Seleccione su idioma

Ciberseguridad en tecnología operativa en automatización

automatización

Los sistemas de automatización de edificios requieren de importantes medidas de protección ante los riesgos latentes por seguridad y accesos no autorizados.

Por Levi M. Tully*

Las personas y la propiedad son primordiales para la misión de la mayoría de las organizaciones. Para reducir el riesgo, las organizaciones cierran las puertas para asegurar adecuadamente las instalaciones, prestan una atención significativa a la seguridad de las redes e infraestructuras de tecnología de la información (TI). Sin embargo, a menos que tomen medidas específicas para asegurar sus sistemas de tecnología operativa (OT), es muy probable que su personal y propiedad, junto con su preparación operativa, estén expuestos a un riesgo significativo.

Ocultos en las salas de máquinas y en los techos de los edificios modernos se encuentran complejos sistemas eléctricos y mecánicos que protegen la salud y el bienestar de las personas y las instalaciones a las que sirven. Un sistema de automatización de edificios utiliza redes de microprocesadores y sensores para monitorear automáticamente el entorno construido y manipular su equipo para equilibrar delicadamente un entorno interior saludable con un uso eficiente de los recursos.

- Publicidad -

Al igual que los sistemas de TI, los sistemas de automatización de edificios crean, procesan y almacenan datos electrónicos. Cuando un sistema de automatización de edificios se integra con sistemas e infraestructura de TI para monitorear y manipular procesos físicos, se convierte en un sistema OT.

Aunque similares, los sistemas OT difieren significativamente de los sistemas de TI. La lógica que se ejecuta en un OT tiene un efecto directo e inmediato en el mundo físico. Esta influencia puede presentar un riesgo significativo para la salud y para la seguridad de las vidas humanas, un daño grave al medio ambiente, un impacto financiero y una influencia negativa en la capacidad de una organización para ejecutar su misión (Stouffer et al., 2015).

El acceso no autorizado a los sistemas y datos de OT se explota con una frecuencia cada vez mayor para causar molestias a los inquilinos, interrumpir las operaciones de las instalaciones y dañar los equipos o las instalaciones (ASHRAE SSPC 135, 2020). Puede representar un riesgo significativo para la reputación de una organización. Así como protegemos los activos de TI del acceso no autorizado mediante la ciberseguridad, los sistemas OT deben proporcionar una protección acorde con los controles de seguridad ya establecidos en el dominio de TI. Estos controles deben ser acordes pero apropiados para las distintas necesidades de OT, que requiere protecciones que no son comunes en el ámbito de TI (Granzer et al., 2010; Boeckl et al., 2019).

El principio subyacente se conoce como endurecimiento, o el proceso de mejorar la seguridad de un sistema de información mediante la reducción de la exposición de vulnerabilidades. El riesgo no se puede mitigar por completo; el objetivo del endurecimiento es mejorar la misión o las capacidades comerciales mitigando el riesgo a un nivel aceptable (Stoneburner et al., 2004). Para los sistemas OT, esto significa preservar la integridad y disponibilidad de los datos.

Cada organización debe realizar una evaluación objetiva del impacto potencial en las operaciones comerciales normales en caso de un incidente OT y debe equilibrar los controles de seguridad con los requisitos de desempeño. Hay muchos recursos y estándares públicos y privados para la ciberseguridad integral de OT. Afortunadamente, el sentido común y algunos pasos simples pueden mejorar drásticamente la postura de protección de cualquier sistema OT.

Antes de que empieces
Un proveedor calificado respaldado por el fabricante del sistema está idealmente posicionado para brindar recomendaciones de diseño seguro que reduzcan las vulnerabilidades de su hardware y software. Solicite experiencia en fortalecimiento de OT como calificación del proveedor y trabaje en estrecha colaboración con un proveedor calificado para establecer pautas de fortalecimiento adecuadas para las necesidades de su organización.

