ARQUITECTURA DE CIBERSEGURIDAD PARA INFRAESTRUCTURAS CRÍTICAS EN UNA EMPRESA DE PETRÓLEO Y GAS, BASADO EN LA ISA/IEC 62443-3-3
BENEFICIARIO
EMPRESA DE PETRÓLEO Y GAS
INTEGRANTES
- WILSON DE JESÚS GUEVARA GIL
- YURI LILIANA LÓPEZ BOHORQUEZ
- WILSON ARMANDO ROA MUÑOZ
AÑO
2024
PALABRAS CLAVE
OT, IACS, ISA62443, Ciberseguridad, Riesgos, Controles
CONTEXTO
En el contexto actual de creciente digitalización y dependencia de las tecnologías de la información, la ciberseguridad se ha convertido en un aspecto fundamental para garantizar la integridad, confidencialidad y disponibilidad de los activos críticos de las organizaciones. Especialmente en sectores críticos como el de petróleo y gas, las empresas enfrentan desafíos significativos en la protección de sus infraestructuras contra amenazas cibernéticas cada vez más sofisticadas y persistentes (Cerqueira Junior & Arima, 2023; Czachorowski et al., 2023; Kotsakis & Boukli, 2023).
Este trabajo se centra en generar e implementar controles de ciberseguridad específicamente diseñados para ser aplicados en sistemas de operación (OT) de infraestructuras críticas para una empresa del sector de petróleo y gas. El objetivo es fortalecer su postura de seguridad y mitigar los riesgos asociados a posibles ciberataques. Este proyecto se fundamenta en la imperativa necesidad de proteger los activos digitales y garantizar la continuidad operativa en un entorno altamente interconectado y expuesto a amenazas cibernéticas en constante evolución.
Mediante un enfoque multidimensional que incorpora las mejores prácticas, estándares y controles de seguridad pertinentes para la protección de sistemas de control y automatización industrial (IACS), se proporciona a las compañías una estructura coherente y efectiva para gestionar los riesgos de ciberseguridad, identificar vulnerabilidades en sus infraestructuras críticas y establecer mecanismos de respuesta ante posibles incidentes cibernéticos.
PROPUESTA
Este proyecto parte de la necesidad de una compañía de petróleo y gas que ha visto el creciente número de ataques cibernéticos hacia infraestructuras similares alrededor del mundo y la ausencia de definición e implementación de un marco de ciberseguridad robusto para proteger su propia tecnología; en caso de materializarse un evento de seguridad podría reflejarse en la pérdida de datos y la interrupción de sus operaciones, desencadenando pérdidas financieras y daño a la reputación.
Si esta compañía omite la implementación de un marco de ciberseguridad eficaz, es probable que sufra ataques cibernéticos, especialmente dado su plan de centralizar los datos de producción en la nube. Llegando a tener pérdidas de datos, interrupciones en la producción y posibles violaciones de las regulaciones de protección de datos.
En ese sentido, la implementación de un marco de ciberseguridad eficaz puede ayudar a proteger la infraestructura de futuros ataques cibernéticos, esto implica la adopción de estándares de seguridad reconocidos, la capacitación y concientización del personal en prácticas de seguridad, la realización de auditorías de seguridad regulares y la implementación de tecnologías de seguridad avanzadas. Además, se podría considerar establecer de forma interna o externa, un equipo de respuesta a incidentes de seguridad para manejar cualquier brecha de seguridad de manera efectiva.
RESULTADOS
La implementación del estándar ISA/IEC 62443-3-3, en los procesos operacionales de la organización, es una inversión estratégica con un retorno significativo en términos de seguridad, eficiencia, confiabilidad y confianza de los stakeholders. Si bien existen costos y desafíos asociados a la implementación, las ventajas a largo plazo son considerables y con seguridad generarán excelentes resultados.
