No se puede deletrear confianza cero sin OT

00:02 Carlos Buenano

Ahora ellos están a cargo de la seguridad. Hasta ahora, no han sido responsables de básicamente proporcionar seguridad. Bien. Por supuesto, les preocupa que se desbaraten las operaciones.

00:14 Raghu Nandakumara

Bienvenido a The Segment: A Zero Trust Leadership Podcast. Soy su anfitrión, Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la empresa de Segmentación de Confianza Cero. El día de hoy, me une Carlos Buenano, CTO de OT en Armis, líder en ciberseguridad de inteligencia de activos. Carlos aporta más de 30 años de experiencia en los campos de sistemas de control y telecomunicaciones. Ha trabajado para organizaciones de todo el mundo, desempeñando funciones que van desde arquitecto de soluciones hasta ingeniero principal y consultor de ciberseguridad ICS. Durante los últimos cinco años, se ha enfocado específicamente en la operacionalización de soluciones de ciberseguridad dentro de redes industriales. En este episodio, Carlos se une a nosotros para discutir el camino hacia la seguridad OT, la importancia de Zero Trust en entornos industriales, y cómo avanzar en seguridad sin comprometer la productividad. Entonces, me da un gran placer dar la bienvenida a este episodio de El Segmento Carlos Buenano, CTO para OT en Armis, el líder en seguridad OT. Carlos, Bienvenido a El Segmento.

01:24 Carlos Buenano

Gracias Así, mucho. Gracias por recibirme. Es un placer, un verdadero placer estar aquí.

01:28 Raghu Nandakumara

Oh, creo que el placer es todo mío. Porque estamos metido en la segunda temporada del podcast y si mi recordación es correcto. Creo que este es el primer episodio donde hemos tenido a alguien que es experto en seguridad OT, que es So, lo más alto de la mente en estos días. Entonces, creo que el camino hacia la seguridad OT no es natural cuando la gente piensa en carreras en seguridad de la información. Entonces, cuéntanos un poco sobre tus antecedentes.

01:51 Carlos Buenano

Sí, Entonces, soy ingeniero electrónico, me especializo en sistemas de control. Recuerdo haber ido a la universidad y tener esa única materia: sistemas de control. Y me enganché. Entonces, programar, mi PLC, configurar SQL Server, y sacar información que se conecta a sensores y actuadores y hacer que la automatización suceda, me enganchó desde el principio. A lo largo de mi carrera desarrollé básicamente las habilidades para ser ingeniero de sistemas de control. Recuerdo la época en que las redes eran en realidad parte de la transición entre redes cero y redes Ethernet. Y yo [tenía] mucha curiosidad al respecto. Y yo quería ser parte de ello, pero parte de esa transición, y luego la mezcla de todo el networking y los sistemas de control en uno solo. Y entonces, empecé a diseñar redes de control, lo que en realidad era bastante interesante. Y hay mucho. En realidad, se estaba dirigiendo más a la configuración de PLCs. SCADA dijo que era DCS; iba a entrar en redes, programación y definición de redes de control que se encuentran con IEC 62443 y cómo define la segmentación de redes desde el punto de vista del Sello Verde. Y poco a poco, poco a poco comenzó a involucrarse con sistemas, directorios de acceso, EDR, e integrar todos estos diferentes sistemas uniendo todos estos sistemas al dominio. Y proteger estos dispositivos y hacer copias de seguridad de ellos y asegurarse de tener los procedimientos establecidos. Siguiendo ASC 62443 en ese momento, es casi como si acabara de caer en él, y en los últimos 10 años, me he estado enfocando solo en la ciberseguridad para entornos OT. Ya sabes, mi comprensión del medio ambiente, el entorno OT, como tal en la comunicación con el personal de OT, los equipos de ingeniería, los gerentes de planta, y darles la información que necesitan escuchar, porque en realidad pueden ser conversaciones muy, muy complejas con los gerentes de planta porque quieren proteger la producción. Y entonces tenemos que empezar a introducir temas de seguridad; en realidad es uno de nuestros placeres.

04:18 Raghu Nandakumara

Eso me encanta, gracias. Gracias porque me parece fascinante que seas alguien cuya formación es una experiencia en sistemas de control lo que significa que cuando tienes estas conversaciones con una especie de gerentes de planta, etc. Hoy en día, eres capaz de tener esas conversaciones con una perspectiva muy informada.

04:38 Carlos Buenano

Yo era la única persona detrás de la programación del portátil, los PLCs, enchufando el cable. Entonces, entiendo exactamente a qué tienen que ir los gerentes de planta para mantener la producción, para mantener la seguridad de las personas mientras lo hacen.

04:53 Raghu Nandakumara

Entonces, solo quiero volver a una especie de tu tiempo estudiando ingeniería cuando estudias sistemas de control. En ese momento, ¿piensa en la seguridad?