- Publicidad -

Seguro por diseño
Articular medidas de protección de ciberseguridad adecuadas y criterios de aceptación durante la fase de diseño en lugar de durante la ejecución o puesta en marcha. Las redes de TI y OT son diferentes, con distintos requisitos de acceso, seguridad y rendimiento. Sus vulnerabilidades exponen la instalación y la preparación operativa a riesgos separados.

Considere segregar estos sistemas dispares en zonas de red dedicadas con un único punto de acceso y requisitos de seguridad comunes (ISA/IEC 62443, 2019). Esto mejora la seguridad y la resiliencia de las redes de TI y OT al tiempo que minimiza la interacción y las interdependencias. La separación física es ideal pero no estrictamente necesaria.

Durante la fase de diseño, desarrolle un plan de continuidad y de recuperación adecuado a las necesidades y recursos de su organización para un incidente de seguridad o de red. Designar una entidad que sea responsable de los planes, la ejecución y la respuesta de ciberseguridad de OT. Si esta no es la entidad responsable de la seguridad de TI, los dos deben coordinarse estrechamente (Stouffer & Pillitteri, 2021). Como mínimo, un plan de continuidad debe considerar lo siguiente:

* ¿Cuál es el proceso para mantener los activos parcheados y actualizados?
* ¿Cuál es la respuesta a un incidente o interrupción de la red? ¿Cómo se puede separar el OT de la red y operar de forma aislada?
* ¿Cuál es el proceso para la copia de seguridad del sistema? El respaldo frecuente y el almacenamiento seguro de las bases de datos OT, la lógica operativa y la configuración minimizan la recuperación y el tiempo de inactividad.

Implementación segura
Trabaje en estrecha colaboración con su proveedor para garantizar que se sigan las pautas de refuerzo durante la implementación. Hasta que estén protegidos adecuadamente, aísle los dispositivos integrados, las estaciones de trabajo físicas y virtuales y los servidores de las redes de producción e Internet.

Parchee y actualice los sistemas operativos y las aplicaciones utilizando los recursos del fabricante o una fuente confiable. Audite la configuración con el proveedor en el momento de la entrega y antes de la implementación.

- Publicidad -

El acceso directo a la red o Internet a través de dispositivos OT a menudo presenta una importante vulnerabilidad de seguridad y elude las medidas de autenticación y protección. Deshabilite o autentique cuidadosamente y supervise tecnologías como servicios basados en la nube, banda ancha móvil, Wi-Fi, LoRaWAN, Bluetooth y comunicación de campo cercano (NFC) que pueden proporcionar acceso no administrado o no supervisado a la zona de la red local o a Internet.

Los sistemas OT de protocolo abierto transmiten datos en texto sin formato utilizando procesos estándar definidos públicamente. Esto es crucial para la interoperabilidad entre componentes, pero plantea una importante vulnerabilidad de seguridad, ya que expone los datos a la manipulación. Las credenciales de usuario siempre deben cifrarse en la transmisión y el almacenamiento. La transmisión local de datos interoperables es aceptable para la mayoría de las aplicaciones. Sin embargo, cuando cruza los límites de la red, los datos deben cifrarse y debe implementarse un mecanismo para autenticar el origen y el destino.

El estándar de la Sociedad Estadounidense de Ingenieros de Calefacción, Refrigeración y Aire Acondicionado (ASHRAE) para la interoperabilidad de OT, BACnet, ha evolucionado para ofrecer una sólida seguridad de la información para el intercambio de datos en una amplia gama de entornos de TI (ASHRAE SSPC 135, 2020). El cifrado de datos BACnet a través de redes privadas virtuales BACnet y redes de conexión segura está ampliamente disponible.

La administración de cuentas de usuario representa simultáneamente uno de los mecanismos de control de acceso más efectivos y las vulnerabilidades más peligrosas para la seguridad efectiva de la red. Para garantizar la responsabilidad, a cada usuario se le deben asignar credenciales únicas y permisos apropiados según el nivel previsto de acceso e interacción del sistema.

