¿Porqué no es suficiente un firewall perimetral?
No queda duda que un firewall y una zona desmilitaridad o DMZ correctamente implementados son muy importantes dentro de una red industrial. Para proveer una protección por capas de seguridad o Defense-In-Depth como se le conoce en OT, es importante comprobar que las políticas y reglas configurados en él correspondan a las necesidades de la red de comunicación de los sistemas de control industrial «IACS».
Una buena política de firewall requiere conocimiento de la red y activos, planeación, conocimiento de flujo de datos, monitoreo continuo y configuración del equipo firewall.
Una incorrecta configuración en una regla del firewall puede ocasionar una brecha de seguridad.
Gartner predice que el 99% de las fallas de seguridad podrán ser causadas por las malas configuraciones en los firewall. Recordemos que una regla den el firewall «Any-Any», la cual permite tráfico bilateral, es el mayor problema.
Un firewall no protege contra una memoria USB que haya sido introducida en un HMI, no protege contra una laptop infectada y conectada a la red industrial.
Recomendaciones:
1.-Revisa periódicamente las reglas y políticas de tu(s) firewalls.
2.-Las reglas de acceso deberán estar basadas en zero trust/least access
3.-Enruta toda comunicación al firewall de la red industrial necesaria hacia la red corporativa
4.-Segmenta tu red industrial y aplica las zonas y conduits
5.-Configura tu DMZ para tus servidores históricos, SCADA, servidor OPC, servidores réplica, etc.
¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?
Contáctanos para cualquier duda o ayuda que requieras.
Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn
ISA99 / IEC62443
