MÓDULO Edición: Marzo 23- Junio 2023

Entornos Ubicuos: SCADA, Móviles e IICC

ASIGNATURA
6 ECTS

Carácter Obligatorio

Curso 2022/23

Cuatrimestre 2º

Idioma en que se imparte Castellano

Requisitos previos Ninguno

Antonio Rodríguez Usallán

Experto en Ciberseguridad Industrial
Ingeniero Superior Industrial
Profesores antonio.rodriguez.u@campusviu.es
Agustín Llamas Ballestero
CISO en Telefónica IoT & Big Data Tech.
agustin.llamas@campusviu.es

Caso práctico grupo

Índice
Introducción 3
Objetivos 3
Formato del trabajo 3
Supuesto 4
Algunos datos de las infraestructuras de “Aguas del Lago Azul”
Proceso Industrial 5
Edificio de Oficinas Centrales 6
Sistema de telefonía móvil 6
Equipos informáticos de Gestión 7
Servidores y Servicios IT 7
Redes de Comunicaciones IT 7
Cuestiones que te pueden ayudar 8

2
Introducción
De un tiempo a esta parte, cada vez son más los dispositivos que se gestionan en una
empresa: móviles, portátiles, tablets, etc.; lo mismo sucede con las redes que se deben
administrar: redes locales, cloud, redes industriales, etc.

El aumento de productos y servicios de TI externos, la hiperconectividad de las cosas (Internet

of Everything) y las políticas de BYOD (Bring your own device) ó BYOE (Bring your own
everything) incorporan nuevos escenarios y retos a los responsables de la gestión de la
ciberseguridad en la empresa.

La aplicación de tecnología de información (IT) en el entorno operacional (OT), hace que los
sistemas y dispositivos del proceso industrial se integren en redes industriales como parte de
las redes de la Organización. Los activos industriales presentan vulnerabilidades que hay que
protegerlos de potenciales amenazas cibernéticas

Objetivos
El objetivo de este trabajo es evaluar los conocimientos adquiridos durante la asignatura
actual y las que ya lleváis cursadas, para aplicar políticas, controles de seguridad y gestionar
los posibles riesgos que supone la incorporación de dispositivos conectados a Internet en la
empresa, así como la convergencia que está teniendo lugar en los ICS en las redes OT vs las IT
que ya dominamos.

Formato del trabajo

El grupo deberá considerar los activos que dispone la Organización, un estudio de los riesgos,
políticas, estrategias y controles de seguridad que se deberían aplicar para poder gestionar los
riesgos derivados de las nuevas tendencias de hiperconectividad en las redes empresariales.
La superficie de exposición es cada vez mayor, por lo que los vectores de ataque se
multiplican.

3
El alumno deberá asumir el papel de CISO de una empresa que se enfrenta al reto de gestionar
la seguridad según los datos expuestos en el punto siguiente SUPUESTO, podéis definir roles
dentro del grupo de trabajo.

El trabajo no se valorará por su extensión, sino por la capacidad del alumno de evaluar y
gestionar los riesgos asociados al uso de sistemas de telefonía distintos, diferentes
dispositivos ubicuos perfilados en el tema 1 de la asignatura, así como otras problemáticas que
iremos viendo durante el curso relacionadas con políticas de BYOD/BYOE, así como de los
riesgos derivados del uso del Cloud y de la administración remota de sistemas y redes
industriales, así como la conexión de las redes OT con las redes IT.

La entrega se tratará de un documento basado en plantilla, del que os proporciono una

(similar a la que usareis cuando desarrolláis vuestro TFM). La extensión del trabajo no debe ser
superior a 20 hojas.

Supuesto
El grupo empresarial “Aguas del Lago Azul” acaba de abrir una nueva planta embotelladora de
agua mineral en Castromurdielo, y ha sido anunciada en una rueda de prensa como una
referencia para las plantas embotelladoras del país ya que cuenta con las últimas tecnologías
en su planta industrial, con multitud de procesos automatizados permitiéndole una capacidad
de 44.000 botellas por hora para el formato de 2L.

La dirección de la empresa mantiene un compromiso con sus clientes basado en el uso de

procesos sostenibles, y garantizando siempre el cumplimiento de los máximos estándares de
calidad y seguridad en materia alimentaria.

Ante el nuevo reto empresarial, el director del grupo “Aguas del Lago Azul” ha decidido
contratarte a ti como responsable del área de Seguridad de la Información y te ha trasladado
el compromiso que tiene la empresa con sus clientes.

De igual forma el director, el Sr. Antonio Pérez Flores ha solicitado expresamente el deseo de
apoyarse en las nuevas tecnologías como eje vertebrador para el crecimiento de la empresa y
la exploración de nuevos mercados asegurando siempre el cumplimiento de los requisitos de
seguridad alimentaria, calidad y sostenibilidad.

