OT. No puedes proteger algo que no sabes que existe.
Las organizaciones criminales son muy conscientes de estas circunstancias, y en la actualidad están atacando a las empresas donde más les duele. Paralizar o manipular entornos industriales provoca un impacto inmenso, y saben que las empresas están dispuestas a pagar grandes sumas de dinero por recuperar el control y la continuidad de negocio.
Por tanto, seguir como hasta ahora no es una opción. Empezar por realizar un inventario exhaustivo de los elementos conectados a la red industrial y mantenerlo actualizado es sin duda el primer paso hacia la seguridad industrial, pero obviamente no podemos quedarnos ahí. Es esencial diseñar una estrategia en ciberseguridad industrial, que atienda a las particularidades de la red OT, pero que además se incorporase a la estrategia de ciberseguridad de la organización donde existan medidas de preparación, prevención, detección y respuesta a incidentes de seguridad para ambos mundos, cuyo destino no volverá a estar separado. IT y OT están obligadas a seguir el mismo camino y el mismo ritmo en la adopción de las medidas de gestión de la ciberseguridad.