05:01 Carlos Buenano

No, nunca. Todo mi enfoque fue en realidad siempre la automatización. Ya sabes, cómo automatizar. Y por supuesto, estábamos acostumbrados a involucrarnos con los vendedores, Rockwell, Siemens, por ejemplo, Schneider, y aprender sus herramientas, aprender la manera más eficiente de realizar la automatización. Y cuando se llega a los sistemas OT, también hay, una jerarquía internamente; se tiene a los ingenieros de procesos que definen qué deben hacer los clientes, cómo deben comportarse, qué se espera, desde un punto de vista de automatización. Pero entonces, tienes los sistemas de control cerca; necesitan estar estructurados para entender todas las narrativas producidas por los ingenieros de procesos y luego poner eso en su lugar. Y luego diseñar e implementar. Entonces miras y piensas en otras cosas. Piensas en estándares, piensas en formas de programar plantillas para programar los sistemas, Entonces, que la próxima persona que viene del mantenimiento necesita hacer lo que necesita hacer para mantenerlo, entenderlo, [y tenerlo] muy bien documentado. Por lo tanto, en realidad se está enfocando más en la implementación de estos sistemas de control y usa lo que está disponible. Usas la red, conectas la red, se te da una dirección IP. Si tiene una red, o se le da un número de identificación, si tiene una red serie, y ellos tienen los gateways y cómo se comunican, y configura el servidor SCADA con diferentes etiquetas para extraer información. Entonces, es un gran mundo de conocimiento que tienes que implementar durante la implementación de estos sistemas. Entonces, no hay, casi no hay espacio para pensar en seguridad, de verdad; todo se trata de hacerla funcionar. Es como cualquier otro proyecto, tienes un gerente de proyecto, y todo es cuestión de tiempo, un activo dedicado a entregar ese proyecto específico. Y cuando estás en operaciones, se trata de cumplir con los requerimientos desde la perspectiva de producción y asegurar que el dispositivo realmente esté funcionando como se supone que debe estar funcionando, cuando no piensas en la comunicación porque uno de los principales requisitos en las redes OT es comunicar los dispositivos a los que se debe comunicar. No piensas en una aplicación cuando quiero agregar más opciones cuando se trata de una nueva herramienta Para que realmente puedas usarla. Y no, no, no, esto es que en realidad tienes un PLC, tienes una HMI, y tienes un servidor SCADA, tienes una red que conecta tres, y una vez que están conectados, no la toques. Vamos a ver. Está funcionando. En realidad, se necesita pasar por una gestión muy estricta del cambio, solo para asegurarse de que cualquier cambio que se realice, valide, sea realmente aprobado por los gerentes de planta, y no van a afectar negativamente en el desempeño de la red. Entonces, por eso es como, bien, una vez que está diseñado, tienes una persona que diseñó esa red de control o que más tarde fue esa persona. Y luego fue diseñado para poder cambiarlo, tienes una razón realmente específica para cambiarlo.

08:38 Raghu Nandakumara

Gracias por esa explicación tan detallada. Voy a parafrasear, Entonces, me disculpo por una especie de trivializarlo mucho. Pero creo que para resumir, es como que la prioridad en esos sistemas de control es mantener la planta operativa, mantenerla eficiente, mantenerla segura. ¿Correcto? Algo así, sin embargo, si pienso en esas son las prioridades. Entonces, si entierto esto a, digamos, un entorno de desarrollo de aplicaciones, es como si el equipo de aplicaciones se preocupara por la disponibilidad y confiabilidad de su aplicación. Y es casi si esos están comprometidos, la seguridad, son como: “Bueno, si la aplicación no funciona, ¿a quién le importa la seguridad?” Entonces, ahora, ¿como traerlo a tu papel de hoy? ¿Cómo tiene esa conversación con los gerentes de planta o con quien se involucre de ese tipo en sus compromisos para guiarlos a través de cómo puede introducir la seguridad que necesitan de la manera correcta que no comprometa las cosas que más les importan?

09:31 Carlos Buenano

Sí, entonces, esa es una conversación muy dura. Ya sabe, los gerentes de planta y los equipos de ingeniería son muy protectores de las redes. No obstante, existe una preocupación en torno a validar básicamente el rendimiento y luego el diseño de las redes. Las comunicaciones a las que realmente están expuestas estas redes. Entonces, hay dos básicamente dos métodos, supongo, dos estrategias. El primero es ¿qué es para mí? ¿Qué es para mí como gerente de planta? ¿Cómo puedo realmente o por qué querría comenzar con la visibilidad? Ya tengo mis inventarios; ya tengo, entiendo lo que se supone que está haciendo el dispositivo. Y luego empiezas con eso, empiezas como, bien, entonces, hago inventarios al día, ¿entiendes qué dispositivos tienes ejecutando ese final de vida que potencialmente puede afectar tu producción? ¿De verdad, realmente puedes estar seguro de que estos dispositivos están, de hecho, haciendo lo que se supone que deben hacer? No tienen ninguna configuración incorrecta, ¿quién está realmente haciendo cambios en su sistema o sus PLCs? ¿Eres consciente de cuándo realmente, de hecho, están haciendo los cambios? Entonces, el enfoque en realidad es más sobre, Oye, estos son los beneficios que te va a traer introducir un sistema de seguridad y va a facilitar básicamente algunos de los procesos en los que tienes que trabajar. Y luego quizás y roadmap lo más eficiente y entiendan los puntos débiles. Y te da un ejemplo muy, muy específico de uno de nuestros clientes en el equipo. Me preguntaron: “Bien, bueno, tengo un problema con una dirección IP. Sabes, estoy tratando de implementar este dispositivo en la red. Y dice que va a chocar la dirección IP, y no puedo encontrarla”. Y luego resulta que alguien más vino a mí e introdujo otro dispositivo, usó una dirección IP que estaba libre en su hoja de cálculo, y luego actualizó la hoja de cálculo. Y entonces la otra persona es, como, entró, es como, bueno, quería usar eso. Y luego vinieron y usaron la visibilidad, la plataforma de visibilidad, y luego tocaron la dirección IP y la encontraron en dos dispositivos. Y entonces el gerente de planta dice: “¿Eso es sencillo?” Ahora, eso solía tomarme semanas para averiguar cómo. Y luego, una vez que realmente expongas ese beneficio. Nosotros dijimos: “Bien, cuéntame más. ¿Qué más puedo hacer?” Entonces, así es como en realidad no puedo decirte las cosas de respuesta directa en términos de cuál es la receta, pero te puedo decir las ideas. Involucrarlos, ayúdelos a entender la plataforma de seguridad que usa también, va a, va a traer algunos beneficios, y luego resalte los beneficios de su lado. Debido a que la parte de seguridad tiene que cumplir, no les va a interesar porque entonces van a brindar beneficio. Va a proporcionar algún beneficio a toda la organización como tal, pero no específicamente al equipo.

