Seguridad en automatización industrial: ¿Especializada o mejor integrada?

Seguridad en automatización industrial: ¿Especializada o mejor integrada?

La digitalización ofrece numerosas oportunidades, pero también plantea riesgos. Por ejemplo, la red de una fábrica puede estar sujeta a ataques no deseados, tales como acceso no autorizado, malware, operación incorrecta o mal funcionamiento. Para abordar estos riesgos, la ciberseguridad incluye medidas técnicas diseñadas para prevenir o al menos contener el daño.

Esencialmente, son métodos para limitar el acceso y proteger la integridad. Las medidas individuales se pueden complementar una con otra en cuanto a sus efectos.

 

Protección contra acceso no autorizado

Independientemente de si se debe prevenir un ataque dirigido o un uso indebido, la protección de acceso quizás sea el instrumento más importante de ciberseguridad. Comienza con la protección física contra un acceso no autorizado y continúa a nivel de comunicación. Si el atacante no consigue acceder a la red, el potencial de daño es claramente mucho menor.

 

Protección a nivel de red

Los firewalls son la primera línea de defensa para evitar una intrusión no autorizada vía los enlaces de comunicación. Los firewalls filtran las conexiones de comunicación por lo que sólo se pueden establecer las conexiones permitidas. Este filtrado puede estar integrado en un dispositivo o ser implementado mediante un componente de firewall dedicado en la red. Un firewall incorporado es ventajoso en términos de costo, pero es más vulnerable a un ataque, que depende de la calidad de implementación del sistema principal.

Si se van a utilizar muchos dispositivos diferentes con firewall integrado, es necesario administrar y mantener todas las variantes. Sin embargo, si el sistema principal es atacado con éxito, también puede resultar infiltrado el firewall. Además, la configuración de alta calidad de un firewall requiere su conocimiento propio, que no siempre está disponible.

Un firewall dedicado como dispositivo externo requiere una inversión específica, pero permite una selección independiente de los otros componentes de automatización. Además, se puede realizar una administración central. El dispositivo de seguridad independiente  se muestra robusto frente a puntos débiles en los demás componentes de automatización. Acepta parches y actualizaciones sin afectar el funcionamiento del sistema en general. En caso de una sobrecarga de la red, el firewall aporta protección ya que, por sí mismo, puede asumir la carga y blindar así a los componentes de automatización ubicados detrás de él.

 

Protección de conexiones remotas

Las conexiones remotas a través de la Internet deben estar siempre encriptadas, por ejemplo vía VPN. Los protocolos utilizados con este fin por lo general no sólo protegen contra interceptación y escucha de información, sino que también contienen mecanismos para proteger contra manipulación.

En cuanto a su implementación, también es cierto que la integración a través de software o como función ya incorporada ofrece ventajas de costo, mientras su ejecución como componente dedicado tiene un efecto positivo en la calidad de implementación y administración. Es por eso que conviene combinar las funciones de un gateway VPN y un firewall en numerosas soluciones.

 

Protección a nivel de usuario

Si la comunicación ha sido permitida por un firewall o es posible vía un acceso local, debería estar protegida por un inicio de sesión de usuario. La gestión del usuario puede tener lugar localmente, pero luego es difícil de administrar. Los sistemas centrales de gestión resultan más prácticos.

Si el sistema de automatización no soporta control de acceso, podría servir un firewall dedicado. Este firewall sólo permitirá conexiones predefinidas si el usuario ya había iniciado sesión en el firewall.

 

Protección contra malware

La mayoría de los daños son causados por un malware cuyo efecto dañino sólo ocurre cuando es ejecutado. Para evitar que el malware se implemente, se dispone de un software antivirus como producto de seguridad clásico pero cuya calidad depende de la tasa de detección y de actualizaciones periódicas. Además, las exigencias en cuanto a poder computacional y las detecciones de errores observadas ocasionalmente llevan a fallas en las aplicaciones de automatización.

Es mejor en estos casos usar soluciones que evitan directamente la ejecución de un software desconocido, o sea listas blancas, como así también componentes de automatización con protección de integridad incorporada. Un elemento esencial es un parche seguro y un proceso de actualización que sólo permite la instalación de software o firmware original.

 

Conclusión

La comparación entre funciones de seguridad integradas y productos de seguridad especializados muestra claramente que ambos conceptos tienen sus puntos fuertes y, en el mejor de los casos, deberían complementarse entre sí. Las funciones incorporadas resultan especialmente útiles si, por ejemplo, toda la aplicación es operada por una sola unidad de control, que también se utiliza para conectarse a la Internet.

Los sistemas más complejos, que constan de varios dispositivos, están mejor conectados mediante firewalls especializados y gateways VPN. El uso simultáneo de las funciones de seguridad integradas en los componentes puede aumentar aún más el nivel de seguridad.

 

Preparado en base a una presentación del Dr.-Ing. Lutz Jänicke, de Phoenix Contact.

Modificado por última vez en Viernes, 19 Febrero 2021 15:26
© 2018 Editorial Control. Desarrollado por Estudio Pionero.