Microsoft se lava las manos

Nuevo aviso de Microsoft para viejas y nuevas vulnerabilidades

Fuentes : Experiencia personal
Nota.- ** No está totalmente revisada la gramática aún **

Microsoft ha lanzado un nuevo aviso con recomendaciones sobre viejas y nuevas vulnerabilidades que afectan a plataformas antiguas.

https://technet.microsoft.com/library/security/4025685.aspx

Aunque el resonar de Wannacrypt se desvanece con el paso de los dias de forma tozuda la realidad demuestra que la industria española está muy expuesta a un problema grave de continuidad en su negocio.

Insistiré de nuevo, la solución es un plan de seguridad adecuado o cortar los cables ethernet con unas tijeras.

Javier G. Sáenz

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos

Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK

Wannacrypt, otro aviso más

Wannacrypt ha generado alarma y pánico, las grandes compañías con mayor o menor previsión pusieron en marcha planes previstos o extraordinarios para impedir la infección viral de este tipo de malware.¿ Que hemos aprendido ?

Fuentes : Experiencia personal
Nota.- ** No está totalmente revisada la gramática aún **

La respuesta para la mayoría de los casos es "se ha aprendido poco". Salvo aquellas empresas con una cultura y despliegue de seguridad bien aprendida y diseñada creo que el resto lo único que ha podido hacer es correr mucho para parchear el MS17-010 y rogar a los dioses.

Wannacrypt ha demostrado que una auténtica infinidad de ordenadores con Windows son vulnerables los 365 dias del año a un ataque tipo 0-day.

Como dice un mediático "hacker" : << ante un 0-day es imposible disponer de la defensa perfecta, siempre hay que pensar en minimizar los daños >>. Es un razonamiento bastante lógico dado que la propia naturaleza de un 0-day te avisa de que es algo nuevo e inesperado, te puede coger con los pantalones bajados.

Los constructores de fortificaciones de la edad media ( en España tenemos una amplia representación) ya conocían esta premisa del ataque sorpresa masivo. Por ello incluian una serie de mecanismos, artefactos y estratagemas para ir frenando, reducir la carga y evitar los intentos de intromisión al interior ( torres vigías externas, fosos, varios muros en paralelo, barbacanas, etc ).

El problema es que aún la mayor parte de las empresas con plantas industriales no solo no ven la exposición y vulnerabilidad de sus redes informáticas si no que no entienden que la continuidad de su negocio se ve comprometida si las redes industriales integradas en las redes informáticas convencionales son expuestas a un ataque tipo Wannacrypt o de cualquier otra índole dañina. Es como si una ciudad estado populosa, rica y estategica en un paso de comerciantes decidiera proteger solo el edificio del gobierno local y dejar sin protección el resto de la ciudad estado.

Como ya comenté en otro artículo, los directivos de las empresas siguen sin ser conscientes, o no quieren serlo, del problema que algún día les explotará en la cara. Muchos ejecutivos piensan que únicamente es un problema del area IT.

Culpa de la crisis económica es además el hecho de los recortes que se han ido practicando en estos últimos años en pos de salvaguardar los beneficios o meramente sobrevivir. Estos recortes no son inocuos y gratuitos, cada vez es más evidente la enorme cantidad de deficiencias causadas por este motivo en defecto ( ausencia de mantenimiento, obsolescencia y falta de mejoras ) o en exceso ( sobre explotación de los recursos limitados ).

Wannacrypt ha puesto de relieve muchas deficiencias : deficiencias de convergencia industrial-IT en el plano de las redes de comunicaciones, obsolescencia del parque informático y de software, dificultades en la gestión de parches críticos de seguridad, inexistencia de antivirus, etc.

El problema del parcheo

En los niveles de control o supervisión de una planta una amplia mayoría de dispositivos están basados en sistema operativo Windows. Microsoft regularmente tiene que sacar parches con aquellas partes de su sistema operativo que generan la posibilidad de acceso y escalado de privilegios a amigos de lo ajeno y por tanto de capacidad para hackers, malintencionados y malware de hacer daño. Pero el hecho de tener que aplicar regularmente parches al sistema operativo significa que ciertos comportamientos de este puede variar y como efecto colateral el de las aplicaciones que dependen de ello, es decir, nos podemos encontrar que tras un parcheo determinada aplicación deja de funcionar o funciona mal de forma incomprensible aleatoriamente.

Como norma general nos encontraremos que el fabricante o proveedor de la solución industrial se encoge de hombros y asegura que solo garantiza el funcionamiento actual pre-parche. La excepción son aquellos fabricantes serios que tienen un programa de testeado de parches de Microsoft respecto a sus productos. Sin embargo estos planes tienen sus limitaciones, si ya de por si Microsoft tarda un tiempo en reconocer una vulnerabilidad y sacar un parche, tenemos que sumar el tiempo de la verificación de aquella compañía de productos industriales y encima que lo haga a la versión y módulos que interesa al cliente.