12:50 Raghu Nandakumara

Eso es fantástico. El seguimiento de la dirección IP a través de una historia de hoja de cálculo es gracioso porque me lleva de vuelta a mis días en el lado del cliente. Y esas hojas de cálculo o quien tenga las claves de la hoja de cálculo es rey o reina. Me encanta cómo describes que es realmente traidor; no se trata de forzar la agenda sobre “oh, necesitas asegurar”, sino de mostrarles cosas de bebé que saben, que no están viendo, o que no saben. ¿Verdad? Y eso, como dijiste, que ajá momentos como: “Oh, Dios mío, ¿es así de fácil?” Y llevo años luchando con esto. Pero solo puedo, como creo, una de las cosas que abordó muy a la ligera fue la cantidad de infraestructura heredada en los entornos de OT. Y escuchamos esto mucho sobre cuánto tipo de versiones muy antiguas de Windows continúan ejecutándose, porque son muy, críticas. Como, volviendo a lo que estábamos diciendo antes sobre lo importantes que son para correr eso de manera segura. ¿Cómo resuelves eso?

13:45 Carlos Buenano

Si. Entonces, vamos a contar primero la historia. Entonces, ¿por qué tenemos So, muchos sistemas heredados en entornos de OT? Derecha. Entonces, cuando realmente estás involucrado en un proyecto, acordando el proyecto, el primer requisito es, la vida útil de esto, sea lo que sea que estemos construyendo esta planta, esta línea de producción o lo que sea, es de 30 años. Ese es el primer requisito. Debido a que se trata de una inversión multimillonaria, necesitan asegurarse de que tienen que expandirse el mayor tiempo posible. Bien. Entonces, cuando realmente ingresamos el momento en un entorno, podemos ver que hay muchos sistemas heredados. Entonces, ese es el primer reto. Entonces, que tenemos dispositivos que están ejecutando Windows 10, Windows NT. En realidad, algunos sistemas están ejecutando interfaces seriales. Algunos dispositivos, al final de su vida útil, en realidad no son años, en eso impuestos en riesgo. A mí me ha pasado, donde en realidad formé parte del equipo de ingeniería y una línea de producción falló. Y fuimos e intentamos resolver el problema y nos dimos cuenta que la tarjeta falló, era el fin de la vida. Y ha sido el fin de la vida desde hace diez años. Porque están diseñados Así, bueno, Entonces, robustos en realidad pueden durar años y años y años hasta que fallan. El problema es que fuimos a las tiendas, y no pudimos encontrar refacciones porque se usaron las últimas de las refacciones. Y luego, por supuesto, fuimos al vendedor, “Oye, necesitamos una entrega de emergencia de esta tarjeta específica”, y ¿adivina qué? “No lo tenemos; dejamos de producirlo hace siglos”. Entonces, ¿qué haces? ¿Correcto? Porque para reemplazar el equipo en sí, se necesita un proyecto coordinado, bien, porque necesitas entender a qué necesitas cambiarlo y así, adelante. Y terminamos entregando todo ir a eBay y encontrando la tarjeta, comprándola, pero eso desencadenó un proyecto para reemplazar equipos, porque es un sistema que cuesta $100,000 la hora, si en realidad no está funcionando. Entonces, existen los desafíos con los sistemas heredados es muy, muy común ver que es el entorno. Y la otra cosa es que están diseñados para correr todo el tiempo. Y para nosotros poder remediar, ejecutar, hacer cualquier cambio no es tan simple como: “Bien, eso es todo, simplemente vamos a reemplazarlo y reemplazarlo con el siguiente”. No, no, tienes que crear un proyecto específico; en algunos casos, ese es un Windows, o llamamos ventana de apagado, donde tienes un tiempo muy limitado para realizar esos cambios. Bien, porque en realidad así es como están diseñados para funcionar durante 30 años, y luego puedes hacer cambios. Tienen que ser pequeños cambios que puedan caber en esa ventana, que en realidad apague el proceso. En realidad también, impulsado por un proyecto. Entonces, tiene una tarea específica, y luego se controlarán diciendo: “Oye, necesito instalar una nueva versión de firmware para esta tarjeta específica o reemplazar esta tarjeta”. Pero entonces si el proceso el activo que necesitan cambiar, esto es parte de las pruebas de algunas de las otras tareas dentro del ítem con el autor del proceso de apagado es como, te van a decir: “Desafortunadamente, tienes que esperar otro año para que la próxima ventana de apagado la reemplace. Porque no podemos darnos el lujo de arriesgarnos a probar este cambio que estamos haciendo que sea más beneficioso para el negocio o que esté impulsado por proteger a las personas porque en realidad está agregando más seguridad”. Entonces, puedes imaginar que todo el diseño, diseño de longevidad, todos estos diferentes retos a la hora de modificar y actualizar sistemas. Simplemente sigue arrastrando, arrastrando, arrastrando, y por eso vemos ahora, Entonces, muchos sistemas heredados.

18:17 Raghu Nandakumara

Me encanta la historia. Es decir, solía frustrarme cuando pensaba que tenía ventanas de cambio largas en finanzas, pero ni siquiera se compara con lo que hablas. Entonces, solo tengo una pregunta antes de pasar a la siguiente parte. Tengo una pregunta al respecto. Entonces, como diste un ejemplo, estos planes están diseñados con una vida útil muy larga, que mencionaste son 30 años, ¿verdad? Entonces, veo el tipo de ambos, aquí hay dos desafíos que tiene para asegurar el entorno heredado que ha estado funcionando durante hasta 30 años. Pero también, cuando está asegurando la nueva planta que está construyendo, casi necesita mirar con 30 años de anticipación y planificar eso desde una perspectiva de seguridad. Si lo hice bien,

