Guía para empresas

:
seguridad de los sistemas de monitorización y control de los procesos e infraestructuras (SCADA)

Con el patrocinio de:

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

Edición: Marzo 2012

La “Guía para empresas: seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)” ha sido elaborada por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Observatorio de la Seguridad de la Información:

Pablo Pérez San-José (dirección) Eduardo Álvarez Alonso (coordinación) Susana de la Fuente Rodríguez Laura García Pérez Cristina Gutiérrez Borge

La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: · Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. · Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/ by-nc/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) (www.inteco.es), sociedad estatal adscrita al Ministerio de Industria, Energía y Turismo a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrollará actuaciones en las siguientes líneas: Seguridad, Accesibilidad, Calidad TIC y Formación.

El Observatorio de la Seguridad de la Información (http://observatorio.inteco.es) se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica, siendo un referente nacional e internacional al servicio de los ciudadanos, empresas, y administraciones españolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confianza de la Sociedad de la Información.

Deloitte (www.deloitte.es) presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con más de 170.000 profesionales que han asumido el compromiso de ser modelo de excelencia.

Deloitte cuenta con un grupo encargado de realizar servicios correspondientes a la gestión del riesgo informático que se denomina Enterprise Risk Services (ERS). Este grupo está formado por más de 200 profesionales, 8 socios en España y varios miles de especialistas a nivel mundial, dedicados exclusivamente a servicios de auditoría informática, seguridad informática, identificación y gestión de los riesgos de las operaciones asociados a los sistemas de información, así como a servicios enfocados a mantener el nivel de control interno requerido en la utilización de la tecnología.

Índice
1. ¿Qúe es SCADA? 2. Características de los sistemas de monitorización y control 3. Usos y aplicaciones 4. Beneficios del uso de sistemas de monitorización y control 5. Regulación: legislación aplicable y estándares 6. Gestión de riesgos de seguridad 7. Buenas prácticas 8. Recomendaciones 9. Glosario de términos relacionados con SCADA 5 7 15 18 20 27 35 43 45

4)

1.

¿Qúe es SCADA?

Los sistemas de monitorización y control en tiempo real son elementos esenciales en el funcionamiento no sólo de la mayoría de los procesos industriales, sino además de gran parte de las tareas rutinarias en nuestra sociedad. A pesar de ello, tanto dichas tareas como estos sistemas son desconocidos por gran parte de los ciudadanos. Se trata de herramientas utilizadas para gestionar infinidad de procesos: desde el funcionamiento del sistema de aire acondicionado o calefacción en un edificio hasta la distribución de energía eléctrica en el territorio nacional. De entre las diferentes clases de sistemas de monitorización y control existentes, los más utilizados son los denominados SCADA. El acrónimo SCADA (Supervisory Control And Data Acquisition) se puede traducir como control de supervisión y adquisición de datos. Es decir, se denomina sistema SCADA a aquel conjunto de redes, equipos y programas que monitorizan en tiempo real procedimientos industriales y tareas complejas, a partir de la información obtenida a través de sensores, comunicándose con los dispositivos actuadores para transmitirles las órdenes adecuadas y pudiendo controlar el proceso de forma automática mediante un software especializado. Estos sistemas reciben y envían información. Cuando en respuesta a una señal de salida del sistema, nueva información vuelve al mismo como entrada, se produce lo que se llama retroalimentación (feedback). La finalidad de esta continua comunicación es optimizar, vigilar, y en su caso, verificar la modificación de diversos aspectos del funcionamiento del sistema. Toda la información que se genera con estos procedimientos puede estar disponible tanto para los usuarios directamente implicados en los procesos productivos, como para otros usuarios supervisores dentro de la organización (control de calidad, control de producción, almacenamiento de datos, etc.). Esta definición puede resultar ambigua, pero esto se debe a que la variedad de sistemas SCADA es muy amplia, tanto en tipología como en funcionalidad, alcance y otras características. Puede referirse desde a sistemas que monitorizan y gestionan los procesos de una planta nuclear hasta a una red de control y seguimiento del estado de unas escaleras mecánicas. Así pues, la frontera entre un sistema SCADA y un sistema de control remoto es muy difusa, pudiéndose incluir en esta denominación los ICS (Industrial Control System,
¿Qué es SCADA?

(5

Guía para empresas: seguridad de los sistemas SCADA

sistema de control industrial), los DCS (Distributed Control System, sistema de control distribuido) o sistemas basados directamente sobre PLCs (Programmable Logic Controllers, controladores lógicos programables). Ofreciendo una descripción genérica que englobe a todos ellos, se les puede denominar sistemas de monitorización y/o control en tiempo real de forma, en mayor o menor medida, centralizada. En definitiva, son sistemas que cuentan con un control central desde el que se puede conocer lo que ocurre en distintos puntos a través de la medición y transmisión de diferentes parámetros, pudiendo actuar desde este puesto central para modificar o ajustar estos parámetros en los puestos remotos. Este control puede ejercerse de forma automatizada estableciendo unas reglas de actuación para el sistema ante las posibles situaciones y valores de los parámetros. Tradicionalmente, los sistemas SCADA se referían a aquellos que supervisaban y controlaban procesos industriales, ciñéndose la gestión principalmente a válvulas, bombas, sensores, interruptores y demás elementos mecánicos. Se trataba de sistemas aislados que permitían una gestión centralizada y eficiente, ya que al conocer el estado de todos los elementos del proceso industrial, la toma de decisiones se simplificaba de manera notable. Sin embargo, este enfoque ha evolucionado y se ha ampliado a lo largo del tiempo. Por un lado, han aparecido sistemas SCADA para la monitorización y control de otro tipo de dispositivos, como cámaras de videovigilancia o sistemas de climatización. Por otro lado, se ha eliminado su aislamiento pasando a estar más expuestos y conectados a redes externas y públicas como Internet. Todos estos cambios, unidos a las repercusiones que podría tener cualquier incidente de seguridad en muchos de estos sistemas, motivan la elaboración de esta Guía. En ella se exponen las características de los sistemas SCADA, sus componentes, su funcionamiento y los usos y aplicaciones actuales y futuros junto a los beneficios de dicho uso. Al mismo tiempo, se introduce la legislación aplicable y los estándares existentes, especialmente a nivel nacional. Pero sin duda el principal objetivo de esta Guía es exponer los posibles riesgos que afectan a estos sistemas y el modo de gestionarlos, al tiempo que se aporta una serie de recomendaciones y se señalan diferentes buenas prácticas a seguir.

6)

¿Qué es SCADA?

2.

Características de los sistemas de monitorización y control

2.1. CLASIFICACIÓN
Hoy en día, al hablar de sistemas de monitorización y control en tiempo real el término que mayor aceptación tiene es el de SCADA. Sin embargo, históricamente existían diferentes catalogaciones de este tipo de sistemas, siendo las principales de ellas las siguientes: • Industrial Control System (ICS). Este término, sistemas de control industrial, se puede considerar como una categoría que englobaría los sistemas SCADA, los DCS, así como los basados en PLCs. En general el término ICS se aplica a sistemas de monitorización y control orientados principalmente a usos industriales, por lo que en él se engloban los sistemas empleados en los sectores de electricidad, agua, petróleo, gas, química, etc. • Supervisory Control And Data Acquisition (SCADA). Los sistemas SCADA, o sistemas de control de supervisión y adquisición de datos, son un caso particular de ICS, cuya principal característica respecto a las otras dos categorías (DCS y sistemas basados en PLCs) es la gestión centralizada de todo el sistema. Hoy en día, el término SCADA ha alcanzado un significado más amplio, englobando a cualquier sistema que monitoriza y/o gestiona de forma centralizada y en tiempo real un conjunto de dispositivos finales. • Distributed Control System (DCS). Los DCS, o sistemas de control distribuido, son otro caso concreto de ICS, cuya principal diferencia respecto a los SCADA es que el control en este caso está repartido geográficamente, ubicándose en diferentes instalaciones donde se encuentran desplegados los elementos controlados. Es decir, un DCS podría considerarse como un conjunto de sistemas SCADA locales, que conforman un único sistema de monitorización sin ningún puesto de control central. • Sistemas basados en Programmable Logic Controllers (PLC). Los sistemas de control basados en PLCs, o controladores lógicos programables, son en esencia sistemas SCADA de tamaño y complejidad reducidos. Dado que los programas informáticos que monitorizan y controlan los actuadores residen en estos dispositivos, en los casos en los que el proceso no es muy complejo estos PLCs se emplean como componentes principales del sistema.
Características de los sistemas de monitorización y control

(7

Guía para empresas: seguridad de los sistemas SCADA

2.2. CARACTERÍSTICAS DIFERENCIADORAS
Para poder comprender los sistemas de monitorización y control en tiempo real y sus necesidades en cuanto a seguridad, es preciso conocer algunas de las características que los diferencian de las tecnologías estándar o de uso general. Los principales rasgos diferenciadores se refieren a su utilidad, su diseño inicial y a la evolución específica que han sufrido debido a sus peculiaridades. Estas características ubican dichos sistemas en una situación especial en cuanto a la seguridad. Estos rasgos son: • Diseñados para su funcionamiento continuo. La principal característica diferenciadora de estos sistemas es su diseño, ya que fueron concebidos bajo la prioridad absoluta del funcionamiento sin interrupción del proceso controlado frente a cualquier otra necesidad. Así pues, son sistemas diseñados para mantenerse en funcionamiento bajo cualquier circunstancia, lo cual puede producir deficiencias en otros aspectos. Esto se debe a que, en sus inicios, estos sistemas se diseñaron para gestionar actividades de vital importancia para la sociedad, como la generación y distribución eléctrica o el control de embalses y plantas potabilizadoras. • Actuación sobre el entorno físico. A diferencia de la mayoría de los sistemas informáticos, las acciones que se ejecutan en un sistema SCADA tienen, por lo general, un impacto directo sobre el mundo físico. Es decir, mientras que cuando se ejecuta un programa en un ordenador el único resultado es la visualización del mismo a través de una pantalla y el uso de su funcionalidad (por ejemplo, un visor de documentos PDF interpreta el fichero y lo muestra por pantalla), la ejecución o envío de una orden en un sistema SCADA puede suponer la apertura de una válvula de una tubería, la disminución de temperatura de un sistema de climatización o el corte del suministro eléctrico en una ciudad. • Automatización total o parcial de procesos complejos. Aunque esta característica podría considerarse propia de cualquier sistema informático, en este caso tiene un matiz diferente al tratarse de procesos más complicados y extensos. Un ejemplo de automatización de un proceso complejo es el sistema SCADA de una cadena de producción de coches, que controla los brazos robóticos, la velocidad de las cintas transportadoras, la presión aplicada para colocar las piezas, etc.
8) Características de los sistemas de monitorización y control

• Paso del aislamiento a la conexión global. En un principio, este tipo de sistemas fueron diseñados para encontrarse en entornos aislados. Sin embargo, esta situación ha evolucionado hasta el escenario actual, en el que los sistemas de monitorización y control suelen encontrarse conectados con la red corporativa o redes públicas como Internet. • Monitorización y control de Infraestructuras Críticas1. Actualmente, muchas de las Infraestructuras Críticas se encuentran monitorizadas y controladas por sistemas SCADA, existiendo en muchos casos una dependencia prácticamente absoluta respecto a dichos sistemas. Esta dependencia provoca que el sistema SCADA pase a considerarse como crítico, con las necesidades de seguridad y protección que ello conlleva. Un ejemplo ilustrativo es el de una central nuclear. Estas centrales no pueden funcionar sin estos sistemas, ya que son los encargados de la gestión del proceso de generación de energía, así como de los mecanismos de seguridad que evitan la materialización de riesgos que puedan poner en peligro la integridad de sus instalaciones. • Carencias en actualización de software. Otra característica propia de este tipo de sistemas es la escasa evolución de los mismos, debido principalmente a su aislamiento inicial y a los riesgos que podría implicar su actualización. El aislamiento para el cual fueron diseñados parecía asegurar en principio la imposibilidad de sufrir ataques informáticos, mientras que los posibles riesgos de su actualización se centran en la probabilidad de dejar sin servicio al sistema en caso de error. Estos dos factores han tenido como consecuencia la omisión de las actualizaciones que se han encontrado disponibles para los demás sistemas informáticos a medida que se han descubierto vulnerabilidades.

1

Se define Infraestructura Crítica como aquellas instalaciones y equipos físicos e informáticos cuya interrupción o destrucción tendría un gran impacto en servicios básicos de las Administraciones Públicas o en la sociedad.

Características de los sistemas de monitorización y control

(9

Guía para empresas: seguridad de los sistemas SCADA

2.3. ESTRUCTURA Y COMPONENTES
La estructura básica de un sistema SCADA típica podría ser la siguiente:
Diagrama genérico de SCADA

HMI

Comunicaciones
Servidor de históricos Servidor de control

Centro de Control

Componentes Finales
Fuente: Forrester

Como se observa, un sistema SCADA se puede dividir físicamente en 3 conjuntos principales: • Centro de control. Es el lugar donde se ubican los componentes centrales de un sistema SCADA. Los principales elementos con que cuenta son: − Servidor de control. Es el núcleo del sistema. Se encarga de la monitorización y del control de componentes. Recibe la información proveniente de los componentes finales y envía las órdenes pertinentes en caso de HMI necesitarse algún tipo de cambio en los elementos controlados. − Servidor de Históricos. Es el elemento encargado del almacenamiento y consolidación de la información recolectada por los sensores que forman parte del sistema.
10 ) Características de los sistemas de monitorización y control

Servidor de históricos

Servidor de control

Centro de Control

− HMI (Human Machine Interface). Son los equipos y aplicaciones informáticas empleadas por el personal encargado de la gestión del sistema SCADA para poder desarrollar sus tareas de una forma más visual y sencilla. En muchas ocasiones se utilizan páginas web, interfaces gráficas de usuario2 o incluso pantallas táctiles sobre las que se muestran un diagrama del sistema gestionado con información relativa a su estado. Es importante señalar que estos tres componentes no tienen por qué estar separados físicamente, ya que en sistemas de monitorización y control de tamaño reducido pueden encontrarse en un único equipo informático. • Comunicaciones. Se trata de comunicaciones entre el centro de control y los componentes finales, es decir, entre el centro de mando y los sensores y elementos a manipular. Estas comunicaciones pueden abarcar Comunicaciones pequeñas o grandes distancias, y utilizan un amplio abanico de tecnologías: redes locales, redes telefónicas, conexiones vía satélite o radio, redes públicas, etc. La información transmitida en estas comunicaciones contiene datos de monitorización de los componentes finales, así como órdenes de control remoto. • Componentes finales. Son los sensores que proporcionan los datos al sistema y los dispositivos que se manipulan a través del mismo. Por ejemplo, cámaras de videovigilancia, sensores de temperatura, elementos de climatización, etc.
Componentes Finales

Es importante señalar que esta separación física puede resultar bastante difusa en sistemas de tamaño reducido, pudiendo estar todos los componentes en una misma instalación o incluso en una única sala.

2

Interfaz gráfica: Entorno visual compuesto de un conjunto de imágenes y objetos gráficos empleados para la representación de información y acciones disponibles para el usuario.

Características de los sistemas de monitorización y control

( 11

Guía para empresas: seguridad de los sistemas SCADA

2.4. EVOLUCIÓN
Estos sistemas han sufrido una evolución distinta a la del resto de los sistemas TIC. Esta diferenciación se centra en dos aspectos principales: el tipo de tecnologías utilizadas y la interconexión con otros sistemas. • Tecnología propietaria y específica vs. Tecnología de uso general. Un aspecto destacable de estos sistemas en sus orígenes era el uso de tecnología propietaria de escasa difusión (y por tanto poco conocimiento público) en la práctica totalidad de sus componentes. Con el transcurso del tiempo y la evolución de las TIC, estos sistemas comenzaron a emplear elementos de uso general, como ordenadores con sistema operativo Windows, Sistemas de Gestión de Bases de Datos de amplia difusión, etc. • Interconexión. Con el paso del tiempo, y en muchas ocasiones por necesidades de negocio, se establecieron conexiones entre los sistemas de monitorización y control y otras redes, rompiendo así su aislamiento inicial. En la mayoría de los casos, las conexiones se realizaron con redes semi confiables, como por ejemplo la red corporativa de la propia empresa, mientras que en otros casos se llevaron a cabo con redes públicas, como Internet, lo cual da lugar a una gran exposición a diferentes riesgos. Estos dos factores han supuesto un cambio sustancial respecto a la preocupación sobre la seguridad. Mientras que inicialmente los sistemas eran considerados seguros debido a su aislamiento y al uso de tecnologías poco conocidas, actualmente se encuentran conectados con otras redes y, al emplear elementos de uso general, mucha más gente tiene conocimiento sobre los mismos, especialmente sobre sus debilidades en seguridad.

2.5. MADUREZ
El grado de madurez de los sistemas de monitorización y control en tiempo real se refiere al nivel de sofisticación y fiabilidad al que ha llegado el desarrollo de estos elementos. A continuación se describirá brevemente el grado de madurez de los diferentes componentes de estos sistemas en cuanto a seguridad física, seguridad informática o lógica y funcionalidad.
12 ) Características de los sistemas de monitorización y control

Centros de control
• Seguridad física. Al tratarse del núcleo de este tipo de sistemas, estos centros han contado históricamente con unas medidas de protección físicas muy robustas, por lo que en este aspecto se considera que su nivel de madurez es alto. • Seguridad informática. El nivel de madurez es en general escaso, debido a que el escenario en el cual se encuentran actualmente los sistemas de monitorización y control en tiempo real no se contempló en su diseño. • Funcionalidad. Este requisito ha sido cubierto de una forma muy eficaz desde el inicio del uso de este tipo de sistemas. Se basa en dos pilares fundamentales que son la robustez de los sistemas y equipos empleados y la redundancia, es decir, la duplicación de componentes críticos para el funcionamiento del sistema, de modo que si el componente original deja de funcionar, la réplica pueda realizar las mismas funciones.

Comunicaciones
• Seguridad física. En general, el nivel de madurez es medio-bajo, debido en gran medida al uso de tecnologías inalámbricas y a las distancias cubiertas en ocasiones por estas comunicaciones. • Seguridad informática. La seguridad informática en las comunicaciones es muy dependiente de la tecnología empleada, si bien es cierto que en los últimos años la preocupación por la seguridad ha fomentado la implantación de medidas como el cifrado de estas comunicaciones. Por ello, el grado de madurez en este aspecto se puede considerar medio. • Funcionalidad. El grado de madurez en este caso también depende de la tecnología empleada, aunque en general se puede considerar que su nivel es alto.

Componentes finales
• Seguridad física. En general, el nivel de seguridad es muy dependiente de la dispersión geográfica del sistema. Mientras que en entornos reducidos (por ejemplo un edificio) la seguridad física generalmente es razonable, en sistemas
Características de los sistemas de monitorización y control

( 13

Guía para empresas: seguridad de los sistemas SCADA

que tienen componentes en zonas distantes, éstos suelen contar con escasas medidas de protección física. • Seguridad informática. En general, su nivel de seguridad es escaso, al tratarse de componentes cuyo diseño no ha tenido en cuenta este aspecto. Además, suelen contar con programas informáticos obsoletos o configuraciones por defecto, hechos que incrementan notablemente su inseguridad. • Funcionalidad. Al igual que en la inmensa mayoría de componentes y dispositivos de un sistema de monitorización y control en tiempo real, el grado de madurez en términos funcionales es muy elevado. A modo de resumen, globalmente el nivel de madurez respecto a la funcionalidad se puede considerar elevado, aunque en cuanto a seguridad es escaso. No obstante, el nivel de seguridad informática se encuentra en evolución positiva.

