Decodificando la nueva guía del NCSC para SCADA ISMS alojado en la nube.online

Decodificando la nueva guía del NCSC para SCADA alojado en la nube

Por John Leyden • 28 May 2024

Los sistemas de tecnología operativa (OT) monitorean y controlan automáticamente los procesos y equipos que ejecutan todo, desde plantas de energía hasta hospitales inteligentes. La falla o el mal funcionamiento en OT presenta peligros físicos ausentes en los sistemas de TI. En los primeros se prioriza la seguridad, la fiabilidad y la disponibilidad.

por eso nuevo Orientación del Centro Nacional de Seguridad Cibernética (NCSC) ha sido ampliamente acogido. Está diseñado para ayudar a las organizaciones de OT a determinar la idoneidad de varias plataformas en la nube para alojar sus sistemas de control de supervisión y adquisición de datos (SCADA).

Por qué es importante la seguridad SCADA

Las violaciones de seguridad en sistemas OT como SCADA pueden provocar la indisponibilidad del sistema y la exposición de datos confidenciales. Los ataques a plantas industriales han provocado cortes de energía en Ucrania, sistemas de seguridad desactivados en un planta petroquímicay vertidos aguas residuales no tratadas en parques y ríos. Ninguno de estos ataques se basó en la piratería de controles basados en la nube. Pero al migrar estos sistemas a la nube, las organizaciones pueden, sin saberlo, ofrecer a sus adversarios otra vía para comprometerse.

Sin embargo, la migración a la nube es cada vez más lo que hacen las organizaciones de OT. Los controles SCADA basados en la nube ofrecen varios beneficios, incluida la escalabilidad para satisfacer las necesidades cambiantes, la autenticación centralizada para mejorar la seguridad, la protección DDoS contra ataques de denegación de servicio menos sofisticados y menores costos iniciales.

Una bienvenida tentativa

Aquí es donde entra en juego la orientación del NCSC. Hace hincapié en un enfoque basado en los riesgos, reconociendo las necesidades de seguridad únicas y las limitaciones heredadas de las diferentes organizaciones. El consejo describe opciones que van desde una simple configuración de espera/recuperación para conectar aplicaciones existentes a nuevos sistemas que se ejecutan en la nube, hasta el reemplazo completo de esas aplicaciones existentes con alternativas basadas en la nube. Al hacerlo, proporciona una descripción general de alto nivel de lo que se debe hacer para utilizar una solución SaaS o en la nube de forma segura.

Los expertos en seguridad independientes interrogados por ISMS.online elogiaron la guía por ofrecer una hoja de ruta útil, al tiempo que argumentaron que más detalles sobre medidas de seguridad específicas podrían fortalecer el marco.

"Ampliar las mejores prácticas de arquitectura de seguridad sería beneficioso", dice a ISMS.online el director ejecutivo de APIContext, Mayur Upadhyaya. "Esto podría incluir orientación sobre estrategias de segmentación de red diseñadas para sistemas SCADA, junto con protocolos sólidos de gestión de identidad y acceso (IAM) diseñados específicamente para estos entornos de control críticos".

Upadhyaya añade: "Además, un análisis más detallado del panorama de amenazas cibernéticas específico del SCADA basado en la nube podría perfeccionar las evaluaciones de riesgos e informar las estrategias de mitigación".

Riesgos operacionales

Mover aplicaciones basadas en SCADA a la nube promete hacer que la infraestructura sea más fácil de administrar, al tiempo que reduce los gastos generales para los equipos internos de TI. Pero esto debe considerarse junto con los riesgos de seguridad y gestión operativa. Estos incluyen un mayor riesgo de violaciones de datos, acceso no autorizado, explotación de vulnerabilidades y ataques de denegación de servicio, según Pat Gillespie, jefe de seguridad OT de GuidePoint Security.

"Las soluciones en la nube agregarán latencia al acceder a las aplicaciones, bases de datos y servicios", dice a ISMS.online. Este es un problema importante porque los controles SCADA y las aplicaciones industriales dependen de datos en tiempo real.

Dado que la seguridad y la disponibilidad son las máximas prioridades para cualquier sistema SCADA, las interrupciones no planificadas en la solución en la nube, el ISP local o cualquier ISP intermedio provocarán que estos sistemas de seguridad fallen.

Según Gillespie, al menos algunos riesgos pueden mitigarse o gestionarse.

"Hay casos de uso en los que tener datos SCADA en la nube puede ayudar a las empresas a tomar mejores decisiones al hacer que los controles SCADA, los dispositivos IIoT o las aplicaciones industriales envíen datos a la nube para su análisis", explica. "Sin embargo, en caso de una latencia alta o una interrupción, los controles SCADA deben poder realizar sus procesos y funciones para garantizar la seguridad y la disponibilidad".