18:57 Carlos Buenano

Sí, no, eso es todo. Y algunos de los sistemas que vas a encontrar para lograrlo, están atrasados cuando se trata de la implementación del estándar para Ethernet, por ejemplo. Entonces, puedo decirles que cuando en realidad estaba implementando la segmentación de red ISO, 62443, en realidad estaba creando las zonas y el conducto solo para asegurarme de que tenía una política de lista blanca en las comunicaciones entre dispositivos. Y solo le da un ejemplo de lo crítico o lo desafiante que es necesario implementar la seguridad en sistemas heredados. Entonces, este es un controlador de vibración específico, una de las partes más importantes del negocio crítico porque mide la duración de las operaciones, y si algo sale mal, entonces dispara el sistema porque se quiere proteger a las personas. Entonces, no implementaron gateways. Entonces, tienes una dirección IP y una máscara, no tenías un gateway. Entonces, no puede, ni siquiera podría dirigir el tráfico hacia el firewall, y mucho menos ¿cómo lo bloquea? ¿Cómo implementa la política si no puede permitir que se comunique a través del gateway? Entonces puedes imaginarte, bien, bueno, ¿qué hacemos? O sea, eso es que vamos a tener que evaluar el riesgo. Usted crea la evaluación de riesgos y trata de averiguar qué hace. Y luego tienes una política de lista blanca realmente agradable, cada segmento segmentado, y ese villano que cruza. ¿Te imaginas algo de la complejidad que viene cuando se trata de implementar? Y vuelve a tu pregunta. Entonces, intenta diseñar realmente alrededor de la red de seguridad necesaria a largo plazo. Pero tiene que crear evaluaciones de riesgo que le permitan básicamente interactuar con lo que tiene, trabajar con lo que tiene, crear y minimizar los riesgos, e implementar la solución en consecuencia con lo que tiene. Entonces, a veces no tienes opción. Y luego hay que entonces básicamente aislarse de alguna manera, pero la comunicación necesita fluir porque se necesita en el proceso.

21:23 Raghu Nandakumara

Sí, si tienes algo en la red, y no puedes definir el gateway, bien podría no estar en la red, ¿verdad? No se puede hablar de nada.

21:29 Carlos Buenano

Pero lo necesitas porque acabas de llegar a servir a esto. Sí, todo en el HMI lo que necesitan para recuperar información, a veces lo real, la lógica, la estrategia que está alrededor del sistema de seguridad necesita comunicarse. En una situación normal, es difícil; por qué se comunican, cómo, por qué, cuándo y tu seguridad. Cuando se trata de conocer el estado, necesita estar en la red Entonces, que el sistema SCADA o DCS necesita extraer información para entender qué es eso. Y ya sabes, es un requisito; tienes que tenerlo independientemente.

22:07 Raghu Nandakumara

Sí. Entonces, antes de comenzar a hablar de Zero Trust, quería volver a algo que dijiste sobre cómo, de nuevo, al gerente de planta lo que les importa, cierto, pero cuando estoy leyendo, como las noticias de seguridad, vemos mucha cobertura sobre ataques a plantas manufactureras, organizaciones de energía y servicios públicos, y este tipo de preocupación real de que los atacantes ahora están apuntando a una especie de infraestructura nacional crítica. ¿Correcto? Y no necesariamente el sitio de datos para robar datos, sino realmente para interrumpir los servicios o interrumpir la producción. ¿Eso no resuena con el tipo de gerentes de planta, y como si eso no es algo que les preocupa?

22:48 Carlos Buenano

Definitivamente es una preocupación, pero no es su preocupación, porque no son personas de seguridad, no están a cargo de la seguridad. Hasta ahora, no han sido responsables de básicamente proporcionar seguridad. Por supuesto, les preocupa que se desbaraten las operaciones. Pero confían en el diseño de la red. Y el proveedor que dice esto en realidad fue diseñado pensando en la seguridad. Pero la realidad es que no están realmente preocupados porque no es su alcance. Hoy en día, con la Industria 4.0, por ejemplo, eso está cambiando porque los CISO se están volviendo responsables. Y debido a eso, se están convirtiendo cada vez más interesados desde una perspectiva del noreste. Y luego eso se escurrir hacia los gerentes de planta y el equipo de ingeniería para decir: “Bueno, ya no es una opción”. Necesitas ayudarme a ayudarte de alguna manera. Y ese concepto está empezando a resonar mucho más. Quiero decir, porque podemos, podemos ver los efectos que los CISO en realidad están asegurándose de que esa comunicación se transmita al equipo, y empiezan a ayudar hacia la seguridad y los procesos que deben seguir. Todavía hay diferentes procesos, todavía puedo escuchar si, entiendo. Pero la seguridad y la producción es lo primero, y luego llego a la seguridad después.

24:19 Raghu Nandakumara

Sí. Sí. No, entiendo completamente y eso resuena. Entonces, con este tipo de movimiento hacia la industria 4.0, para una mayor integración entre los lados de TI y OT de las organizaciones, estamos viendo mucha adopción real de estrategias de confianza cero en todas las verticales a nivel mundial. En primer lugar, ¿qué significa Zero Trust para ti como practicante? Y luego en segundo lugar, ¿qué significa en ese espacio en el que operas?

24:47 Carlos Buenano

Mira, es muy importante y relevante, y creo que uno de los, uno de los motivadores desde una perspectiva OT, especialmente cuando se trata de equipos de ingeniería y gerentes de planta. Hay un beneficio muy, muy conocido cuando se trata de Zero Trust contar con una plataforma que le permita brindar políticas que luego le permitan validar las comunicaciones que le permitan administrar dispositivos de manera segura con el OT, resuena bien muy bien. De hecho, yo mismo he implementado varias estrategias Zero Trust en entornos. Y el beneficio es que los gerentes de planta, ellos, bueno, antes que nada, quieren dar el camino para que los sistemas administrados por los vendedores puedan entrar y luego brindar mantenimiento que diagnósticos, calibraciones a sus sistemas. Ellos quieren hacerlo de manera segura, quieren entender cuándo sucede, y quién lo está haciendo cuánto tiempo está sucediendo, Entonces, que en realidad es muy atractivo para ellos? Porque bueno, antes que nada reciben una notificación, alguien quiere conectarse, él decide cuánto tiempo quiere conectarse, a ese dispositivo específico, lo más probable es que sea un ingeniero o estación, o un empate, o cualquier cosa que esté realmente dentro de la red OT que necesite mantenimiento. Entonces, eso permite que los proveedores de terceros entren de manera segura a la red OT y luego ser monitoreados, ser grabados, validados. Entonces, eso resuena realmente bien porque todo es parte de la gestión de los procesos de cambio convirtiéndose en parte de la de ese proceso. Y en realidad básicamente se pueden rastrear muy bien.