14 )

Características de los sistemas de monitorización y control

3.

Usos y aplicaciones

3.1. USOS Y APLICACIONES EN DIFERENTES SECTORES
Tal y como se ha planteado, los sistemas SCADA se utilizan en muy diferentes aplicaciones, pero todas se resumen en la supervisión y gestión, en mayor o menor grado, centralizada y automatizada de procesos complejos, sean éstos industriales o sectoriales. Debido a la variedad de sectores en los que se emplean sistemas SCADA, a continuación se contemplan los principales ejemplos sectoriales junto a los usos generalistas: • Energía - Generación. Los sistemas SCADA tienen una amplia presencia en el sector de la energía, especialmente en las plantas de generación, como por ejemplo centrales nucleares, centrales hidroeléctricas, etc. No obstante también existen instalaciones más pequeñas, como pueden ser los huertos solares o pequeños conjuntos de aerogeneradores que están gobernados mediante estos sistemas. • Energía - Distribución. Al igual que en la generación, los sistemas SCADA se encuentran ampliamente extendidos en la distribución de energía, como por ejemplo en el sistema eléctrico, la red de gaseoductos, etc. Al igual que en el caso anterior, dentro de este ámbito se encuentran instalaciones más reducidas, como puede ser la infraestructura eléctrica de un edificio. • Transporte. El uso e implantación de sistemas SCADA en el sector transporte es relativamente reciente, sobre todo tomando como referencia sectores ya clásicos en el uso de estos sistemas como el de la energía. Su finalidad principal suele ser la monitorización del estado de las vías de circulación (ya sean vías férreas, carriles, puentes, etc.), si bien es cierto que también se utilizan diversos componentes de control remoto, como pueden ser elementos de balizamiento, señalización o actuadores mecánicos (cambio de vía, puesta en funcionamiento de un puente levadizo, cambio de color de la señalización, etc.). • Agua. En este caso, los sistemas SCADA son utilizados principalmente para los procesos de potabilización, distribución y tratamiento de aguas. Debido a la extensión geográfica de dichas instalaciones, se pueden incluir tanto grandes sistemas SCADA (por ejemplo el sistema que controla el abastecimiento de una región) como pequeños sistemas SCADA (como puede ser el relativo a una planta de tratamiento de aguas residuales o incluso el encargado de supervisar y controlar el sistema de riego en una explotación agrícola).
Usos y aplicaciones

( 15

Guía para empresas: seguridad de los sistemas SCADA

• Industria química / Industria de manufactura. El uso de sistemas SCADA en las instalaciones de la industria química y de manufactura se encuentra relativamente extendido, más concretamente en los procesos industriales de producción. Estos sistemas se encargan de monitorizar y controlar las diferentes etapas de dichos procesos, así como de los parámetros asociados a los mismos (temperatura, cadencia, cantidades, etc.). Un ejemplo de sistema SCADA aplicable a este sector es el encargado de monitorizar y controlar el proceso de embalaje de productos en conserva. • Otros (Alimentación, Salud, Instalaciones de Investigación…). La implantación de sistemas SCADA en los demás sectores es más reciente y especialmente variada. Por último, existen diversas funcionalidades o servicios que son transversales y se gestionan mediante pequeños sistemas SCADA. Estos sistemas SCADA son relativamente recientes y el grado de dependencia de las empresas que han adoptado estas tecnologías en general es bajo, principalmente debido a que se encargan de procesos o tareas que no se consideran vitales para sus operaciones. Algunos ejemplos de estos pequeños sistemas SCADA son: • Seguimiento y gestión de la climatización de un edificio. • Supervisión y control de elementos de vigilancia de una instalación, como videocámaras o sensores (de movimiento o presión, por ejemplo). • Monitorización y gobierno de componentes electromecánicos, como ascensores, escaleras mecánicas o controles de acceso mediante tarjetas de proximidad.

3.2. USO EN EL FUTURO: SMARTGRID
El principal campo de evolución y nuevos usos o aplicaciones de los sistemas SCADA en el sector energético es el relativo al concepto de SmartGrid. Este término se podría traducir y resumir como red de distribución de energía inteligente. En este caso, la distribución tiene un alcance mayor que los sistemas SCADA tradicionales de distribución, ya que llega hasta los propios usuarios finales a través de contadores inteligentes, los cuales son la clave del SmartGrid.
16 ) Usos y aplicaciones

La estructura de un SmartGrid es similar a la de los sistemas SCADA descritos en la presente Guía, siendo los contadores inteligentes los elementos finales monitorizados y gestionados. El principal beneficio que se consigue con el uso de este tipo de redes es la obtención de información más precisa del estado de la red de distribución. Al contar con datos en tiempo real del consumo energético de los usuarios finales, las compañías distribuidoras dispondrán de más información para la toma de decisiones o la resolución de problemas. En consecuencia, permitirá lograr una mayor eficiencia energética, al conocer en tiempo real la demanda y consumo de cada uno de los usuarios finales. Por ejemplo, para optimizar el balance de generación y consumo de energía, se podrían aplicar tarifas en función de las franjas horarias, siendo más barata la energía consumida en horas valle (cuando menor consumo hay), y más cara en las horas punta (cuando mayor consumo hay). En consecuencia, las compañías distribuidoras de energía eléctrica podrían idear nuevas tarifas que fueran más beneficiosas para los usuarios finales. Otro aspecto a considerar es el ahorro económico que supone el uso de contadores inteligentes. La gestión y monitorización de los mismos (estado, consumo, etc.) se puede realizar de forma remota y automatizada. Por último, pero no por ello menos importante, la implantación y uso de estos contadores inteligentes ayudará a concienciar a los usuarios finales sobre su consumo energético. Los clientes podrían acceder en todo momento a dichos contadores para consultar su consumo actual y acumulado, el CO2 emitido durante la generación energética y el coste económico del consumo. En España, la implantación y despliegue de estos contadores inteligentes se encuentra en fase inicial. Según la Orden del Ministerio de Industria, Turismo y Comercio 3860/2007, del 28 de diciembre, en la Disposición adicional primera, se establece que, “En cualquier caso, estos equipos mencionados [en referencia a los contadores] deberán ser sustituidos antes del 31 de diciembre de 2018” .

Usos y aplicaciones

( 17

4.

Beneficios del uso de sistemas de monitorización y control

El principal objetivo de un sistema SCADA es la monitorización y gestión centralizada en tiempo real de un conjunto de componentes o dispositivos dispersos geográficamente, en mayor o menor medida. Esta supervisión y control centralizados ofrece múltiples beneficios como pueden ser:

4.1. INFORMACIÓN MÁS PRECISA Y OPTIMIZACIÓN DEL PROCESO DE DECISIÓN
El hecho de poder observar de forma conjunta y en tiempo real toda la información de un proceso facilita en gran medida la toma de decisiones, ya que en el caso de existir diferentes soluciones a un incidente, la visualización del estado global del sistema permite elegir una acción que no impacte negativamente en otro punto del mismo. Se puede tomar como ejemplo un sistema que monitoriza el volumen de agua retenida en diferentes embalses de un río y, adicionalmente, permite controlar el caudal desembalsado en cada momento. Supongamos que dos embalses consecutivos se encuentran al 95% de su capacidad y en un momento dado se detectase que, debido a la aparición de precipitaciones, puede existir riesgo de desbordamiento. Gracias a la visualización simultánea del estado de todos ellos en tiempo real, un operador puede observar que no sería suficiente incrementar el caudal desembalsado de la primera presa, sino que, para evitar el desbordamiento de la siguiente, sería necesario también liberar agua en ella.

4.2. GESTIÓN REMOTA EN TIEMPO REAL
Si durante la monitorización de un proceso se detecta algún tipo de anomalía o fallo en alguno de los componentes finales, un operador tiene la posibilidad de enviar órdenes para modificar el comportamiento o estado del componente afectado o de otro, solucionando dicha anomalía y sin necesitar desplazarse hasta su ubicación. Por ejemplo, si en una granja de alimentación de ganado se detecta que en los abrevaderos de los animales no hay la suficiente cantidad de agua, se podrían abrir las llaves y válvulas correspondientes al llenado de los mismos de forma remota a través del sistema.

18 )

Beneficios del uso de sistemas de monitorización y control

4.3. ALMACENAMIENTO HISTÓRICO DE INFORMACIÓN
Uno de los componentes principales de los sistemas SCADA es el servidor de históricos. El objetivo de este elemento es el almacenamiento continuo, con una frecuencia configurable, del estado del proceso monitorizado. Esta información facilita la realización de un análisis posterior que permita la mejora del proceso, la detección de anomalías o el estudio de patrones. De este modo podría llegarse a una mayor automatización del seguimiento y la planificación ante contingencias. Por ejemplo, en el caso de una pequeña instalación de generación eléctrica mediante paneles solares, el almacenamiento de la información relativa a la cantidad de energía que se está produciendo a lo largo del tiempo, en función de la posición del panel y de la temperatura ambiente, permitiría optimizar la configuración de los paneles de modo que se maximice la producción. Asimismo, permitiría calcular con una precisión razonable la producción estimada.

