Comprensión de los mandatos de cumplimiento de la UE: tecnología operativa y sistemas críticos
En mi primer mensaje sobre la comprensión de los mandatos de cumplimiento de la UE, analice el panorama de cumplimiento en su conjunto y cómo los diferentes tipos y áreas de la industria tienen sus propios mandatos de gobierno u orientación sobre ciberseguridad. Hoy, me concentraré en regulaciones y controles de seguridad específicos para un sector realmente interesante: Sistemas Críticos y Tecnología Operacional.
Para mayor claridad, comencemos definiendo algunos acrónimos de uso común:
- OT — Tecnología Operacional (a diferencia de TI, Tecnología de la Información)
- ES — Tecnología de la información, los sistemas informáticos típicos y las redes con las que todos estamos familiarizados
- ICS — Sistemas de Control Industrial
- SCADA — Control de Supervisión y Adquisición de Datos
Es importante comprender las principales diferencias entre OT y seguridad de TI antes de sumergirnos en el cumplimiento de normas que existe en la industria, ya que los requerimientos fundamentales son bastante diferentes. Para aquellos que trabajan en el campo o con experiencia allí, probablemente todos hemos visto variaciones en el siguiente diagrama:

En un entorno de OT, la falla de un sistema, o la inconsistencia en los datos, puede tener un impacto físico real en el mundo. Por ejemplo, la avería de un sistema de seguridad o la paralización de una línea de producción pueden dar lugar a resultados más dañinos físicamente que fallas similares en TI. Esto, por supuesto, significa que los propios sistemas (incluido el software) se construyen teniendo en cuenta la resiliencia y la redundancia, y lo relevante mandatos de cumplimiento tomar esto en cuenta.
Dicho esto, analicemos algunos de los tipos de cumplimiento de normas que podrían aplicarse y luego analicemos cómo microsegmentación y el control juega en ellos.
Los principales mandatos que vemos en la UE son:
- La Directiva de Seguridad de la Red y de la Información, o NIS-D. Se trata de un conjunto de controles cibernéticos a escala de la UE, creado centralmente con aportaciones de todos los estados, pero con orientación y supervisión proporcionadas localmente país por país.
- LPM. Similar, pero más local, LPM es un mandato francés específico de OT o “ley de protección de infraestructura de información crítica”. Esto fue en parte la base del NIS-D y contiene conceptos similares de un Operador de Servicio Esencial. La diferencia con LPM es que es un mandato y, por lo tanto, los sistemas considerados “dentro del alcance” del mandato deben adherirse a las directrices de seguridad de LPM. En Francia, esta ley se rige por ANSSI (Agence nationale de la sécurité des systèmes d'information — la Agencia Nacional de Ciberseguridad de Francia), que también supervisa el NIS-D en la región.
Cómo se aplica la microsegmentación al cumplimiento de normas del sistema OT
Tanto el NIS-D como el LPM mencionan explícitamente algunas áreas clave.
Para LPM, las 20 categorías son:
- Políticas de aseguramiento de la información
- Acreditación de seguridad
- Mapeo de redes
- Mantenimiento de seguridad
- Registro
- Correlación y análisis de registros
- Detección
- Manejo de incidentes de seguridad
- Manejo de alertas de seguridad
- Administración de crisis
- Identificación
- Autenticación
- Control de acceso y administración de privilegios
- Control de acceso de administración
- Sistemas de Administración
- Segregación en sistemas y redes
- Monitoreo y filtrado de tráfico
- Acceso remoto
- Configure los sistemas
- Indicadores
Para el NIS-D, los estados miembros locales publican directrices específicas. En el Reino Unido, por ejemplo, esto es manejado por el NCSC (Centro Nacional de Seguridad Cibernética) — con su Marco de evaluación cibernética (CAFÉ). Para obtener más información sobre esto, consulte este seminario web, y leer este papel.
NIS-D tiene un número similar de áreas específicas relacionadas con la microsegmentación y la visibilidad del flujo de red:
- Proceso de Administración de Riesgos: Su proceso organizacional asegura que los riesgos de seguridad para las redes y los sistemas de información relevantes para los servicios esenciales son identificado, analizado, priorizado y administrado.
- Seguridad de los datos: Mantienes una corriente comprensión de los enlaces de datos utilizados para transmitir datos eso es importante para su servicio esencial
- Datos en tránsito: Tú tienes identificó y protegió adecuadamente todos los enlaces de datos que llevan datos importantes para la prestación del servicio esencial.
