[ Publicado el 6 de noviembre de 2012 ]
Fuentes : Experiencia personal
Revisando debates en Linkedin me he encontrado con una referencia de un miembro del grupo a un documento de INTECO que publicó allá por marzo en referencia a un estudio denominado "Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)".
Bienvenido sea pero me hubiese gustado que hubiese ido mas allá de lo que ya se habla desde hace 10 años. Es muy correcto, muy descriptivo, explicativo y ofrece incluso ejemplos de supuestas empresas.
Me gustaría recoger un listado de cuales son algunos de los problemas reales para los que nos vemos en la tesitura de proteger instalaciones industriales complejas.
Ahí van algunas :
- Formación insuficiente de los responsables de operaciones y mantenimiento de las industrias respecto a la ciberseguridad y lo que es IT ( lo que se les ha metido por las puertas casi sin enterarse ).
- Formación insuficiente y desconocimiento del area IT respecto a los procesos y sistemas de operaciones y mantenimiento industriales ( tambien se les ha colado y les crea bastante yuyu ).
- Esto implica una gran brecha entre el area IT y el area de ingeniería y el shopfloor.
- La causa es que desde la gerencia no se incentiva el alineamiento concreto de ambos mundos a los requisitos del negocio. Casi nunca se llega a fomentar un plan director de ciberseguridad.
- Desconocimiento ( o desatención ) de la realidad por parte del area gerencial o administrativa en cuanto al problema de la ciberseguridad.
- Escasa iniciativa de los departamentos de Gestión de Calidad en la industria en general respecto a la ciberseguridad como aspecto crucial para la continuidad de los planes de negocio.
- El impacto de la Segunda Gran Recesión de la historia en los presupuestos.
- Las barreras tecnológicas, el hecho de incluir la última tecnologia no siempre supone beneficios sino se valora adecuadamente.
- Despliegue de tecnología IT en el shopfloor sin estrategias de gestión de IT.
- La baja implicación y compromiso de los fabricantes medianos y grandes de sistemas ICS, SCADAS y DCS en solucionar los problemas de seguridad IT-Industriales.
- Formación insuficiente de los integradores en cuanto a ciberseguridad, estos son los que realmente implementan y ponen en marcha los sistemas ICS y SCADAs.
- Desconocimiento de los integradores de las infraestructuras, implantaciones, despliegues técnicos y procesos de gestión IT de la mediana y gran empresa.
- La aparición estelar en todo este panorama de un completo catálogo de consultores que venden humo ( o powerpoints con la bonita piramide invertida por bandera ).
- Falta de acercamiento entre las metodologías y buenas prácticas IT y las metodologías y buenas prácticas industriales, y curiosamente todas se basan en el mismo concepto de calidad de Mr. Edward Deming.
- Muchísimos problemas técnicos que cogen a todo el mundo ahora con el paso cambiado, no existe mucho know how propio y se entra en pugna con la falta de dinero.
- El tiempo en contra, cada vez hay mas niñatos con el metasploit ( y frameworks similares ) de venta en los kioskos de prensa jugando a ser David en WarGames, por no hablar de los miles de gusanos que hay distribuidos y que hacen que los antivirus sean cada vez mas contraproducentes.
- Asincronía en los ciclos de vida IT e industriales, el traspies de un ciclo con el otro genera mas costes de lo que se cree...
- (añadido Agosto 2017) El abuso de la subcontratación de recursos IT y la consecuente merma de calidad en el servicio de ingeniería, consultoría y soporte.
- otras tantas mas.
El frente es enorme. Es imprescindible que los directivos se familiaricen con el problema y la gestión del mismo, y las áreas técnicas no solo gestionen los inventarios y las tecnologías sino que se alineen a los planes del negocio.
Debe existir un proyecto de negocio supradepartamental con un comité formado por los seniors de las partes implicadas y un seguimiento exahustivo pero flexible a las crircunstancias. Yo diría que la Gestión de Calidad debe ser una de las mayores interesadas en perseguir este proyecto.
La comunicación debe ser fluida, de arriba a abajo de la jerarquía y viceversa, si se crean barreras de conocimientos y experiencias también se obstaculiza la creación de un plan director preciso.
Javier G. Sáenz
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos
Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK
No hay comentarios:
Publicar un comentario