Eficiencia y seguridad: los beneficios de la segmentación de los sistemas de información

  • Opinión
Borja Pérez, Country Manager Stormshield Iberia

Borja Pérez, Country Manager de Stormshield Iberia, asegura en esta tribuna de opinión que la segmentación de la red es, por lo tanto, la medida más eficaz para contener las amenazas cibernéticas y evitar que el malware se propague dentro de una infraestructura informática (TI) u operativa (OT).

La creciente apertura hacia el mundo exterior y la interconexión de los diferentes sistemas de información está provocando que las organizaciones sean cada vez más vulnerables a los ciberataques. Para protegerse de estos peligros, estas entidades pueden optar por segmentar sus sistemas de información, una técnica que permite contener las amenazas impidiendo que se propaguen a otras áreas. Ahora bien, ¿cómo segmentar la red en la era de la Industria 4.0?

La segmentación de la red es inicialmente muy importante por razones puramente funcionales: garantiza la disponibilidad y la eficiencia del equipamiento. En un entorno industrial, por ejemplo, donde la eficiencia operacional es algo implícito, es todavía más trascendental: una fábrica no puede ampliar continuamente su arquitectura de red sin segmentarla.

No obstante, es en la ciberseguridad donde la segmentación aporta sus mayores beneficios. Dividir las áreas de acuerdo con los requisitos de uso específico de cada persona permite que los empleados únicamente utilicen los recursos y el acceso que precisan. Los datos relacionados con los sistemas organizativos, operativos y automáticos están así contenidos en zonas -que a su vez pueden encuadrar subzonas- lo que reduce el riesgo de que se filtren o se vean comprometidos.

La segmentación: ¿más que una simple recomendación?

La segmentación de la red es, por lo tanto, la medida más eficaz para contener las amenazas cibernéticas y evitar que el malware se propague dentro de una infraestructura informática (TI) u operativa (OT).

También es una de las recomendaciones clave recogidas por la norma IEC 62443. Dirigido a incrementar la seguridad de los sistemas de control industrial frente a las amenazas cibernéticas, este estándar ha desarrollado el concepto de división en "zonas" y "conductos" en función de los niveles de criticidad de los equipos dedicados. Se trata, al fin y al cabo, de una estrategia de defensa en profundidad que, gracias a la integración de los cortafuegos, determina de forma estricta e inmutable los flujos de comunicación autorizados y no autorizados entre segmentos o bloques predeterminados. Dividida en bloques, la red en su conjunto se vuelve más difícil de atacar por un ciberdelincuente, por lo que la segmentación constituye un baluarte esencial para limitar las intrusiones y hacer frente a los ciberataques.

Segmentación física o virtual

Existen dos métodos de segmentación, cuya mayor diferencia estriba en el número de equipos necesarios y en la inversión. Bien utilizadas, ambas técnicas han demostrado su viabilidad.

La segmentación física implica la creación de redes paralelas que permitan mantener separadas las distintas máquinas (PLCs, PCs, impresoras…), con la instalación de un switch o conmutador en cada categoría. Por su parte, la segmentación virtual utiliza el mismo conmutador de hardware para los diferentes equipos: conectados a diferentes puertos del conmutador, estos últimos están aislados virtualmente por redes virtuales (VLAN) que simulan switches separados, lo que permite segmentar una red física mediante software. No pueden comunicarse entre sí a menos que estén conectados a un cortafuegos que les permita hacerlo.

NAT, un mecanismo útil

En algunos casos, la implementación de la segmentación de la red, ya sea virtual o física, requiere un cambio en la organización de las direcciones utilizadas por los equipos para comunicarse entre sí. Las fábricas desplegaron inicialmente los equipos en función de las necesidades operativas, sin tener en cuenta la asignación de las direcciones IP. Como la red era "plana", todos los equipos pudieron comunicarse entre sí sin ningún problema. Pero con la segmentación de zonas, los equipos ahora solo pueden comunicarse con los de la misma zona, la misma subred. ¿Qué hacer?

Para resolver el problema a corto plazo, es posible utilizar la función NAT (Network Address Translation). Este sistema permite "transformar" las direcciones, para hacer coincidir distintas direcciones IP o, dicho de otro modo, en traducir una dirección en una subred a una dirección en otra subred para asegurar la interconexión. Con ello se consigue dejar las aplicaciones intactas y no tener que configurarlas de nuevo.

NAT puede ser una solución temporal que permite el paso de la información mientras se espera a que los sistemas industriales se modernicen o se sustituyan. El sector industrial es complejo, y tenemos que avanzar paso a paso. Sin NAT, la mayoría de las industrias no podrían asegurar sus sistemas. La traducción de direcciones también permite integrar un subsistema industrial en la infraestructura operativa general sin perder la certificación del fabricante o del proveedor de servicios.

Así pues, como hemos visto, la segmentación del sistema de información es una operación compleja que lleva tiempo. Por lo tanto, para lograr una defensa en profundidad, es vital ponerse a trabajar en ella sin más demora.

Borja Pérez, Country Manager Stormshield Iberia