fernandosaenz.com

Pursuing the gold hidden behind raw data


Bienvenido/a,

No te voy a mentir, esto es un blog técnico, aunque no trata sobre tecnologías específicas. Expongo la motivación que hay detrás del diseño de cada sistema, y sus resultados. No voy a darte una explicación técnica de cada tecnología que diseño o utilizo. No vamos a "ver las tripas".

En estos últimos doce años, en los que he ejercido de gerente, he podido ver cómo la explotación inteligente de datos mejora de forma notable los resultados en diferentes ámbitos de la empresa. En este blog comparto esas experiencias, explicadas de forma resumida pero clara.

fernandosaenz.com
En la mayoría de posts verás que incluyo una ficha que encabeza la lectura, y que ofrece una visión instantánea de lo que encontrarás si decides continuar. La mayoría de artículos los podrás leer en 3-4 minutos de tu tiempo.

Busco ofrecer un formato de micro-posts que giren en torno a la búsqueda de valor añadido buceando en datos crudos. Y siempre orientados a la divulgación de las experiencias que he vivido en esta obsesión que tengo por aplicar tecnología, a veces sencilla pero suficiente, en cada ámbito de la empresa.

Espero que lo disfrutes tanto como yo.

- Fernando Sáenz -
julio 16, 2020

Error 3/5 – No prestar suficiente atención a la Ciberseguridad industrial (parte 1)

En Savvy Data Systems nos tomamos muy en serio la Ciberseguridad a la hora de diseñar e implantar soluciones digitales para nuestros clientes. Prueba de ello es que en 2018 obtuvimos la triple certificación ISO/IEC 15408, ISO/IEC 18045, y Common Criteria en lo relativo a la ciberseguridad de nuestros entornos de custodia de datos (Edge y Cloud) y a los sistemas de comunicación de los mismos.

Por eso, esta semana vamos a tratar un tema muy actual, y que, dada su criticidad, conviene entender con un cierto nivel de detalle. Vamos a entender algunas definiciones, y veremos cuáles son los puntos más críticos para su aplicación en entornos industriales. El objetivo de este artículo no es hacer una revisión exhaustiva sobre cómo crear un Plan Director de Seguridad, cómo hacer una evaluación de riesgos, o cómo diseñar un plan de contingencias, que, siendo sin duda muy importantes, existe abundante documentación al respecto tanto en Internet como a través de empresas especializadas. Nos centraremos, en cambio, en los “puntos débiles” que nos hemos encontrado con más frecuencia, con la intención de que este artículo aporte información diferencial y de valor. El objetivo es evitar que una mala (o nula) implementación de medidas de Ciberseguridad puedan bloquear por completo nuestra Transformación Digital y, posiblemente, la operación de la empresa.

Veamos primero un poco de contexto. Los proyectos industriales tradicionalmente se han centrado en tener una operación correcta, en que “las cosas funcionen”. También han tenido muy en cuenta la seguridad física (Safety). La seguridad digital (Cybersecurity) habitualmente ha quedado en un segundo plano, probablemente debido a que los autómatas y otros elementos de control no solían estar conectados a redes inseguras, como puede ser Internet. Y por supuesto también debido a una falta de legislación clara, a diferencia de lo que ocurre con la seguridad física.

La digitalización progresiva de nuestra sociedad, al igual que la de nuestras máquinas y fábricas, introduce todo un nuevo abanico de riesgos digitales que hay que entender y saber gestionar. En un entorno industrial, conectar una red de operaciones (OT) con una red de comunicaciones (IT) no es una tarea trivial, ya que ambos entornos fueron diseñados para operar siguiendo reglas diferentes. Pero lo cierto es que, antes o después, ambos entornos tendrán que comunicarse. La estrategia de “seguridad por aislamiento de la red” es cada vez menos aplaudida (salvo en entornos muy críticos como puede ser por ejemplo defensa), ya que una red aislada pierde muchas ventajas respecto a otra que esté conectada de una u otra forma.

Algunas definiciones: Safety, Security & Cybersecurity

La RAE define el término “seguro” como un adjetivo que indica “libre y exento de riesgo”. Este concepto, denominado safety en inglés, es amplio y aplicable a multitud de situaciones y entornos. En lo relativo a las actividades industriales, su minimización y gestión se lleva a cabo mediante un conjunto de normas enmarcadas en la disciplina denominada Prevención de Riesgos Laborales. Nos referiremos normalmente a este tipo de seguridad como seguridad física.

En lo relativo a la seguridad de la información (information security en inglés), su objetivo es la reducción y gestión de los riesgos asociados a la publicación no consentida, bloqueo, destrucción o alteración de la información. Habitualmente su actividad se enmarca en conservar la denominada CIA Triad sobre la información: confidencialidad, integridad y disponibilidad.