En definitiva aplicar parches a los dispositivos con Windows en un entorno industrial es todo un reto casi imposible. Al final todo suele quedar igual que estaba si no llega a ocurrir una desgracia infecciosa o sus efectos son inapreciables.

Plan de seguridad, DiD

La solución al problema del parcheo y otros problemas de la convergencia es tener un buen plan de seguridad en el que se desarrollen medidas del tipo Defence-In-Depth que no es mas que una especie de compendio de estrategias y técnicas de defensa que nuestros antepasados de algún modo practicaron hace mas de cinco siglos.

Aplicar medidas en concreto y aisladas sin mantener una visión integral en conjunto de seguridad puede ser a todas luces ineficaz y con toda seguridad ineficiente.

El desarrollo de un plan de seguridad no es una labor obvia, sencilla o exenta de trabas. Es una labor costosa en tiempo, en esfuerzo creativo, en coordinación y en dinero que debe ser vista como una auténtica inversión de futuro. Es un objetivo que debe ser marcado por la dirección, ningún departamento en solitario puede llevarlo a cabo sin la ayuda/involucracion del resto de la compañía. Desgraciadamente hay que recordar la tópica disputa entre el área de fabricación y el área IT ( en el caso que este último exista como tal y con cuerpo presupuestario propio en la compañía ).

Una vez llegado el dia no deseado como en el pasado mayo se hace patente otra gran deficiencia de las empresas españolas, la capacidad de detección del problema, análisis y la gestión de una respuesta. Si antes he hablado de defensa también hay que dedicar espacio a la confrontación y recuperación. Un plan de seguridad tambien debe tener esto en cuenta: hay que pensar en tener un equipo técnico preparado para analizar la situación y especificar medidas, en tener planes de recuperación y de contingencia asi como procedimientos y protocolos. La comunicación y coordinación incluso muy bien pensadas previamente no serán puestas a prueba hasta la aparición de una crisis a no ser que se hagan incluso simulacros ( esto sería rizar el rizo y nunca he oido a una empresa que lo haya hecho ).

Las empresas que no hagan sus deberes en todos estos puntos se exponen no solo a los efectos dañinos de un ataque cibercriminal sino a sufrir el pánico, desconcierto y caos a modo de pollo sin cabeza. En este caso el resultado final esta en manos de tener buena o mala suerte.

En el caso de Wannacrypt hemos visto en prensa que una cervecera y un fabricante de coches se han visto afectados. Solo salir en la prensa ya es un importante varapalo a la imagen.

El parche de Wannacrypt

En este punto voy a dedicarle unas lineas al parche de Microsoft para dispositvos legacy, dícese principalmente de Windows XP y Windows 2003.

Microsoft de algún modo oficial y en contra de su política de fin de vida ha decidido sacar parche MS17-010 para XP y 2003. Pero los requerimientos son SP3 para XP y SP2 para 2003.

Es de agradecer, pero a ver que se hace con los que no cumplen los requisitos. Pues las opciones son :
- O se sube de Service Pack hasta cumplir con los requerimientos
- O no se instala el parche y se acomete otra contramedida como el ostracismo.

En el primer caso nos arriesgamos que tras la instalación de o instalaciones de los SP ( son varios cientos de megas de archivos que cambian una gran parte del sistema operativo ) nos encontremos que las aplicaciones ya no funcionan como debieran. En el mejor de los casos el fabricante se mojará y nos dará una opinión o recomendación, que probablemente sea la de "es un riesgo del cliente".

En el segundo caso nos obligará a prescindir de servicios remotos o incluso de la funcionalidad de lo afectado.

Existe una tercera posibilidad, analizar el parche y conocerlo mejor. Cuando lancemos el parche este descomprimirá el contenido en el raiz del volumen, es momento de cotillearlo.

Dentro de SPXQFE encontramos los archivos a reponer :

No me quiero extender, pero basicamente se repone el driver del servicio "Server" que provee de acceso a ficheros, impresion y named-pipe para comparticion en red.

Dentro del directorio update para el parche de Windows 2003 por ejemplo encontramos el archivo "update_SP2QFE.inf" que nos da mucha información. Entre ellas las siguientes lineas:
[Version]
Signature                 = "$Windows NT$"
LanguageType              = %LangTypeValue%
NtBuildToUpdate           = 3790
NtMajorVersionToUpdate    = 5
NtMinorVersionToUpdate    = 2
MaxNtBuildToUpdate        = 3790
MaxNtMajorVersionToUpdate = 5
MaxNtMinorVersionToUpdate = 2
MinNtServicePackVersion   = 512
MaxNtServicePackVersion   = 512
ThisServicePackVersion    = 512
CatalogFile               = %SP_SHORT_TITLE%.cat

Son los datos de verificación de versión. MinNtServicePackVersion limita la aplicación del parche a la versión en decimal 512 ( 200 en hexadecimal o versión 2.00) del Service Pack instalado. No probeis a modificar nada porque no será útil.

