Un enfoque de seguridad

para la protección de TI
y TO convergentes
Contenido

Resumen ejecutivo 3

Sección 1
¿Por qué las redes de TI y TO están convergiendo? 4

Sección 2
Mejores prácticas recomendadas de ciberseguridad para TO 6
1. Identificar activos, clasificar y priorizar el valor 6
2. Segmentar la red 7
3. Analizar el tráfico para detectar amenazas y vulnerabilidades 9
4. Controlar la administración de identidad y acceso 10
5. Proteger tanto el acceso con cable como inalámbrico 11

Conclusión: Limite proactivamente el riesgo en las redes de TO 13

2
Resumen ejecutivo
Las redes de tecnología operativa (TO)*, que controlan equipos en infraestructura crítica, como servicios públicos
y líneas de ensamblaje de fabricación, tradicionalmente se han mantenido separadas de las redes de tecnología
de la información (TI), que controlan datos en todas las organizaciones. En los últimos años, las cautivadoras
innovaciones en TI, como la inteligencia artificial (IA) y el análisis de Big Data, prometen aportar mejores
resultados también a las redes de TO. Como resultado, la integración de las redes de TO y TI se está acelerando
y esta convergencia expande la superficie de ataque digital, exponiendo las redes de TO a los ataques que
provienen de las redes de TI.

En la actualidad, las violaciones de datos de TO son comunes. Para frustrar los ataques y minimizar el riesgo
de TO, las organizaciones deben implementar cinco prácticas recomendadas:

1. Aumentar la visibilidad de la red

2. Segmentar las redes

3. Analizar el tráfico para detectar amenazas

4. Reforzar la administración de identidad y acceso

5. Proteger tanto el acceso con cable como inalámbrico

Estas prácticas se presentan como una base para mejorar la postura de seguridad de TO.

* TO es sinónimo de Sistemas de control industrial (ICS). TO se estableció como un término para contrastar con TI, porque los protocolos, proveedores y casos de uso de TO
son distintos. Los Sistemas de control de supervisión y adquisición de datos (SCADA) son un elemento de TO. Los sistemas SCADA utilizan interfaces gráficas de usuario para la
administración de la supervisión de nivel alto de los procesos de TO/ICS.

3
01: ¿Por qué las redes de TI y TO están convergiendo?
Desde el aprendizaje automático (ML) hasta la realidad aumentada (AR), el Internet de las cosas (IoT),
la transformación digital (DX) y los nuevos desarrollos en TI están rehaciendo los procesos y mejorando
los resultados en muchos sectores empresariales.

En las redes de TO, que controlan infraestructuras críticas como tuberías, redes eléctricas, sistemas de
transporte y plantas de fabricación, el cambio se da más lentamente. Los entornos de TO son vitales para la
seguridad pública y el bienestar económico mundial. Se desarrollaron décadas antes que las redes de TI y tienen
diferentes proveedores y protocolos propios. Al principio, había pocas razones para conectar las redes de TO y TI,
especialmente porque hacerlo aumenta el riesgo de ciberataques.

Sin embargo, en una encuesta de Fortinet, las organizaciones informaron que el 32 % de los dispositivos de
TO está conectado directamente a Internet y otro 32 % está conectado a través de una puerta de enlace a la
empresa.1 Las nuevas tecnologías digitales en entornos de TO impulsan el cambio. Por ejemplo, los sensores
están optimizando las líneas de producción y las gafas de realidad aumentada reducen los errores de los
trabajadores de almacén. El desafío al integrar la TI y la TO es que una superficie de ataque digital más grande
aumenta el riesgo de ciberataques.

4
9 de cada 10 organizaciones
experimentaron al menos una
intrusión en el último año y el
63 % tuvo 3 o más intrusiones.2