4.4. CONFIGURACIÓN DE MECANISMOS DE SEGURIDAD
Gracias a la automatización de los procesos que ofrecen los sistemas de monitorización y control en tiempo real, existe la posibilidad de establecer y definir ciertos mecanismos de seguridad, ya sean automáticos o semiautomáticos. Estos mecanismos se suelen emplear para garantizar la disponibilidad del proceso, objetivo primordial de este tipo de sistemas. Por ejemplo, en un sistema que controla la climatización de una sala de servidores se podría configurar un rango de temperatura aceptable, de modo que si un sensor detecta que la temperatura no se encuentra dentro de los límites deseados, se podrían realizar las acciones predefinidas para solventar dicha situación, como por ejemplo el encendido de máquinas generadoras de aire, el descenso de la temperatura del aire refrigerado, etc.

Beneficios del uso de sistemas de monitorización y control

( 19

5.

Regulación: legislación aplicable y estándares

Actualmente no existe un marco normativo unificado de aplicación general a los sistemas SCADA que regule de forma conjunta y para todos los sectores las cuestiones más relevantes en la materia, como por ejemplo la automatización de procesos, el control remoto, etc. Es importante recalcar que debido a que los sistemas SCADA se encuentran ligados a muy distintos sectores, es recomendable estudiar la legislación, regulación o normativas existentes para cada sector específico en el que se encuentren operando. La principal normativa existente está especialmente circunscrita a la protección de las Infraestructuras Críticas, entendidas éstas como el conjunto de recursos, servicios, tecnologías de la información y redes, que en el caso de sufrir un ataque, causarían gran impacto en la seguridad, tanto física como económica, de los ciudadanos o en el buen funcionamiento del Gobierno. Habida cuenta de la ausencia de un marco regulatorio unificado, y sin ánimo de ser exhaustivos, en el presente apartado se detalla, a título de ejemplo, la normativa más relevante de aplicación a los sistemas SCADA, tanto española como procedente de la Unión Europea. Igualmente, se incluyen referencias a algunas de las guías / estándares nacionales e internacionales más reseñables en relación con los citados sistemas.

5.1. NORMATIVA
Protección de Infraestructuras Críticas
Los mecanismos legales para identificar y garantizar el aseguramiento de las Infraestructuras Críticas se han venido desarrollando a través de diferentes normativas. Los principales documentos al respecto son: • Comunicación de la Comisión al Consejo y al Parlamento Europeo, del 20 de octubre de 2004, sobre Protección de Infraestructuras Críticas en la lucha contra el terrorismo. Define las Infraestructuras Críticas (IC) como “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el

20 )

Regulación: legislación aplicable y estándares

bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados miembros” 3. La Comunicación señala las acciones que la Comisión Europea ha venido adoptando de cara a proteger adecuadamente las IC y, adicionalmente, propone determinadas medidas dirigidas a la consolidación de los diversos instrumentos existentes para mejorar la prevención, preparación y respuesta de Europa frente a atentados terroristas que pudiesen afectar a las mencionadas IC. • Comunicación de la Comisión, de 12 de diciembre de 2006, sobre un Programa Europeo para la Protección de Infraestructuras Críticas. El objetivo general del Programa Europeo para la Protección de Infraestructuras Críticas (PEPIC) es el de mejorar la protección de las IC de la Unión Europea mediante la creación de un marco común en esta materia en el seno de la misma. • Directiva 2008/114/CE del Consejo, de 8 de diciembre, sobre Identificación y Designación de Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección. Establece un procedimiento de identificación y designación de las IC Europeas, así como un planteamiento común para evaluar la necesidad de mejorar la protección de dichas infraestructuras con el fin de contribuir a la protección de la población. • Ley 8/2011, de 28 de abril, por las que se establecen medidas para la protección de las infraestructuras críticas. Tiene por objeto establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos órganos de las Administraciones Públicas en materia de protección de IC, previa identificación y designación de las mismas, para mejorar la prevención, preparación y respuesta frente a las amenazas que afecten a dichas IC. A la par, esta Ley regula
3 En España, las Infraestructuras Críticas se dividen en los siguientes 12 sectores estratégicos: centrales y redes de energía; tecnologías de la información y las comunicaciones; sistema financiero y tributario; sector sanitario; espacio; instalaciones de investigación; alimentación; agua; transportes; industria nuclear; industria química; y Administración.

Regulación: legislación aplicable y estándares

( 21

Guía para empresas: seguridad de los sistemas SCADA

las obligaciones que deben asumir tanto las Administraciones Públicas como los operadores de Infraestructuras Críticas. Por otro lado, establece el Sistema de Protección de Infraestructuras Críticas que se compone de una serie de instituciones, órganos y empresas, procedentes tanto del sector público como del privado, con responsabilidades en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos. En España las actuaciones necesarias para optimizar la seguridad de las IC se enmarcan fundamentalmente en el ámbito de la protección contra agresiones deliberadas tales como ataques terroristas, resultando por ello lideradas por el Ministerio del Interior. Sin embargo, la seguridad de las IC exige tener en cuenta también otro tipo de actuaciones que vayan más allá de la mera protección material contra eventuales ataques, por lo que se involucra a otros órganos de la Administración General del Estado, de las demás Administraciones Públicas e incluso del sector privado. Asimismo, mediante esta Ley se crea el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), órgano de asistencia al Secretario de Estado de Seguridad en la ejecución de las funciones que se le encomiendan a éste como órgano responsable del Sistema de Protección de Infraestructuras Críticas. • Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Desarrolla determinados aspectos de la Ley de Protección de IC a fin de concretar las actuaciones de los distintos órganos integrantes del Sistema de Protección de Infraestructuras Críticas, así como los diferentes instrumentos de planificación del mismo. Asimismo, establece una serie de obligaciones específicas que deberán asumir tanto el Estado como los operadores de las IC. • Resolución de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad, por el que se establecen los contenidos mínimos de los planes de seguridad del operador (PSO) y planes de protección específicos (PPE) conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de infraestructuras críticas.

22 )

Regulación: legislación aplicable y estándares

• Resolución de 29 de noviembre de 2011, de la Secretaría de Estado de Seguridad, por la que se corrigen errores en la de 15 de noviembre de 2011, por la que se establecen los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos conforme a los dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de infraestructuras críticas. Con ambas resoluciones la secretaría de Estado de Seguridad, a través de CNPIC, da cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mínimos en los que se deben de apoyar los operadores críticos públicos y privados a la hora del diseño y elaboración de su Plan de Seguridad del Operador (PSO) y de los Planes de Protección Específicos (PPE) en las instalaciones catalogadas como críticas. Asimismo, incorpora algunos puntos explicativos sobre aspectos recogidos en la Ley 8/2011 y el Real Decreto 704/2011.

Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad
• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la admisnitración electrónica Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Se trata de una normativa de obligado cumplimiento para el sector público. La finalidad del Esquema Nacional de Seguridad (ENS) es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.

Regulación: legislación aplicable y estándares

( 23

Guía para empresas: seguridad de los sistemas SCADA

Al objeto de crear estas condiciones, el ENS introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información. • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica Su objeto es comprender el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad. El Esquema Nacional de Interoperabilidad (ENI) persigue la creación de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y aplicaciones empleados por las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia. Para su cumplimiento, el ENI señala los elementos que han de guiar la actuación de las Administraciones Públicas en materia de interoperabilidad.

24 )

Regulación: legislación aplicable y estándares

5.2. GUÍAS Y ESTÁNDARES
Al margen de las normativas de carácter legal y de obligado cumplimiento, existen algunas guías y estándares de carácter orientativo en relación a los sistemas SCADA. Principalmente son:

Guía CCN-STIC-480 en materia de Seguridad en Sistemas SCADA
El Centro Nacional de Inteligencia (CNI) a través de su Centro Criptológico Nacional (CCN), realiza diversas actividades relacionadas con la seguridad de las TIC. Una de las funciones más destacables del CCN en esta materia es la de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC de la Administración, materializada en la existencia de la serie de documentos “CCN-STIC” que se elaboran para dar cumplimiento a los cometidos del , CCN y a lo reflejado en el ENS. La guía CCN-STIC-480 en materia de sistemas SCADA es de aplicación a todos los sistemas SCADA, aunque cobra especial importancia en las industrias que trabajen con Infraestructuras Críticas, y está orientada a cualquier organismo, institución, industria o empresa que cuente con sistemas SCADA. Sus objetivos son los siguientes: • Presentar la problemática planteada por los sistemas SCADA y sus vulnerabilidades, su impacto y la necesidad imperativa de controlar su seguridad. • Describir las técnicas necesarias para analizar los riegos derivados de dichos sistemas. • Enumerar todos los elementos, sean estos técnicos o no, que tienen un papel en la seguridad de los sistemas SCADA, estableciendo los ámbitos en los que intervienen y presentando los mecanismos adecuados para que su actuación sea efectiva. • Presentar algunas soluciones técnicas ante determinadas amenazas, referenciando los documentos donde se puede encontrar más información de cada una de ellas.
Regulación: legislación aplicable y estándares

( 25

Guía para empresas: seguridad de los sistemas SCADA

IEEE PC37.1™ Draft Standard for SCADA and Automation Systems
El Institute of Electrical and Electronics Engineers (IEEE) es una asociación técnicoprofesional de ámbito internacional dedicada, entre otras materias, a la estandarización. Sus principios inspiradores son promover la creatividad, el desarrollo y la integración, compartir y aplicar los avances en las tecnologías de la información, electrónica y ciencias en general para beneficio de la humanidad y de los mismos profesionales. Entre otros estándares, el IEEE ha publicado el IEEE PC37 Standard for SCADA .1 and Automation Systems (IEEE PC37.1), estándar de referencia en materia de definición, especificación, análisis e implementación de sistemas SCADA y sistemas de automatización en las subestaciones eléctricas. El IEEE PC37.1 va dirigido a ingenieros y su objetivo no es otro que facilitarles las pautas necesarias para diseñar los sistemas SCADA y los sistemas de automatización de las subestaciones eléctricas y fijar sus especificaciones.

