En los años recientes, los ciberataques a empresas con infraestructuras críticas de tecnologías operacionales (OT, por su sigla en inglés) se han disparado, con un aumento del 2.000%. Hablamos de organizaciones de la industria farmacéutica, fabricantes de automóviles, producción de petróleo, entre otras compañías, que basan gran parte de su operación en ambientes con aparatos y sensores conectados a Internet enviando y recibiendo información (Internet de las Cosas).
Ante las amenazas crecientes, la pregunta para muchos directivos se plantean es cómo asegurar el acceso remoto a la red de su organización, teniendo un gran número de operadores, subcontratistas y proveedores, sin utilizar una VPN, sin comprometer los procesos y la continuidad de la actividad, pero tampoco sin sacrificar la productividad.
Hay que tener en cuenta que los ambientes de OT sustentan procesos críticos que, en caso de verse comprometidos, podrían tener consecuencias catastróficas, incluida la pérdida de vidas humanas. Por lo tanto, existe una fuerte necesidad de que las organizaciones adopten soluciones y estrategias para asegurar sus entornos de tecnología según sus necesidades específicas, con el fin de protegerlos de posibles ciberataques.
Lo importante al respecto es saber en todo momento quién está haciendo qué en la red, desde qué endpoint y cuándo. Sobre todo, debe ser posible ejercer sistemáticamente un control granular completo del acceso, tanto on site como a distancia. Por eso, desde BeyondTrust indican que es clave seguir los siguientes consejos para proteger los entornos OT de las ciberamenazas.
- Establecer un marco de confianza cero (Zero Trust).
Hablar de confianza cero implica para las organizaciones saber qué su red siempre estará en riesgo y que se deben tomar las acciones respectivas para protegerse. Así, un marco de trabajo alineado con este pensamiento establece que, para proteger una red, primero hay que identificar a cada usuario y endpoint que se conecta y a qué datos. Esta es la base de cualquier marco de seguridad, incluida la confianza cero.
Entre las acciones que se deben realizar las empresas en este sentido se encuentran hacer una segmentación de red (separar el acceso a las aplicaciones del acceso a la red); microsegmentar a nivel de aplicación (para impedir que los usuarios descubran aplicaciones a las que no tienen permiso de acceso); definir un punto central de visibilidad y accesibilidad (para ver unificados los sistemas OT y los de tecnología); y supervisar y registrar todas las actividades de acceso remoto mediante la grabación en video de las operaciones en pantalla, la grabación de las pulsaciones de teclas, etc.
- Adecuar las herramientas de acceso remoto a los escenarios adecuados.
El uso generalizado del teletrabajo ha llevado a una adopción récord de las VPN. Infortunadamente, las VPN y otras tecnologías de acceso remoto como Protocolo de Escritorio Remoto (RDP, por su sigla en inglés) se utilizan más allá de sus límites normales y, por tanto, de forma imprudente. Esto es aun más devastador en las redes OT.
Por lo tanto, las VPN y los RDP deben eliminarse en estos escenarios, especialmente cuando existen accesos privilegiados y de terceros. Aunque son adecuadas para el acceso básico de empleados remotos a sistemas considerados no sensibles (por ejemplo, correo electrónico), las VPN no proporcionan la granularidad de control de acceso, visibilidad, escalabilidad o ventajas económicas que requiere el acceso de terceros o empleados remotos a dispositivos OT o de Internet de las Cosas.
- Entender la seguridad de TI frente a la seguridad de OT.
En la mayoría de las organizaciones, las normas y los acuerdos de nivel de servicio establecidos para los sistemas informáticos tradicionales no son válidos para el entorno del OT, lo que crea lagunas de seguridad y gestión. La gestión de la seguridad y el riesgo de los entornos OT no puede reducirse a la simple aplicación de las mejores prácticas de seguridad informática al sistema OT.
Por lo tanto, confiar simplemente en soluciones de consumo para el acceso remoto no basta para garantizar la protección de los entornos más sensibles. Además, la tecnología OT tiene un tiempo de obsolescencia mucho más largo que los sistemas informáticos. Aún hay entornos OT en los que proliferan sistemas que llevan instalados entre 20 y 25 años. En el mundo de la informática, los equipos rara vez duran más de cinco años. Como resultado, coexisten diferentes puntos finales para los que no existen parches o incluso actualizaciones debido a una potencia de cálculo insuficiente.
- Adoptar prácticas sólidas de gestión de credenciales privilegiadas, sin compartir contraseñas.
Las malas prácticas de contraseñas persisten en los entornos OT y siguen siendo una de las principales causas de compromiso. Es común que las contraseñas se compartan interna y externamente, y que el acceso no se limite a dispositivos o segmentos de red específicos.
Para reducir el riesgo, las organizaciones pueden implantar una solución de gestión de credenciales privilegiadas que permita un control total del acceso a sistemas y aplicaciones mediante la gestión de sesiones en tiempo real. De este modo, los administradores pueden registrar, bloquear y documentar cualquier comportamiento sospechoso con la capacidad de bloquear o cerrar sesiones.