[ Publicado el 9 de febrero 2011 ]
Interesantísimo encuentro tecnológico en la que se alternaron ponencias con información muy relevante para el sector industrial y de las tecnologías de la información. Hubo a mi parecer un error de enfoque generalizado en los ponentes.
Fuentes : CNPIC
A finales del año 2010 se realizó un foro o encuentro en la que se habló sobre la protección de las infraestructuras críticas y la vulnerabilidad de los sistemas ante amenazas como Stuxnet o la conectividad WAN poco estricta.
Recomiendo a todo aquel involucrado en el sector del control industrial, en producción/dirección de planta y en el sector IT que lo vea porque es muy interesante. Además está aderezado con material de monólogo chistoso ( en cualquier caso soy un seguidor del autor de la presentación "enriquecida" ).
Aparte de una revisión de las iniciativas legislativas desde europa y su trasposición a nuestro pais varias ponencias centraron su contenido en los sistemas de control que gestionan los procesos continuos o discretos de industrias estrategicas. Me llamó la atención que algunos ni siquiera se molestaron en traducir las presentaciones al español.
A muchas industrias las están llamando a filas y tendrán que ponerse al día en materia de ciberseguridad en cuanto sea una realidad la Ley que se espera en breve.
Pero no solo quedará ahi porque detrás hay una legión de ingenierías y talleres que deberán ponerse las pilas.
Creo modestamente que el enfoque, el único enfoque por cierto, usado en este encuentro no es el apropiado. Varias ponencias se "recrearon" delante de un público afín de la implantación a medias, o de una forma llamemosla "torpe" o a "destiempo" de las tecnologías de información realizadas en la industria.
Hubo tantos detalles que chirriaron que me daría para varios artículos, pero me quedo con algunos detalles.
La chica de Deloitte habló de la inversión de la famosa pirámide CIA, confidencialidad, integridad y disponibilidad. Inversión respecto ¿ a que ? pues según dicen los informes ISA, de donde se ha copiado, respecto a la consideración de IT de corporación de dar mas relevancia a la confidencialidad que a la disponibilidad. No se, creo que los tres parámetros son igual de importantes, por algo estan los cluster, el balanceo, las SAI, los RAIDS, las copias de seguridad y los servicios 24/7.
Es cierto que en planta la disponibilidad de las máquinas se ha relacionado tradicionalmente y de forma directa con la "productividad" de las lineas, mas aún con el constante incremento de la presión de los mercados debido a su globalización para los que se han tenido que desarrollar y afinar filosofías como la JIT. Pero igualmente lo es la implantación progresiva durantes estas ultimas decadas de las metodologías de calidad, planificacion, gestión de recursos o seguridad en maquina.
Es decir, la industria ha seguido unas lineas de investigación relacionadas con la producción en planta en la que la confidencialidad queda relegada a políticas menos estrictas. Implantar medidas de seguridad a lo NCIS en una factoría ni es práctico ni es viable, son otras las preocupaciones que tienen los operadores, los electromecanicos de mantenimiento y los ingenieros.
Quiero decir con esto que tanto la consultora de Deloitte como otros mas tarde no dejaron de intentar asemejar las infraestructuras de tecnologías de la información de los sistemas de control a las de corporación, y eso no es que sea un error sino una estrategia que puede hacer aguas. El proceso de apadrinamiento hay que realizarlo con matices y de forma minuciosa, precisa y muy personalizada.
Definidos unos requerimientos mínimos y lógicos de seguridad, dado el actual escenario de conectividad e informatización de los procesos de planta y producción, y la puesta en escena de Stuxnet hay que mantener un apropiado acercamiento de los requerimientos de negocio, de producción y de mantenimiento a una pólitica de seguridad consensuada.
Para ello es necesaria una interlocución con conocimiento de causa entre las dos areas, IT y planta.
Escenas de Clint Eastwood "Harry el sucio" ( nuestros compañeros de planta ) en la que se ve que coge del cuello a un chico ( los chicos de IT ) en un ascensor rememorando una posible conversación entre producción e IT me parecen lamentables aunque sean para sobrellevar un powerpoint.
Como profesional que conoce a ambos sectores creo que esta no es la actitud ni el camino a seguir. Se ha declarado un problema muy serio y es el momento de trabajar juntos razonablemente con un objetivo común claramente definido bajo el paragua de los requerimientos de negocio y los acontecimientos acaecidos.
Cualquier comentario ya sabeis donde encontrarme.
Javier G. Sáenz
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos
Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK
No hay comentarios:
Publicar un comentario