ENISA “Protecting Industrial Control Systems. Recommendations for Europe and Member States”
ENISA (European Network and Information Security Agency) es la agencia europea dedicada a la seguridad de las redes y de la información, entre cuyos objetivos está reforzar la capacidad de la UE y de los Estados miembros y, en consecuencia, la de la comunidad empresarial para prevenir, tratar y dar respuesta a los problemas de seguridad de las redes y de la información, proporcionando asistencia y asesoramiento, generando conocimiento especializado y fomentando la cooperación entre los sectores público y privado. Para la consecución de estos objetivos reúne a diferentes expertos en referencia a muy diversos aspectos, publicando los resultados de sus investigaciones y colaboraciones. Uno de estos informes, “Protecting Industrial Control Systems. Recommendations for Europe and Member States” es de especial relevancia en lo , referente a los sistemas de monitorización y control en tiempo real. Este informe incluye un exhaustivo anexo (Anexo III, “ICS Security Related Standards, Guidelines and Policy Documents”) en el cual se exponen los diferentes estándares y normas de seguridad establecidas por diferentes organizaciones.
26 ) Regulación: legislación aplicable y estándares

6.

Gestión de riesgos de seguridad

6.1. INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS SCADA
Antes de tratar en mayor profundidad la seguridad en los sistemas SCADA, es necesario enunciar tres necesidades fundamentales de los sistemas de información. Son las siguientes: 1. Confidencialidad. Es la propiedad de la información por la que se garantiza que es accesible únicamente para las personas autorizadas. Por ejemplo, proteger un ordenador con una contraseña es una buena medida para aumentar la confidencialidad de los datos almacenados en él. 2. Integridad. Se refiere a la exactitud de los datos, concretamente a la necesidad de asegurar que éstos no han sido manipulados o alterados. Por ejemplo, un error en las comunicaciones puede suponer una pérdida o una distorsión de la información transmitida, por lo que para evitarlo se pueden emplear mecanismos que comprueben la integridad de dicha información. 3. Disponibilidad. Es la capacidad de un sistema de estar operativo para realizar las funciones para las que ha sido diseñado. Por ejemplo, cuando una página web no puede ser visitada, se puede decir que ese sistema tiene un problema de disponibilidad. Mientras que en un sistema informático tradicional la prioridad suele ser la confidencialidad, seguida de la integridad y finalmente de la disponibilidad, en un sistema de monitorización y control en tiempo real lo primordial es garantizar la disponibilidad del servicio y del sistema. Esto es debido principalmente a que su objetivo esencial es mantener en funcionamiento el proceso para el que ha sido creado, además de considerarse como tareas vitales para las empresas e incluso en algunos casos Infraestructuras Críticas para la sociedad. Este enfoque de prioridades se ha mantenido desde la aparición de estos sistemas hasta la actualidad: los sistemas de monitorización y control en tiempo real son muy robustos funcionalmente, ofreciendo un servicio casi ininterrumpido. Sin embargo, esta desproporcionada priorización de la disponibilidad, unida a otras causas, ha generado una ausencia de seguridad notable en algunos aspectos.
Gestión de riesgos de seguridad

( 27

Guía para empresas: seguridad de los sistemas SCADA

Por ejemplo, se puede tender a no cifrar la información, consiguiendo así mayor rapidez ya que el cifrado y descifrado de la información puede influir negativamente en la disponibilidad. Pero en contrapartida se penalizaría la seguridad, ya que cualquier individuo podría capturar la información en un formato comprensible.

6.2. MOTIVACIÓN Y ORÍGENES DE LOS RIESGOS Y AMENAZAS
Desde sus orígenes, los sistemas de monitorización y control en tiempo real han sido un objetivo de potenciales ataques con distintas motivaciones. Este foco de atención se ha debido principalmente a la propia funcionalidad de estos sistemas, que ofrecen la posibilidad de manipular el entorno físico remotamente, o al menos recabar información de algún proceso en tiempo real. Sin embargo, estos riesgos y amenazas, debido al aislamiento característico de estos sistemas, en sus orígenes se limitaban principalmente a ataques físicos y ataques internos. A continuación se describen tanto los principales orígenes de los ataques como algunas de las motivaciones de los mismos. Los posibles orígenes son: • Empleados descontentos. Estos incidentes cobran especial relevancia debido al conocimiento que tienen dichos empleados sobre el sistema, así como los permisos que tienen asignados para su trabajo diario. Hay que incluir en este caso la posibilidad de acceso por parte de ex-empleados al contar con conocimientos similares. • Espionaje industrial. Aunque este tipo de incidentes son inusuales, una compañía rival podría por ejemplo suministrar al empleado de una empresa algún tipo de software malicioso que produzca acciones no autorizadas sobre el sistema de monitorización y control en tiempo real, ya sea alteración de las comunicaciones, robo de información, o realización de operaciones arbitrarias. Este software podría encontrarse, por ejemplo, en un dispositivo de almacenamiento USB a la espera de ser conectado a un equipo del sistema SCADA para infectarlo. • Hackers. Genéricamente, bajo este término se engloba a cualquier persona con conocimientos técnicos avanzados que realice acciones que vulneren la seguridad de un sistema. Las motivaciones de este tipo de personas pueden ser muy variadas, desde la depuración y resolución de
28 ) Gestión de riesgos de seguridad

errores en los sistemas, hasta la intrusión con fines maliciosos, pasando por aspiraciones como comprobar el nivel de conocimientos y las habilidades de intrusión. • Activismo ideológico. Pueden existir grupos u organizaciones que, por motivos ideológicos, se marquen como objetivo los sistemas de monitorización y control en tiempo real de alguna compañía o administración. Entre estas motivaciones ideológicas se pueden encontrar razones políticas, medioambientales, sanitarias, éticas, etc. • Terrorismo. Debido a la criticidad de las instalaciones o servicios controlados por algunos de estos sistemas, se pueden convertir en el objetivo de ataques terroristas. • Incidencias accidentales. Como en todo sistema, muchos de los riesgos podrían tener como causa simples accidentes, desde desastres naturales a incendios de pequeño alcance. Es importante señalar que las motivaciones y amenazas no son idénticas para todos los sistemas de monitorización y control, sino que dependen en gran medida de su criticidad y la relevancia del proceso asociado, por lo que el nivel de seguridad a aplicar dependerá de la importancia del sistema. Por otro lado, existen ciertas circunstancias que podrían considerarse como causa de las vulnerabilidades y amenazas o al menos como factores que pueden fomentar dichos problemas. Las principales son: • Exceso de confianza en la “seguridad por oscuridad” Una idea extendi. da entre algunos profesionales de la seguridad en estos sistemas es que la ausencia de conocimiento y de información sobre una tecnología o producto ofrece altos niveles de seguridad al mismo. Esta concepción es especialmente aplicable a los sistemas de monitorización y control en tiempo real, ya que los elementos empleados en ellos tradicionalmente se han basado en tecnologías propietarias y especializadas, y cuyo acceso estaba restringido a un número reducido de usuarios. Sin embargo, el desconocimiento general de la tecnología empleada no puede considerarse un mecanismo de seguridad aceptable. Una persona interesada
Gestión de riesgos de seguridad

( 29

Guía para empresas: seguridad de los sistemas SCADA

en atacar un sistema de monitorización y control en tiempo real siempre podría estudiar y analizar una instalación, desarrollando y empleando diversas técnicas de recopilación de información. Por ello, un exceso de confianza en el modelo de seguridad por oscuridad puede generar o agravar ciertas amenazas. • Minimización o desestimación de riesgos y amenazas. Muchos responsables de sistemas de monitorización y control en tiempo real consideran que sus instalaciones carecen de interés para potenciales atacantes, lo que a su juicio reduce la necesidad de seguridad de las mismas. Este hecho no se corresponde con la realidad, ya que un sistema que supervisa y gestiona procesos en tiempo real siempre va a ser un objetivo en potencia para atacantes. Por otro lado, no hay que olvidar que buena parte de los ataques proceden del interior de la propia compañía u organización (empleados descontentos o antiguos trabajadores/colaboradores). • Interconexión creciente. Los sistemas de monitorización y control en tiempo real, desde sus orígenes, fueron diseñados para permanecer aislados del exterior, situación que actualmente se ha modificado en muchas ocasiones. Un claro ejemplo de este hecho es que no fueron pensados para estar interconectados con redes como Internet o las redes corporativas. Esto ha provocado la aparición de nuevos riesgos o amenazas para los que no estaban diseñados al incorporarse este tipo de conexiones. • Arquitecturas de red poco seguras. Muy relacionado con los demás factores. En algunas ocasiones se han incorporado sistemas de comunicación poco seguros que posibilitan la intrusión en el sistema o la intercepción, falsificación y/o bloqueo de las transmisiones entre los dispositivos. • Configuraciones por defecto. No modificar las configuraciones con las que cuentan los equipos y dispositivos desde su fabricación facilita enormemente la intrusión y manipulación de los mismos. • Ausencia de concienciación del personal. Debido al nuevo escenario en el que se encuentran los sistemas de monitorización y control en tiempo real, la labor de concienciación del personal, tanto del operativo como de la alta dirección, se ha hecho más necesaria. Un punto en el que debe ahondar esta
30 ) Gestión de riesgos de seguridad

concienciación son los cambios que han sufrido este tipo de sistemas, el detrimento en seguridad que esto puede producir y la importancia del cumplimiento de las medidas que solventen o mitiguen estos inconvenientes. • Uso de tecnologías y soluciones de propósito general. El uso de tecnologías de propósito general ofrece mayor flexibilidad y supone una reducción de costes considerable, aunque por otro lado implica que, debido a que los ataques contra este tipo de tecnología son bastante comunes, los sistemas de monitorización y control pasen a ser un objetivo más fácil. • Escasa evolución. Debido a que el objetivo principal es su disponibilidad, los sistemas de monitorización y control en tiempo real suelen sufrir muy pocas modificaciones a lo largo del tiempo, ya que se consideran peligrosas: cualquier cambio puede introducir algún fallo o problema que afecte negativamente en su rendimiento o incluso paralizar el proceso al que se dedica. Asimismo, estos cambios suelen acarrear un alto coste económico, debido en buena medida a la especialización de los componentes y al amplio ámbito geográfico en el cual suelen estar desplegados.

