Un centro de respuesta a incidentes OT, la solución para blindar los procesos industriales

  • Actualidad

Proteger sus sistemas de control es fundamental para responder a los incidentes de seguridad industrial que, como corroboran todos los informes, van en aumento a medida que las empresas se digitalizan y las soluciones ICS están más conectadas. Un Centro de Operaciones de Seguridad para la tecnología operativa puede ser la solución que ofrezca tranquilidad a una empresa.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

El blog de INCIBE-CERT dedica uno de sus posts más recientes a este tema, con el objetivo de analizar su contribución a la hora de garantizar la seguridad de los entornos industriales, los retos de creación e implementación e incluso llega a proponer un esquema.

Obviamente un SOC-OT se diferencia de un SOC o centro de operaciones de seguridad en que responde a incidentes relacionados con los entornos industriales y, como explica el post, esta definición afecta al tipo de incidencias que se tratan, entre ellas brechas de seguridad e intrusiones en las redes industriales, pérdida de visionado en los procesos o de control, etc., y todo aquello que pueda entrañar un riesgo para la disponibilidad de los procesos industriales.

Según este texto, uno de los retos en el mundo industrial es la falta de información a la que se puede enfrentar un centro de operaciones. “No es nada extraño encontrar, tanto sistemas como protocolos propietarios sin documentación o sin especificación pública”, dice. Además, el tratamiento de los incidentes en estos entornos se puede complicar si no hay una entrada en los logs, de algunos sistemas, relacionados con eventos de seguridad, a lo que habría que sumar las normativas, regulaciones, requerimientos legales, etc., que tienen que cumplir cada empresa industrial, en función de su sector y el objetivo de negocio que tenga.

Una vez expuestos los retos más destacables a los que puede enfrentarse un SOC-OT, a continuación se expondrá la definición de objetivos y propósito que perseguirá el centro, así como los roles a repartir en los diferentes equipos que compondrán el centro y responsabilidades que asumirá cada integrante del mismo. Todos estos puntos han de completarse bajo un prisma industrial que diferenciará el SOC-OT de otro centro más orientado a la respuesta de incidentes TI.

Cuando una organización decide crear un centro de operaciones de seguridad para su tecnología operativa, además de asegurar la disponibilidad continua de sus procesos, también tiene generalmente en mente conseguir una mayor comprensión de los incidentes en todas las fases (triaje, monitorización, respuesta a incidentes, análisis forense e inteligencia), y poder beneficiarse de esa información en el futuro ante amenazas avanzadas.

El equipo: quién lo forma y de qué se ocupa
INCIBE-CERT también pone un ejemplo del organigrama de un SOC-OT multinivel. El equipo estaría formado por un director (intermediario entre el centro y la víctima); un jefe de equipo que gestionará a los profesionales; analistas de nivel 1 (operan durante el triaje y monitorización de incidentes; analistas de nivel 2 (realizan investigaciones básicas y dan las primeras recomendaciones de solución y para evitar la propagación), y analistas de nivel 3, perfiles más especializados que realizan tareas más concretas como reversing de malware, investigaciones forenses avanzadas, modelado de amenazas, etc.