- Protección por diseño: Sus redes y sistemas de información segregado en zonas de seguridad apropiadas, por ejemplo, los sistemas operativos para el servicio esencial están segregados en una zona de alta confianza y más segura.
- Diseño para la resiliencia: Los sistemas operativos de su servicio esencial son segregado de otros sistemas comerciales y externos por medios técnicos y físicos apropiados, por ejemplo, infraestructura separada de red y sistema con administración independiente del usuario. Los servicios de Internet no son accesibles desde los sistemas operativos.
- Administración de Vulnerabilidades: Mantienes un comprensión actual de la exposición de su servicio esencial a vulnerabilidades conocidas públicamente.
- Monitoreo de seguridad: Además del límite de su red, su cobertura de monitoreo incluye interno y monitoreo basado en host.
Podemos ver que tanto para LPM como para NIS-D, Illumio puede ayudar.
Cómo alcanzar el cumplimiento normativo con microsegmentación
Habiendo entendido los mandatos, ¿cómo puede utilizar la microsegmentación en el campo para cumplir con estos (y otros) controles? Aquí hay algunos ejemplos:
- Mapeo de dependencia de aplicaciones tanto de los entornos OT como de TI, incorporando el límite de TI/OT de manera crítica. Esto se puede lograr mediante la recopilación de datos a nivel de carga de trabajo o, más probablemente, la recopilación de flujos desde la infraestructura de red en el lado OT para proporcionar un mapa rico y de alta fidelidad.
- Segmentación Ambiental de los entornos OT y TI, mientras se mantienen los canales críticos de monitoreo, registro y control. La confianza cero como concepto de seguridad de red nunca ha sido más aplicable que en este escenario.
- Alertas sobre nuevos flujo/conexiones en el entorno de OT desde TI, o desde dentro del propio entorno de OT. Es importante monitorizar el inicio de nuevas conexiones por dos razones: primero, OT tiende a ser un entorno más estático que el lado de TI más dinámico y chattier. En segundo lugar, ya sea deliberado (actividad maliciosa dirigida para obtener acceso a los sistemas ICS/SCADA) o accidental (una serie de compromisos de OT de alto perfil en realidad han estado más cerca de los daños colaterales causados por el malware básico que administra para acceder al lado crítico del sistema), el acceso no autorizado y exitoso al lado crítico de la red es fundamentalmente lo que las soluciones de microsegmentación previenen.
- Evaluación de vulnerabilidades frente a la infraestructura de OT. Como podemos ver en el NIS-D, la administración de vulnerabilidades es clave. Si bien Illumio, por ejemplo, no escanea vulnerabilidades, las asigna a la agrupación y los flujos de aplicaciones observados, mostrando rutas críticas y ayudando a priorizar políticas de microsegmentación y parches.
El paisaje en constante evolución
A medida que cambia la agilidad y el monitoreo de los sistemas críticos, están cada vez más conectados a redes y aplicaciones menos críticas y, a veces, incluso a Internet. ¡Una búsqueda rápida del protocolo OT en shodan.io puede ser una revelación! Al mismo tiempo, el escrutinio sobre la conectividad y seguridad de estos sistemas va en aumento, como debería. Esta yuxtaposición significa que la visibilidad se vuelve increíblemente importante, incluso antes de definir y mantener claramente las políticas de microsegmentación.
Mencionado en mi primer post, los diversos mandatos proporcionan un espectro de aplicación —desde leyes estrictas y obligatorias (en el caso de LPM), hasta una posición más orientadora en la actualidad, en el caso del NIS-D. Parte de la diferencia aquí se reduce a la madurez y a la duración de la existencia.
Es en los casos más amplios y menos bien definidos que la interpretación de la guía se vuelve importante, y al igual que GDPR, el NIS-D tiene en cuenta la intención, así como la implementación técnica y la configuración específica.
En cualquier caso, creo que está claro que la visibilidad y segmentación de estos sistemas críticos cada vez más conectados es el control fundamental mediante el cual podemos asegurarlos.
Estén atentos para mi próximo post, donde exploraré los mandatos de la industria financiera en la UE.
Y para más información sobre Illumio ASP, consulta nuestra página de arquitectura de la solución.