6.3. IDENTIFICACIÓN Y ANÁLISIS DE LOS PRINCIPALES RIESGOS Y AMENAZAS
Una vez descritas las fuentes de amenaza que pueden encontrarse respecto a los sistemas de monitorización y control en tiempo real, se presentan los principales riesgos, ya sean estos técnicos o de gestión.

Usos inadecuados
La concienciación en cuanto a la seguridad relativa a los sistemas de monitorización y control en tiempo real se ha focalizado tradicionalmente en su vertiente física, no lógica o informática. Esta es una de las principales causas de la inseguridad en estos sistemas. El desconocimiento de los riesgos reales posibilita en muchas ocasiones que los propios empleados, sin ánimo de poner en riesgo el sistema, realicen acciones que podrían comprometer la seguridad. Ejemplos de estas prácticas podrían ser la conexión de dispositivos no asegurados, utilizando los puertos USB, o simples conexiones a través de Internet.

Gestión de riesgos de seguridad

( 31

Guía para empresas: seguridad de los sistemas SCADA

Bloqueo/Intercepción/Falsificación de las comunicaciones
Las comunicaciones entre los dispositivos o de éstos con el puesto de control, en caso de no realizarse mediante un canal modo seguro, podrían ser bloqueadas, interceptadas o falsificadas. En el caso de un bloqueo, la principal consecuencia sería la pérdida de contacto y por tanto de control de algún dispositivo de campo. En cambio, una intercepción de las comunicaciones supondría un riesgo para la privacidad, pudiendo poner al descubierto información sensible respecto al funcionamiento del sistema. Pero sin duda el mayor riesgo sería la falsificación de las comunicaciones, que podría utilizarse para forzar un error inducido. Los errores inducidos son consecuencia del refinamiento de un ataque, en el cual el objetivo es provocar que se cometan errores al tomar decisiones, automáticamente por el sistema o personalmente por los trabajadores, que provoquen un mal funcionamiento en los procesos controlados. Este ataque suele realizarse mediante el envío de información errónea, haciendo creer que se ha producido un cambio frente al que hay que actuar, de modo que se trate de solucionar un problema inexistente generando otro. De esta forma, el atacante lograría su objetivo de una forma más sutil, ya que el incidente parecería haber sido producido por un error humano. Este modelo de ataque también puede utilizarse para encubrir una manipulación, enviando información que indique que no se producen cambios de relevancia cuando sí están ocurriendo. De este modo se trataría de evitar las posibles acciones correctoras que inutilizasen la manipulación.

Virus informáticos o malware
Debido a lo usual de la existencia de software desactualizado y/o configuraciones por defecto, estos sistemas pueden ser vulnerables a los virus informáticos y demás malware que son conocidos desde hace tiempo y para los que ya existen soluciones de prevención. Además del malware de ámbito genérico, hay que señalar la posibilidad de generación de nuevos códigos maliciosos específicos para este tipo de sistemas.

32 )

Gestión de riesgos de seguridad

Accesos no autorizados
El desconocimiento de la conectividad del sistema, la utilización de configuraciones por defecto en los mecanismos de acceso y las arquitecturas de red poco seguras, pueden facilitar el acceso no autorizado al sistema de monitorización y control. Este acceso puede comprometer la privacidad de la información acerca del sistema, pero de manera muy especial puede ser un riesgo de importancia en caso de lograr controlar el sistema, pudiendo modificar en el acto el proceso controlado o cambiar las órdenes y protocolos establecidos para su funcionamiento automático, de modo que las consecuencias de estas modificaciones podrían darse tiempo después de la intrusión. Todo ello da lugar a un riesgo muy importante, ya que cualquier persona con un nivel de conocimiento técnico medio, podría al menos detectar los dispositivos y equipos de este tipo de sistemas. Por ello es necesario diseñar una arquitectura de red segura que permita evitar estas prácticas.

Ataques externos
Mediante este tipo de ataques, usuarios malintencionados pueden hacer uso de distintas herramientas que se encuentran publicadas en Internet para tomar el control, desestabilizar o dañar los sistemas de una organización. No es necesario, por tanto, contar con grandes conocimientos técnicos, ni equipamiento específico, para perpetrar este tipo de ataques. Debido a que la tendencia actual de las redes SCADA es la de interconectarse a través de redes como Internet o las redes corporativas, es posible realizar ataques desde redes externas a la organización. Uno de los ataques externos más dañinos para los sistemas SCADA son los conocidos como de Denegación de Servicio (ataques DoS), mediante los cuales un recurso deja de ser accesible para los usuarios legítimos. Normalmente, el objetivo de este tipo de ataques es agotar los recursos disponibles de la red, de tal manera que se provoca una pérdida de la conectividad con los sistemas.

Gestión de riesgos de seguridad

( 33

Guía para empresas: seguridad de los sistemas SCADA

Sabotaje
La mayoría de los ataques notorios son internos. Muchas organizaciones consideran que adoptar unas medidas de seguridad perimetrales robustas es suficiente para mantener un nivel de seguridad adecuado, protegiéndose así de ataques externos pero manteniendo las vulnerabilidades internas. Igualmente, en muchas ocasiones se considera que los empleados, o bien no tienen los suficientes conocimientos técnicos para perpetrar un ataque, o bien no tienen motivaciones para consumarlos. Esta creencia da lugar a que no se tomen medidas de seguridad que contemplen la posibilidad de ataques por parte de empleados descontentos o motivadas por el espionaje industrial. Es importante recalcar que este tipo de ataques pueden perpetrarse sobre la infraestructura de soporte de las organizaciones, tales como el soporte energético y la climatización de sistemas, y no únicamente sobre el sistema SCADA de forma directa.

Problemas en los sistemas de soporte
Estos riesgos afectan a los sistemas de monitorización y gestión en tiempo real del mismo modo que al resto de sistemas TIC, pudiendo afectar especialmente al suministro eléctrico o a las comunicaciones. En el caso de estos sistemas, la redundancia de estos servicios es más habitual al ser prioritario su funcionamiento, por lo que suele existir mayor concienciación al respecto.

34 )

Gestión de dirigida? ¿A quién variegos de seguridad

7.

Buenas prácticas

A continuación se incluye un conjunto de buenas prácticas en sistemas de monitorización y control en tiempo real. Cabe destacar que no todas ellas son necesariamente de aplicación para cualquier sistema, ya que dependerá, entre otros factores, de su tamaño, alcance, naturaleza y objetivos. Especialmente, se recomienda que como primer paso y para partir de un enfoque adecuado se realice un análisis de riesgos, tanto antes como después de implantar las recomendaciones descritas. Asimismo, en este apartado se han recogido algunas de las tendencias actuales para el aseguramiento de sistemas SCADA, las cuales se encuentran en fase de investigación y desarrollo en este momento.

7.1. BUENAS PRÁCTICAS APLICABLES
1. Desarrollar un Plan de Continuidad de Negocio y un Plan de Recuperación ante Desastres para el sistema de monitorización y control Para garantizar la disponibilidad de estos sistemas, es muy recomendable definir y aprobar un Plan de Continuidad de Negocio (PCN) y un Plan de Recuperación ante Desastres (PRD) propios para el sistema de monitorización y control. Como base se pueden emplear los PCN y PRD definidos para el conjunto de la empresa, siempre y cuando se recojan las necesidades específicas de este tipo de sistemas. Estos planes contienen las pautas a seguir en caso de incidente, para, en primer lugar, mantener en funcionamiento los procesos productivos del negocio y, por otro lado, tomar las medidas necesarias para volver a la normalidad. 2. Desarrollar e implantar adecuadamente políticas de seguridad y procedimientos al respecto Dado que la seguridad no es exclusivamente un problema técnico, sino también de negocio, resulta necesario desarrollar e implantar un conjunto de políticas y procedimientos. Este conjunto de documentos debe abarcar todos los aspectos que afectan al sistema.
Buenas prácticas