5
02: Mejores prácticas recomendadas de ciberseguridad para TO
Entonces, ¿cómo se pueden minimizar los riesgos y al
mismo tiempo permitir que se maximicen las ganancias?
Para protegerse contra ciberataques maliciosos, los
líderes de TO deben revisar las siguientes cinco áreas.
1. Identificar activos, clasificar y priorizar el valor
Mejorar la postura de seguridad comienza con la
visibilidad: no puede proteger lo que no puede ver.
La falta de visibilidad es una brecha de seguridad crítica
en muchas organizaciones, además, es más probable
que las organizaciones de primer nivel que no sufren
intrusiones tengan una visibilidad 100 % centralizada
en su centro de operaciones de seguridad. 3
Los equipos de seguridad necesitan un inventario
actualizado de los dispositivos y aplicaciones que se
ejecutan en la red. Un desafío es que muchas redes
de TO no se pueden escanear activamente con los
métodos que se utilizan para una red de TI. Un escaneo
activo puede interferir con el rendimiento de la red o
dañar los elementos de TO, como los Controladores
lógicos programables (PLC).
Los equipos de seguridad deben considerar
comunicarse con un proveedor o socio tecnológico para
efectuar una evaluación de amenazas. Esta evaluación
a veces utiliza un sistema como un Next-Generation
Firewall (NGFW) que puede reconocer los protocolos
de la aplicación de TO y observar pasivamente el tráfico
de la red, incluyendo el tráfico cifrado. El sistema utiliza
la información que recopila para perfilar y categorizar
los dispositivos en su red según sus características y
comportamiento. El resultado es un informe que:
§ Proporciona un inventario de dispositivos conectados
§ Indica las aplicaciones de riesgo alto
§ Detecta e identifica las principales vulnerabilidades
de seguridad de las vulnerabilidades de la aplicación
§ Evalúa el valor de riesgo de cada activo
§ Identifica indicios de malware, botnets y dispositivos
que podrían verse comprometidos
§ Categoriza las aplicaciones y analiza su uso de la red
Esta información sirve como una buena base para
priorizar los riesgos y optimizar un plan de seguridad.
6
2. Segmentar la red

La segmentación de red es uno de los conceptos arquitectónicos más efectivos para proteger los entornos de TO.
La idea es dividir la red en una serie de segmentos funcionales o “zonas” (que pueden incluir subzonas o
microsegmentos) y hacer que solo dispositivos, aplicaciones y usuarios autorizados puedan acceder a cada zona.
Un firewall define e implementa las zonas y también define los conductos, los cuales son canales que permiten que
las aplicaciones y los datos esenciales pasen de una zona a otra.

El modelo arquitectónico de zonas y conductos reduce en gran medida el riesgo de intrusión. Restringe la capacidad
de un atacante para moverse en una dirección “horizontal” o lateral. Los usuarios o dispositivos autorizados para una
actividad específica en una zona específica se limitan para que funcionen correctamente dentro de esa zona.

La segmentación es una de las mejores prácticas fundamental para proteger la TO, como se describe en las normas
de seguridad ISA/IEC-62443 (anteriormente ISA-99).4 La Sociedad Internacional de Automatización (ISA) creó estas
normas como ISA-99 y luego les cambió de número a 62443 para que se alinearan con las normas correspondientes
de la Comisión Electrotécnica Internacional (IEC).

Las normas ISA/IEC-62443 proporcionan una guía práctica sobre cómo segmentar las redes de TO. A cada zona se le
asigna un nivel de seguridad de 0 a 4, donde 0 representa el nivel más bajo de seguridad y 4 el más alto. Los estrictos
controles de acceso limitan el acceso a cada zona y conducto con base en la identidad autenticada del usuario o
dispositivo.

Los equipos de seguridad deben considerar un firewall con procesadores de seguridad especialmente diseñados para
acelerar partes específicas del procesamiento de paquetes y las funciones de escaneo de contenido, en comparación
con las CPU generales que se encuentran en muchos firewalls. Los procesadores de seguridad especialmente
diseñados permiten la criptografía de alta velocidad y servicios de inspección de contenido sin degradar el rendimiento
de la red. Esta función es importante para evitar que las zonas y los conductos se conviertan en cuellos de botella.

7
Se puede efectuar una
evaluación de amenazas
complementaria para
mapear su red.

8
3. Analizar el tráfico para detectar amenazas y vulnerabilidades

Una vez que los NGFW dividen una red de TO en segmentos y conductos, es valioso analizar el tráfico de la red para
detectar amenazas conocidas y desconocidas. Los equipos de seguridad deben tratar de integrar un NGFW que pueda
inspeccionar el tráfico cifrado de las aplicaciones. Además, el NGFW debe integrarse con un servicio de transmisión en
vivo para brindar actualizaciones sobre los protocolos de TO más comunes y las vulnerabilidades de las aplicaciones de
TO. Un servicio de este tipo permite que el NGFW inspeccione el tráfico de aplicaciones de TO y detecte vulnerabilidades
de seguridad. Las alertas de inteligencia global en tiempo real actualizan el firewall para que pueda identificar incluso
amenazas nuevas y sofisticadas. Cuando se integra con una solución de seguridad de endpoint compatible, el NGFW
puede monitorear los endpoints en busca de Indicators of Compromise (IOC) obtenidos de una diversidad de fuentes
en todo el mundo.

