Fortinet celebró de manera online y en idioma español su Primer Summit de Ciberseguridad para Tecnología Operacional (OT) en América Latina, con la participación de ejecutivos de la marca, expertos y clientes de la región que presentaron sus experiencias.
“Las organizaciones son cada vez más conscientes de la importancia de proteger sus sistemas ciberfísicos, lo cual puede materializarse en elementos tan simples como un sensor y tecnología operacional que controla la temperatura de un centro de datos, o incluso un sistema de gran escala, como una red de distribución de energía eléctrica”, graficó Pedro Paixao, SVP International Sales and Services para América Latina y Canadá de Fortinet en su introducción.
Lo relevante, agregó, “es que estos sistemas, que antes operaban de forma autónoma y estaban aislados del mundo exterior, poco a poco se están conectando. Algunos incluso se están conectado con consolas que están en la nube. Y esto es motivo de preocupación, porque implica una ampliación de la superficie de ataque”.
En Fortinet, el segmento OT no se limita a los entornos industriales (típicos de Manufactura), sino que considera otras industrias verticales, como Logística, Minería y Petróleo, Servicios Públicos, e incluso Salud. “Detectamos la necesidad de proteger sistemas en entornos hospitalarios, por dar un ejemplo. En este caso, hablamos de sistemas de imágenes, como la tomografía computada, las ecografías, los sistemas de monitoreo de signos vitales… todo esto que llamamos ingeniería clínica, y que presenta vulnerabilidades que requieren una mayo atención debido a la importancia que tienen en el día a día de un hospital”, ejemplificó el vicepresidente regional de Ventas y Servicios.
El panel inicial estuvo a cargo de Fernando Lobo y Alberto Suzuki, quienes lideran las iniciativas de OT para Latinoamérica y Canadá. Los expertos destacaron que el informe más reciente de FortiGuard Labs destaca que el tema de Ciberseguridad en OT se está manifestado de una forma diferente a lo que se viene apreciando en años anteriores. ¿La razón? Hay cierta propensión a la diversificación, por lo que ya no es solamente manufactura uns vertical apetecible, sino también Servicios Públicos (agua, saneamiento, energía), Petróleo y Gas, Transporte y Logística, y Salud. “Las empresas deben estar preparada para detectar de una forma más rápida los ciberataques, y recortar los tiempos de respuesta”, observaron los analistas.
Además, ya no se trata de la protección dentro de la propia organización, dado que, Industria 4.0 mediante, también hay interacción digital con proveedores y clientes. “No existe una solución de Ciberseguridad que brinde todo lo que se necesita”, aclararon, hay que implementar ciberseguridad en diferentes capas que se comuniquen entre sí, y que hagan intercambio de información entre ellas, a fin de volverse más “inteligentes”.
La Convergencia IT/OT en perspectiva
A lo largo del encuentro, ejecutivos y especialistas de Fortinet entrevistaron a algunos clientes en distintas verticales, arrancando por Gonzalo Astudillo, CISO de la Empresa Nacional de Minería (ENAMI) de Chile. Esta organización estratégica del Estado chileno, tiene más de seis décadas contribuyendo con las mineras pequeñas y medianas de ese país, con presencia directa en más de 50 localidades.
«estos sistemas, que antes operaban de forma autónoma y estaban aislados del mundo exterior, poco a poco se están conectando. Algunos incluso se están conectado con consolas que están en la nube. Y esto es motivo de preocupación, porque implica una ampliación de la superficie de ataque».
–Pedro Paixao, FORTINET
Astudillo sostuvo que, en su actividad, y sobre todo en materia de Ciberseguridad, se deben considerar dos ámbitos: el normativo (definido, sobre todo, por tres grandes leyes: la Ley de Delitos Informáticos, el proyecto de Ley de CIberseguridad y la Ley de Protección de Datos) y el relacionado con la operación. En este marco, Astudillo explicó: “Lo importante es comprender que existe una alineación entre IT y OT, lo cual permite a las empresas adoptar un enfoque holístico respecto de sus procesos de maduración, con el fin de arribar a un modelo único de los procesos, con equipos que exploten los beneficios de la bien conocida Industria 4.0 para establecer mayor eficiencia, y procurar mayor flexibilidad y seguridad a lo largo de toda la cadena de valor”.
En última instancia, agregó, esta convergencia (que otros definen como “hiperconvergencia”) del mundo IT/OT va a permitir en el mediano plazo generar un diferencial de competitividad al entorno industrial. La primera permite tomar los datos de los sistemas que manejan la información de la producción, como planes de producción o el envío de materias primas.En tanto, la segunda permite acceder a datos de los sistemas que directamente controlan estos procesos de fabricación. “Ambas se enfocan en habilitar a la Administración en la toma de decisiones que tiene por delante, reduciendo los tiempos de inestabilidad y colaborando en la procuración de un empleo eficiente de los recursos”.