Esto significa controlar cuidadosamente quién puede acceder al sistema, qué pueden ver y qué pueden modificar. La administración adecuada de la cuenta de usuario es bastante simple, pero a menudo se ignora o se da por sentado, y debe incluir los siguientes pasos:

* Deshabilite las cuentas de usuario públicas y predeterminadas.
* Habilite el cierre automático de cuentas de usuario inactivas.
* Minimice los administradores de superusuarios. Considere la posibilidad de autorización dual para que ningún usuario individual pueda cambiar los controles de seguridad o las credenciales.
* Considere un sistema de acceso basado en roles que clasifique a los usuarios por los permisos específicos requeridos para realizar las tareas diarias en lugar de las personas que realizan las tareas (Reliable Controls, 2019).
* Implementar el privilegio mínimo. Comience con confianza cero para cada rol. Agregue acceso y permisos solo cuando se demuestre que son necesarios para la eficacia operativa (Stouffer & Pillitteri, 2021).
* Aplicar una política de gestión de contraseñas razonable con la fuerza adecuada. Considere contraseñas que sean difíciles de adivinar pero fáciles de recordar. Los requisitos de contraseña innecesariamente complejos a menudo dan como resultado una mala higiene de la seguridad personal y contraseñas vulnerables (por ejemplo, registradas en notas Post-it).

Operación segura
A medida que el sistema entra en funcionamiento es importante hacer un inventario de los activos de OT. Documente los dispositivos que componen el sistema y cómo se utiliza cada activo. Identificar los activos más críticos. Compruebe y elimine todos los activos no autorizados. Es fundamental mantener una buena higiene de seguridad. Mantenga los activos actualizados y completamente parcheados.

Capacite a los usuarios sobre por qué la seguridad cibernética es una prioridad organizacional, sobre sus responsabilidades y sobre cómo buscar cosas fuera de lo común que pueden ser evidencia de un incidente de seguridad cibernética. Audite regularmente la actividad del operador y deshabilite las cuentas no utilizadas. Revocar el acceso que no sea estrictamente necesario. Deshabilitar cuentas inmediatamente cuando alguien deja la organización (Stouffer & Pillitteri, 2021).

La salud y el bienestar de las personas y las propiedades en el entorno construido dependen de sistemas mecánicos y eléctricos complejos que son críticos para la preparación operativa y consumen recursos significativos. La seguridad cibernética deficiente de OT es una amenaza clara y presente para nuestra gente y nuestra propiedad. Un enfoque reflexivo para la seguridad del sistema OT no tiene por qué ser oneroso o complejo.

Incluso una estrategia simple mejora las capacidades de la misión al mitigar el riesgo a un nivel aceptable. Correctamente operados y asegurados, estos sistemas aseguran la comodidad y el bienestar de las instalaciones y sus ocupantes.

* Levi M. Tully es vicepresidente ejecutivo de ventas de Reliable Controls Corporation en Victoria, Columbia Británica, Canadá. Puede comunicarse con él en [email protected].

Duván Chaverra Agudelo
Duván Chaverra AgudeloEmail: [email protected]
Jefe Editorial de las revistas AVI Latinoamérica, ACR Latinoamérica, Ventas de Seguridad, Zona de Pinturas, Aftermarket Internation, Gerencia de Edificios, TV y Video, y Director Académico en Latin Press, Inc,.
Comunicador Social y Periodista con experiencia de más de 18 años en medios de comunicación. Apasionado por la tecnología y por esta industria.

No hay comentarios

• Si ya estás registrado, favor ingresar primero al sistema.

Deje su comentario

En respuesta a Some User
Tecnología, eficiencia e innovación en el Precongreso HVAC Virtual 2025

Tecnología, eficiencia e innovación en el Precongreso HVAC Virtual 2025

Internacional. Como antesala del Congreso Académico de Refriaméricas 2025, se realizará el próximo 8 de julio el Precongreso HVAC Virtual, una jornada técnica gratuita que reunirá a expertos y...

