En la primera entrega de esta serie se introdujo el contexto en el que se enmarcan los laboratorios de ciberseguridad industrial: vimos las características específicas del sector y dimos unas pinceladas sobre los laboratorios industriales clásicos. En el artículo de hoy hablaremos de los distintos enfoques de laboratorio y los recursos con los que podría ser necesario contar.
Laboratorios de ciberseguridad… ¿por dónde empezar? Necesidades, tipologías organizativas y objetivos
Existe una gran diversidad de enfoques a la hora de plantear un laboratorio de ciberseguridad industrial en función de:
- A qué necesidades quiere darse respuesta
- La tipología organizativa impulsora del laboratorio
- Los objetivos específicos que se quieren marcar
Las necesidades pueden tener diferentes orígenes. Puede tratarse, por ejemplo de necesidades de empresas privadas que busquen limitar responsabilidades de un fabricante en caso de un incidente de ciberseguridad o que quieran garantizar la calidad de un producto que suministran. No debe obviarse tampoco que, puesto que en este momento no existen muchas compañías que dediquen recursos a este aspecto, evaluar los productos propios en este ámbito podría generar una ventaja competitiva frente a otras organizaciones. No obstante, es probable que a medida que el mercado vaya madurando sean los propios clientes los que exijan algún tipo de evaluación en este sentido.
También puede ser que la necesidad surja de la sociedad en su conjunto, en cuyo caso probablemente se busque mejorar la seguridad de ciertos servicios públicos o aumentar la disponibilidad de ciertas infraestructuras. O incluso que sea la propia administración pública la que necesite proteger infraestructuras críticas o llevar a cabo algún tipo de medida en el ámbito de la defensa.
Por otro lado, también hay distintas tipologías organizativas que pueden ser impulsoras. Como parece lógico pensar, en esta tipología tendrá una gran influencia el origen de las necesidades. Puede tratarse de organizaciones individuales o de consorcios de organizaciones. En función de su financiación podrán ser públicas, privadas o mixtas.
Pongamos como ejemplo el sector eléctrico. Parece probable que, en la creación de un laboratorio, se establezca un consorcio público-privado de empresas del sector eléctrico y la administración pública.
Si buscamos un caso en el que la organización sea individual y de financiación privada podríamos poner como ejemplo un fabricante de equipos de control electrónicos para ICS quiere auditar sus equipos en un laboratorio propio.
Ilustración 1: http://www.manager-magazin.de/fotostrecke/fotostrecke-78411.html
Vistas tanto las necesidades como la tipología de organización, se pueden plantear distintos objetivos llevar a cabo una gran variedad de acciones en el mismo:
- Desarrollo de productos
- Evaluación de componentes de sistemas de control industrial (ICS)
- Evaluación de sistemas complejos
- Evaluación de software de supervisión de ICS, programación o configuración de equipos
- Mejora de servicios ofrecidos
- Protección de infraestructuras
- Defensa de intereses nacionales
¿Qué necesita un laboratorio de ciberseguridad industrial?
Evidentemente, dependiendo de los objetivos marcados, los recursos necesarios para el laboratorio diferirán.
En primer lugar deberíamos distinguir 3 tipos de recursos:
- Humanos
- Infraestructuras generales
- Medios específicos de hardware y software
Lógicamente, en función de cuáles sean las tareas que se vayan a desempeñar en el laboratorio, los perfiles del personal que trabajará en el laboratorio variarán. Sin embargo, por su naturaleza, es muy probable en que con el conocimiento IT no sea suficiente por lo que es conveniente que se trate de un grupo multidisciplinar: expertos en seguridad, expertos en comunicaciones y expertos en procesos industriales.
Ilustración 2: http://www.grupopid.com/grupopid/imagenes/poliester/pidagua/077.jpg
A la hora de plantear las infraestructuras generales con que se debe contar no deben pasarse por alto algunos aspectos:
- Necesidades de espacio. No es lo mismo auditar PLC (controladores lógicos programables) que, por ejemplo, plantas de tratamiento de aguas residual portátiles.
- Accesibilidad. Es conveniente tener en cuenta, por ejemplo, el tamaño de las puertas, posibilidad de acceso de vehículos o diferencia de cota la calle y el pavimento terminado del laboratorio.
- Elementos para carga/descarga. Existencia de muelles de carga, puentes grúa o carretillas.
- Espacio para público y elementos de demostración o material y equipos audiovisuales.
- Requerimientos técnicos específicos. Por ejemplo, se podrían necesitar condiciones específicas de temperatura, ventilación o alimentación eléctrica.
Por último, se deberá contar con los medios específicos de hardware y software necesarios para llevar a cabo las tareas encomendadas al laboratorio: diversidad de fuentes de alimentación, variedad de conectores y adaptadores, herramientas de software y simulación, hardware comercial o sistemas de control completos, hardware y software de monitorización de comunicaciones, etc.
Tras haber revisado el contexto industrial, y las necesidades y recursos necesarios, en la próxima entrega presentaremos una serie de casos reales de laboratorios de ciberseguridad industrial en funcionamiento y mostraremos las que, a nuestro parecer, son las conclusiones más interesantes en esta materia.