Otro de los clientes que participó de las presentaciones fue el Grupo Pinsa (de México): uno de los más grandes productores de atún en México y en el Caribe, con la mayor flota de la región y fuerte presencia en el mercado. Sergio Alcaraz, gerente de Infraestructura de TI en Grupo Pinsa, habló del camino recorrido a partir de 2017 junto a Fortinet y sus partners, cuando se decidió la automatización de algunos procesos de tratamiento. La actualización más reciente de estos sistemas fue el año pasado, pero el trabajo conjunto continúa. “Somos una empresa en expansión”, dijo Alcaraz.
A su turno, Carlos Ungo, Head of Information Technology de Hutchinson Ports para Panamá, recordó algunos de los incidentes que demostraron la necesidad de poner el foco en ciberseguridad de los sistemas de tecnología operaciones. El más reciente fue la paralización por más de un día de las actividades del Puerto de Nagoya, Japón, fruto de un ciberataque, a mediados del año pasado.
“El sector logístico tiene eventos que están marcando una suerte de breaking point con respecto a la ciberseguridad, y todo comienza con Maersk en 2017. Realmente el incidente que tuvo Maersk mostró que nuestro ecosistema logístico podía ser blanco de los ciberatacantes y el impacto que podía tener”, destacó el responsable de TI del conglomerado de operaciones portuarias, e inversión y desarrollo. A esto, añadió otros acontecimientos que hacen más urgente el replanteó de la ciberseguridad de OT (como por ejemplo el COVID y el trabajo remoto, la necesidad de reducción de la huella de carbono mediante la automatización, y las crisis geopolíticas). Sin embargo, Ungo explicó que no es necesario “reinventar la rueda”, sino, más bien, aquilatar lo aprendido en el mundo de IT para llevarlo al mundo de OT.
Desde el lado de los recursos profesionales que serán necesarios para atender esta necesidad, la cuestión es más compleja. Como bien explicó Claudio Caracciolo, instructor del Master en Ciber Seguridad Industrial del CCI (Centro de Ciberseguridad Industrial) de la Argentina, es necesario pensar en la formación de nuevos profesionales en ciberseguridad industrial.
¿Por qué las empresas y los profesionales que trabajan en una planta industrial deberían tener esta especialidad? “Hace diez años, cuando se formó el CCI, eran pocas las empresas que estaban en el tema, o habían hecho algo al respecto. Pero hoy en día es una prioridad, porque hay muchos ataques que están ocurriendo en los componentes industriales, a partir de las tecnologías industriales conectadas a Internet. Y esto se da básicamente por este fenómeno de querer tener conectividad directa con la planta para ver en tiempo real lo que ocurre en ella. Por este motivo surgen nuevos riesgos que se suman a los existentes dentro del mundo IT, a partir de conectar dispositivos que no estaban pensados para estar en redes corporativas. Es a partir de esto que las empresas deben preocuparse, porque hay una escalada en esta clase de incidentes de seguridad”, planteó Caracciolo.
La realidad es que si bien existen oportunidades profesionales en este terreno poco recorrido y en expansión, los estándares a lograr (más allá del ISA/IEC 62443) no están desarrollados, si bien ya hay iniciativas de formación sumamente valiosas. Para Samuel Aceves, Cibersecurity Leader de Schneider Electric, uno de los retos en este contexto pasa por saber “cuál es el estándar con el que me debo alinear, qué nivel debo alcanzar y cómo lograr un alto grado de visibilidad para ver los huecos en la estrategia (de ciberseguridad de OT) y dar los pasos necesarios para cerrarlos”.
«El sector logístico tiene eventos que están marcando una suerte de breaking point con respecto a la ciberseguridad (…) el incidente que tuvo Maersk mostró que nuestro ecosistema logístico podía ser blanco de los ciberatacantes…»
–Carlos Ungo, Hutchinson PortS
Aceves citó un estudio de 2020, que señalaba que el nivel de vulnerabilidad en México y parte de Centroamérica era muy alto, de alrededor del 80%. “O, lo que es lo mismo, nuestro nivel de preparación, en la industria en general, para hacer frente a este tipo de amenazas, aún está muy por debajo de lo esperado”, aseguró.
Consultado sobre los retos de Ciberseguridad de OT que asumen las organizaciones a partir de los sistemas hiperconectados, el especialista de Shneider dijo: “Los retos son distintos, y pareciera que están creciendo, sobre todo en una región como Latinoamérica, donde quizá no estábamos tan conscientes en los últimos años. Ahora, cada vez más, somos parte de la digitalización y nos estamos volviendo blancos más atractivos para las organizaciones cibercriminales. Uno de los retos más importantes es que ese nivel de atractividad vaya de la mano con el nivel de preparación”.
Cabe aclarar que Fortinet y Schneider tienen una historia muy rica de colaboración en torno al desarrollo conjunto de soluciones de ciberseguridad de OT. A lo largo del encuentro, otros vendors y proveedores de servicios, como Rockwell Automation, Orange, Telconet y Scitum sumaron al debate. Antes del cierre del Roberto Suzuki, se analizó el contexto de la Ciberseguridad de OT en el ámbito de la provisión de energía, con el caso de EGE Haina (República Dominicana).
