Descifrar el código de ciberseguridad mediante un enfoque basado en riesgos: prácticas recomendadas de Emerson para proveedores de energía y agua
Por Bob Yeager
En muchos sentidos, la transformación digital es una espada de doble filo para las industrias de energía y agua.
Por un lado, los increíbles avances tecnológicos (incluida la convergencia de la tecnología de la información (TI) y la tecnología operativa (TO), la mejora en la conectividad, la simplificación del acceso a conjuntos de datos más grandes, entre otros) han revolucionado la capacidad de los servicios generales y los municipios de optimizar las operaciones, administrar de manera segura los recursos energéticos distribuidos y no solo continuar generando energía confiable de bajo costo sino también seguir generando agua potable.
Por otro lado, a medida que los proveedores de energía y agua transforman sus operaciones para aprovechar los beneficios mencionados, se vuelven cada vez más vulnerables a amenazas y ataques de ciberseguridad, y esto ocurre especialmente si no cuentan con enfoques o socios adecuados que les ayuden a protegerse.
Hoy en día se observa un aumento significativo de los ataques de ciberseguridad contra la infraestructura crítica. La Agencia de Protección Ambiental de Estados Unidos publicó un memorando haciendo hincapié en la necesidad de auditar las prácticas de seguridad de los sistemas locales de agua. Además, Dragos, líder en ciberseguridad industrial, informó recientemente un aumento continuo de casos en el sector de la energía.
Y a medida que los ataques crecen, los costos también lo hacen. De hecho, se estima que las amenazas y los ataques anuales de ciberseguridad a nivel mundial costarán unos USD 8 billones de dólares en 2023. Cabe destacar que en 2015 llegaron a los USD 3 billones y se espera que aumenten a USD 10,5 billones para 2025.
Con más recursos energéticos distribuidos (DER), como los parques eólicos, las instalaciones solares y las microrredes que suministran energía renovable a la red que alimenta la infraestructura crítica, existe una posibilidad aún mayor de que los hackers interrumpan remotamente el suministro eléctrico. El Departamento de Energía de EE. UU. plasmó en un informe de octubre que los DER “plantean desafíos emergentes de ciberseguridad en la red eléctrica” y que deberían diseñarse teniendo en cuenta como un “componente principal”: la seguridad.
Así, a medida que los hackers se vuelven más inteligentes, utilizan técnicas más sofisticadas y, en muchos casos, evolucionan e innovan más rápido que las compañías a las que tienen como objetivo, deberíamos preguntarnos lo siguiente: ¿qué pueden hacer las empresas para defenderse?
Un enfoque basado en riesgos para la ciberseguridad
Independientemente de la industria, la adopción de un enfoque basado en riesgos puede ayudarle a identificar posibles vulnerabilidades y proteger a su empresa ahora y en el futuro. Un enfoque basado en riesgos no sirve como protección contra todas las amenazas, sino que sirve como identificador de posibles vulnerabilidades y como elemento para tomar decisiones estratégicas en función de la probabilidad y el impacto de cada vulnerabilidad.
A medida que refuerce sus iniciativas en materia de ciberseguridad, tenga en cuenta estas prácticas para garantizar que su enfoque sea holístico y esté en constante evolución:
Evalúe riesgos.
Las evaluaciones de riesgos brindan a su empresa información fundamental para mitigar los riesgos de antemano. Al realizar una evaluación, determinará si los elementos clave de ciberseguridad (como la seguridad de la red, la gestión de datos, la protección del perímetro y más) están listos y obtendrá una mejor comprensión de la postura general de seguridad del sistema.
Haga más estricto el acceso al sistema.
Las medidas de seguridad pueden resultar engorrosas y hacer que la seguridad limitada resulte tentadora, pero los atacantes cuentan con ello. Mantenga un acceso estricto al sistema al asegurarse de que los empleados conozcan las políticas de seguridad, al evaluar constantemente los riesgos y al contribuir al desarrollo de una cultura de seguridad interna acorde.
Establezca políticas sólidas.
Incluso las medidas más sofisticadas y seguras pueden resultar inútiles debido a un error humano. Por eso es fundamental educar y facultar a los empleados mediante políticas administrativas sólidas que reduzcan los riesgos de la ingeniería social, la suplantación de identidad y los ataques relacionados.
Actualice su sistema de control.
El tiempo de inactividad es costoso y debe evitarse tanto como sea posible. Mediante la aplicación oportuna de parches y actualizaciones del sistema, puede minimizar el tiempo de inactividad y eliminar el riesgo de contar con servidores y estaciones de trabajo sin protección.
Vaya más allá de la protección perimetral.
Por lo general, los atacantes asumen que existe protección perimetral y, por lo tanto, utilizan protocolos comunes y puertos de servicio conocidos para comprometer los componentes del sistema de control. Una manera de defenderse cuando es objeto de un ataque es controlar el perímetro del sistema y proteger los posibles puntos de entrada; para ello, implemente cortafuegos que pueda personalizar y adaptar, y que busquen continuamente brechas de seguridad.
Mantenga el acceso remoto en las manos correctas.
Casi todos los sistemas de control se implementan con algún tipo de conectividad remota. De todos modos, que el acceso remoto sea simplemente la norma no lo convierte en una práctica segura. En los sistemas en los que el acceso remoto es una necesidad, asegúrese de que esté monitorizado e implementado de forma segura. Incluso puede considerar múltiples capas de autenticación para mayor seguridad.
Esté al tanto de su sistema de control.
Una vez que haya desarrollado e implementado su enfoque basado en riesgos para la ciberseguridad, asegúrese de supervisar de manera constante los riesgos que surjan y de identificar posibles ataques y amenazas tan pronto como sea posible. Un enfoque que evoluciona y se adapta constantemente es lo más conveniente en materia de ciberseguridad.
Para las compañías de energía o servicios generales municipales que buscan innovar y seguirle el ritmo a la competencia actual, la transformación digital ya no es algo “agradable de tener” sino algo que no es negociable. A pesar de que pueden existir riesgos, no deberían impedir que las compañías obtengan recompensas como mayor colaboración e innovación entre sus empleados, mejoras operativas innovadoras y más.
Además, considerando el panorama de la ciberseguridad en constante evolución, las prácticas mencionadas anteriormente son solo un punto de partida. Para optimizar verdaderamente sus operaciones y el enfoque basado en riesgos para protegerlas, las compañías de energía y agua actuales están automatizando e integrando en sus operaciones comerciales, sin problemas, las soluciones de ciberseguridad líderes en la industria, como el Sistema de control Ovation™ de Emerson que está designado y certificado por el Departamento de Seguridad Nacional como tecnología calificada contra el terrorismo.
Independientemente del punto en el que una empresa se encuentre en el recorrido de la ciberseguridad, es importante recordar que siempre hay oportunidades para mejorar, evolucionar y prepararse mejor ante posibles próximos ataques o las amenazas que se esconden a la vuelta de la esquina.
Solo porque todavía no haya ocurrido un ataque no le garantiza que no pueda suceder. Por lo tanto, dedíquele hoy mismo tiempo al desarrollo del enfoque adecuado y a la colaboración con el socio idóneo. Mañana se lo agradecerá.