Chile lidera con enfoque de género en cita regional sobre el Protocolo de Montreal

Chile lidera con enfoque de género en cita regional sobre el Protocolo de Montreal

Costa Rica. En el marco de la Reunión de Redes de Oficiales Nacionales de Ozono de América Latina, realizada del 17 al 19 de junio y organizada por el Programa de las Naciones Unidas para el Medio...

ASHRAE lanza su Plan Estratégico 2025–2028 para acelerar la transformación de edificios saludables y sostenibles a nivel mundial

ASHRAE lanza su Plan Estratégico 2025–2028 para acelerar la transformación de edificios saludables y sostenibles a nivel mundial

Estados Unidos. ASHRAE presentó oficialmente su Plan Estratégico 2025–2028, con el objetivo de impulsar un entorno construido más saludable, sostenible y resiliente. La hoja de ruta se centra en el...

Senado de EE.UU. aprueba proyecto de ley que elimina incentivos fiscales clave para el sector HVAC

Senado de EE.UU. aprueba proyecto de ley que elimina incentivos fiscales clave para el sector HVAC

Estados Unidos. El Senado de Estados Unidos aprobó este lunes en la noche un controvertido proyecto de ley que elimina cuatro incentivos fiscales utilizados ampliamente por la industria HVAC,...

Se anuncian los finalistas del CALA Awards 2025 a la mejor instalación HVAC/R en Latinoamérica

Se anuncian los finalistas del CALA Awards 2025 a la mejor instalación HVAC/R en Latinoamérica

Internacional. Los proyectos más innovadores y sostenibles en climatización y refrigeración han sido seleccionados como finalistas del CALA Awards 2025, el galardón más importante del sector HVAC/R...

Día Mundial de la Refrigeración: tecnología esencial para la vida moderna y el desarrollo sostenible

Día Mundial de la Refrigeración: tecnología esencial para la vida moderna y el desarrollo sostenible

Internacional. Cada 26 de junio se conmemora el Día Mundial de la Refrigeración, una fecha que busca reconocer el papel fundamental que desempeña esta tecnología en la salud, la alimentación, el...

Midea celebra su Partner Summit HVAC Latin America 2025 y presenta hoja de ruta para liderar el sector en la región

Midea celebra su Partner Summit HVAC Latin America 2025 y presenta hoja de ruta para liderar el sector en la región

Brasil. Con la participación de 170 representantes de 18 países, Midea llevó a cabo la segunda edición de su HVAC Latin America Partner Summit en el Grand Hyatt Hotel de São Paulo. El evento reunió...

Webinar: Bombas VMS en sistemas de circuito cerrado ventajas y desventajas

Webinar: Bombas VMS en sistemas de circuito cerrado ventajas y desventajas

Tema: Bombas VMS en sistemas de circuito cerrado ventajas y desventajas. Por: Héctor José Ordóñez A., Regional Sales Manager, Systems, Central America, Andean & Caribbean - Armstrong Fluid...

RefriAméricas 2025: disponible el programa académico y vigente el descuento en registro

RefriAméricas 2025: disponible el programa académico y vigente el descuento en registro

República Dominicana. A poco más de un mes de su realización, RefriAméricas 2025 continúa avanzando en su agenda. El evento, que se celebrará los días 23 y 24 de julio en Santo Domingo, República...

Nueva Junta Directiva liderará ADOMTRA para el periodo 2025-2027

Nueva Junta Directiva liderará ADOMTRA para el periodo 2025-2027

República Dominicana. La Asociación Dominicana de Técnicos en Refrigeración y Acondicionadores de Aire anunció la conformación de su nueva Junta Directiva para el periodo 2025-2027, elegida durante...

Suscribase Gratis
Recuérdeme
SUSCRÍBASE AL INFO-BOLETIN
¿REQUIERE UNA COTIZACIÓN?
ENTREVISTAS DESTACADAS
PATROCINADORES










ULTIMO BOLETIN
Ultimo Info-Boletin