Introducción
El rápido proceso de transformación digital e Industria 4.0 que están viviendo las organizaciones e industrias actuales ha supuesto una mayor exposición y riesgo a las amenazas presentes en Internet.
Las diferentes tecnologías presentes en los entornos empresariales (bases de datos, gestores documentales, etc.) y en los entornos industriales (sensores, controladores, actuadores, etc.) han supuesto tradicionalmente un distanciamiento entre ellas a la hora de gestionar, proteger o actuar sobre las diferentes infraestructuras. Es por lo que, hoy en día se considera fundamental la colaboración plena entre los diferentes equipos de Tecnologías de la información (IT) y los equipos de Tecnologías Operativas (OT) para aprovechar al máximo esta convergencia y conseguir los siguientes objetivos:
- Mejorar la eficiencia debido a la reducción de procesos y flujos de trabajo.
- Obtener mayor visibilidad para mitigar las amenazas de ciberseguridad.
- Crear nuevas oportunidades de negocio.
Principales diferencias entre ciberseguridad IT y OT
Existen diferencias remarcables entre IT y OT debido a que cada modelo de ciberseguridad está enfocado en un ámbito distinto de actuación como es el de la empresa por parte de la ciberseguridad IT y el de la industria en la ciberseguridad OT.
Esta diferencia de ámbitos se ve reflejada tanto en las diferentes tecnologías y herramientas utilizadas, como pueden ser herramientas de gestión o procesamiento de información en el ámbito de la empresa frente a componentes electrónicos como sensores, controladores, actuadores, etc. que son habituales en la industria.
Además, existen diferencias a la hora de comunicar dichas infraestructuras. En las redes IT las comunicaciones suelen tener salida hacia el exterior (Internet) debido a la necesidad de las organizaciones por abrirse y comunicarse con otras organizaciones, ciudadanos u otros sistemas IT. En cambio, las redes OT suelen utilizar redes dedicadas y aisladas del exterior como medida de seguridad y debido a que tradicionalmente estas redes eran operadas desde centros de datos internos de la organización. También es cierto que en los últimos años esta dinámica está cambiando y las redes OT están abriéndose hacía el exterior (Internet) por la deslocalización entre los diferentes centros de trabajo y los dispositivos, y la eficiencia que supone el hecho de realizar el control y monitorización de los dispositivos OT desde cualquier parte del mundo.
Los objetivos y las estrategias de seguridad en la ciberseguridad IT está más enfocada hacia la protección del dato y su confidencialidad, protegiendo los sistemas de la organización ante vulnerabilidades y ataques informáticos. En cambio, la ciberseguridad OT se centra en la protección de la infraestructura física y la disponibilidad de los dispositivos, detectando los cambios en los procesos físicos industriales mediante la monitorización de dichos dispositivos.
Es importante señalar que la infraestructura tecnológica es completamente diferente. En la empresa se utilizan redes de datos complejas, difíciles de mantener y sistemas operativos y software comercial ampliamente distribuidos y actualizados con ciclos de vida cortos (2 años). Mientras que en la industria es muy común utilizar redes de datos mucho más simples y sistemas operativos y software propietario de propósito específico para cada equipamiento, con ciclos de vida muy largos (15 años) y poco mantenidos.
Por estos motivos, las estrategias de ciberseguridad llevadas a cabo deben plantearse de manera diferente. Por ejemplo, las auditorias de ciberseguridad o los procedimientos de respuesta ante incidentes en la industria son más complejos debido a la necesidad de disponibilidad continua de los servicios y equipamientos OT, pudiendo ocasionar un gran impacto en la productividad. Además, el común uso de software propietario de diversos proveedores resulta más complejo de analizar que el software comercial. En cambio, en el sector empresarial estas complicaciones no se suelen producir ya que dichos procedimientos no tienen un gran impacto en el negocio y no suelen afectar a la productividad de la organización.
También existen diferencias en el ámbito de la normativa en entornos IT y OT, en la que principalmente destaca que en los entornos OT las normativas suelen ser específicas de cada sector industrial, siendo muy pocas de carácter generalista. Y, sin embargo, en IT las normativas son más generalizadas y establecidas por organismos internacionales y no se aplican sobre sectores concretos sino sobre el ámbito de la empresa en general.