26:41 Raghu Nandakumara

¿Y cómo ves la adopción? Porque creo que es un gran, como, ese es un gran ejemplo de un caso de uso perfecto para Zero Trust. ¿Qué estás viendo en el espacio OT? ¿Qué es lo que ve como una especie de tasa de adopción de Zero Trust para casos de uso? ¿Es una especie de organización real que tiene programas reales? ¿O sigue siendo bastante inmaduro en comparación con otros verticales?

27:07 Carlos Buenano

De hecho me sorprendió que dependa de la industria. Cuando hablas de petróleo y gas, por ejemplo, es un must, bien, no hay duda. Entonces, la tasa de adopción es muy, muy alta. La minería sigue detrás del transporte y la energía aún tratando de madurar. La manufactura también está tratando de madurar en eso. Pero en realidad se puede ver, eso es un empujón, y esa es una muy buena adopción de una metodología Zero Trust para proteger las redes. Bien.

27:39 Raghu Nandakumara

Y esos son verticales donde, como, por ejemplo, mencionaste energía, servicios públicos y minería; ¿qué está impulsando la adopción acelerada ahí? ¿Es como los requerimientos reglamentarios? ¿O es solo el hecho de que su preocupación por las amenazas?

27:55 Carlos Buenano

Es un poco de ambos. Entonces, es un poco de ambos. También es, también agregaré los beneficios operacionales. Entonces, tenemos entonces amenazas, y ellos quieren asegurarse de que tienen, internamente, todos los sistemas que están manteniendo esos tienen las políticas de seguridad, y son solo los que están accediendo a todos los dispositivos dentro de la red OT. Y entonces ese nombre, claro, entonces protege de que un tercero tenga un dispositivo desconocido, activo, laptop conectado a la red, que no son eso. Entonces, eso, luego elimina esa preocupación, luego también tiene cumplimiento de normas. Entonces, solo para asegurarse de que cumplan. O sea, depende del país en el que te encuentres. Entonces, tienes NIS2 en Europa, y luego tienes otros aquí en Estados Unidos. Pero en realidad eso también se ha vuelto más importante porque en realidad es que la regulación se está convirtiendo en la sexta entrada, y luego necesitan tener esos procesos en su lugar. Pero luego operaciones, como mencioné antes, operaciones, porque de nuevo, la convergencia de TI y OT está realmente entre nosotros, y es importante porque usan problema en este momento es, ya sabes que TI y OT necesitan comparar merch porque hay muchos sistemas en la red de TI que hoy en día se utilizan para proporcionar informes o programación, monitorear la producción y todas estas cosas que necesitan, básicamente para conectarse con el entorno para extraer esa información. Entonces, eso en realidad se está volviendo inevitable. Y entonces cuando esa fusión de las dos redes se vuelve más obvia, y estamos hablando de sistemas heredados, la superficie de ataque aumenta demasiado. Y luego tener la plataforma o el marco Zero Trust realmente minimizará los riesgos en todos los diferentes escenarios que se nos ocurran. Ya sabes, como decías, robando datos, ransomware ya sabes, cualquier otro vector de ataque que pueda ser explotado.

30:06 Raghu Nandakumara

Entonces, antes de hablar de los desafíos de aplicar cero a través de la infraestructura heredada, vamos simplemente, porque usted tocó esa necesidad de que la TI y OT converjan cada vez más; ¿cuáles son los desafíos de ciberseguridad, el riesgo de amenazas, lo que sea, como quiera que lo diga, que las organizaciones estén preocupadas a medida que esa integración se acelera?

30:23 Carlos Buenano

Bueno, antes que nada, es el know-how, entonces, cuando se trata de redes TI/OT, muy diferenciadas antes, las redes OT están ejecutando esa tarea específica solamente. ES TODO LO CONTRARIO. En realidad TI proporcionará herramientas y sistemas y procesos que están diseñados para aumentar la eficiencia de las personas, bien, como tal, y entonces lo esencialmente, la filosofía entre las dos redes son completamente opuestas. Entonces, la mayor preocupación es que ya sabes, esa filosofía choca tan pronto como comenzamos a abrir las redes OT a las redes de TI, y eso es un gran desafío. Ayudar a las personas de TI a entender los requerimientos de OT, porque de nuevo, no están familiarizados con él, además, entienden la dinámica de los dispositivos dentro de nuestra red OT, y cómo necesitan comportarse qué sistemas necesitan para comunicarse entre sí. ¿Cómo podemos lograr esa segmentación? Y es una curva de aprendizaje muy difícil y muy empinada implementar básicamente esa información o esos mecanismos en el entorno OT. Y por supuesto, obtener la aceptación de eso, desde un punto de vista de fabricación, desde un punto de vista de procesos OT para implementar estos procesos, ¿verdad? Entonces, por eso hay Tan, muchos retos aquí por la naturaleza de las redes.

32:03 Raghu Nandakumara

Y solo indagar sobre este reto es solo un poco más lejos. Obviamente, en otras verticales, todo el tipo de transformación de la nube, la transformación digital, es un gran impulsor, ¿verdad? ¿Y preocupaciones masivas sobre cómo aseguramos las cargas de trabajo de las aplicaciones a medida que se mueven hacia la nube? ¿Es esto una preocupación real también en el sector de OT? ¿O se centra mucho más en esa convergencia OT/TI en esta etapa?