Más adelante vemos:
[SourceDisksFiles]
    SP2QFE\srv.sys=1
    SP2QFE\w03a3409.dll=1
[DestinationDirs]
    CopyAlways.System32.files=11    ; %windir%\system32 (copy even if don't exist)
    CopyAlways.Drivers.files=12     ; %windir%\system32\drivers (copy even if don't exist)
    CopyAlways.Cache.files=65619        ; %windir%\system32\DllCache (copy even if don't exist)

Es decir, tenemos la posibilidad de hacer una pequeña locura y probar a copiar por nuestra cuenta los archivos. El único inconveniente es el WFP ( Windows File Protection ) que repondrá el .sys original de modo inmediato. Se puede forzar a que se lo trague, basta borrar el archivo original cacheado que usa para reponer el sistema. Una vez hecho el WFP se dará por vencido y nos preguntará si queremos dejar el nuevo archivo desconocido. Si respondemos si y reiniciamos habremos instalado el parche en plan bruto maualmente.

Evidentemente nos hemos saltado a la torera el resto de tareas que se realizan en la instalacion del parche como es actualizar la información en el registro de Windows.

Podemos forzar el parche de Microsoft en Service Packs menores de un modo mas elegante, modificaremos una clave del registro, haremos creer al instalador del parche que el SP instalado es el que requiere :

HKLM\SYSTEM\CurrentControlset\Control\Windows\CSDVersion regdword

En el caso que el W2003 instalado solo tiene el SP1 aparecera el valor 100 hexadecimal en esta clave. Basta con poner 200 hexadecimal y el parche se instalará correctamente.

Tras el correspondiente reinicio podemos reponer la clave del registro a su valor original de 100 hex.

Ahora bien, hay que verificar que el nuevo driver funciona como debe en la versión forzada. Para ello lo recomendable es coger maquinas virtuales e ir probando.

En mi experiencia comprobé que Windows XP SP2 y Windows 2003 raso y SP 1 se tragan el parche correspondiente y el funcionamiento de comparticion de archivos e impresoras o algunos servicios que dependen de recursos administrativos en red ( como la consola de usuarios ) es correcto. Sin embargo Windows XP raso y XP SP1 no es compatible con este nuevo driver y el servicio lanmanserver no levanta.

Curiosamente este es el único riesgo que se corre, que el servicio Servidor (lanmanserver) no levante, es por tanto un riesgo muy delimitado y facilmente resoluble en el caso de atrevernos a forzar el parche.

Este ejercicio de "irresponsabilidad controlada" es un ejemplo de analisis técnico de un equipo de respuesta y como opción puede ser beneficioso ya que en el caso de ser admitido como solución aceptable entonces los equipos que no cumplen con los requerimientos de los parches legacy sacados por Microsoft podrán permanecer en la red protegidos de la vulnerabilidad enternalblue. En mi opinión es mucho más aceptable que dejar expuestos sistemas críticos de una compañia a la vulnerabilidad que ha lanzado a Wannacrypt a la fama.

Conclusión

Wannacrypt es otro aviso mas, no olvidemos el Conficker o Stuxnet y familia, Las mafias y otros grupos delictivos organizados han puesto los ojos en la industria.

Si eres responsable IT de tu compañía con una planta industrial informatizada procura aprender DiD.

Javier G. Sáenz

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos

Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK

Seguridad no es compatible con mantenibilidad y usabilidad

[ Publicado el 16 de septiembre de 2015]

La aplicación de estrictas medidas de securización incide inevitablemente en la facilidad de uso y mantenibilidad de las instalaciones. Además, la burocracia necesaria para mantener un alto nivel de seguridad contra ciberataques genera a veces sin quererlo otra auténtica amenaza contra la flexibilidad requerida en un mercado tan dinámico, cambiante y globalizado.

Fuentes : Experiencia personal
Nota.- ** No está totalmente revisada la gramática aún **

Si ya es difícil crear un auténtico plan de securización y más aun implantarlo en menos de 5 años se me antoja ya increiblemente complicado equilibrar el impacto sobre las operaciones y mantenimiento si el engrase necesario para montar este plan y llevarlo a cabo no llega al dia a dia del shopfloor.

Desgraciadamente la experiencia me dice que incluso por regla general la implantación de un plan de seguridad en planta es algo mas bien político cara a la galería. Soy muy crítico en este aspecto, si no existe una verdadera intención de implantar un plan de seguridad lo que se conseguirá es una realidad paralela y un falso espejismo a niveles en similitud de lo que considero la gran estafa del sellito de calidad 9001, al final solo se trabaja conforme a la norma 24 horas antes de la auditoria.

De modo que por una causa o por otra probablemente la gran inversión realizada para el plan de seguridad de la infraestructura IT de planta será agua de borrajas.

