Mito 3: Estamos seguros, tenemos un firewall

¿Porqué no es suficiente un firewall perimetral?

No queda duda que un firewall y una zona desmilitaridad o DMZ correctamente implementados son muy importantes dentro de una red industrial. Para proveer una protección por capas de seguridad o Defense-In-Depth como se le conoce en OT, es importante comprobar que las políticas y reglas configurados en él correspondan a las necesidades de la red de comunicación de los sistemas de control industrial “IACS”.

Una buena política de firewall requiere conocimiento de la red y activos, planeación, conocimiento de flujo de datos, monitoreo continuo y configuración del equipo firewall.

Una incorrecta configuración en una regla del firewall puede ocasionar una brecha de seguridad.

Gartner predice que el 99% de las fallas de seguridad podrán ser causadas por las malas configuraciones en los firewall. Recordemos que una regla den el firewall “Any-Any”, la cual permite tráfico bilateral, es el mayor problema.

Un firewall no protege contra una memoria USB que haya sido introducida en un HMI, no protege contra una laptop infectada y conectada a la red industrial.

Recomendaciones:

1.-Revisa periódicamente las reglas y políticas de tu(s) firewalls.

2.-Las reglas de acceso deberán estar basadas en zero trust/least access

3.-Enruta toda comunicación al firewall de la red industrial necesaria hacia la red corporativa

4.-Segmenta tu red industrial y aplica las zonas y conduits

5.-Configura tu DMZ para tus servidores históricos, SCADA, servidor OPC, servidores réplica, etc.

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

Contáctanos para cualquier duda o ayuda que requieras.

  Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

ISA99 / IEC62443