32:27 Carlos Buenano

Mire, para ser honesto; estamos impulsados cuando se trata de nuevas tecnologías y empujar tecnologías a entornos de IoT; estamos impulsados por esta pluma que los proveedores. Y si los vendedores no lo soportan, simplemente no vamos a ir. Tomaremos ese camino cuando se trata de transformación digital, dependiendo de la industria, dependiendo del fabricante, que en realidad desarrollando estos sistemas podrías o no tener la posibilidad de instalar un servidor SCADA en el hipervisor, o alojarlo en la nube, porque la tecnología aún no está ahí, o el proveedor no la ofrece. Entonces, por eso, entonces no creo que sea un conductor. El conductor es realmente financiero el conductor estará reduciendo la huella. Están usando los costos de administración, los costos de producción, pero no tanto, mucho sobre seguridad.

33:28 Raghu Nandakumara

Entendido. Volvamos a Cero Confianza. ¿Cuáles son los desafíos de adoptar una estrategia de confianza cero cuando tiene tanta infraestructura heredada?

33:39 Carlos Buenano

Entonces, el reto es, básicamente cómo implementaste, cómo básicamente eres capaz de poner esas políticas en su lugar cuando tienes que hacer So, muchos cambios. Como mencioné antes, algunos de los sistemas heredados no soportan los requerimientos ni la tecnología que se necesita para implementar Zero Trust. Ese es uno. Número dos, es posible que los sistemas heredados no tengan performance; definitivamente no tienen la capacidad de autenticar o validar qué políticas se han implementado. Y por supuesto, cómo tenemos tiempo para implementarlo. Entonces, encontrando esa ventana, para hacer los cambios para reestructurar o redefinir un rediseño, y luego en red Para que podamos implementar los cambios de red que se requieren para que Zero Trust funcione. Entonces, esos son básicamente los retos a los que nos enfrentamos.

34:42 Raghu Nandakumara

Entonces, cuando las organizaciones te piden tu consejo y te dicen: “Bien, quiero adoptar una estrategia Zero Trust para asegurar mi entorno TI/OT”, ¿cómo las guía sobre dónde empezar y cómo empezar?

34:53 Carlos Buenano

Entonces, obviamente esta comunicación, estas ya sabes, necesitas ser muy honesto. Pero siempre hay siempre hay el límite. Comienzas con un límite, y ellos empiezan a adentrarse más profundamente en los sistemas. Entonces, básicamente, puede establecer una nueva DMZ, por ejemplo, sin tener que hacer demasiados cambios en su red OT. Y luego a partir de ahí, luego tratar de encontrar el camino hacia los diferentes sistemas para comenzar a lograr ese método Zero Trust. Entonces, asegurar la red. Tienes que ser muy creativo; tienes que entender la red, ganar visibilidad, entender cómo pueden comunicarse entre ellos, y luego comenzar a tomar decisiones. Ya sabe, evaluaciones de riesgo. Nuevamente, la comunicación siempre es importante. Expresar los beneficios desde una perspectiva de operaciones, como mencioné antes. Y trate de obtener la aceptación desde una perspectiva de operaciones porque conocen los procesos y cuál es la capacidad desde un punto de vista de proceso para comenzar a implementar estos sistemas. No es una tarea fácil. Solo tiene que desglosarlo para preocuparse menos, primero creemos la visibilidad, ellos entienden qué dispositivos necesitamos proteger, entienden los dispositivos críticos para el negocio y luego aíslan esos dispositivos críticos para el negocio, luego implementan Zero Trust y luego comienzan a expandirse como un proceso programático, hasta que llegue al final. No va a ser un viaje muy pequeño o corto; va a ser un viaje largo. Pero si lo hacemos, paso a paso al menos podemos ganar el primer objetivo, que es asegurar la red. Y luego el segundo, luego continuar hasta que terminemos de proteger nuestra red.

36:58 Raghu Nandakumara

Me encanta cómo expresas eso. Y la forma en que resume eso, porque creo que ese es el verdadero camino para ver realmente mejoras medibles en la seguridad, ¿verdad? Y como dijiste, para todos los desafíos que existen en esos entornos, tratar de hacer cualquier cosa a escala masiva es prácticamente imposible.

37:16 Carlos Buenano

A menos que tenga proyectos de campo verde o proyectos de campo rodado, es imposible.

37:20 Raghu Nandakumara

Si. Porque simplemente se hace a medida que vas pasando de esa vista macro real. ¿Correcto? Y como que continúas refinando, refinando, refinando. ¿Ve una oportunidad para aprovechar, por ejemplo, aplicar los principios de seguridad Zero Trust a cosas como los mensajes de control Entonces, cuando un atacante no podría, digamos, secuestrar un controlador y esencialmente poner una especie de mensajes ilegales? Y disculpas, tengo los términos todos equivocados.

37:52 Carlos Buenano

Está bien. Está bien. Pero miro que la respuesta es sí. Bien. La respuesta es definitivamente sí. Creo que a medida que los proveedores maduran hacia la realidad de la ciberseguridad, y los requisitos que no hemos visto antes es que los proveedores están comenzando a diseñar en torno a la seguridad. Entonces, están comenzando a buscar formas de autenticar los cambios, los cambios de controlador asegurándose de que no pueden sentir, bien, comienzan a buscar encriptar los protocolos que están a cargo de realizar esos cambios. Pero ahora mismo, hay sistemas que están llegando a estar disponibles que realmente pueden poner en línea, donde tienes el dispositivo que pones en línea, y luego ese dispositivo se conecta a la red del PLC. Y luego, cualquier configuración que deba realizarse a través de la red desde un ingeniero con una sesión hasta los PLCs, esa comunicación necesita ser autenticada. Y utilizan Zero Trust para autenticarse, para proporcionar control de acceso, para entender, pensar y las políticas de quién puede hacer los cambios, qué cambios puede hacer esta persona y demás, eso en realidad puede ser muy, muy bueno en términos de obtener acceso para continuar con los sistemas.