Despues las manos se van a la cabeza cuando ocurre una incidencia que inhabilita las lineas de producción durante 12 horas y un mes despues aún no se sabe que pasó, si una rata o si un firewall, entre otras cosas porque la propia seguridad implantada y su burocracia asociada evita la recolección de datos y el diagnóstico eficaz y rápido por parte de los técnicos. Simplemente pedir logs de un IDS o un firewall queda a la altura de solicitar al gobierno español detalles sobre el gasto en defensa.

Por ello, y concluyo, debemos pensar en lo que acarrea el hecho de cerrar con barrotes todos y cada uno de las posibles agujeros de nuestra vivienda en caso de incendio, evitaremos las amenazas de robo, pero difícilmente podremos escapar de las llamas.

Javier G. Sáenz

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos

Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK

Virtualización en la industria ¿ es buena idea ?.

[ Publicado el 15 de Septiembre de 2015]

La tecnología de virtualización ha madurado tras años de evolución en grandes entornos y sometidos a auténticas pruebas de uso masivo. Los entornos gerenciales y ofimáticos en estos últimos años han apostado fuertemente en la virtualización de los cada vez menos numerosos sistemas en propiedad. Ahora en la industria surge la controversia de su aplicación, ¿ Cumple esta tecnología con los requisitos tradicionales de la robustez y fiabilidad de la maquinaria industrial ? ¿ Hasta que punto es aplicable ? ¿ Realmente se reduce el TCO ?

Fuentes : Experiencia personal
Nota.- ** No está totalmente revisada la gramática aún **

Creo que la gran mayoría de nosotros venimos jugando con la virtualización "moderna" desde los albores de su aparición ( la moderna, la de finales de los 90 ). Aquellos años realmente era mas bien una prometedora tecnología mas que una verdadera solución empresarial a los niveles que la conocemos ahora.

Desde hace una década la solución de virtualización de hardware ha ido evolucionando hasta llegar a ser una solución madura y fiable que ha conseguido superar un sin fin de problemas técnicos, retos que diferentes compañias que ahoran nos son muy familiares han sabido resolver con ingenio.

 La gerencia, administración o simplemente la explotación de las empresas a través de las diferentes areas de su cadena de producción están ahora bajo infraestructuras virtuales o lo estarán pronto.

Me quedo con el siguiente parrafo comercial de la compañía VMWare :
"La virtualización puede aumentar la escalabilidad, flexibilidad y agilidad de TI, al mismo tiempo que genera ahorros significantes en los costos. Las cargas de trabajo se implementan con mayor rapidez, el rendimiento y la disponibilidad aumentan, y las operaciones se automatizan. Todo esto hace que la administración de TI sea más simple y que la operación y la propiedad sean menos costosas."
http://www.vmware.com/mx/virtualization/overview

Ciertamente una infraestructura con hypervisor de hardware entrega unas ventajas en cuanto a la gestión de la Capacidad impresionantes. El hecho de poder crear de la nada, desplegar o simplemente escalar en minutos máquinas workstations o servidores es simplemente genial. Montar pilotos de sistemas, sistemas paralelos de laboratorio, de respaldo... en fin, realmente la agilidad es mayúscula.

Y no se quedan ahí las ventajas que mas me atraen, el factor de disponibilidad anual de servicio puede llegar a 6sigma con una buena gestión de infraestructuras. Y no hace falta seguir con la retaila, sencillamente es una tecnología brillante.

Pero todo tiene su otro lado. Cuando ya hablamos de "reducción de costes" pues como que se me apetece ponerle unas comillas bien visibles. No niego que habrá quien sea capaz de conseguir un TCO inferior a los sistemas tradicionales físicos, pero no creo que sea la norma entre otras cosas porque pocos son los que calculan el verdadero TCO. Esto significa por ejemplo que se suele enfatizar la ventaja de reducir gasto en hardware pero por ningún lado constan los costes colaterales de administradores de sistemas "desactualizados" que no saben realmente lo que tienen entre manos.

-No se suele resaltar lo que supone una caida de un host aunque se haya montado un "cluster" de varios hosts ( ya se que cluster no es el término apropiado ).
-No se suele hablar del caos que se puede montar con un host y decenas de maquinas corriendo bajo una gestión de infraestructura ineficaz, deficiente o negligente.
-No se suele tener en cuenta las dificultades técnicas adicionales con las que se deben contar a la hora de diagnosticar problemas de rendimiento, máxime con densidades de maquinas virtuales grandes y heterogéneas. Si Windows por ejemplo nunca ha sido un kernel para tiempo real, bajo un hypervisor de hardware ahora ni por asomo.

La industria ya viene adoptando tecnologías IT desde hace mas de una década y con los indiscutibles avances y buenos resultados conseguidos ( basta pensar en la adopción servidores o de software MES o BI ) tambien han aparecido nuevos problemas entre los que destacan los problemas de seguridad o la falta de especialistas.

