INSTITUTO DE CIENCIAS TECNOLÓGICAS CIISA

INGENIERIA EN CIBERSEGURIDAD

Seguridad en Redes

Industriales

Actividad calificada 2

Profesor Guía Técnico:

Carlos Escalona

Estudiante:

Alejandro Medina López.

SANTIAGO
Oct 2022
1
Instrucciónes.

Un complejo refinador de petróleo, con varias plantas de proceso solicito una evaluación de
ciberseguridad para una de sus plantas donde tiene varios activos entre los que destacan; PLC,
sensores, actuadores, pc con Windows xp.

La empresa “ejemplo 1” hizo una evaluación donde recomendó lo siguiente:

· Actualizar Windows xp de forma urgente ya que no cuanta con soporte

· Los PLC tienen vulnerabilidades declaradas, por lo que se debe detener la planta y parchar
los equipos

· Implementar políticas de actualización de software diarias y semanales para todos los activos,
para lograr garantizar la seguridad de los equipos.

El complejo refinador de petróleo no está muy satisfecho con las recomendaciones, porque, aunque
las considera correctas su modelo de negocio no le permite tener las ventanas necesarias para
hacer los cambios que la empresa “ejemplo 1” propone. Por lo que lo consultan a usted como
profesional en ciberseguridad en ambientes OT para escuchar su opinión y recomendaciones en
cada uno de los 3 puntos.

Desarrollo.

· Actualizar Windows xp de forma urgente ya que no cuanta con soporte.

Antes de realizar cualquier tipo de actualización debemos tener en cuenta la compatibilidad

de los Softwares de producción con las versiones actuales de S.O y que los parches de S.O no
afecten a el Software en cuestión. Posterior a la revisión de compatibilidades y siempre y cuando no
existan problema alguno de compatibilidad se debe generar un plan de trabajo, teniendo en cuenta
un equipo con S.O actualizado y soportado, que pueda trabajar en paralelo al que actualizaremos
para no afectar la continuidad de la producción, a su vez en el plan de trabajo se debe incluir la
cantidad de equipos a actualizar y parcializar dicha actualización. Se sugiere conectar dichos
equipos a un Servidor WSUS y con esto mantener al día las vulnerabilidades que puedan afectar al
sistema.
2
· Los PLC tienen vulnerabilidades declaradas, por lo que se debe detener la planta y parchar
los equipos

Como en un ambiente OT se prioriza la continuidad operativa y el modelo de negocio del cliente no

le permite tener las ventanas necesarias, debemos pensar en una alternativa idónea para el
parchado de los PLC y con esto mitigar las vulnerabilidades declaradas.

Consideraremos el Virtual Patching (Parchado Virtual) para cubrir las vulnerabilidades declaradas,
que nos permite corregir errores sin modificar el programa. Para esto debemos considerar a un
proveedor que nos preste dicho servicio de parchado virtual, el cual nos permita realizar las labores
sin el reinicio de las máquinas y nos mantenga al día con las vulnerabilidades venideras.

Algunos proveedores:

https://www.trendmicro.com/es_es/business/solutions/iot/ics-ot.html

https://www.b-secure.co/estrategias/infraestructura/virtual-patching

También Existen Firewalls como el Fortigate Rugged 60D que con la función Fortianalyzer de
FortiManager puede gestionar el parchado.

· Implementar políticas de actualización de software diarias y semanales para todos los activos,
para lograr garantizar la seguridad de los equipos.

Si bien en parte lo mencionado es una buena práctica debemos considerar que cada actualización
puede generar un riesgo en la vida del sistema operativo o los softwares soportados, es decir puede

3
que una actualización no sea compatible con los sistemas utilizados por el negocio y esto genere un
paro en la producción. Por lo que en un ambiente OT debemos revisar cada actualización antes de
ejecutarla, con respecto al periodo de las actualizaciones y según el modelo de negocio de la
empresa no podemos actualizar semanalmente los activos y menos diariamente, ya que repetimos,
podemos correr el riesgo que un equipo falle posterior a una actualización. Dicho esto, debemos
tener en promediar cada cuanto tiempo salen las actualizaciones y coordinar con la jefatura el
período o plazo de actualizaciones de los activos.