La necesidad de una mayor convergencia entre la tecnología operativa (OT) y las tecnologías de la información (TI) ha sido una preocupación recurrente desde hace años en las empresas manufactureras y las smart factories. Aunque en teoría es una obviedad vincular estas dos funciones para analizar mejor el hardware de la organización con el fin de impulsar una mayor eficiencia y optimización, en realidad, la tarea es mucho más difícil.
Nathan Howe, Vicepresidente de Tecnologías Emergentes de Zscaler
Normalmente, los equipos de OT y TI operan de forma muy diferenciada en una fábrica: el equipo de TI se encarga de la ciberseguridad general de la empresa, mientras que el equipo de OT se encarga de garantizar el correcto funcionamiento de la tecnología en la línea de producción. Estos dos equipos pueden tener objetivos y estrategias diferentes para impulsar el valor empresarial y el rendimiento de la inversión, y ninguno de ellos podrá conocer los flujos de trabajo del otro. Para corregir esta situación y disfrutar del potencial de un sistema de OT conectado, las empresas deberían asegurarse de que las personas adecuadas de ambos equipos tienen acceso al entorno de OT y TI y evolucionar su tecnología heredada para conectar los dos sistemas sin poner en peligro el negocio ni obstaculizar la línea de producción, lo que podría suponer un coste millonario para la fábrica.
Aunque esto ya es de por sí una tarea considerable, también es necesario gestionar todo ello de forma que no signifique poner la superficie de ataque de una organización al alcance de los criminales. Entonces, ¿cómo pueden las empresas hacer frente a estos obstáculos de la forma más segura y acertada?
Índice de temas
Líneas de producción heredadas en constante evolución
El primer y principal obstáculo para los fabricantes que buscan hacer converger sus entornos de OT e IT es modernizar su maquinaria de 20 o 30 años de antigüedad, conectándola a la red central y utilizando soluciones de IoT y software para contar con mejor telemetría y análisis de los productos. Al conectar la línea de producción a una red operativa más amplia, los equipos de OT y TI podrán supervisar los productos de forma más eficaz y realizar un mantenimiento preventivo en lugar de tener que esperar a que algo falle para arreglarlo.
Si una fábrica está introduciendo nuevas líneas de producción, entonces es una tarea sencilla para terceros o para los equipos de TI internos integrar las soluciones de IoT y software necesarias, permitiéndoles conectarse de forma inmediata y segura a la red ampliada sin interrupciones. Sin embargo, no es habitual implantar nuevas líneas de producción en la mayoría de las fábricas. Normalmente, las líneas de producción se reutilizan una y otra vez para garantizar que no haya tiempos de inactividad en la fabricación de los productos. En estos casos, los equipos de TI tienen que superponer retroactivamente la IoT a los dispositivos OT más antiguos para proporcionar la visibilidad necesaria y permitir que se integren con la red más amplia.
El primer y principal obstáculo para los fabricantes que buscan hacer converger sus entornos de OT e IT es modernizar su maquinaria de 20 o 30 años de antigüedad
Para esto no sólo se necesita tiempo, con el consiguiente riesgo de retraso en la conversión, sino que la conexión de la infraestructura heredada a la red presenta una amenaza para los equipos de TI. El entorno OT suele ser muy plano desde el punto de vista digital, lo que significa que su conexión abriría la red de una organización a agentes no autorizados que, si son capaces de vulnerar la seguridad mediante un fallo en el entorno OT, tendrían vía libre para acceder a la amplia gama de sistemas de toda la empresa, así como a cualquier dato o activo guardado localmente. La propuesta de valor de la evolución de la infraestructura de OT heredada es innegable, pero las empresas deben tener en cuenta la amenaza que representa para la seguridad.
Creando un modelo de gobernanza
Para facilitar la convergencia entre OT y TI, los distintos equipos deben ser capaces de proporcionar acceso digital a las personas correctas, dentro y fuera de la organización, para que puedan optimizar la tecnología y llevar a cabo su mantenimiento. Cada fábrica tiene entre 30 y 50 proveedores diferentes con los que trabaja, cada uno de los cuales tiene su propia forma de conectarse a la tecnología fabril que le corresponde. Por el momento, esto se traduce en que conectan su propio software, cortafuegos, circuitos, etc., a toda la red. Este planteamiento plantea dos problemas evidentes.
Para empezar, el equipo TI de la empresa tendrá que actuar con mucha más diligencia para comprobar que cada tecnología es segura y funciona como parte de un sistema más complejo. Así es como han trabajado históricamente los terceros con los fabricantes, pero estamos empezando a ver que las empresas obligan a que esos terceros se sometan a su propio modelo de gobernanza, pasando por sus protocolos de seguridad específicos y asegurándose de que el equipo TI se encarga de documentar y supervisar cualquier tecnología que se añada a la red. Esto hace posible que las empresas gestionen sus riesgos informáticos de forma mucho más eficaz y se aseguren de saber quién y qué accede a su sistema en todo momento.
Aunque se trata de una solución parcial al problema del acceso no controlado, los equipos de TI siguen enfrentándose al dilema de cómo segmentar cada usuario para evitar que tengan acceso total al sistema. La mayoría de los terceros se conectan a su tecnología de forma remota a través de un navegador o de una infraestructura de escritorio virtual (VDI), lo que da acceso a toda la red y no sólo a la tecnología específica cuyo mantenimiento se les ha encomendado. Actualmente, estamos hablando con los clientes sobre cómo sustituir la VDI y asegurarnos de que los terceros (autorizados) sólo puedan ver una versión de su aplicación correspondiente en un portal. Los clientes quieren poder bloquear el acceso de los usuarios y, si es necesario, añadir capas adicionales de seguridad, como la protección contra la pérdida de datos o la prevención de cargas o descargas.
Retirar la confianza y segmentar el sistema
La respuesta más rápida para proteger la infraestructura de OT heredada y restringir el acceso entrante a las TI, es superponer una arquitectura de confianza cero al nuevo sistema convergente para crear una pasarela segura a la entrada del entorno de OT. Esto facilitará a los equipos de TI la supervisión de todo lo que entra y sale del sistema. También proporcionará visibilidad y comprensión de cuáles son los flujos de tráfico, ayudando a los equipos de TI a empezar a tomar decisiones sobre las políticas que quieren establecer para impedir que los usuarios accedan a determinadas áreas del entorno.
Una plataforma de Zero Trust también ayudará a segmentar cualquier aplicación dada para los terceros respectivos y a eliminar cualquier posibilidad de movimiento lateral en todo el entorno por parte de usuarios no autorizados. Esto supondrá un gran paso adelante en la protección de estos sistemas de OT y les ayudará a cumplir la normativa.