Uno de los puntos de interés en los últimos tiempos en cuestiones de seguridad está en la protección de infraestructuras críticas y, más generalmente, en la seguridad en entornos industriales.
Es evidente que hay un largo camino que recorrer en cuestiones tecnológicas. Los especialistas en la materia rápidamente aplican su experiencia y descubren que nociones básicas en entornos TIC como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial. El hecho de encontrar un territorio prácticamente virgen ante sus ojos puede hacer que el experto en seguridad se centre en estas carencias tecnológicas tan visibles descuidando, sin embargo, otros aspectos menos obvios, quizá, pero igualmente importantes.
Como en tantos ámbitos de la vida hemos de acometer primero lo primero. Y es que hasta que existan soluciones técnicas para las carencias mencionadas, soluciones que tengan en cuenta las características propias de las industrias y sus procesos, hay otros problemas que resolver. En mi opinión, uno de los principales es el relativo a la gestión de las organizaciones, los equipos humanos y los choques culturales.
Hoy en día, en nuestro mundo de especialización creciente y compartimentación profesional es fácil perder la perspectiva y juzgar el todo por la parte. Y ello incluso dentro de una misma empresa, donde se supone que existe una comunidad de objetivos. De esta forma nos encontramos con que dos universos hasta ahora completamente separados, el de los ingenieros informáticos y el de los ingenieros industriales o de producción, han entrado en contacto. Me imagino que debe ser algo parecido a cuando los nativos americanos y el los europeos se tuvieron frente a frente por primera vez. Cada grupo ve al otro como si fuese un alienígena. Prácticamente no tienen nada en común, salvo el aspecto físico (y quizá ni eso): sin experiencias comunes y, lo que es más importante, separados hasta por el lenguaje, mutuamente ininteligible. Llegados a este punto he de realizar una confesión: yo soy ingeniero industrial y he desarrollado gran parte de mi labor profesional en el ámbito de los sistemas industriales. Yo he pasado por la experiencia descrita y supongo que muchos de mis compañeros también (estaría bien que los lectores se manifestasen al respecto: ¿han entrado alguna vez en contacto con un ente proveniente del más allá?)
El punto que quiero exponer es el siguiente: ninguna estrategia de seguridad puede tener éxito sin una integración previa de los equipos humanos que permita abordar proyectos de forma global. Las soluciones técnicas existentes en los sistemas TIC no pueden aplicarse sin más sin tener en consideración los procesos industriales que están siendo controlados (recuérdese el aforismo: cuando todo lo que tenga sea un martillo, todo lo que vea le parecerá un clavo). Y del mismo modo, no puede confiarse en que los técnicos y responsables de producción y mantenimiento interioricen unas herramientas destinadas a controlar unos riesgos que desconocen. No es posible que en la fábrica se tenga la percepción de que ésto lo han hecho los informáticos, que sólo saben que venir a j… Tampoco es posible que los informáticos perciban a la gente de producción como unos desaprensivos peligrosos y rebeldes a los que se debe vigilar y atar en corto para que cumplan unos protocolos aparentemente elementales que cualquiera con dos dedos de frente percibe como obvios.
He visto personalmente como desde el departamento de informática se imponían restricciones poco realistas en las conexiones a red que dificultaban enormemente el trabajo del personal de mantenimiento; y a su vez como el problema anterior era resuelto imaginativamente por medio de conexiones inalámbricas clandestinas creando un problema de seguridad más grave que el que se pretende resolver. Ambas partes consideran al otro “el enemigo”, convirtiendo esta cuestión en un juego de policías y ladrones en el que, en realidad, nadie puede ganar.
En mi opinión, es imprescindible avanzar en dos líneas. En primer lugar, el establecimiento de grupos de trabajo multidisciplinares de forma que todos los aspectos de un problema de seguridad en el ámbito industrial sean considerados. Y en segundo lugar, y más importante aún, el desarrollo de una cultura y lenguaje común en un ambiente de cooperación y comprensión mutua. Nada separa más a las personas que el idioma (bueno, y la religión, pero eso es otra cuestión). La gestión de los aspectos culturales constituye el paso previo imprescindible para crear un entorno industrial verdaderamente seguro.
Cierto Oscar, yo como Ingeniero Informático he tenido encuentros en la tercera fase con Ingenieros Indistrailes, pero gracias a dios no fiu abducido :-)
Curioso, yo tb soy informatico y en este aspecto hecho mucho la culpa a las grandes empresas que han condicionado este sector por motivos economicos. Algo tan ‘natural’ como el raton, cuando te paras a pensar en temas de usabilidad, deja de ser natural para ser un engorro y la prueba esta en la reaccion de una persona que nunca ha visto un ordenador y le dices, ves con el raton a la barra de inicio … que hacen cogen el raton fisicamente y lo ponen cerca de la barra de inicio (y claro, no funciona) la ‘naturaleza’ de que en verdad lo que mueves no es el raton que tocas, sino el puntero que aparece en la pantalla, eso ahora se esta saldando con los nuevos smartphones.
Lo que quiero decir con este comentario, es que desafortunadamente veo muchos informaticos (yo incluido) que no desarrollamos para la gente de a pie. Nos hemos perdido en nuestro mundo abstracto y no nos damos cuenta que lo que nos parece intuitivo en 3 pasos Principal > Modelo > Ejecutar, podria hacerse en solo 2, Modelo > Ejecutar y seria intuitivo para el resto de los no-informaticos.
Oscar, estoy totalmente de acuerdo contigo y es algo que vivo a diario en las relaciones con nuestros clientes. Como suelo decir en mis presentaciones, generalizando la relación entre el personal de planta o proceso y el de TI o Seguridad en el mejor de los casos no existe, y cuandobexistr, es mala. Pero ojo, responsables de esa relación somos ambas partes. Los unos por intentar realizar aproximaciones habituales en el ámbito corporativo que son inaplicables en el industrial, y los otros en la mayoría se loa casos por falta de conocimientos de los riesgos ciber y como estos pueden impactar la producción.
De nuevo el factor humano es clave y las perspectivas de personas y procesos son tan o más importantes que las tecnologías. De ahí mi defensa se termino Ciberseguridad Industrial frente a Seguridad SCADA o Seguridad Industrial, más ligada a los temas de riesgos laborales y seguridad laboral. Echa un vistoso a mi blog si quieres…