El firewall también puede aprender del tráfico en una red y establecer una referencia o conocimiento de lo que es normal
o anormal en los sistemas de TI y TO. Puede poner en cuarentena, bloquear o enviar alertas cuando detecta actividad
anormal o IOC. Integradas como parte de los NGFW, las funcionalidades de IA, que se distribuyen como parte de un sistema
de inteligencia frente a amenazas autoevolutivo, desarrollan firmas para detectar amenazas de día cero incluso antes de
que se escriban.

Para facilitar la búsqueda de amenazas y los informes de cumplimiento, los equipos de seguridad deben agregar un
Administrador de información de seguridad y eventos (SIEM) que pueda correlacionar datos de soluciones de seguridad
de punto y registros de dispositivos en las redes de TI y TO.

El enfoque óptimo es integrar un SIEM que pueda mapear una topología en tiempo real de la red y rastrear y registrar
eventos de seguridad. Este enfoque genera una correlación de información de diferentes soluciones para brindar contexto,
minimizar el tiempo de respuesta y simplificar la generación de informes.

Se necesita un puntaje de clasificación de seguridad, que se distribuye como parte de un paquete de alimentación de
inteligencia frente a amenazas, para cuantificar el rendimiento de la seguridad y permitir la comparación de la postura de
seguridad de una organización con sus pares de la industria. Esta clasificación es valiosa para los informes de cumplimiento
y para responder a las consultas de los líderes ejecutivos sobre la efectividad de seguridad.

9
4. Controlar la administración de identidad y acceso
Las credenciales robadas son un elemento que se utiliza
en muchos ciberataques de TO. Las organizaciones
de TO informan que el malware y la suplantación de
identidad son los tipos de intrusión más comunes.5
Una primera capa de defensa para controlar las
vulnerabilidades de seguridad de la Administración de
identidad y acceso (IAM) debe ser una puerta de enlace
segura de correo electrónico con prevención basada en
firmas y reputación.
Otra vulnerabilidad común del control de acceso es la
falta de administración de identidad privilegiada para
los administradores, lo cual permite a las organizaciones
monitorear cuentas de alto nivel en sus entornos de
TI. Esta vulnerabilidad aumenta el riesgo de daños por
credenciales de administrador robadas, un objetivo
codiciado para muchos atacantes.
Además, muchas organizaciones de TO no utilizan
el control de acceso basado en funciones para los
empleados, lo cual aumenta el riesgo de amenazas
internas. De hecho, el 42 % de las organizaciones de TO
experimentaron violaciones de datos de personas con
información privilegiada, frente al 18 % en 2020.6
Los equipos de seguridad deben buscar una solución
de IAM que:
§ Implemente el acceso basado en funciones para
cada usuario y limite el acceso a través de la
integración con el firewall solo a los recursos y al
microsegmento de la red apropiados
§ Valide la identidad con la autenticación de múltiples
factores, combinando algo que el usuario sabe
(como el nombre de usuario y la contraseña) con
algo que el usuario tiene, como un teléfono, un
certificado de computadora portátil o una clave de
seguridad física, o algo que el usuario es, como una
huella digital u otros datos biométricos
§ Habilite el Inicio de sesión único (SSO), lo cual
ahorra tiempo al implementar la seguridad basada
en la identidad del usuario empresarial sin requerir
pantallas de inicio de sesión adicionales
§ Autentique los dispositivos conectados a la red
mediante la observación de sus características y
comportamiento, además de advertir la necesidad
de actualizaciones de software para parchear las
vulnerabilidades
§ Restrinja el acceso solo a dispositivos autenticados,
bloqueando todos los demás puertos
10
5. Proteger tanto el acceso con cable como inalámbrico

En un entorno de TO, los switches de red y los puntos de acceso (AP) inalámbricos son dos objetivos atractivos
para los ciberataques. Ambos deben tener seguridad por diseño, administrados desde una interfaz central,
en lugar de estar protegidos por soluciones de seguridad complementarias que se administran a través de
múltiples interfaces. La administración de seguridad que es centralizada no solo reduce el riesgo, sino que
también mejora la visibilidad y minimiza el tiempo de administración para los equipos de seguridad y operaciones.