39:16 Raghu Nandakumara

Entonces, ¿casi como un, el equivalente a como un WAF?

39:18 Carlos Buenano

Correcto, correcto.

39:20 Raghu Nandakumara

Entonces, al igual que a medida que avanzamos, hablamos un poco sobre una especie de adopción de estrategias de confianza cero en una serie de industrias. Y vemos como los diferentes enfoques por los que, en diversas regiones, este paso adelante se está dando, obviamente tienes la dirección de, en el caso de Estados Unidos, tienes esa dirección para ir y adoptar una estrategia de Confianza Cero. Mientras que digamos que la UE estamos adoptando un enfoque mucho más basado en el cumplimiento. ¿Cuál es su opinión sobre los pros y los contras de esos enfoques y qué necesitamos para acelerar esto?

39:52 Carlos Buenano

Sí, entonces, todo depende básicamente de los gobiernos y los países y de las regulaciones con las que se sientan cómodos. Bien, Entonces, en realidad se puede ver en algunos países, como dijiste que tenemos mejores recursos estamos entendiendo, de los requerimientos. Y vemos, por ejemplo, que Estados Unidos adoptando Zero Trust, han sido más como usted dijo, y luego Europa cumple un poco más. Pero la realidad es que cuanto más podamos hacer para asegurar los sistemas, mejor. El cumplimiento de normas en mi opinión, el marco de cumplimiento de normas es una excelente manera de comenzar para aquellos porque cuando observa los marcos, algunos de los marcos están diseñados para llevarlo de la mano para comenzar a implementar procesos para comenzar a asegurar sus sistemas. Bien. Entonces, y eso es genial, ese es un gran comienzo. Pero en realidad necesitas ser un poco más minucioso cuando se trata de controlar entonces. Y voy a decir que realmente podemos separar uno de otro, bien, porque algunos de estos frameworks, el requisito es autenticación, pero cero trans va por encima y más allá de eso. Entonces, hay mucho más que la autenticación. Autenticación y validación, pero Zero Trust va más allá de lo que básicamente está accediendo realmente quién está accediendo, no solo desde la perspectiva del usuario sino desde la perspectiva del dispositivo. Y eso es básicamente un paso adelante. Y requiere más madurez. Pero en mi opinión, ambos están obligados a tener mejores posibilidades de estar protegidos. Pero desde un punto de vista operativo, para ser honesto, me gusta el hecho de que se puede tener administración de procesos de cambio que en realidad pueden vincularse a Zero Trust para básicamente monitorear y validar los cambios que se están haciendo en la red, o los dispositivos o el proceso, para tener más control para ser más minucioso. Y cuando se trata de productividad y proceso e integridad.

41:55 Raghu Nandakumara

Esa es una toma realmente interesante. Nunca he escuchado a nadie decir eso sobre aplicar Zero Trust al proceso en sí mismo y usarlo como un controlador para impulsar mejores prácticas. Derecha. Entonces, es casi que no necesariamente estás impulsando una nueva tecnología, adopción, etc. Pero solo estás diciendo: “No voy a permitir que las cosas se incorren como parte del proceso de cambio en esta etapa”.

42:17 Carlos Buenano

Corregir. Corregir. Y ese es el patrón que más me gusta.

42:21 Raghu Nandakumara

Entonces, a medida que nos acercamos a la clausura, si usted es capaz de proporcionar esta perspectiva, ¿cómo cree que el espacio crítico de infraestructura nacional actual está orientado para sobrevivir a un ciberataque a gran escala? ¿Cuál es su confianza en eso?

42:38 Carlos Buenano

Entonces, también es una pregunta muy difícil. Pero mira, ellos tienen los recursos tienen los marcos, tienen las buenas ideas, bien para básicamente proteger los sistemas. Pero la realidad es que, cuando se trata de contar con personas recursos que necesitan implementar a estas personas que necesitan responder desde un incidente específico aún se estaba desarrollando eso, todavía son etapas tempranas para que estén en una gran posición para sobrevivir, supongo, no sé si esa es una buena palabra, pero para poder responder y remediar, y a incidentes a gran escala. De hecho se puede ver que hay mucho trabajo en el lugar. Eso es un montón de procedimientos reales, hay muchos mecanismos y marcos. Pero si hay una escala grande vas a ser muy, muy difícil. Solo por dar un ejemplo de Log4j, todos trabajamos hacia eso como comunidad. Pero estábamos, en cierto modo, muy aislados el uno del otro. De hecho, cada uno estaba haciendo lo suyo y tratando de sobrevivir en lo independiente. Y algunas organizaciones estaban más preparadas, pero aún tienen mucho trabajo por hacer. Y algunos de ellos todavía tratan de recuperarse. Entonces, es solo un ejemplo de ¿tenemos lo que necesitamos? Sí, pero ¿podemos realmente implementar lo que dijimos que necesitamos hacer? No creo que estemos listos todavía.

44:09 Raghu Nandakumara

Me gusta la forma en que lo planteaste porque creo que lo eres, estás presentando un cuadro de vidrio medio lleno. Es optimista de que tenemos casi como las herramientas en su lugar y que ahora necesitamos impulsar la adopción, y habló de trabajar realmente como comunidad en lugar de aisladamente, lo cual es, creo, Entonces, importante para una mejor seguridad. Entonces, mirando hacia el futuro, Carlos, ¿verdad? Si no hablamos de IA en ninguna conversación, entonces, como, nadie, nadie lo hará el SEO, el SEO se va a destrozar, ¿verdad? Entonces, ¿cómo ve la relevancia de la IA en el espacio OT, no solo desde una perspectiva de ciberseguridad, sino en términos de qué, como sus beneficios hacia las operaciones, y luego, por supuesto, correcto, su uso para asegurar eso?

