Antes de actuar sobre cualquier entorno requerimos de conocimiento previo. Contestar a la pregunta es sencilla cuando se dispone de cierta información de contexto. Las siguientes líneas muestran las preguntas que nos deberíamos hacer y la información a analizar para contestar.
Cuestiones previas
El objetivo de las actividades que se describen a continuación es el de estructurar las actividades y los aspectos específicos de cada uno con el fin de conocer el entorno industrial a proteger, identificar los puntos débiles en cuanto a protección actual, conocer los riesgos que se identifican en la instalación y proponer mejoras. Requiere un trabajo de recopilación documental y de campo en el que se realizan entrevistas y se actúa sobre la planta.
Planificación
Esta fase tiene por objeto identificar tanto el alcance detallado del análisis, “escenario a revisar”, como todos los elementos de información de que se dispone en la organización que permitirán conocer el contexto de detalle, identificar información e interlocutores relevantes y revisar otros aspectos relevantes. Deberemos consensuar con el interlocutor los siguientes aspectos y recopilar cierta información:
Escenario a revisar:
- Sistemas y aplicaciones
- Ventana temporal de que se dispone para el análisis
- Personas que nos ayudarán a movernos por planta
- Alcance y profundidad que se pretende
- Modo de presentar las conclusiones y propuestas
Documentación:
- Mapas de red.
- Direccionamiento público
- Planes de direccionamiento
- Procedimientos y políticas existentes
- Información general sobre la instalación
Interlocutores:
- Responsables de explotación y de procesos
- Responsable de mantenimiento del sistema de control
- Responsable administración
- Responsable safety
- Personal de operaciones
- Jefe de planta
- Jefe de procesos
- Jefe de operación de mantenimiento
Aspectos legales:
- Condiciones del trabajo (ventana de tiempo y horas específicas de las que se dispondrá, sistemas a afectar, elementos de protección, permisos a habilitar, etc.)
- Propiedad de la información y uso exclusivo para el análisis
- Acuerdo de confidencialidad
- Exención de responsabilidades
Elementos a analizar
Para determinar el riesgo de la planta analizaremos cada uno de los siguientes aspectos en los ámbitos que se señalan. Toda la información obtenida permitirá considerar la situación de riesgos del entorno analizado.
Arquitectura de red:
- Identificar zonas de seguridad, si existen
- Red de control. DMZ de supervisión, red corporativa, otras
- Identificar flujos, servicios de red, protocolos, puntos de interconexión, redes de Partners
- Identificar el perímetro lógico de la red
- Líneas de datos
- Routers del operador
- Accesos remotos y de terceras partes
- Líneas de datos no controladas
- Dial-ups
- Redes Inalámbricas, alcance, utilización
- Protocolos de seguridad
- Visibilidad de la instalación en Internet
- Direccionamiento público
- Nombres de dominio
- Servicios publicados
Sistemas
- Usuarios Windows, Linux, otros
- Usuarios HMI
- Direccionamiento de nodos
- Auditoría de credenciales
- Políticas de contraseñas
- Métodos de autenticación y robustez de los mismos
- Revisión de servicios activos (no necesarios)
- Uso de medios extraíbles
- Configuraciones de routers y otros elementos de comunicación
- Versiones de software instaladas
- Filtrado de tráfico de entrada y de salida
Usuarios
- Roles y perfiles
- Contraseñas
- Políticas de asignación de identidades y permisos
- Gestión de usuarios externos
- Seguridad Física Identificar áreas seguras
- Controles de acceso
- Seguridad en ubicaciones remotas
- Seguridad del cableado
- Interferencias en comunicaciones
- Sistemas de soporte y acondicionamiento
Terceras partes
- Identificar personal externo que accede a las instalaciones. (Proveedores de servicios, mantenimientos, consultores, personal temporal…)
- Tipo (lógico/físico) y métodos para acceder a la información y los dispositivos
- Contratos. Referencias a seguridad
- Acuerdos de nivel de servicio
Propuestas de mejora
Junto con análisis técnicos adicionales, en función de la necesidad, dispondremos de toda la información que nos permita responder a la pregunta ¿Está en riesgo mi planta? No solo eso, sino que podremos visibilizar los procesos o productos más expuestos, aportar soluciones concretas en función de este parámetro, el riesgo para la planta, y otros como coste, tiempo de implantación, etc. y así poder establecer una priorización y objetivos concretos.
