Mitos, Tips, Vulnerabilidad

Decálogo de mitos sobre redes industriales eficientes y seguras

decalogo sobre mitos de redes industriales

Ya sea por desconocimiento o por tentar a la suerte, basar la productividad de tu fábrica en supuestos y mitos sobre redes industriales puede salir muy caro en términos monetarios o incluso en vidas humanas.

 

  Te recomiendo revisar nuestro decálogo sobre mitos sobre redes industriales, te ahorrarás problemas en un futuro muy cercano, pero sobre todo, tendrás la consciencia tranquila al minimizar riesgos en tu red industrial y de las personas que laboran allí.  

 

Decálogo de mitos sobre redes industriales.

1.-Red Categoría 6a. He sido testigo de implementación de cableado cat6a en la red industrial bajo la justificación que se debe proyectar un ancho de banda mayor para el futuro. La realidad es que los ICS, HMI’s y PLC’s rara vez requieren un ancho de banda mayor a 10mbps y por pequeños lapsos; así que la justificación no es complementa válida. Si deseas invertir a un mayor costo de lo requerido en los próximos 10 años y tienes el presupuesto, adelante, no estoy en contra; lo que sí es un error es que no inviertas en un cableado de categoría industrial blindado, cableado que te ahorrará dolores de cabeza por interferencias de radio frecuencia y electromagnéticas; además el recubrimiento exterior resistirá el ambiente de la fábrica brindando flexibilidad en algunos puntos.  

 

2.-Mejor no le muevo. Si la red está funcionando, mejor no hacemos cambios; esta es la justificación cuando se le presenta al encargado de la red industrial una propuesta de mejora como puede ser una segmentación, implementación de defense-in-depth o diseño en base a zonas y conduits. El proceso de cambio puede ser controlado, realizando una buena planeación, con paros de línea programados garantizarán el éxito de la implementación de las mejoras.  

 

3.-Switches refrigerados y con ventiladores. Muchas fábricas dependen de switches enterprise en redes de planta, lamentablemente los switches son grandemente dependientes de un sistema de refrigeración para su correcto funcionamiento. Los ventiladores son comunes en switches enterprise, pero son un punto de falla frecuente que tarde o temprano provocan la inoperabilidad del equipo. Considera el cambio a switches con grado industrial sin ventiladores, generalmente estos equipos te soportan mínimo 60ºC y algunos hasta 85ºC, elimina un punto de falla importante en tu red.  

 

4.-Uso de Routers solo hacia red IT. Segmentar tu red tal como lo expusimos en el punto 2, incrementa tu factor de seguridad contra incidentes accidentales o dirigidos, tal como son los ciberataques. El uso de Routers para dividir en zonas tu red industrial es una práctica recomendada y de bajo costo.  

 

5.-Tenemos un Firewall en IT. Al contar con un firewall que divida la red IT de la red OT solo garantiza incidentes en esa frontera, sin embargo, cómo ya lo hemos mencionados en otros artículos, el 80% de los incidentes en la red industrial provienen desde la red industrial, por lo tanto, es muy importante implementar firewalls dentro de las zonas de nuestra red industrial.  

 

6.-No usar DMZ. Una DMZ (zona des militarizada) contribuye al flujo controlado de información en equipos compartidos (generalmente servidores) por la red de IT como la red OT. Tu DMZ no debe faltar en tu red industrial.  

 

7.-Que me avisen si falla. Los encargados de la red OT en ocasiones son reactivos, esto es, que emprenden acciones hasta que los incidentes en la red industrial están ocasionando paros de producción o accidentes laborales. El monitoreo es una herramienta importante que nos permite prevenir en muchas ocasiones actividad irregular y sospechosa.  

 

8.-No soy blanco para ataques. La negación es un problema importante en la ciberseguridad. Pensar que no eres blanco de ataque por no ser una fábrica de renombre no te exime de un ciberataque. Además, recordemos que el 40% de los incidentes de red son no intencionados. Debemos emprender acciones preventivas para prevenir fallas y ataques.  

 

9.-No tengo plan de ciberseguridad industrial porque no me lo exigen. En América Latina, no existen altas exigencias gubernamentales de seguir un framework de ciberseguridad como lo es en EE.UU. o Europa. Sin embargo, el que tu fábrica tenga y mantenga un plan de ciberseguridad industrial brindará confianza a tus clientes, sobre todo si son parte de la cadena de distribución JIT, como lo es la industria manufacturara y automotriz.  

 

10.-Los antivirus son solo para computadoras de oficina. En nuestra red de planta se encuentran HMI’s, Servidores SCADA, Servidores de registro de eventos y equipos de ingeniería que utilizan sistema operativo Windows y Linux principalmente. Estos equipos aunque no tengan una actividad propia de oficina, tienen las mismas vulnerabilidades, sistema operativo y puertos USB. Es fundamental que no omitas el uso y actualización de antivirus en todos estos equipos que mencioné, además, el sistema de bloqueo de memorias USB es altamente recomendable si cuentas con el presupuesto, y si no, desactívalas desde el BIOS.      

 

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

Contáctanos para cualquier duda o ayuda que requieras.

 

 

 Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 
Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

 

 
 
 
 
Dudas de algún término técnico, consulta nuestra sección especializada:
 
 
Back to list