Ciberseguridad industrial y NIS2. La fase de planificación: Identificación de activos y análisis de su estado.
En anteriores artículos contábamos el enfoque de adecuación a la NIS2 en entornos OT/IoT, que incluía dos aspectos primordiales:
• Integración de los aspectos comunes de otra normativa y estándares de seguridad.
• Orientación a la mejora continua, basada en el ciclo de Deming PDCA (Plan-Do-Check-Act).
En este artículo nos iniciaremos en la fase de planificación de la ciberseguridad en entornos OT/IoT para cumplir con NIS2, la base de la implementación.
Para planificar, primero hay que identificar. Lo que no está identificado no se protegerá.
Para realizar un buen plan de adecuación la primera acción es identificar los elementos IT/OT/IoT afectados por la directiva (activos). Esta identificación será más o menos compleja dependiendo de la dimensión del parque de activos y del grado de madurez que la organización tenga en materia de gestión de activos IT/OT/IoT. En este sentido, nos podemos encontrar una casuística variada: organizaciones en las que los inventarios están en “las cabezas” de unos cuantos técnicos, organizaciones en la que hay ciertos inventarios realizados manualmente, pero no necesariamente completos ni actualizados; y otras organizaciones, las más maduras, en las que sí hay inventarios formales, es decir, completos y actualizados.
El riesgo de que los activos no estén identificados es que no se tengan en cuenta en el plan, es decir, lo que no se identifique ahora no se protegerá después (y lo que no se proteja después podrá derivar en incumplimientos, por no decir en ciberincidentes)
¿Y cómo inventariamos? Algunas buenas prácticas son:
- Inventariar las diferentes clases de activos, no solo el hardware o software, es decir, los datos, redes, soportes de información y, por supuesto, los elementos OT/IoT como como PLCs, cámaras y elementos de climatización inteligente, entre otros. Incluso los locales físicos y las personas, pues ambos son susceptibles de ser atacados. Es decir, hay que inventariar todo lo que sea susceptible de ataque.
- Inventariar los activos intangibles, es decir, los procesos de negocio o servicios y sus dependencias con los activos tangibles, ya que los riesgos de los tangibles repercutirán a los intangibles.
- Por cada activo definir y completarla información relevante. Al menos, el responsable de cada activo debe quedar recogido en el inventario, entre otros datos.
- Utilizar técnicas de inventariado manuales (sobre todo para los activos intangibles) y automáticas (con herramientas).
- Definir e implementar un procedimiento de actualización del inventario.
- Con respecto a las técnicas automáticas de inventariado, hay que tener en cuenta las diferencias entre entornos IT y OT/IoT. En IT se pueden utilizar herramientas basadas en agentes (como SNMP u otros), pero en entornos OT/IoT no siempre tiene por qué ser factible esta opción. En este sentido, existen herramientas de gestión de activos OT/IoT en el mercado que identifican los dispositivos en una red a través del análisis del tráfico, logrando realizar un inventariado no intrusivo.
Una vez identificados los activos, el siguiente paso será analizar la madurez de las medidas indicadas en NIS2. Como decíamos capítulos anteriores, las medidas de NIS2 (artículo 21 fundamentalmente) abarcan una serie de áreas que ya existen en otras normativas y estándares, tales como ISO 27001, el Esquema Nacional de Seguridad (ENS), el framework de ciberseguridad CSF NIST o la ISO 62443 (específica de entornos industriales). [Actualizar para Portugal].
Por lo tanto, se realizará un análisis que aglutine los requisitos de la NIS2 integrando los aspectos comunes con la normativa que aplique. Se prestará especial atención al análisis de arquitectura de red como parte de este análisis.
Adicionalmente, además de medirse la madurez de las medidas implantadas, se deben analizar los riesgos, es decir, el grado de exposición a que las diferentes amenazas de seguridad se materialicen sobre los activos, causando un impacto. Hoy día existen metodologías/herramientas de análisis de riesgos que contemplan específicamente los entornos OT/IoT como, por ejemplo, MAGERIT/PILAR.
Finalmente, y como un complemento al análisis de la situación, se pueden realizar escaneo de vulnerabilidades con herramientas. En el caso de los activos OT/IoT las propias herramientas de inventariado anteriormente mencionadas pueden tener funcionalidades de detección de vulnerabilidades, aportando un elemento adicional de información de riesgo de los activos.
Desde Babel apostamos por el lema de que cumplir con la legislación de ciberseguridad protege el negocio y, sobre todo, en el caso de la NIS2, donde podrá haber repercusiones directas para el personal directivo e infracciones. Por ello, con nuestro equipo de expertos podemos ayudar a nuestros clientes con la adecuación a esta nueva normativa, desde la realización del análisis de situación hasta su implementación y posterior mantenimiento.
Descargar Guía completa sobre la Nueva NIS2
Otros artículos de la serie: