Tres líneas de defensa en ciberseguridad industrial

Tiempo de lectura estimado: 9 minutos

Contexto acerca de los ciberataques industriales

En los últimos años se han producido diversos incidentes en forma de ciberataques industriales como el de Colonial Pipeline o el de Solar Winds. Estos han resultado sorprendentes, ya que se esperaba que no tuvieran éxito porque parecía que se habían desplegado iniciativas eficaces para evitarlos. La sensación general era que, gracias a la intensa regulación sobre ciberseguridad que se había impuesto, las compañías habían cumplido sus obligaciones y por lo tanto deberían estar libres de peligro, pero no ha sido así.  ¿Cuál es la causa de este fallo y qué se puede hacer?

Análisis de un escenario IT

En una empresa industrial típica, el CISO (responsable de ciberseguridad IT o informática corporativa) es una figura que suele estar en un nivel relativamente bajo en cuanto a jerarquía, lo que dificulta que sus preocupaciones y necesidades lleguen a la alta dirección y supone un fallo de entrada. El CISO puede encontrar dificultades a la hora de explicar a la alta dirección que los riesgos en ciberseguridad son crecientes y que ello conlleva un presupuesto progresivo, con curva acentuada. 

Una vez resignado a la ausencia de interlocución, el CISO suele sentir que debe proteger su puesto, por lo que es habitual que disimule el problema y decida mostrar que no existen excesivos riesgos.

Análisis de un escenario OT

Habitualmente, en los últimos años, la preocupación de los CISO ha pasado por el área de informática corporativa (IT) y no por el área de operaciones (OT). El área OT es muy reacia a considerar a los informáticos como interlocutores, debido a sus escasos conocimientos del "componente de proceso industrial". Pese a ello, la situación está mejorando, aunque en el área OT no suele haber una figura equivalente al CISO. Con estas premisas, es muy complicado que la persona que incluye entre sus cometidos la ciberseguridad OT pueda hacer llegar a la alta dirección de la empresa sus necesidades y su percepción del riesgo.

Relación entre IT y OT

La introducción hace un par de décadas de tecnologías populares en el entorno industrial ha supuesto una revolución que ha aproximado el entorno al mundo de la informática corporativa, lo que ha facilitado la interconexión; además, se ha podido simplificar y unificar el protocolo de comunicaciones alrededor del TCP/IP. Como conclusión, hay dos equipos sensibilizados ante el problema de la ciberseguridad, que han implantado diferentes aproximaciones a modelos de control, pero manteniendo cierta independencia en su gestión global.

Teoría del modelo de "Tres líneas de defensa"

Se trata de un modelo creado en 2013 por la "European Confederation of Institutes of Internal Auditing", ECIIA. El modelo tiene en su base elementos procedentes de la separación de responsabilidades, también denominado "segregación de funciones". Se trata de un enfoque muy extendido en los países anglosajones y consiste en aplicar la idea de que ningún grupo organizativo tenga la capacidad total de diseñar y realizar actividades sin que exista ningún control externo. 

En el modelo de tres líneas de defensa se establece la siguiente división:

1. La primera línea serían aquellas funciones de la organización encargadas de la operativa en el día a día. Son los responsables de evaluar y, por lo tanto, de mitigar los riesgos, por ello se responsabilizan de implantar los controles.
2. La segunda línea serían todas aquellas funciones tales como control interno y gestión de riesgos que diseñan y supervisan la implantación de estas actividades por parte de la primera línea.
3. La tercera línea sería auditoría interna, que asegura de forma independiente la efectividad del control interno y de la gestión de riesgos, desarrollados por la primera y segunda línea.

Modelo de tres líneas de defensa en OT

Reporting y asesoría en tecnología

• Una de las principales características de las nuevas tecnologías es que poseen una elevada complejidad y su evolución es muy rápida, por lo que es muy difícil tener un criterio actualizado sobre ellas, y la alta dirección necesita un asesoramiento al respecto para identificar carencias y riesgos.
• El problema, un clásico de la segregación de funciones, es que hasta ahora esta asesoría ha sido realizada por personal directivo de las mismas áreas afectadas, áreas IT y OT, lo que conlleva un riesgo en sí mismo derivado de que no exista una visión imparcial o no comprometida con acciones realizadas o en curso.
• Por ello, en la ponencia se considera que el Área de Auditoría, más concretamente el de auditoría de sistemas, debería ofrecer una visión independiente y de alto nivel sobre el grado de madurez de los procesos informáticos tanto de IT como de OT, el nivel de cobertura de los riesgos y su posible impacto en la sostenibilidad de la compañía. Todo ello con el objetivo de que la alta dirección tenga una visión estratégica objetiva y pueda establecer los planes correspondientes.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Erik de Pablo

Erik es físico por la Universidad Autónoma de Madrid y PDD por el IESE. Tiene una dilatada experiencia en automatización de procesos industriales y en SSII, desarrollada en la industria del petróleo en España y Sudamérica.

Recientemente, y durante seis años, ha sido Director de Investigación en ISACA-Madrid y es socio Director de la empresa de auditoría de sistemas RUTILUS.

Es CISA (Certified Information System Auditor) y CRISC (Certified in Risk and Information Systems Control).

• Contacto: edepablo@rutilus.com