44:56 Carlos Buenano

Entonces, mira, la IA es una herramienta muy, muy poderosa, ¿verdad? Entonces, y ya sabes, mientras tengas los datos puedes realmente aprovechar los resultados que te dieron la automatización del reporting. Entonces, hay muchos beneficios cuando se trata de IA, básicamente lo usamos en nuestro sistema de producción para correlacionar información para crear informes para estar más en sintonía de eficiencia, y crear el básicamente administrar los datos de tal manera que no haya otros resultados mientras sea positivo. Pero desafortunadamente, esa es siempre la otra cara de la moneda, ¿verdad? Entonces, en realidad se necesita usar para un buen uso, se necesita usar para beneficiar ya empezamos a ver IA, en el entorno OT, específicamente, usar para aprovechar las vulnerabilidades para aprovechar, y esto es que en realidad ya hemos visto algunos ataques, ciberataques, y el uso de IA, y explotando, desafortunadamente, vulnerabilidades de estos sistemas heredados, ni siquiera tienen que iniciar sesión en las máquinas que usan IA para entender cómo explotar básicamente eso vulnerabilidad. Pero al mismo tiempo, entonces en realidad podemos usar algunas de las herramientas que usan IA para luchar contra eso. Entonces, supongo que mi posición es genial, Entonces, siempre que lo usemos bien en la forma de diseño, si como todo, ¿verdad? Es como, sí, podemos usarlo para mejorar la producción. Podemos usarlo para mejorar la seguridad. Pero al mismo tiempo, hay que tener mucho cuidado porque si no se implementa adecuadamente, y en realidad se pone en las manos equivocadas, básicamente puede funcionar en nuestra contra.

46:56 Raghu Nandakumara

Sí, absolutamente. Derecha. Y creo que tocaste eso en la IA, en manos de un atacante, les da la capacidad de tener una visibilidad y un análisis mucho más detallados que de alguna manera, tendrían que pasar muchos ciclos en hacer hoy. Entonces, creo que si pienso en esto desde una perspectiva de Cero Confianza, es entonces ¿cómo nos aseguramos de que su visión en el entorno sea lo más limitada posible Entonces, que puedan buscar la menor cantidad de información posible para impulsar ese análisis?

47:25 Carlos Buenano

Segmentamos básicamente, segmentando todas las posibilidades desde un punto de vista de autenticación, y tienen que ser autenticadas Entonces, las vulnerabilidades no pueden ser explotadas porque necesitas entrar. Desde un punto de vista crítico para el negocio, no puede llegar al lugar que necesita para afectar realmente la producción porque tiene métodos de confianza cero para evitar esta propagación. Bien, entonces tienes ese segmento de red. Y es como, vaya, llegas ahí. Pero puedes seguir adelante. Si llegas ahí. Es decir, sí,

48:01 Raghu Nandakumara

Absolutamente. Entonces, terminemos con algo divertido. Carlos, ¿cuál es tu analogía favorita de Zero Trust? Entonces, si Carlos estuviera describiendo Zero Trust a un niño de cinco años, ¿cómo lo describiría?

48:12 Carlos Buenano

Es como la parte de seguridad, ¿verdad? Entonces, puedes diseñar, y voy a cambiar mi analogía por un minuto Entonces, puedes diseñar una casa. Y así es en realidad como explico la seguridad a mis hijos: se puede diseñar una casa, y la casa tiene ventanas y puertas. ¿Está seguro? Y ellos dicen: “Sí”, bien, ¿y si rompo la ventana? Ah. ¿Qué pasa si escojo la cerradura? Entonces, ¿qué más puedes hacer? Bien, bien, puedes tirar de rejas y de tus ventanas. Bien, ¿y si puedo traer una amoladora angular final y luego inclinar alrededor del dispositivo y romper la ventana? Bueno, en realidad se puede poner una puerta enrollable, en realidad así es como veo Zero Trust. Ya sabes, es un conjunto completo de metodologías para asegurar que tu casa esté segura por segmentada para mantener los procesos de seguridad, ¿verdad? Entonces, en realidad tienes que definir, y de nuevo, arriesgar, evaluar y luego entender cómo asegurar y poner los controles en su lugar. Y uno de esos controles son las cámaras de video, por ejemplo para entender quién está accediendo. Y luego el otro control es solo tener un sistema de autenticación muy seguro que te permita entrar a la casa, y ellos una vez que estés en la casa y tengas las cámaras para que realmente te vean lo que estás haciendo. Pero luego te metes en una habitación, y luego solo tienes acceso a esa habitación. Esa es tu habitación; te sientas, te acuestas y duermes ahí dentro. Pero tratas de ir a la habitación de tu hermano, y no puedes porque no estás permitido. Ya sabes, eso es realmente divertido.

49:51 Raghu Nandakumara

Me encanta. Se siente como que en realidad tienes conversaciones de Zero Trust con tus hijos, lo cual me gusta mucho. Entonces, Carlos, ha sido un placer hablar con usted hoy. Gracias por una visión general tan esclarecedora de la seguridad en el entorno OT, los desafíos del futuro, la relevancia de Zero Trust, ha sido una apertura para mí que en realidad no tiene comprensión de ese entorno. Entonces, realmente aprecio eso. Y para los oyentes, si aún no han tenido la oportunidad, Armis publicó recientemente un fantástico informe de investigación sobre la anatomía de la ciberseguridad, una disección del panorama del ataque. Los animo a todos a que vayan y comprueban eso. Carlos, muchas gracias.

50:32 Carlos Buenano

Muchas gracias por tenerme. Fue divertido.

50:35 Raghu Nandakumara

Gracias por sintonizar el episodio de esta semana de The Segment. Volveremos con nuestro próximo episodio en dos semanas. Mientras tanto, para obtener más recursos de Zero Trust, asegúrese de visitar nuestro sitio web, www.illumio.com, y encuéntrenos en LinkedIn y X usando los enlaces en nuestras notas de programa. Eso es todo por hoy. Soy tu anfitrión Raghu Nandakumara, y pronto volveremos con más.

‍