( 35

Guía para empresas: seguridad de los sistemas SCADA

3. Concienciación y formación del personal en seguridad Una de las principales medidas en el ámbito de la seguridad que todas las empresas deberían implementar, especialmente aquellas que emplean algún tipo de sistema de monitorización y/o control en tiempo real, es la planificación de cursos o talleres de concienciación sobre seguridad para sus empleados. De este modo se trata de situar la seguridad entre las prioridades de trabajo. Esta concienciación es clave. De forma complementaria, es recomendable ofrecer sesiones periódicas de formación, en las que se muestren con ejemplos prácticos qué medidas pueden y deben tomarse para obtener un nivel de seguridad razonable y evitar posibles errores que impacten en el funcionamiento de la empresa. Con estas medidas se podría evitar gran parte de los problemas debidos a errores humanos, al contar el personal con los suficientes conocimientos técnicos a la hora de afrontar situaciones inusuales. 4. Creación de equipos multidisciplinares Es recomendable que los equipos encargados de mantener los sistemas de gestión y supervisión sean multidisciplinares, es decir, que los miembros de dicho equipo abarquen los campos de conocimiento de seguridad (física y lógica), informática, telecomunicaciones o industria. De este modo, se evita la toma de decisiones en base a premisas incompletas por falta de conocimientos. 5. Seguridad integral Para maximizar los esfuerzos orientados a garantizar la seguridad, éstos se deben realizar utilizando un enfoque integral en el cual se aúnen tanto la visión física como la visión lógica o informática de la misma, ya que los riesgos suelen poseer ambos componentes. Por ello deben ser gestionados desde un punto de vista omnicomprensivo. 6. Definición y aplicación de roles y responsabilidades El objetivo principal de la definición y aplicación de responsabilidades es establecer un reparto de funciones que sea adecuado a la empresa y su
36 ) Buenas prácticas

funcionamiento, y que se base en el principio de mínimos privilegios. Así, los empleados deben tener asignadas única y exclusivamente las funciones y responsabilidades propias de su puesto. Esto ayudará a minimizar las posibilidades de que ocurra un error humano. Junto a esta medida es recomendable implantar un sistema de trazabilidad que guarde un registro de los cambios y acciones que cada trabajador ha realizado. De este modo, además de facilitar la investigación en caso de incidencias, se contará con una medida disuasoria de cara a posibles ataques internos. 7 . Realización periódica de simulacros La realización periódica de simulacros ofrece garantías razonables de que, en caso de contingencia, el personal operativo pueda asegurar la disponibilidad del servicio. Estos simulacros hacen que, además de reforzar y perfeccionar los conocimientos y habilidades necesarias para estas tareas, se ejerciten en condiciones similares a las presentes en los casos de incidentes. 8. Realizar periódicamente auditorías de seguridad Con el objetivo de analizar y evaluar el nivel de seguridad real de los sistemas SCADA, se recomienda realizar de forma periódica auditorías de seguridad, tanto física como lógica o informática. 9. Prueba preliminar de cambios Se considera recomendable contar, al menos, con un entorno de producción y otro de preproducción para poder probar los cambios, actualizaciones y demás actuaciones sobre el sistema que se planifiquen. El entorno de preproducción tendría como finalidad probar los cambios que se deseen realizar en el entorno de producción, que será en el que realmente se encuentren en funcionamiento los procesos productivos. De este modo se podrán detectar las posibles disfunciones, inconsistencias o errores derivados de su instalación. 10. Restringir el acceso físico al centro de control y a los puestos de campo

Buenas prácticas

( 37

Guía para empresas: seguridad de los sistemas SCADA

Un acceso físico no autorizado podría comprometer el sistema, por lo que deben establecerse los mecanismos de protección físicos que se consideren adecuados, combinándolos con medidas de protección lógica o informática cuando sea posible. Dependiendo de la criticidad y ubicación de los dispositivos a proteger se deben tomar las medidas acordes a su importancia. 11. Restringir la conexión entre el sistema y otras redes Debido a la ausencia de seguridad característica de redes públicas como Internet, las conexiones entre el sistema de monitorización y control y estas redes se deben limitar al mínimo imprescindible, con el objetivo de reducir el origen de posibles ataques. Para ayudar a esta tarea, hay que definir una arquitectura de red segura, así como instalar elementos y herramientas de seguridad siempre y cuando sea posible. 12. Redundar aquellos componentes cuya disponibilidad se considere esencial Dado que la disponibilidad es el atributo principal en este tipo de sistemas, es aconsejable redundar o duplicar, ya sea física o informáticamente, aquellos componentes que se consideren críticos. El objetivo de esta redundancia es eliminar los denominados puntos únicos de fallo, de modo que la funcionalidad quede garantizada en caso de que un fallo lógico o físico ocurra. 13. Aseguramiento de los accesos remotos Aunque idealmente estos sistemas deberían permanecer aislados, en la mayoría de las ocasiones esto no es posible, ya sea por requerimientos de negocio, funcionales o de disponibilidad. En el caso de necesitar accesos remotos, es aconsejable establecer mecanismos de seguridad y autenticación robustos que eviten accesos no autorizados y robos de información. Pero el factor principal es la decisión de qué conexiones son realmente necesarias y cuáles no lo son. 14. Utilizar preferentemente enlaces de comunicación cableados Es apropiado utilizar, en la medida en que sea posible, enlaces de comunicación físicos, tanto por motivos de seguridad, al ser más difíciles de interceptar
38 ) Buenas prácticas

y suplantar las comunicaciones a través de redes cableadas que en el caso de utilizar dispositivos inalámbricos, como por cuestiones de disponibilidad, ya que las redes cableadas suelen ser más robustas frente a problemas de interferencias. 15. Bastionar aplicaciones, sistemas operativos y equipos Una práctica que se debería llevar a cabo antes de incorporar una aplicación, sistema operativo o equipo en el entorno productivo, es la realización de un bastionado de dicho elemento. El bastionado es la configuración de un nuevo elemento aplicando todas las medidas de seguridad que sea posible, de modo que se eliminen o mitiguen todas las vulnerabilidades conocidas. El objetivo es que ese elemento cuente con un nivel de seguridad razonable, sin que por ello su funcionalidad se vea afectada. Algunos de los pasos que se deberían seguir durante el bastionado son: • Sustitución de cuentas por defecto por cuentas personales. • Modificación de la configuración por defecto por una que se ajuste a las necesidades de la empresa y cumpla unos requisitos de seguridad. • Activación de mecanismos y controles de seguridad, como puede ser el establecimiento de una política de contraseñas robustas. • Configuración de la ejecución de actualizaciones automáticas, cuando sea posible. 16. Mantener el software y las herramientas de seguridad actualizadas Debido a la constante evolución que sufren los sistemas de información, especialmente y las amenazas relativas a la infección con virus y otros tipos de malware, la necesidad de mantener al día las firmas de los antivirus y demás herramientas de seguridad cobra gran relevancia. También es especialmente importante mantener actualizado el software, tanto programas como sistemas operativos, para corregir los fallos de seguridad que se descubren.

Buenas prácticas

( 39

Guía para empresas: seguridad de los sistemas SCADA

17. Realización periódica de copias de seguridad La realización de copias de seguridad de los activos de información de los sistemas es una tarea vital para garantizar su disponibilidad en caso de incidente. Estas copias de seguridad deben realizarse con la suficiente periodicidad, atendiendo a la importancia del activo sobre el que se está generando la copia de respaldo, así como a la frecuencia con la que se realizan cambios sobre el mismo. También es necesario realizar pruebas periódicas de restauración de copias de seguridad, con el objetivo de verificar que la información de dichas copias es integra y correcta, y que el personal conoce el procedimiento a seguir para que, en caso de necesitarlo, estén preparados para utilizar estas copias. 18. Evaluar la opción de externalizar el mantenimiento y seguridad del sistema La posibilidad de contratar los servicios relativos al mantenimiento funcional y de seguridad de los sistemas de monitorización y control en tiempo real a empresas especializadas es una solución que debería analizarse y evaluarse, especialmente por parte de las pymes que no controlen infraestructuras catalogadas como críticas. Debido a la complejidad de este tipo de sistemas, para algunas empresas puede resultar muy costoso y difícil contar con personal especializado que se encargue de dichas tareas, así como proporcionarle los recursos necesarios para su labor. La externalización, en función de la empresa y del sistema, puede llegar a ser una solución a tener en cuenta, ya que provee flexibilidad, servicio continuo en cualquier momento y personal especializado, entre otros aspectos. 19. Seguimiento de estándares y organismos de referencia Debido a la especialización de este tipo de sistemas, así como de la tendencia actual hacia la convergencia en ciertos estándares, ya sean reconocidos o de facto, resulta altamente recomendable realizar un seguimiento de organismos de referencia, tanto a nivel nacional (CCN, CNPIC), como internacional (IEEE, JEC, CPNI, NIST, NERC, AGA, etc.).
40 ) Buenas prácticas

20. Contratación del personal operador La aplicación de esta recomendación se circunscribe principalmente a aquellos sistemas de monitorización y control que gestionen Infraestructuras Críticas, o cuyo alcance sea considerable. Para estos casos, es recomendable solicitar referencias en anteriores puestos de trabajo así como tratar de comprobar la veracidad de las mismas. Esto es debido a que una vez contratados, su capacidad de actuación sobre el sistema puede ser considerable, en función del rol que le sea asignado.

7.2. RECOMENDACIONES EN FASE DE INVESTIGACIÓN Y DESARROLLO
Siguiendo la evolución y generalización de los sistemas de monitorización y control en tiempo real, existen diversas líneas de desarrollo sobre las cuales se está trabajando y que a medio plazo pueden aportar cambios significativos. En concreto, las principales áreas de desarrollo son: a. Convergencia y unificación de seguridad lógica y seguridad física En sus inicios, la división de la seguridad en su apartado físico e informático o lógico era razonable debido a que los sistemas de la información tenían un alcance limitado. Sin embargo, las TIC han evolucionado y han pasado de ser simples servicios concretos a abarcar un amplio abanico de funcionalidades y operaciones, incluyendo aspectos de la seguridad física como puede ser la videovigilancia con cámaras que emplean comunicaciones de red o el acceso remoto. La consecuencia inmediata de este hecho ha sido que, en la mayoría de las ocasiones, la colaboración entre ambos campos haya sido escasa. Esto ha provocado que el nivel de seguridad resultante no cumpla las expectativas. Actualmente se están desarrollando medidas de integración que permitan mejorar la seguridad, por ejemplo detectando si un usuario que no ha pasado el control de acceso físico intenta acceder a los sistemas informáticos. De este modo se podrán atajar posibles intrusiones y prácticas que ponen en riesgo los sistemas.
Buenas prácticas

( 41

Guía para empresas: seguridad de los sistemas SCADA

b. Mejora en la detección y análisis de eventos de seguridad Con el auge del uso de tecnologías de propósito general en los sistemas SCADA, éstos han incorporado sistemas informáticos de detección de incidentes utilizados ampliamente en redes estándar. La efectividad de estos productos se basa en la configuración y uso de patrones, es decir, cuando se detecta que un elemento considerado como una traza de auditoría4 o la información contenida en una comunicación contiene un patrón determinado, emite una alerta. Por ejemplo, si detecta que un equipo está recibiendo una gran cantidad de peticiones de inicio de conexión, emitiría una alarma indicando que se está produciendo un potencial ataque, hecho que debería ser investigado. A día de hoy se está trabajando en este campo, ya que aunque los patrones empleados en la informática estándar están bastante desarrollados, en el caso de los sistemas de monitorización y control en tiempo real existen pocos patrones diseñados específicamente para sus características.