Otras opciones incluyen AWS Outpost, donde las organizaciones pueden alojar una instancia de AWS en una instalación local, añade Gillespie.

Una ruta de migración segura

“Las organizaciones deben tener cuidado, aunque no se limiten a trasladar sus problemas locales actuales a la nube. Necesitan tomar un respiro y asegurarse de adoptar plenamente el nuevo modelo operativo”, dijo a ISMS.online el director general de Qualys EMEA, Mat Middleton-Leal.

Una serie de desafíos inherentes a las migraciones de controles OT basadas en la nube también podrían hacer tropezar a los incautos, agrega Chris Doman, CTO de Cado Security.

"En primer lugar, la experiencia en la nube difiere de la experiencia en SCADA, por lo que se necesita un enfoque conjunto", dice a ISMS.online. “En segundo lugar, es posible que los sistemas SCADA heredados no se integren perfectamente con las soluciones nativas de la nube. Finalmente, implementar controles de acceso granulares puede resultar difícil en entornos heredados”.

Por ejemplo, los sistemas SCADA tradicionales generalmente se ejecutan localmente y se protegen mediante técnicas como firewalls internos y espacios de aire. A medida que estos sistemas se trasladan a la nube, deben implementarse con modelos de seguridad nativos de la nube desde el principio.

"Esto puede ser problemático cuando esas aplicaciones y sistemas se han ejecutado en entornos que no requieren los mismos modelos de seguridad que existen en torno a las implementaciones en la nube", explica Middleton-Leal de Qualys.

Una responsabilidad compartida

Migrar la infraestructura crítica a la nube también requiere una planificación cuidadosa debido al modelo de responsabilidad compartida entre los proveedores de la nube y los clientes. Si bien el proveedor de la nube protege la infraestructura, los clientes son responsables de la seguridad y configuración de los datos.

Asegurar la infraestructura crítica en la nube requiere un enfoque múltiple, según Doman de Cado Security.

Sostiene que se requiere colaboración entre proveedores de nube, agencias gubernamentales y operadores de infraestructura crítica, inversión en experiencia en nube dentro de organizaciones de infraestructura crítica y modernización de sistemas SCADA heredados para mejorar la integración con soluciones de nube.

Mantener los estándares

Los estándares ISO como ISO 27001 (Gestión de seguridad de la información) e IEC 62443 (Seguridad para sistemas de control y automatización industrial) proporcionan marcos valiosos para gestionar el riesgo de OT en la nube, según Upadhyaya de APIContext.

"Estos estándares ofrecen enfoques estructurados para la seguridad, delineando pautas para establecer y mantener un sistema de gestión de seguridad sólido", explica Upadhyaya.

“Esto incluye estrategias de mitigación y evaluación de riesgos específicamente adaptables tanto para entornos de nube como de OT. Sin embargo, las organizaciones deben recordar que las normas ISO ofrecen marcos adaptables, no una solución única para todos”.

El éxito de las organizaciones a la hora de migrar de forma segura sus soluciones SCADA a la nube bien puede depender de su capacidad para adaptar dichas directrices a sus demandas únicas.

Juan Leyden

John Leyden ha escrito sobre redes informáticas y ciberseguridad durante más de 20 años. Antes de la llegada de Internet, trabajó como reportero de crímenes en un periódico local en Manchester. John tiene una licenciatura en ingeniería electrónica de la Universidad de la City de Londres.

Lea más de John Leyden

Privacidad de datos 22 de septiembre de 2024

Se insta a las empresas a seguir las regulaciones de IA de "rápida evolución"

La Inteligencia Artificial (IA) está transformando el sector de las tecnologías de la información a un ritmo vertiginoso. Ha transformado las aplicaciones, incluyendo la gestión de datos...

Juan Leyden

La seguridad cibernética 20 de junio de 2024

Por qué los proveedores pueden tener dificultades para mantener el cartel de impulso "seguro por diseño"

Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño”

Numerosos proveedores de tecnología se han adherido al compromiso de Seguridad por Diseño, respaldado por el gobierno estadounidense. Pero, ¿marcará este compromiso una ruptura con el pasado?

Juan Leyden

La seguridad cibernética 9 de abril de 2024

Cómo cumplir con las regulaciones de datos biométricos

La tecnología de reconocimiento facial impulsada por IA es una herramienta cada vez más popular para las organizaciones que buscan optimizar los controles de acceso y mejorar la seguridad...

Juan Leyden