La virtualización moderna es otra maravillosa tecnología IT que muchos querrán vender o comprar con los ojos cerrados, sin más, sin haber realizados estudios y planes de implantación serios y reales.

La virtualización puede cumplir con los estandares de robustez y fiabilidad de la maquinaria industrial con la adecuada implantación, mantenimiento y personal. Sin duda puede aportar muchisimas ventajas, pero si no se hace con dos dedos de frente se convertirá en una pesadilla.

Aplicar la virtualización en la industria debe estar concienzudamente meditado en cuanto a donde y como, no es buena idea que este muy cerca del nivel de controladores electrónicos.

Y puede que, aunque no aparezcan los datos en ninguna maravillosa contabilidad analitica de los directivos, finalmente en su conjunto una infraestructura virtual sea mas cara que los sistemas tradicionales fisicos.

Javier G. Sáenz

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos

Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK

ITIL, TPM y la cultura de la gestión de procesos y calidad

[ Publicado el 25 de Junio de 2015]

Las recomendaciones de buenas practicas organizativas y de gestión son ya pilares fundamentales de cualquier empresa competitiva. La industria no es ajena a ello, de hecho se puede considerar como el origen de la gestión de procesos de calidad. ITIL para el área IT puede y debe integrarse en la industria con primos hermanos como puede ser TPM.

Fuentes : Experiencia personal
Nota.- ** No está totalmente revisada la gramática aún **

La calidad es un atributo muy importante para los clientes aunque quizás el significado para ellos es algo diferente a lo que se considera en lo que desde hace 50 años se ha llamado la revolución de la gestión de la calidad.

La calidad no es solo un factor diferenciador de competitividad meramente en cuanto a producto sino que ha permitido mejorar las estructuras organizativas hasta convertirles en maquinarias muy bien sincronizadas.

Aunque el tamaño de la industria va desde las microempresas a las grandes industrias en todas se ha integrado si o si las tecnologías de la información tanto en la gerencia como en el shopfloor.

Nos vamos a centrar en la factoría prototipo con al menos una cadena de fabricación. Desde la administración y planificación de la producción hasta el pie de maquina nos vemos con una serie de servicios informatizados que en mayor o menor grado está asegurado por un departamento con conocimientos IT. En compañías grandes los servicios IT se entregan desde un departamento ex-profeso quizás con cierto aislamiento del shopfloor y con una gran cultura en frameworks de gestión meramente de las tecnologías de información.

En toda factoría existen departamentos de mantenimiento eléctrico, mecánico e incluso de instrumentación que tienen que luchar no solo con temas inherentes a su naturaleza sino con las relacionadas con las tecnologías de la información. Estos departamentos últimamente están adoptando filosofías Lean Management en la que por ejemplo la gestión del mantenimiento preventivo es esencial.

La línea de evolución está condenada a converger aunque la mala relación entre departamentos aparentemente tan distintos como la de producción en fabrica y el area IT en el caso de las grandes industrias digan lo contrario.

Las areas IT mayormente entregan servicios, de ahí que la gestión de servicios (ITSM) centre su atención en organizar todos los procesos involucrados en la entrega de servicios al cliente de IT

TPM es una filosofía o herramienta para la gestión total de la calidad en las industrias que se parece muchísimo a herramientas ITSM ( de gestion de servicios IT ) como ITIL porque al fin y al cabo se basan en la mejora continua de procesos. Aunque en un lado se tienen servidores y en otro llenadoras los elementos involucrados no se diferencian mucho conceptualmente hablando.

Muchos profesionales vemos esa linea de convergencia y creemos en las sinergias de normativas como ITIL y TPM, auténticas oportunidades que bien llevadas a puerto podrían convertir a la industria mas compleja en maquinarías perfectamente engrasados y sincronizadas listas para responder al acelerador y al volante.

Javier G. Sáenz

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos

Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK

Business Intelligence para TPM y operaciones de producción.

[ Publicado el 18 de Mayo de 2015]

El análisis de prestación de servicio de la maquinaria, de tiempos de producción o de trazas de calidad al alcance de un click

Fuentes : Experiencia personal
Nota.- ** No está totalmente revisada la gramática aún **

Hace ahora aproximadamente 22 años que desarrollé el primer sistema informatizado de supervisión y seguimiento de averías en la antigua fábrica de Cruzcampo en la Avenida Andalucía. El ingeniero industrial  Don Alonso Javaloyes fué el encargado de diseñar y dirigir la implementación y puesta en marcha de tan visionario sistema único en España. La tecnología de campo que usamos fué creada por Weidmuller, un fiabilísimo sistema de adquisición de datos llamado Modulink basado en CPUs distribuidas y transmisión a dos hilos RS485. El software corrió a mi cargo usando Turbo C y ensamblador.

La información guardada en el antiguo formato Paradox no sólo permitió a los gestores del envasado analizar con precisión el perfil de entrega de servicio de las máquinas de las lineas de producción sino además mantener un estrecho vínculo entre los operadores de máquinas y el personal electromecánico.

Por aquella época vislumbré otro desarrollo que estaba instalado en las oficinas de envasado y que registraba la información de producción de las lineas. Pocos años mas tarde tuve la oportunidad de rehacer ese sistema que al parecer nunca llegó a funcionar bien.
El patrón se repetía aunque con otra tecnología diferente, esta vez la ET-100 de Siemens Simatic, una precursora de Profibus.
El software tambien lo desarrollé con Turbo C y probablemente si no fué el primero sería de los primeros MES (Manufacturing Execution System) que se hicieron en la industria española.
Además de registrar la información de producción generaba reports por turnos y periodos de producción además de mostrar análisis de paradas. Una gigante pantalla de leds rojos mostraba en tiempo real en la oficina de supervisores de envasado la producción de las lineas por turnos y totales de lotes.

Por aquella época también se empezó a integrar filosofias japonesas de mantenimiento y producción en la industria española. Tras lo 20 primeros minutos de una presentación de una consultora en un simposio en Sevilla ( aproximadamente alrededor de 1997-98 ) supe que los dos sistemas anteriores que he mencionado eran el nucleo de una de las principales herramientas para las actuales estrategias de gestión de calidad.

¿ Busines Intelligence ( BI )?

En estos años la inteligencia de negocio aplicada a fabricación ha seguido un desarrollo casi exponencial. Desde mi modesta aportación de hace mas de 20 años ha llovido mucho.

Estos últimos años he estado a cargo de sistemas de información de los que forman parte sistemas de inteligencia de prestigiosas compañías como Proleit, KHS, Krones o Mapex. Tras analizar estos sistemas dentro de mis tareas de administración y consultoría lo que pude comprobar es que en su mas oculto corazoncito está la idea que hace dos décadas unos españolitos pusieron ya en marcha con bastante éxito con RS485 y C.

Pero en esta ocasión la potencia que presta los buses de campo ultrarápidos y su integración en redes ethernet, los controladores industriales evolucionados tras décadas, la aplicación de servidores, almacenamientos en array, motores SQL de bases de datos y los cubos análiticos de procesamiento en linea permiten obtener una variedad de información impresionantemente útil para las tareas de producción y mantenimiento.

Principalmente conozco Analysis Service de Microsoft, ya sabemos que los de Redmond son especialmente hábiles en crear inmejorables productos para la empresa que fácilmente llegan a todo el espectro de profesionales por su horizontalidad.

Microsoft SQL Server es un motor SQL que en muchos aspectos supera a fantásticos productos como los míticos Oracle o DB2.

Business Intelligence es un conjunto de técnicas, procesos y herramientas aplicadas a los datos brutos adquiridos del shopfloor ( tanto puros de operaciones como de mantenimiento ) para obtener valiosa información que ayude y afiance la mejora continua de los procesos, o en otras palabara, Gestión de Calidad.

No solo será de inestimable valor para Calidad sino además para alinear al negocio con los constantes cambios del mercado.

¿ De verdad es útil Business Intelligence para mi fábrica ?

Sin duda, y no es que quiera vender la moto a nadie, es que aún sin ser estrambóticamente llamada por estas palabrejas anglosajonas, el tratamiento de los datos crudos ( raw data ) que obtuvimos hace veinte años y su transformación en información útil para la mejora continua de los procesos de fabricación y mantenimiento es vital para la industria de hoy y de mañana.

Vale, ¿ Y cuanto me va a costar ?

Tiempo, dolor de cabeza y dinero, como todo,  pero el resultado, si se hace bien, es muy beneficioso en estos mercados globales tan competitivos.

Lo primero es comprender realmente lo que es y lo que se quiere conseguir. Es el primer y gran fallo que he visto y comprobado durante años, la gerencia muchas veces no tiene ni idea de lo que pide o quiere o escucha pedir.
La alineación de todos los componentes del staff y mando intermedio debe ser perfecta, pero además, la alineación y comunicación de arriba abajo y abajo arriba.
Es muy importante obtener un buen servicio de asesoramiento, de esos que no van vendiendo la luna a 50 mil euros sino que se muestran profesionales sobre todo a la hora de entender lo que realmente el cliente necesita.

Puede que se pueda aprovechar el despliegue de tecnología existente o se necesite ampliar la adquisición de campo e incluso instalar desde cero. Se necesitará instalar sistemas de información y desplegar el sistema BI.

Desarrollar la personalización asi como probar, probar y probar. Formar al personal. Generar la pertinente documentación.

Y sobre todo, pensar que no solo es el proyecto de puesta en marcha sino que el sistema BI debe ser util para lo que se ha diseñado y por supuesto debe ser -> MANTENIDO.

Ay que penita de sistemas cuando pasan 4 o 5 años, y precisamente cuando el sistema BI pasa a formar parte del dia de la planta, algo tan valioso como la máquna de café. Incidencias tras incidencias que generan frustración y costes.

Es mas caro dejar unos sistemas (que por un lado hay que reconocer que requieren bajo nivel de mantenimiento ) a su bola hasta que pete que implantar un verdadero plan de gestion SSII que maximice la inversion y reduzca el TCO.

Conslusión

BI es una herramienta que no debe faltar en la industria española, que no debe faltar en tu fábrica si quieres reducir costes, aumentar la productividad y competir en los mercados en las mejores condiciones.

Javier G. Sáenz

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos

Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK

Active Directory en entornos industriales con IPCs y SCADAs

[ Publicado el 15 de abril de 2015]

Microsoft hacé algunos años nos "regaló" una inestimable herramienta para la gestión de los parques informáticos basados en sistemas Windows. ¿Que hay acerca de su uso en la industria ICS/SCADA?

Fuentes : Experiencia personal
Nota.- ** No está totakmente revisada la gramática aún **

¿Qué es Active Directory ?

Active Directory, o Directorio Activo en castellano, ha sido y es una herramienta de administración y gestión fundamental para entornos corporativos y de oficinas de un tamaño medio o grande basados sobre todo en Microsoft Windows.

AD ( Active Directory de aquí en adelante ) es un servicio de directorio que nos brinda una serie de cualidades de vital importancia cuando nos enfrentamos a inventarios de activos considerables o despliegues mas o menos complejos. Aunque no se podría definir una cantidad, ya que depende del profesional que estima las necesidades de la implantación de AD, quizas estableceríamos un número mínimo de uso de entre10-20 equipos, almenos dos sistemas de información diferente y un número de usuarios que por cantidad y diferencias requieren varios perfiles de seguridad.

¿Qúe es un servicio de directorio?

Actualmente un servicio de directorio tiene como principal misión ayudar a gestionar un inventario de equipos distribuidos a lo largo de una red telemática así como una seríe de recursos y otros aspectos de funcionalidad y seguridad.

Es una iniciativa que tiene ya más de una treintena de años con el primer objetivo de ofrecer una infraestrutura lógica para consulta de objetos y recursos a modo de "guía telefónica". Con ella se quizo además con el paso de los años no solo facilitar la gestión de inventarios de equipos e informacion de recursos distribuidos sino además permitir la interoperatibilidad multivendedor de sistemas interconectados que por aquellos años empezaba a florecer.

Active Directory es la evolución del mítico "dominio NT" y es otra implementación basada en estándares ya maduros como X.500 y posteriormente LDAP.

Existen otras implementaciones de otros fabricantes para otros entornos dentro del sector de los sistemas de informacion como eDirectory o Red Hat Directory Server.

Vale, ¿Pero qué es exactamente un servicio de directorio?

En el nucleo de un servicio de directorio nos encontraremos con una estructura organizada de la información de nuestro entorno en forma de base de datos. Por tanto, es este el objeto principal del servicio de directorio, la información.

Sobre esta bd se implantan los protocolos y aplicaciones a diferentes niveles que permitirán via consultas de lectura y/o escritura a la base de datos del servicio de directorio entregar una serie de servicios informatizados. Por ejemplo, la validación del acceso a una sesión interactiva de escritorio de windows necesita verificar la cuenta con la que se esta realizando el logon.

La información en directorio activo es flexible, por ejemplo una cuenta de acceso a dominio no solo puede contener los datos de validación como nombre y contraseña sino que ademas puede albergar datos de la persona física a la que está asignada una cuenta de acceso que permitirá a otros protocolos y servicios como Kerberos o Microsoft Exhange distribuir un mecanismo seguro ( encriptado ) para la gestión de la seguridad a recursos distribuidos o entregar servicio de correo.

¿Para qué nos sirve AD?

AD nos permitiría centralizar aspectos claves como :
- Seguridad,
   * Control de accesos a sesiones interactivas y validaciones de accesos a recursos distribuidos.
   * Gestión basada en distribución de politicas seguridad para el estableciemiento de las medidas de seguridad asi  como otras características controlables de forma centralizada.
   * Uso de perfiles basados en políticas de seguridad.
   * Recolección de auditorias
- Entrega de servicios básicos como distribución de direcciones IP (DHCP), resolucion de nombres ( DNS ), validación de accesos ( Kerberos ), impresión, recursos de disco compartidos, etc.
- Gestión de inventarios
- Cualquier funcionalidad nueva que cubra necesidades de negocio o tecnicas de las compañias y que aprovechen la ventaja fundamental de un servicio de directorio.

Muy bien, ¿ Y para que quiero yo AD en mi fábrica ?

Obviando que ya pudiese existir una instalacion y uso de AD en el entorno de oficinas de una fábrica, la instalación ( o ampliación ) y uso de AD para cubrir el inventario de activos informaticos de proceso basicamente nos permitirá llevar a cabo las tareas comentadas en el apartado anterior, en una palabra, organizar el posible caos.