La compañía actualmente tiene la preocupación de no contar con controles para mitigar los riesgos de la ciberseguridad derivados de la interconexión entre las redes de tecnología de la información IT y tecnología operativa OT, que se establece con el objetivo de tomar decisiones estratégicas. Por esta razón alinearse con el estándar permitirá proteger la infraestructura crítica de la compañía contra ataques cibernéticos que podrían tener graves consecuencias, incluyendo la pérdida de datos confidenciales y la interrupción del servicio, lo que podría afectar significativamente las operaciones comerciales y la reputación de la empresa.
La falta de segmentación de red en la infraestructura SCADA de la compañía evaluada representa una seria deficiencia en la seguridad de la red. Esto se debe a que todos los dispositivos utilizan el mismo segmento de red, lo que facilita el movimiento lateral de un atacante una vez que ha obtenido acceso inicial. Esta falta de segmentación aumenta significativamente el riesgo de compromiso de la red y podría exponer la infraestructura crítica de la compañía a amenazas cibernéticas.
La ausencia de controles de seguridad, como el bloqueo de puertos no utilizados, la limitación de direcciones MAC autorizadas y la ausencia de herramientas centralizadas para restringir el ingreso operativo y administrativo en los switches de acceso de la infraestructura, así como la carencia de una infraestructura de monitoreo de fallos y detección de intrusiones, revela una falta de medidas preventivas y de respuesta ante posibles amenazas cibernéticas en la red SCADA. Este vacío en la seguridad expone la infraestructura crítica de la compañía a riesgos significativos y podría permitir a los atacantes comprometer la integridad y disponibilidad de los sistemas.
La inexistencia de lineamientos claros para el control de acceso, la segmentación de red y aplicación de parches de seguridad en la infraestructura crítica de la organización pone de manifiesto la falta de procedimientos y protocolos establecidos para salvaguardar la integridad y confidencialidad de los datos, así como para mitigar las vulnerabilidades y riesgos de seguridad en los sistemas operativos. Esta ausencia de directrices adecuadas aumenta la exposición de la organización a posibles amenazas cibernéticas y debilita su capacidad para proteger sus activos críticos contra intrusiones y ataques maliciosos.
Al establecer interconexión de redes de tecnología operativa OT e información IT, surge la necesidad imperativa de abordar un análisis de riesgos. Este análisis es crucial para comprender y abordar los desafíos de seguridad cibernética que conlleva dicha interconexión. Entre estos desafíos se incluyen la exposición a malware, vulnerabilidades en sistemas que no han sido diseñados para estar expuestos a internet y posibles consecuencias graves en las operaciones críticas de la organización. Es fundamental que la empresa identifique, evalúe y monitoree estos riesgos para implementar medidas efectivas de mitigación y protección de sus activos críticos frente a posibles amenazas cibernéticas.
Para mitigar los riesgos identificados, es fundamental implementar medidas como la segmentación de redes, controles de acceso estrictos y la monitorización continua de la actividad de la red. Además, la colaboración y comunicación efectivas entre los equipos de OT y IT y transferir riesgos a proveedores especializados de SOC son esenciales para garantizar una respuesta rápida y eficaz a posibles incidentes de seguridad.
La norma ISA 62443-3-3 proporciona diferentes niveles de seguridad que pueden ser implementados y mantenidos en los sistemas de OT. Sus controles deben evaluarse y adaptarse a las necesidades puntuales y características de cada compañía con el objetivo de robustecer la seguridad.
Aunque la compañía cuenta con herramientas utilizadas actualmente en la red de tecnología de la información IT que pueden ser adaptadas y aprovechadas para el trabajo en las redes de tecnología operativa OT. en algunos casos, también puede ser necesario tercerizar tareas específicas para garantizar un despliegue efectivo de las soluciones de seguridad en la tecnología operativa OT.
La implementación del estándar ISA/IEC 62443-3-3, ofrece una guía muy completa para mejorar la protección contra las amenazas cibernéticas, de la compañía, sin embargo, es recomendable concientizar al personal sobre la importancia de la seguridad cibernética y fomentar un comportamiento responsable.