4
Otros de los objetivos que te ha marcado el Sr. Antonio Pérez Flores es implantar medidas de
seguridad a los sistemas TI/OT de la compañía para garantizar su correcto funcionamiento y
evitar hechos delictivos mediante los medios técnicos que sean necesarios.

Esta preocupación viene fundada tras las últimas noticias aparecidas en los medios de
comunicación sobre ciberataques y el Sr. Antonio Pérez Flores ha mostrado su temor a que la
compañía sea objeto de un ciberataque para manchar su fantástica reputación y trayectoria
en el mercado.

Algunos datos de las infraestructuras de “Aguas del Lago Azul”

En las oficinas trabajan más de 350 personas, y aproximadamente 150 en la planta industrial
en turnos rotativos cubriendo un horario de 24x7x365.

Proceso industrial
La planta embotelladora está controlado por un conjunto de controladores lógicos
programables, de diferentes proveedores, cuya finalidad es recoger datos, procedentes de los
instrumentos y sensores de campo instalados que permiten la lectura de las variables de
proceso y basado en el control lógico definido en el controlador programable, actuar sobre
elementos de salida, y así controlar el proceso automatizado.

Se dispone de un PLC por cada una de las líneas de producción , interconectados en una red
industrial, para integrar todo el proceso de embotellado en un sistema SCADA único y local
de supervisión para todas las líneas.

Se dispone de un sistema integrado de seguridad (SIS), para asegurar que el proceso se lleva a
condiciones seguras, en caso de que se produzca un fallo en el control automatizado de
proceso

Este sistema está basado en un controlador lógico programable, independiente al de proceso,

y con instrumentación específica.

Las fuentes de agua natural de donde se extrae el agua que posteriormente será embotellada
existen unos sensores que permiten conocer el caudal del agua.

La nueva planta embotelladora de “Castromurdielo”, se integra como el resto de plantas

embotelladoras del Grupo, en un centro global de operaciones, control y supervisión,
localizado en Oficinas Centrales, que permite la supervisión general, monitorización y control
de todas las instalaciones de producción.

5
Además, este Centro, permite planificar la producción de cada planta embotelladora para
optimizar rendimientos, por lo que dispone de un sistema de historización de datos de
proceso (MES), en tiempo real, que recopila datos de las líneas de producción y los sirve a
otros sistemas del negocio, interconectando el entorno de Operaciones con el de Gestión del
Negocio, para planificar las producciones locales y ajustarlas a las demandas de los clientes

Los sistemas SCADA locales y los de supervisión están basados en Windows 7 y Windows 10,
con aplicaciones específicas desarrolladas para los objetivos de control automatizado
definidos, que requieren ser actualizadas con frecuencia para su adaptación a los
requerimientos de proceso.

Operadores de Planta y Mantenimiento son los responsables de la operación y

mantenimiento del proceso, respectivamente, así como de los sistemas de control.

Las redes de control están basadas en protocolos Ethernet/IP y la comunicación entre

controladores y SCADA utiliza protocolo OPC-DA, así como con el Centro de Operación
Global y con el sistema de histórico de datos (MES)

La empresa que realizó la instalación del sistema industrial nos indicó que disponen de un
sistema de soporte que les permite acceder a través una conexión remota desde sus oficinas
a la red industrial para conocer el estado de los sistemas de control de proceso de planta de
forma que en caso de avería nos lo notificarán para tomar acciones.

Edificio Oficinas Centrales

En un intento de modernizar la empresa y ser más eficiente, esta dispone de sensores de
presencia, sensores de luz. De igual forma también dispone de un sistema domótico para
gestionar los ascensores y la climatización de la empresa, conectado a una consola central
desde donde lo gestiona el equipo de mantenimiento.

Sistema de telefonía móvil

El Sr. Antonio Pérez Flores se ha declarado en varias ocasiones ser un “fan incondicional” de
Apple, y siempre lleva consigo su iPhone 13 y su iPad Pro a todas partes con el que siempre
está conectado y desde el que cierra los tratos con sus clientes internacionales.

El comité de dirección de la empresa lleva siempre la última versión de iPhone y una Tablet
tipo iPad desde donde pueden consultar el correo, acceder al dashboard que refleja la

6
evolución del negocio en tiempo real, datos financieros, además de acceder también a
Internet siempre mediante su conexión 4G que les permite estar siempre “online”.

Los mandos intermedios disponen de teléfonos Android y tablets Android.

La fuerza comercial, que está viajando continuamente por toda España y Portugal, dispone de
teléfonos y tablets Android y portátiles.

Desde la dirección, para poder dar facilidades a sus empleados, les permite (a los que lo
deseen) traer su propio dispositivo móvil y/o portátil para conectarse al correo electrónico y a
la red empresarial.