El primer objetivo es el relacionado con la seguridad, a estas alturas ya no hay area de proceso de la industria que no esté conectada con internet aunque sea solo para que el fabricante italiano de soporte remoto, y evidentemente, se reduzca el coste de un contrato de soporte ( todos sabemos lo que cuesta que venga un técnico italiano o peor aún, alemán ).
Es necesario tambien poner orden en el acceso a los terminales de operador y SCADAs, limitar la responsabilidad de los usuarios de esa terminal tambien puede llegar a ser muy importante para la disciplina en operaciones y mantenimiento.
Esta implantación de seguridad centralizada de AD nos permitirá administrar remotamente los equipos sin tener que desplazarnos.

El segundo objetivo es desplegar servicios auxiliares que serán inestimables pilares de apoyo a aquellas industrias que cuenten con un numero de equipos grande. Por ejemplo el acceso a recursos compartidos como pueden ser unidades de red o impresoras.

El tercero es gestionar el inventario de equipos asi como he mencionado antes, administrarlos. AD no deja de ser una base de datos que nos permitirá por ejemplo almacenar o recuperar inestimable información para el dia que tengamos que hacer valoraciones contables o migraciones de tecnología.

El ultimo objetivo puede ser dotar a las areas de ventajas adicionales con servicios extras como puede ser el correo o cualquier servicio que pudiese hacer uso de la bd de AD, quizas un GMAO.

Ya he decidido que necesito AD en mi area de procesos de la fabrica... ¿ Y ahora ?

Bueno, no es tan sencillo implantar o administrar AD de la noche a la mañana. Lo primero es evidentemente comprender lo que he comentado en los apartados anteriores.

Lo siguiente es hacer un analisis concienzudo de lo que se tiene, de los objetivos a alcanzar, de los pros y los contras, la inversión necesaria o el coste total incluyendo el coste asociado a la administración, mantenimiento, o en definitiva, del ciclo de vida.

El entorno de proceso requiere de pericia a la hora de establecer politicas distribuidas de seguridad, es un entorno muy sensible a restricciones y cambios en productivo.

En general AD es una inestimable herramienta como digo en el título, pero tambien puede llegar a convertirse en un monstruo, un Godzilla descontrolado que convierta nuestros sistemas de información y nuestra vida profesional en una pesadilla.

Los españolitos de nuestra España estamos acostumbrados a montar bonitos proyectos que despues de algunos contratiempos y penurias de ingenieria conseguimos echar a andar, pero claro, sin la documentación pertinente y los procedimientos de manteniemiento pensados, porque todo nuestro afán ( o mejor dicho, el de nuestros clientes y jefes )  ha sido entregar cuanto antes el proyecto debido a las presiones que recibimos.

Tanto un proyecto de AD nuevo como de migración requiere una verdadera y auténtica gestion de proyecto, llámese Prince, PMBok o Rita la cantaora v4. INSISTO, AUTENTICA GESTIÓN DE PROYECTO.
Y sobre todo, una verdadera alineación de la gerencia o negocio con el area de ingeniería, pero lo que se dice una verdadera alineación, en los dos sentidos.

Si no es así lo que aseguro es que se verán llegar nubarrones de incidencias  y tormentas de problemas.

¿ Que problemas podemos encontrarnos con la administración de AD ?

Por un lado técnicos, y por otro lado ineherntes a nosotros los implantadores, administradores o usuarios.

AD es una tecnología muy madura y muy fiable, pero aún así no podremos evitar que esta tecnología evolucione y nos encontremos con un proyecto de migración. En este caso si no tenemos los deberes hechos y nos preparamos para el exámen final entonces suspenderemos.

AD es una tecnología compleja que necesita personal cualificado, y esto significa, cualificación con todas sus letras, no un aficionado que sabe montar tarjetas PCIs e instalar Windows XP.

Aparte de necesitar técnicos cualificados ( no tienen porqué tener veinte mil certificaciones rimbobantes ) se necesita almenos uno o dos ingenieros con dos dedos de frente que sean capaces de pensar con claridad, conducir por circunstancias complicadas o por ejemplo algo tan complicado como diagnosticar incidencias y problemas.

Finalmente, y como digo en el primer parrafo de este apartado, no hay que olvidarse del usuario, desde el operador de maquina hasta el jefe de seccion, desde los demasiado torpes a los demasiado listos, desde los demasiado colaboradores hasta los demasiado excentricos, críticos o saboteadores...

En resumen...

AD es una magnífica herramienta sobre todo para grandes compañías con grandes y complejos inventarios de sistemas de información pero que requiere como todo en esta vida la adecuada dedicación y disciplina si en definitiva queremos obtener beneficios y desarrollar los procesos y negocios.

Javier G. Sáenz

Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos

Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK