Principios de seguridad. Visión desde IT y desde OT.

En el ámbito de la Seguridad de la Información se definen fundamentalmente tres principios básicos: Confidencialidad, Integridad y Disponibilidad.  Aunque es cierto que también podemos considerar otras propiedades como "no repudio", "autenticación", "trazabilidad", etc., vamos a centrarnos en estos tres principios fundamentales, conocidos en inglés como "CIA triad" (tríada CIA, por Confidentiality, Integrity, Availability).

• La Confidencialidad permite limitar el acceso a los datos de modo que sólo las personas (o recursos) autorizados puedan acceder a la información.

• La Integridad garantiza que la información sea correcta, sin errores y que no pueda ser modificada sin permiso.

• La Disponibilidad asegura que la información está accesible en un momento preciso y para las personas que la necesitan.

En los sistemas IT corporativos -los que se ocupan de los sistemas y el software de "negocio" (ERP, Base de datos de clientes, CRM, ...)- la puesta en práctica de los principios de la tríada CIA viene cumpliéndose en ese mismo orden de importancia: Confidencialidad, Integridad, Disponibilidad. Cuando hablamos de protección de la información, es habitual -por ejemplo- que una de las primeras medidas a implementar sea el cifrado de datos (medida directamente relacionada con la Confidencialidad).

Ahora bien, cuando nos adentramos en el área de seguridad de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) la perspectiva puede ser diferente.  Los sistemas ICS están formados por dispositivos y redes que controlan los procesos industriales, y entiéndase aquí el término "industrial" en su sentido más amplio.  En concreto, para el caso que nos ocupa, podemos pensar en cualquier Infraestructura Crítica como Energía o Transportes, o en los dispositivos relacionados con "Internet of Things" (IoT) o en todo lo relativo a Smart Cities, por ejemplo.

Al área que se encarga de los ICS la denominamos OT (Operational Technology) y comprende los dispositivos, las redes y el software relacionados con la monitorización y el control de los procesos industriales.

Tradicionalmente, el área de OT ha vivido aislada del área de IT (y viceversa), pero en la actualidad, en la era de lo "Smart", del "IoT", de los sistemas SCADA. etc. se está produciendo una aproximación entre ambas áreas en lo que se denomina "Convergencia IT/OT".  Esta convergencia no es tarea fácil y uno de los retos a superar es la diferente visión de los principios de seguridad según el punto de vista de cada área.  Si para los equipos de IT (de soporte al negocio) prima la Confidencialidad sobre las otros principios de seguridad, para los ingenieros o técnicos de OT (de "planta") el orden de importancia de la tríada CIA es absolutamente opuesto: Disponibilidad, Integridad, Confidencialidad, primando por encima de todo la Disponibilidad.

El gráfico representa la inversión de las prioridades en cuanto a seguridad según se trata del área de Sistemas de IT o de Sistemas de OT.  Para los de Operaciones (OT) lo más importante es mantener el proceso industrial en funcionamiento, ya se trate de una cadena robotizada de producción; una red de suministro de energía, o de agua potable; o del sistema de control de una red de semáforos inteligentes.  La carencia de Disponibilidad podría derivar en una pérdida de control sobre el proceso o que se detuvieran las operaciones, con los consiguientes riesgos que ello implicaría tanto para la seguridad del sistema como para la seguridad física de las personas o los efectos en el medioambiente.

Actualización de la guía de seguridad para Sistemas de Control Industrial del NIST

El NIST (National Institute of Standards and Technology) acaba de publicar la segunda revisión de su "Guía para la Seguridad de los Sistemas de Control Industrial (ICS)".  El NIST es una agencia del Departamento de Comercio de los Estados Unidos que cuenta con una división denominada "Computer Security Resource Center" (http://csrc.nist.gov) quien se encarga de proveer recursos sobre seguridad de la información y elaborar guías y estándares tanto para el gobierno como para la industria.

Según nota de prensa del NIST de la semana pasada, esta revisión «incluye una nueva visión sobre como ajustar los controles de seguridad IT tradicionales para adaptarlos a los requisitos de rendimiento, fiabilidad y seguridad de los sistemas industriales (ICS), así como algunas actualizaciones en los capítulos de amenazas y vulnerabilidades, gestión del riesgo, prácticas recomendadas, arquitecturas y herramientas de seguridad».

Los Sistemas de Control Industrial (ICS, por sus siglas en inglés) engloban tanto el hardware como el software de los equipos de control de procesos, incluyendo sensores, actuadores, sistemas de control distribuido (DCS), autómatas programables (PLC) o sistemas de control y adquisición de datos (SCADA).

Tradicionalmente, los sistemas ICS se basaban en plataformas propietarias, aisladas y con limitadas posibilidades de actualización.  Hoy en día estos sistemas están intercomunicados con finalidades de monitorización o de operación remota desde los grandes centros de control, por lo que están dotados de conectividad a Internet.  Esta conectividad ha puesto de manifiesto las vulnerabilidades y amenazas que se ciernen sobre ellos, viéndose agravadas en los casos de que tales ICS formen partes de sistemas considerados Infraestructuras Críticas (suministro de energía, telecomunicaciones, sistema público de salud, etc.)

