El iSOC: Un nuevo concepto de ciberseguridad

Seguro que todos hemos esbozado una sonrisa en alguna ocasión al contemplar imágenes o fotografías de extraños artilugios accionados mediante máquinas de vapor o motores de combustión interna enormemente primitivos. Estos artilugios, destinados a todo tipo de propósitos, se quedaron en experimentos fallidos ya que la tecnología empleada era totalmente inapropiada para el fin al que el inventor decidió destinarla. A nuestros ojos constituye una muestra de ingenuidad intentar hacer volar un artefacto provisto de máquinas de vapor como motores.

Sin embargo, aquellos inventores no eran tan tontos como el fracaso de sus ingenios podría hacernos pensar. Era gente inteligente (al menos no menos inteligentes que la media) que trataba de resolver los problemas de su época con la tecnología a su alcance. En el caso de las máquinas de vapor su aparición marca el inicio de la industrialización, del acceso del ser humano a cantidades de energía nunca antes vistas. El descubrimiento de esta tecnología supuso una revolución técnica y cultural sin precedentes que abrió el camino a nuestra sociedad actual. Es natural que, en el ambiente de optimismo colectivo y fe en el progreso, se viese en las máquinas de vapor la solución a todo tipo de problemas de ingeniería inabordables hasta entonces.

Sin embargo, la próxima vez que vea uno de estos aparatos es mejor que contenga la sonrisa. Piense que, del mismo modo que a nosotros nos parece ingenua aquella actitud, un observador del futuro podría pensar lo mismo de nosotros. Seguro que nos gustaría que nos juzgasen con indulgencia cuando dentro de unos años, alguien se pregunte: ¿por qué en el inicio del siglo XXI los ingenieros decidieron que la solución a todos los problemas consistía en conectar todo tipo de artefactos y sistemas a una red de comunicación universal de acceso público? Si les parece que esto no está ocurriendo, consideren los siguientes ejemplos.

Hace unas semanas vi en el telediario una noticia relativa al Salón del Automóvil de Ginebra. La verdad, no estaba prestando mucha atención. Hasta que, de repente, aparece una señora junto a un coche y dice que «este vehículo está conectado a Internet, por supuesto» y que, con un teléfono como el que tiene en la mano, es posible acceder a múltiples funciones del automóvil como, por ejemplo, «arrancar o parar el motor«. ¿»Por supuesto«? ¿Para qué querría uno arrancar el coche desde un teléfono móvil? Este entusiasmo por una nueva tecnología, ¿les suena? Seguro que conocen decenas de casos similares.

Otro caso, también de la semana pasada. Estaba hojeando el ejemplar nº 7/12 de la revista IEEE Spectrum. Concretamente un artículo acerca de las posibilidades que la convergencia entre IT y OT ofrece a la hora de gestionar la energía de los hogares. El artículo, llamado «Smart conservation for the lazy consumer«, partía del hecho descubierto en algunos estudios de que los consumidores no están dispuestos a modificar su patrón de uso de electrodomésticos dado que valoran más la comodidad que el ahorro que estos cambios producen. Por tanto, la solución (según los autores) pasa por implantar sistemas de gestión energética en los hogares, conectados a las redes de generación y distribución de forma que se pueda adaptar el uso de la energía en cada vivienda conforme a las condiciones de la red, el mercado eléctrico y el propio vecindario. Para ello es necesario desarrollar un servidor de gestión energética doméstica dotado de algoritmos capaces de prever la conducta del usuario en función de sus costumbres, de la zona de la casa donde se encuentre y la actividad que esté realizando, etc. Este sistema estará (¿adivinan?) «conectado a Internet, por supuesto» (la negrita es mía). Nada de todo ello es imposible, pero evidentemente el resultado supone en la práctica la posibilidad de monitorizar la conducta y costumbres de millones de ciudadanos. Como siempre, por una buena causa. Como siempre, sin considerar la ciberseguridad, que no se menciona en el artículo ni una sola vez.

A estas alturas es evidente que la tendencia a conectar a Internet todo tipo de sistemas industriales no va a detenerse (entiéndase industriales en un sentido amplio, como todo aquello que en principio no forma parte del ámbito TIC). Independientemente de si la funcionalidad obtenida es realmente necesaria o no, nos vamos a enfrentar en los próximos años a un parque creciente de instalaciones y sistemas de control industrial conectados a la red. Y por tanto, es necesario disponer de mecanismos que permitan que estas conexiones se realicen con las condiciones de ciberseguridad que se exigen habitualmente en los sistemas TIC.

Los gestores de sistemas industriales necesitan que se canalice adecuadamente toda la experiencia en gestión de la seguridad disponible para los sistemas TIC pero con la adecuada consideración de los aspectos propios de la tecnología, cultura y procesos industriales. Ya hemos hablado de ello en otras ocasiones (véanse los siguientes artículos en este mismo blog: Seguridad en entornos industriales: el primer paso, Seguridad en entornos industriales: aspectos específicos)

Por tanto, es inevitable la aparición de un nuevo concepto como transformación de uno ya existente: el paso de un SOC (Security Operation Center) a un iSOC (industrial Security Operation Center). El iSOC se orientará a cubrir las necesidades detectadas en organizaciones con un uso amplio de sistemas de control industrial: grandes edificios, infraestructuras públicas (críticas o no), plantas industriales, etc.

La premisa básica será la realización de una gestión de la seguridad integral basada en la monitorización remota con vistas a garantizar la continuidad del negocio, del mismo modo que ya se hace con los SOC dentro del ámbito TIC.

Sin embargo, la traslación de la experiencia en la gestión y operación de un SOC a un iSOC no es directa. Deben tenerse en cuenta los aspectos específicos propios de los sistemas industriales y que los diferencian de los entornos TIC: existencia de equipos de antigüedad variable, largas vidas útiles de éstos, sistemas heterogéneos, etc. Y de entre todos ellos, especialmente, los aspectos culturales y humanos. Es imposible llevar adelante con éxito un iSOC sin aunar el trabajo de expertos en seguridad TIC con el de técnicos especialistas en procesos y sistemas de control industrial. Este carácter multidisciplinar será clave en la prestación del servicio, de forma que los responsables de los sistemas industriales dispondrán de interlocutores en el iSOC provenientes de su mismo sector, los cuales estarán respaldados por un equipo técnico de gran experiencia en cuestiones de seguridad. De este modo se salvará la distancia existente entre profesionales de ambos mundos tanto en formación como en experiencia y lenguaje.

Desde la conciencia del estado actual de la situación, S2 Grupo pone en marcha el primer iSOC de España, que será presentado mañana 4 de abril en nuestra nueva sede en Madrid. Su vocación no es local sino internacional y en una primera fase se orientará a España y Latinoamérica. El iSOC prestará servicio a empresas y organizaciones para garantizar que la adopción por parte del sector industrial de los beneficios de la convergencia de tecnologías se realiza de forma segura, evitando la transferencia automática de los riesgos y amenazas ya presentes en el ámbito de las TIC.

Este es uno de muchos pasos que como sociedad debemos dar para garantizar un funcionamiento cada vez más seguro de nuestras infraestructuras y sistemas básicos.

(En la imagen, prototipo de coche accionado por vapor construido por Cugnot en 1771. Fotografía © Roby. Licencia de uso: GFDL o CC-BY-SA-3.0. Via Wikimedia Commons)