En muchas empresas de TO, la exposición a posibles ataques a través de puntos de acceso inalámbricos y por
cable está en aumento. Las tecnologías inalámbricas o del IoT, como el rastreo GPS y los sensores de seguridad,
pueden incluir conexiones a redes TO. La creciente exposición al riesgo se puede minimizar eligiendo un firewall
que sea parte de una plataforma de seguridad holística. La plataforma permite a los administradores impulsar
de forma centralizada políticas de seguridad granulares para los switches integrados y para los AP inalámbricos,
además de controlar redes de área local virtuales (VLAN) personalizadas para diferentes grupos de empleados
y equipos. Este tipo de firewall también permite el aprovisionamiento y la administración centralizados de los
switches y los AP inalámbricos heredados y conocidos de proveedores externos.

Otra característica a considerar al seleccionar los firewalls, los switches y los AP es un factor de forma resistente
para la implementación en las condiciones extremas de los sitios de campo que se encuentran en la TO, como
una red eléctrica, un oleoducto u otro sistema distribuido. Los dispositivos deben estar diseñados para funcionar
en los lugares más cálidos y fríos de la tierra y deben admitir políticas de seguridad creadas centralmente en los
extremos de la red, donde es probable que los actores de amenazas ataquen porque esperan que haya menos
seguridad. Una falla del equipo en el borde de la red no es solo una molestia; puede significar un tiempo de
inactividad crítico costoso y una implementación apremiante para resolver la falla del equipo.

11
Una plataforma de seguridad
holística puede impulsar las
VLAN personalizadas a nivel
mundial.

12
Conclusión: Limite proactivamente el riesgo en las redes de TO
Para mantener la competitividad, las organizaciones conectan entornos de TO a sus redes de TI. En la mayoría
de los casos, la convergencia de la TI y la TO está planificada y es estratégica para una organización. Aunque la
integración de la TI y la TO se está convirtiendo en una iniciativa estratégica, también aumenta la probabilidad de
violaciones de datos de la TO. La experiencia sugiere que una violación de datos de ciberseguridad es menos una
cuestión de “en caso de” que de “cuándo”. Aunque las violaciones de datos no se pueden detener el 100 % del
tiempo, se pueden limitar a través de la segmentación de red, detectar más rápido mediante el análisis del tráfico
y minimizar su frecuencia mediante la administración de identidad y acceso y del control de acceso inalámbrico
y por cable. La implementación de estas mejores prácticas puede reducir en gran medida el costo y los posibles
períodos de inactividad si un atacante consigue una posición inicial en una red de TO.

13
1
“Fortinet 2019 Operational Technology Security Trends Report: An Update on the Threat Landscape for ICS and SCADA Systems”, Fortinet, 8 de mayo de 2019.
2
“2021 State of Operational Technology and Cybersecurity Report”, Fortinet, 26 de mayo de 2021.
3
Ibid.
4
“ISA Standards: Numerical Order”, International Society of Automation, consultado el 7 de junio de 2021.
5
“2021 State of Operational Technology and Cybersecurity Report”, Fortinet, 26 de mayo de 2021.
6
Ibid.

www.fortinet.com

Copyright © 2021 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare®, FortiGuard® y otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet contenidos en este documento también pueden ser nombres registrados y/o marcas
comerciales de Fortinet conforme a la ley. El resto de los nombres de productos o de empresas pueden ser marcas registradas de sus propietarios respectivos. Los datos de rendimiento y otros indicadores contenidos en este documento se han registrado en pruebas internas de laboratorio bajo
condiciones ideales, de forma que el rendimiento real y otros resultados pueden variar. Variables propias de la red, entornos de red diferentes y otras condiciones pueden afectar a los resultados del rendimiento. Nada de lo contenido en este documento representa un compromiso vinculante de
Fortinet, y Fortinet renuncia a cualquier garantía, expresa o implícita, salvo en los casos en los que Fortinet celebre un contrato vinculante por escrito, firmado por el director del Departamento Jurídico de Fortinet, con un comprador, en el que se garantice expresamente que el producto identificado
cumplirá un determinado indicador de rendimiento expresamente identificado y, en tal caso, solamente el indicador de rendimiento específico expresamente identificado en dicho contrato por escrito será vinculante para Fortinet. Para dejarlo absolutamente claro, cualquier garantía de este tipo
se verá limitada al rendimiento en las mismas condiciones ideales que las de las pruebas de laboratorio internas de Fortinet. Fortinet no se hace en absoluto responsable de ningún pacto, declaración ni garantía en virtud de este documento, expresos o implícitos. Fortinet se reserva el derecho de
cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso, siendo aplicable la versión más actual de la misma.

junio 3, 2022 12:50 p. m.

358609-A-0-ES