Equipos informáticos de Gestión

El parque informático de la compañía está compuesto en su totalidad por equipos portátiles.
Muchos de los trabajadores para poder continuar su trabajo se llevan el dispositivo a casa y lo
conectan a su red de casa.

Además, la compañía ha detectado que en ocasiones muchos empleados acceden al correo

corporativo desde sus dispositivos personales (tablets, móviles, …)

Los comerciales, que como dijimos anteriormente siempre están viajando, llevan consigo sus
portátiles y sus dispositivos móviles (Tablet, Smartphone) siempre consigo. Además, por su
trabajo indican que siempre llevan encima tarifas de precios, y datos “sensibles” de la
empresa. Por otro lado, muchos de ellos confiesan conectarse siempre a las wifis de las
estaciones de tren, aeropuertos y hoteles para consultar el correo personal o navegar por
internet en su tiempo libre.

Servidores y Servicios IT
La compañía dado que está en un proceso de crecimiento tiene la mayoría de sus servicios en
Cloud (Microsoft Azure) ya que le permite mayor flexibilidad a la hora de crear nuevos
servidores sin tener que invertir en el CPD actual.

● Su sistema de correo electrónico es Office 365

● Utilizan Microsoft One Drive para almacenar e intercambiar información entre los
empleados. Y en general toda la suite M365

● Para la gestión de los usuarios y la identidad la empresa dispone del servicio de Active
Directory en on-premise conectado con el cloud de Microsoft Azure.

7
Redes de Comunicaciones IT
● La compañía dispone de una red inalámbrica (Wifi) para dar servicio a sus empleados y
visitantes

● Una conexión VPN para enlazar con el servicio Cloud de Microsoft

● Actualmente no dispone de Proxy de navegación ni VPN para que los empleados

puedan conectarse

Cuestiones que te pueden ayudar

Algunas preguntas que te ayudarán a centrar tus acciones como nuevo máximo responsable
de la Seguridad de los Sistemas de Información:

1. ¿A qué riesgos me enfrento estando mi empresa situada en el sector alimentario?

2. ¿Qué riesgos destacarías después de leer el supuesto y de conocer a grandes rasgos la

compañía?

3. ¿Qué estructura documental te ayudará a conseguir tus objetivos como CISO?.

4. ¿Cuál sería la organización de seguridad que montarías para implementar las medidas
necesarias?.

5. ¿ En qué niveles de la pirámide de “Purdue”, se localiza cada activo industrial de la

planta?

6. ¿Cómo clasificarías cada activo en cuanto a criterios de confidencialidad, integridad y

disponibilidad?

7. ¿ Cuáles pueden ser las vulnerabilidades de cada activo industrial?

8. ¿Es segura mi red industrial?

9. Identifica zonas y conductos para segregar las distintas redes de la organización y qué
dispositivos de red (switches, routers, firewalls,...) instalarlas

10. ¿Cuál sería la propuesta de arquitectura de seguridad para todas las partes de la
empresa?.

8
11. ¿Qué solución propondrías para dotar de unas garantías mínimas de seguridad al
tráfico ( acceso remoto, tráfico de empleados…).

12. ¿Alguna vez se ha evaluado la seguridad de los sistemas IT/OT?

13. ¿Qué medidas adoptarías para proteger los dispositivos móviles de la compañía? ¿y
los portátiles?

14. ¿Qué medidas adoptarías para proteger los activos y las redes industriales de la
compañía?

15. ¿Que requerirían al proveedor externo de soporte de los PLCs para acceder
remotamente?

16. ¿Cuál sería tu propuesta para la gestión de las ciberamenazas (ciberinteligencia,

CSIRT, Red Team)?.

17. En caso de un incidente, ¿existe un Plan de Respuesta a Incidentes? ¿Existe un Plan de

Resiliencia?. ¿Que deberían contener dichos planes?

18. ¿Cuál sería tú propuesta para la implementación de un Plan de Continuidad de

Negocio?.

19. ¿Cómo sería la política de backups propuesta?.

20. ¿Cómo gestionarías el riesgo con los proveedores?.

21. ¿He perdido “gobernabilidad” sobre mis sistemas?

22. ¿Están seguros mis datos en el cloud?

23. ¿Es seguro utilizar Microsoft One Drive para el intercambio de información?

24. ¿Qué pasa si pierdo la conectividad de mi sistema Active Directory con el Cloud?

25. ¿Es seguro mi proveedor de cloud? ¿qué garantías de seguridad me ofrece? ¿Y qué
normativas cumple?

26. ¿ Los empleados de la Organización están concienciados y formados sobre

ciberseguridad?

27. ¿Cómo gestionarías el control de acceso físico?.

9
Después de las noticias aparecidas en los medios de comunicación sobre WikiLeaks, fake
news, etc. la dirección está muy preocupada, ¿deberías tomar medidas adicionales? ¿Son
suficientes las medidas adoptadas actualmente por la compañía?

10