4

Traza de auditoría: registro digital donde se recogen situaciones y hechos generados o detectados en un sistema.

42 )

Buenas prácticas

8.

Recomendaciones

Con el objetivo de complementar y afianzar la aplicación y seguimiento de las buenas prácticas hasta ahora descritas, se incluyen a continuación un conjunto de recomendaciones dirigidas a los diferentes grupos que actúan de algún modo en relación a los sistemas de monitorización y control en tiempo real.

8.1. RECOMENDACIONES DIRIGIDAS A LA ADMINISTRACIÓN Y LOS AGENTES DE ESTANDARIZACIÓN
En esta sección se incluyen recomendaciones orientadas al marco legislativo y regulatorio de aplicación a estos sistemas. Las principales son: 1. Analizar la posibilidad de establecer mecanismos u organismos para el control del cumplimiento de la legislación aplicable. El objetivo principal sería fomentar la acometida de medidas de seguridad por parte de las empresas afectadas por la ley. 2. Definir medidas de seguridad concretas a adoptar por parte de los usuarios de sistemas de monitorización y control en tiempo real. Por ejemplo, definir algoritmos de cifrado considerados seguros para los accesos remotos. 3. Mayor colaboración entre las compañías y organismos públicos para la adopción de medidas de seguridad. 4. Regular sectorialmente los sistemas de monitorización y control en tiempo real. 5. Contemplar un abanico más amplio de orígenes y motivaciones de posibles ataques, ya que el enfoque utilizado actualmente puede estar excesivamente orientado a amenazas terroristas. 6. Sopesar la necesidad de establecer por ley la obligatoriedad de certificación de seguridad para aquellas empresas que se dediquen a la seguridad informática sobre estos sistemas.

Recomendaciones

( 43

Guía para empresas: seguridad de los sistemas SCADA

8.2. RECOMENDACIONES DIRIGIDAS A FABRICANTES E IMPLANTADORES
Las principales recomendaciones de aplicación a los fabricantes y proveedores son: 1. Ofrecer productos que integren medidas de seguridad. 2. Diseñar programas y elementos desde un enfoque de seguridad, definiendo requisitos de seguridad durante el ciclo de desarrollo. 3. Publicar parches de seguridad para las vulnerabilidades reportadas en el menor tiempo posible. 4. Facilitar la posibilidad de integrar los productos ofertados con tecnología de propósito general.

8.3. RECOMENDACIONES DIRIGIDAS A LAS EMPRESAS USUARIAS
En esta sección se incluyen recomendaciones orientadas a usuarios finales, es decir, las empresas que emplean sistemas de monitorización y control en tiempo real y sus propios operadores. A estas recomendaciones se debe añadir la incorporación de las buenas prácticas descritas anteriormente que sean de aplicación en cada caso. Las principales recomendaciones son: 1. Solicitar a proveedores y fabricantes productos que contengan medidas de seguridad adecuadas. Por ejemplo, que permitan definir políticas de contraseñas robustas. 2. Realizar seguimiento de organismos de referencia en seguridad informática, como es el caso de INTECO, para mantenerse informados en lo relativo a incidentes de seguridad o vulnerabilidades de reciente descubrimiento. 3. Definir y cumplir en todo momento las políticas y procedimientos operativos establecidos en la compañía.
44 ) Recomendaciones

9.

Glosario de términos relacionados con SCADA

• Acceso remoto: acceso a un sistema informático desde un lugar o punto externo a la red donde se encuentra el equipo con el cual se establece la conexión. • Actuador: dispositivo electromecánico que ejecuta las órdenes enviadas desde el centro de control, realizando acciones sobre elementos físicos como puede ser la apertura o el cierre de una válvula. • AGA: American Gas Association, organización sin ánimo de lucro que desarrolla, publica y promueve estándares para la industria del gas natural. • Alarma: aviso o señal que indica la existencia de una situación anormal que requiere atención por parte del personal. • Amenaza: Hecho o acción, intencional o no, que puede comprometer la seguridad o integridad de un sistema. • Ataque de denegación de servicio (DoS): ataque informático cuyo objetivo es la interrupción de un equipo o servicio mediante el envío de gran cantidad de peticiones hasta agotar los recursos disponibles del sistema atacado. Una de sus versiones más conocidas es el ataque distribuido de denegación de servicio (DDoS) • Auditoría de seguridad: revisión exhaustiva de la seguridad de algún sistema o procedimiento. Su objetivo es evaluar el nivel de seguridad o cumplimiento para acometer mejoras que solventen las deficiencias encontradas. • Centro Criptológico Nacional (CCN): el CCN-CERT es el Equipo de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). • Centro de control: ubicación en la que se encuentra el equipo o conjunto de equipos que permiten la monitorización y/o gestión remota de un proceso de forma centralizada. • Cifrado: técnica mediante la cual se transforma un texto o mensaje en un conjunto de símbolos ininteligibles. Dicha transformación es reversible
Glosario de términos relacionados con SCADA

( 45

Guía para empresas: seguridad de los sistemas SCADA

únicamente por aquellos que conozcan la clave de cifrado. • CNPIC: el Centro Nacional para la Protección de las Infraestructuras Críticas es el organismo encargado de impulsar, coordinar y supervisar las actuaciones necesarias para garantizar la seguridad de las Infraestructuras Críticas españolas. Depende de la Secretaría de Estado de Seguridad del Ministerio del Interior. • CPNI: Centre for the Protection of National Infrastructure, organismo nacional del Reino Unido para la protección de infraestructuras críticas. • DCS (Distributed Control System): sistema de monitorización y control en el cual cada instalación geográfica cuenta con un sistema propio de control, contando todas ellas con una monitorización común. • Dispositivo de campo: son aquellos equipos que se encuentran en las posiciones de campo, estando dedicados a la medición de parámetros o a la ejecución de órdenes. Engloban principalmente RTUs, PLCs, IEDs y actuadores finales. • ENISA: la European Network and Information Security Agency es una agencia de la Comunidad Europea dedicada a la seguridad de las redes y de la información. Trabaja para las instituciones europeas y los estados miembros, para lo que cuenta con la colaboración de diferentes agentes de toda Europa, tanto públicos como privados. • ICS (Industrial Control System): término genérico que engloba los diferentes tipos de sistemas de control industrial. Incluye sistemas SCADA, DCS y sistemas basados en PLCs. • IEC (International Electrotechnical Commission, Comisión Electrotécnica Internacional): organización líder en el mundo en la preparación y publicación de Normas Internacionales en el campo de la electricidad, la electrónica y tecnologías afines. • IED (Intelligent Electronic Device): dispositivo que incorpora uno o más procesadores con la capacidad de enviar o recibir información u órdenes de
46 ) Glosario de términos relacionados con SCADA

control, desde o hacia otros dispositivos. • INTECO-CERT: el Equipo de respuesta ante emergencias informáticas de INTECO tiene por misión servir como apoyo preventivo y reactivo en materia de seguridad TIC para los ciudadanos y entidades de España. Entre sus ámbitos de actuación se encuentra la seguridad de los sistemas SCADA. • NERC: La North American Electric Reliability Corporation ha aprobado varias normas de estandarización (CIP-005 y CIP-007) para la protección de las instalaciones energéticas frente a las amenazas de ciberseguridad. • NIST: el National Institute of Standards and Technology es una institución estadounidense dedicada, entre otros aspectos, a la generación de estándares tecnológicos. Es considerada una de las instituciones de referencia más importantes del mundo. • Posición de campo: ubicación física, geográfica o lógica en la cual se encuentran los dispositivos finales y dispositivos de campo. • PLC (Programmable Logic Controller): equipo orientado a la ejecución de órdenes específicas, como operaciones de entrada/salida, operaciones lógicas o aritméticas, comunicaciones o envío y ejecución de ficheros. • RTU (Remote Terminal Unit): dispositivo encargado de recolectar información de sensores y actuadores para reenviarla a otro dispositivo. • Sensor: dispositivo que detecta y/o mide una determinada acción o característica (temperatura, presión, etc.) transmitiendo información referente a ella posteriormente. • SCADA (Supervisory Control and Data Acquisition): término genérico que engloba los sistemas capaces de recolectar información, monitorizar y controlar algún proceso en tiempo real y de forma centralizada.

• Tecnología de propósito general: hace referencia a aquellos productos tecnológicos de gran difusión en la sociedad frente a los especializados y limitados a ámbitos reducidos.
Glosario de términos relacionados con SCADA

( 47

Siguenos a través de: http://observatorio.inteco.es Perfil Facebook ObservaINTECO http://www.facebook.com/ObservaINTECO Perfil Twitter ObservaINTECO http://twitter.com/ObservaINTECO Perfil Scribd ObservaINTECO http://www.scribd.com/ObservaINTECO Canal Youtube ObservaINTECO http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Información: http://www.inteco.es/blog/BlogSeguridad

Envíanos tus consultas y comentarios a: observatorio@inteco.es

Con el patrocinio de:

www.inteco.es

Sign up to vote on this title
UsefulNot useful