Está claro que, luego del fatídico Septiembre 11, uno debe estar preparado para todo. En particular, me sorprendió mucho saber que el FBI había realizado investigaciones que indicaban que un nuevo tipo de ataque que cualquier terrorista buscaría es el del tipo informático.

Desde “Juegos de guerra” (War games) hasta “La gran estafa” (The italian job), el cine ha mostrado cientos de veces a hackers que desde una notebook conectada a través de un celular, por ejemplo, son capaces de controlar los semáforos de una ciudad, la torre de control de un aeropuerto, la apertura de las compuertas de una represa, lanzar un misil, etc… pero, ¿hasta qué punto de esto podría ser realidad?

Y llevado al punto de vista industrial, la verdadera pregunta sería: ¿en cuánto podrían afectar a mi red de control o supervisión?

Es interesante saber que, cuando uno empieza a investigar acerca de cyberseguridad, descubre que la mayoría de los “ataques” no llegan del mundo externo, si no del interno. Basta con que un empleado instale un programa no verificado, ilegal, etc., para que se corra el riesgo de verse infectado por un virus que le traiga problemas, costos, improductividad, etc.

Pero sin importar de donde lleguen estas amenazas, los ejecutivosde las compañías, inclusive las de manufactura, ven actualmente a la seguridad como una de las principales prioridades, sino la más importante de todas.

Está claro que no importa cuan confiable es una red (en términos de redundancia, disponibilidad, etc.) si la misma no es segura. El hecho es que para las empresas las redes deben ser más seguras que confiables viene de la necesidad de abrir las redes a clientes, socios, proveedores con los cuales se deben realizar negocios.

Es muy común encontrar hoy en día corporaciones que colocan sus órdenes de compra o pedidos de cotización en sitios seguros o “extranets”. Por lo que es importante tanto para ellos, como para todo el que acceda a ese sitio, es saber que en el mismo no existen esos “huecos” de seguridad que pudieran permitirle a un hacker el acceso a los datos de la red. Y aquí es donde aparece la paradoja. El querer tener un sistema “abierto”, que podría ser amenazado especialmente por ataques de hackers, por citar un ejemplo. O de cualquier error humano interno.

Por ende, la nueva pregunta debería ser que está haciendo cada compañía (usuarios) respecto de estos temas, y obviamente cómo los puede ayudar cada proveedor (compañías de tecnologías) a lograr los objetivos de seguridad requeridos.

Está claro que existen amenazas de todo tipo para una compañía, pero, según los analistas, las acciones de seguridad a tomar en el corto plazo deberían ser en primer término la cyberseguridad y en segundo término la seguridad física.

Obviamente que la forma más simple de garantizar que la red de control y supervisión no se vea afectada nunca por un ataque es manteniéndola aislada de toda otra red corporativa que existiera. En el pasado, dado que se utilizaban redes y sistemas operativos propietarios, era lógico que fueran seguros por su propia naturaleza. Pero esto en la actualidad es imposible, dado que los datos y/o reportes que entrega un sistema en control, una aplicación de optimización, etc., son utilizados también dentro del contexto de la toma de decisiones de negocios, por lo que deben convivir conectados a la red corporativa. Y además, se debe considerar que hoy en día es casi obligatorio para un proveedor utilizar sistemas operativos, bases de datos, etc., totalmente estándar de mercado, como pueden ser algún tipo de Windows, SQL Server, etc.

Es bueno recordar que la cyberseguridad no es una acción del tipo “One Shot”, o sea que se realiza una vez y uno queda seguro o tranquilo para siempre. Es una tarea que debe ser periódica y que no se debe perder de vista que siempre podría aparecer una nueva forma de amenaza.

Tal como una vez que se señaló en un foro de tecnología de seguridad, “mientras una compañía gasta todo el tiempo en cubrirse de los ataques conocidos, un hacker gasta todo el tiempo en descubrir nuevas formas de ataque”. Y donde además no se debe desconocer las posibles amenazas internas, ya sean por error o malintencionadas.

Microsoft, hace un tiempo, escribió en su site: “Un software antivirus desactualizado es sólo algo mejor que el no tenerlo en absoluto”.

Tener buenas políticas de usuarios y de instalación de software en una compañía puede minimizar una parte importante de los errores internos.

Por otro lado, comúnmente los sistemas de automatización enfrentan el problema de no poder ser actualizados al instante en que se reciben las noticias de patches de seguridad que llegan de proveedores de software base, tales como Microsoft, de manera parecida a como lo hace el personal de IT con el resto de las computadoras de una empresa. Las empresas proveedoras de sistemas deben verificar que esa actualización no genere efectos colaterales o problemas de compatibilidad de software; estas pruebas llevan tiempo y mucho esfuerzo, pero esa problemática se ve tapada por la del cliente que ve un “hueco” en su seguridad si el sistema operativo o la base de datos no se actualizan.

Debido a este tipo de problemática, Honeywell ha trabajado en los últimos años para poder brindar un amplio portafolio de soluciones y servicios que permitan garantizar a sus clientes la posibilidad de maximizar su seguridad tanto en cyberseguridad como en la seguridad física.

Hoy en día, por ejemplo, los usuarios de sistemas de Honeywell pueden encontrar en su extranet la información de patches, hotfixes y avisos de seguridad de software base (provenientes de Microsoft, por ejemplo) totalmente probados y garantizados en su compatibilidad, con una demora de sólo 14 días luego de que el originador lo publica en su propio site.

A su vez, Honeywell puede brindar servicios de consultoría para determinar, luego de un estudio in situ, qué esquemas se debería cambiar o agregar a fin de mejorar los niveles de seguridad de una red, desde la de un sistema de control hasta las propias LANs corporativas, sumando además los aspectos de seguridad física, como pueden ser sistemas de intrusión, sistemas de acceso, vigilancia remota, reconocimiento biométrico, etc.

Esto significa trabajar en todos los aspectos del ciclo de vida de la seguridad, incluyendo diseño, implementación, gestión, etc. Y lo más importante es que este servicio no está limitado sólo a los usuarios de sistemas de Honeywell, sino también a cualquier otro sistema o solución sin importar la marca, dado que los cambios desde el punto de vista de la seguridad en redes son, la mayoría de las veces, criterios más globales que un sistema específico, dado que la revisión de vulnerabilidades, por ejemplo, suelen estar más asociadas a la propia LAN corporativa que al segmento de la red de control.

Y por último, una buena concientización de personal acerca de los problemas que pudieran aparecer por el uso de un software indebido o acciones incorrectas, permitirá minimizar los “ataques” internos, dado que tal como aparece remarcado en el libro Writing Secure Code v2. de M. Howard and D. LeBlanc, “un puñado de gente con conocimientos es más efectiva que un armamento de herramientas”.