La Ciberseguridad o seguridad informática se encarga de gestionar la seguridad de la información en el medio informático. Está contenida dentro de la seguridad de la información, pero conviene no confundirla con ésta, ya que la Ciberseguridad tiene su actuación específicamente limitada al campo digital. Así, un usuario que deja su clave apuntada en un post-it es un caso de (falta de) seguridad de la información, pero no de (falta de) ciberseguridad. Así, la ISO/IEC 27001 es un ejemplo de normalización (estándar) orientado a la seguridad de la información, mientras que la ISO/IEC 15408 es un ejemplo de normalización relativo a la ciberseguridad.

Lo digital impacta en lo físico

Hay que tener en cuenta que ciertos fallos en la cadena digital pueden desencadenar situaciones que potencialmente transcenderán lo digital, convirtiéndose en fallos de seguridad física que podrían herir a operarios o incluso provocarles la muerte. Las nuevas amenazas inevitablemente introducidas por las nuevas tecnologías saltarán del mundo digital al físico cuando actúen gestionando un activo físico (ej. un torno, una fresadora, una grúa, una forja, un ascensor…). Así, los sucesos físicos peligrosos, que hasta ahora han sido objeto de prevención física, podrán ser desencadenados por un fallo digital que también habrá que comprender, localizar y gestionar.

Asunción de existencia de fallos

Digitalizar implica utilizar software de forma intensiva. El software actualmente se elabora en entornos muy controlados, pasando su producción por diferentes etapas (mínimamente desarrollo, preproducción y producción). En cada etapa es sometido a todo tipo de tests automatizados para detección de fallos, y las versiones alfa, beta, etc. son enviadas para ser testeadas también por usuarios reales. Todas estas medidas logran minimizar el número y severidad de las vulnerabilidades que tienen las versiones finales, pero no las erradican por completo. Recordemos que el software, a día de hoy, sigue siendo diseñado y programado por personas, lo que introduce el error humano en su código.

Según diversas estadísticas, se ha establecido la convención de que cualquier programa informático tiene entre 3 y 10 fallos por cada 10KLoC (Thousand Lines of Code) [McConnell, Steve, Code Complete, Microsoft Press] de los cuales el 1% ~ 5% serán posiblemente vulnerabilidades de Ciberseguridad [Kan, Stephen H., Metrics and Models in Software Quality Engineering]. Estas cifras hacen referencia a las versiones finales de los programas informáticos que, lógicamente, tenemos que utilizar (o programar) como parte de nuestra estrategia de Transformación Digital. Por eso están en auge los programas de retribución que premian económicamente a usuarios que encuentren fallos y los reporten debidamente. Estos programas están impulsados principalmente por grandes compañías, si bien es una práctica que cada vez está tomando más fuerza en empresas de mediano tamaño.

Por qué es tan importante la actualización de sistemas

Cuando integramos software de terceros en nuestra arquitectura, una herramienta básica que todo integrador debe conocer es la lista “CVE” (Common Vulnerabilities and Exposures). Se trata de un repositorio donde se listan las vulnerabilidades conocidas de todo tipo de software, además de indicar su criticidad. La mera existencia de esta lista nos obliga a estar atentos a lo que se publica en ella, ya que, por un lado, nos indica para las versiones del software que estemos utilizando qué vulnerabilidades hay, y por tanto es un aviso para realizar una actualización urgente. Pero por otro lado, esta indicación se convierte en obligación, ya que esta lista es una de las principales herramientas utilizadas por los atacantes para saber qué vectores de ataque lanzar contra qué versiones de software, e incluso su forma de explotación. Por tanto, la actualización se convierte en obligatoria una vez la vulnerabilidad ha sido publicada, ya que de no hacerlo el riesgo a sufrir un ataque relacionado con dicha vulnerabilidad será muy alto. Existen herramientas que permiten automatizar tests basándose en las actualizaciones publicadas en la lista CVE, como por ejemplo OpenVAS.


En este artículo hemos visto algunas nociones básicas sobre ciberseguridad y por qué es tan importante prestarle suficiente atención. La semana que viene veremos algunos conceptos un poco más concretos, como las ventajas del uso conjunto de seguridad perimetral y «endpoint security», algunas técnicas de defensa activas, el concepto «security by design», algunos aspectos legales y la importancia de la concienciación de los trabajadores. Todo ello forma parte de una necesaria actitud consciente hacia la Ciberseguridad, que evite (o mitigue en gran medida) sufrir una catástrofe en forma de bloqueo o chantaje, y no impida la evolución del proyecto 4.0 «factible» al Negocio Digitalizado Viable y Rentable (y ciberseguro).


Si quieres saber si tu estrategia no solo es «factible» sino también viable y rentable, te recomiendo que solicites nuestro cuestionario «del 4.0 al 4.1» de 20 preguntas que te servirá para obtener nuestro diagnóstico inicial sin coste, que estoy seguro te ayudará a determinar si estás tomando las decisiones adecuadas.

gestión # , , ,
Compartir: / / /