Power lines running from foreground to a glowing light in the background, are illuminated under a starry sky

Ciberseguridad

Cómo descifrar el código de ciberseguridad mediante un enfoque basado en riesgos: prácticas recomendadas de Emerson para proveedores de energía y agua

Por Bob Yeager

En muchos sentidos, la transformación digital es un espada de doble filo para las industrias de energía y agua.

Por un lado, los increíbles avances tecnológicos, incluida la convergencia de la tecnología de la información (TI) y la tecnología operativa (TO), la mejora en la conectividad, la simplificación del acceso a conjuntos de datos más grandes, entre otros, han revolucionado la capacidad de los servicios generales y los municipios de optimizar las operaciones, administrar de manera segura los recursos energéticos distribuidos y no solo continuar generando energía confiable de bajo costo sino también seguir generando agua potable.  

Por otro lado, a medida que los proveedores de energía y agua transforman sus operaciones para aprovechar los beneficios anteriores, se vuelven cada vez más vulnerables a las amenazas y a los ataques de ciberseguridad; y esto sucede especialmente si no cuentan con enfoques o socios adecuados que les den una mano para protegerlos.

Hoy en día se ve un gran aumento en los ataques de ciberseguridad contra infraestructura crítica. La Agencia de Protección Ambiental de Estados Unidos publicó un memorando haciendo hincapié en la necesidad de auditar las prácticas de seguridad de los sistemas locales de agua. Además, Dragos, líder en ciberseguridad industrial , informó recientemente un aumento continuo de casos en el sector de la energía. 

Y a medida que los ataques crecen, los costos también lo hacen. De hecho, se estima que las amenazas y los ataques anuales de ciberseguridad a nivel mundial costarán unos 8 billones de dólares en 2023. Cabe destacar que en 2015 llegaron a los 3 billones de dólares y se espera que aumenten a 10,5 billones para 2025.

Con más recursos energéticos distribuidos (DER), como los parques eólicos, las instalaciones solares y las microrredes que suministran energía renovable a la red que alimenta infraestructura crítica, existe una posibilidad aún mayor para que los hackers interrumpan remotamente el caudal de electricidad. El Departamento de Energía de EE. UU. plasmó en un informe de octubre que los DER “plantean desafíos emergentes de ciberseguridad en la red eléctrica” y que deberían diseñarse teniendo en cuenta como un “componente principal” a la seguridad. El Departamento de Energía de EE. UU. declaró en un informe de octubre que los DER "plantean desafíos emergentes de ciberseguridad en la red eléctrica" y que deberían diseñarse con la seguridad como un "componente principal".

Así, a medida que en la actualidad los hackers se vuelven más inteligentes, utilizan técnicas más sofisticadas y, en muchos casos, evolucionan e innovan más rápido que las compañías a las que tienen como objetivo, deberíamos preguntarnos lo siguiente: ¿qué pueden hacer las empresas para defenderse?

Un enfoque basado en riesgos para la ciberseguridad

Independientemente de la industria, la adopción de un enfoque basado en riesgos puede ayudarle a identificar posibles vulnerabilidades y proteger a su empresa ahora y en el futuro. Un enfoque basado en riesgos no sirve como protección contra todas las amenazas, sino que sirve como identificador de posibles vulnerabilidades y como elemento para tomar decisiones estratégicas en función de la probabilidad y el impacto de cada vulnerabilidad.

A medida que refuerce sus iniciativas en materia de ciberseguridad, tenga en cuenta estas prácticas recomendadas para garantizar que su enfoque sea holístico y esté en constante evolución:

Evalúe riesgos.

Las evaluaciones de riesgos brindan a su empresa información fundamental que será útil para mitigar los riesgos por adelantado. Al realizar una evaluación, determinará si los elementos clave de ciberseguridad (como la seguridad de la red, la gestión de datos, la protección del perímetro y más) están listos y obtendrá una mejor comprensión de la postura general de seguridad del sistema.

Haga más estricto el acceso al sistema.

Las medidas de seguridad pueden ser engorrosas y hacer que la seguridad limitada resulte tentadora, pero los atacantes cuentan con ello. Mantenga un estricto acceso al sistema, asegurándose de que los empleados sepan cuáles son las políticas de seguridad, evaluando constantemente los riesgos y colaborando con el desarrollo de una cultura de seguridad interna acorde.

Establezca políticas sólidas.

Incluso las medidas más sofisticadas y seguras pueden resultar inútiles a causa del error humano. Es por eso que es fundamental educar y facultar a los empleados con políticas administrativas sólidas que reduzcan los riesgos de la ingeniería social, la suplantación de identidad y los ataques relacionados.

Actualice su sistema de control.

El tiempo de inactividad es costoso y debe evitarse tanto como sea posible. Mediante la aplicación oportuna de parches y actualizaciones del sistema, puede minimizar el tiempo de inactividad mientras elimina el riesgo de tener servidores y estaciones de trabajo sin protección.

Vaya más allá de la protección perimetral.

Por lo general los atacantes asumen que se dispone de protección perimetral y, por lo tanto, utilizan protocolos comunes y puertos de servicio conocidos para comprometer los componentes del sistema de control. Una manera de defenderse cuando es objeto de un ataque es controlar el perímetro del sistema y proteger los posibles puntos de entrada; para ello, implemente cortafuegos que pueda personalizar y adaptar, y que busquen continuamente brechas de seguridad.

Mantenga el acceso remoto en las manos correctas.

Casi todos los sistemas de control se implementan con algún tipo de conectividad remota. De todos modos, que el acceso remoto sea simplemente la norma no lo hace una práctica segura. En los sistemas donde el acceso remoto es una necesidad, asegúrese de que está monitoreado e implementado de forma segura. Incluso puede considerar múltiples capas de autenticación para mayor seguridad.

Esté al tanto de su sistema de control.

Una vez que haya desarrollado e implementado su enfoque basado en riesgos para la ciberseguridad, asegúrese de supervisar de manera constante los riesgos que vayan surgiendo y también de identificar posibles ataques y amenazas tan pronto como sea posible. Un enfoque que evoluciona y se adapta constantemente es lo más conveniente en materia de ciberseguridad.

Para las compañías de energía o servicios generales que buscan innovar y seguirle el ritmo a la competencia actual, la transformación digital ya no es algo “agradable de tener” sino algo que no es negociable. A pesar de que pueden existir riesgos, no deberían impedir que las compañías obtengan recompensas como mayor colaboración e innovación entre sus empleados, mejoras operacionales innovadoras y más.

Además, teniendo en cuenta el panorama en constante evolución de la ciberseguridad, las prácticas recomendadas anteriormente mencionadas son solo un punto de partida. Para optimizar verdaderamente sus operaciones y el enfoque basado en riesgos para protegerlas, las compañías de energía y agua actuales están automatizando e integrando sin problemas soluciones de ciberseguridad líderes en la industria, como el Sistema de control Ovation™ de Emerson que está designado y certificado por el Departamento de Seguridad Nacional como tecnología calificada contra el terrorismo en sus empresas.

Independientemente del punto en el que una empresa se encuentre en el recorrido de la ciberseguridad, es importante recordar que siempre hay oportunidades para mejorar, evolucionar y prepararse mejor para posibles próximos ataques o las amenazas que se esconden a la vuelta de la esquina.

Solo porque todavía no haya ocurrido un ataque, eso no le garantiza que no pueda suceder. Por lo tanto, dedíquele un tiempo hoy mismo al desarrollo del enfoque correcto y a la colaboración con el socio adecuado. Se lo agradecerá el día de mañana.

Habilite JavaScript para usar este sitio web.