Las medidas -y herramientas- de protección que utilizamos en las áreas de IT (antivirus, Firewall, IDS, ... incluso políticas y procedimientos) están diseñadas para una infraestructura de IT "de negocio" o "de soporte al negocio" pero no son útiles para un entorno de operaciones industriales (OT, por las siglas en inglés de Operational Technology).  Esta actualización de la guía del NIST pretende adaptar los controles de seguridad IT para establecer una convergencia entre ambos entornos: IT/OT.

La guía "NIST SP 800-82, Revision 2, guide to industrial Control System (ICS) Security" puede descargarse desde aquí [PDF, 3,78 MB, 247 pág, EN]:

http://dx.doi.org/10.6028/NIST.SP.800-82r2

Presentación del Observatorio de Ciberseguridad, Derechos y Libertades (OBCIBED)

El pasado 30 de abril, en la sede del Instituto de Ciencias Políticas y Sociales (ICPS) en Barcelona, tuvo lugar la presentación institucional del "Observatori de Ciberseguretat, Drets i Llibertats" (OBCIBED).

El Observatorio es una iniciativa que parte del grupo de investigación "Libertad, Seguridad y transformaciones del Estado" (LTSE) de la Universidad Autónoma de Barcelona (UAB) y cuenta también con el apoyo y la colaboración de ISACA Barcelona.  Engloba a un colectivo multidisciplinar de profesionales provenientes de los ámbitos de la seguridad de la información, la ciberseguridad, la práctica jurídica, seguridad pública y privada y las ciencias políticas.

Los OBJETIVOS del Observatorio son:

• Observar, analizar e informar sobre la ciberseguridad y su relación con los derechos y libertades fundamentales.
• Contribuir al respeto de los derechos humanos frente a la ciberseguridad.
• Analizar y estudiar el concepto de ciberseguridad y su impacto en la seguridad y defensa nacional e internacional, tanto en el sector público como en el privado.
• Promover una gestión y gobierno de la ciberseguridad riguroso, transparente y democrático.
• Crear espacios de reflexión y diálogo en relación al equiibrio entre ciberseguridad, derechos y libertades.
• Formar, capacitar y concienciar sobre ciberseguridad, derechos y libertades.
• Aportar una visión holística y transversal contemplando todas las perspectivas: jurídica, tecnológica, organizacional y social.

Para alcanzar estos objetivos cuenta con un Consejo de Dirección, un Consejo Asesor y un equipo de colaboradores que está abierto a cualquier profesional interesado en aportar y participar en las actividades del grupo: emisión de informes y publicaciones científicas cobre ciberseguridad, derechos y libertades; difusión de las investigaciones; docencia; organización de cursos, jornadas, seminarios o congresos; asesoramiento científico y técnico, etc.

El acto fue presentado por Joan Marcet (Director del ICPS) y contó con la intervención de tres de los miembros del Consejo de Dirección del OBCIBED: Joan Lluis Pérez Francesch (Director del grupo LSTE de la UAB), Josep Cañabate (Profesor de la Facultad de Derecho de la UAB) y Xavier Rubiralta (Responsable de Seguridad de la Información de la UAB).

Esperamos poder conocer pronto los frutos de esta iniciativa y que llegue a convertirse en un espacio de referencia en el estudio y análisis de la ciberseguridad y los derechos y libertades.

Acto de presentación del OBCIBED (30/04/2015)

Tendencias en ciberataques

En el blog de IT Governance (http://www.itgovernance.co.uk/blog/) publican cada mes una lista de los principales incidentes y ataques de seguridad sufridos durante ese mes por las principales compañías y organizaciones en todo el mundo.

 

A final de 2014 publicaron el listado, a modo de resumen, de los principales ataques del año.  He aprovechado ese listado para realizar un breve análisis de lo acontecido en 2014 y cuáles serían las tendencias para este año.  Por supuesto el listado no es exhaustivo -ni mucho menos mi análisis- pero recoge los principales incidentes o, al menos, los que han tenido mayor repercusión (en estados Unidos).

Si analizamos la finalidad de los ataques se observa que el objetivo de los mismos es principalmente el robo de información, siendo minoritarios los casos de defacement (Microsoft, por ejemplo) o DoS (caso Code Spaces que se vio obligado a cerrar).

En este sentido, los robos de información se centran en obtener los datos de clientes o usuarios: nombres y apellidos, cuentas de correo, contraseñas o hashes de contraseñas y tarjetas de crédito; aunque también son apetecibles datos de empleados o datos correspondientes a la compañía (o sus directivos), en este último caso con finalidades de espionaje industrial (la compañía alemana de aeronáutica y armamento DLR (German Aerospace Centre)) o extorsión (caso Domino's Pizza).

Tipología de los datos sustraídos (%)