Protege el núcleo de tu negocio: segmenta tu red

Continuamos con nuestras tertulias sobre Industria 4.0. Tras analizar cómo auditar los dispositivos IP conectados en una planta de producción y verificar su estado de seguridad, en la segunda jornada hemos compartido consejos y buenas prácticas acerca de la segmentación y ordenación lógica de la red.

Solicita una propuesta de IoT a medida

Los incidentes en plantas de producción industrial ya no son ninguna anécdota. A mayor cantidad de dispositivos conectados, mayor es el riesgo al que se expone tu pyme. La monitorización permite una visualización de amenazas que para muchas empresas era desconocida por la sensación de falsa seguridad que transmiten los sistemas industriales.

¿Cómo puedes mitigar los riesgos a los que se expone tu fábrica? En primer lugar mediante la restauración de copias de seguridad. Sin esta fase de recuperación el posible incidente puede complicarse hasta el punto de comprometer la continuidad del negocio.

Otra manera de mitigar estos riesgos es mediante un plan de contención para el que es vital ordenar la red y proteger las comunicaciones. Es fundamental realizar esta labor por varios motivos:

• Conseguir una segmentación dinámica.
• Evitar que una amenaza IP se expanda por todas las redes de una misma compañía.
• Evitar accesos no controlados.
• Mejorar la gestión de la red.
• Facilitar el análisis del tráfico de datos.

Para segmentar y ordenar la red, en Sarenet seguimos normativas como la IEC62443. No con todas las pymes industriales es posible llegar a todo lo que marca la norma pero sí es posible acercarse.

A mayor número de delegaciones, mayor es el número de riesgos a los que se enfrenta tu negocio: es crucial adecuar la conexión de la fábrica y separar los dispositivos en islas que no hablen entre sí, sino con un dispositivos central. Además, es necesario instalar equipos de salto en el segmento DMZ («zona desmilitarizada») entre la red IT y la red OT, así como instalar y configurar cortafuegos que ayuden a separar la lógica de la red.

Acceso seguro a dispositivos de campo

Si bien cada vez es más habitual hacerlo de forma remota o desde la propia red de campo, el acceso a los dispositivos de campo se sigue realizando de forma local. En este proceso es muy importante la concienciación interna de la plantilla, ya que en muchos casos el acceso se realiza mediante un panel de control o pantalla integrada en el propio dispositivo.

En este proceso en primer lugar hay que identificar los elementos involucrados. Por ejemplo:

• Red de campo.
• Operador que realiza el acceso físico.
• Dispositivos de la misma red para el acceso local.

Cuando el acceso a los dispositivos se realiza de forma remota, intervienen además los siguientes elementos:

• Usuario de la red corporativa (por ejemplo, la dirección de Ingeniería que desde su oficina quiere consultar el estado de la producción).
• Equipo de la red corporativa desde el que se realiza el acceso.
• Routers y switches distribuidos a lo largo de toda la red.

La falta de mecanismos de autenticación puede acarrear problemas serios. Así, sería deseable contar con un registro centralizado de logs que documente todos los accesos.

La separación de los equipos en la red debe realizarse según parámetros de conectividad, criticidad, funcionalidad… Equipos con una criticidad más baja no deberían tener acceso a equipos con una criticidad más alta.

Solicita asesoramiento en la digitalización de tu pyme industrial

Riesgos propios de los accesos remotos

Los accesos remotos a la red industrial son cada vez más comunes por parte de operadores y fabricantes que aplican actualizaciones en dispositivos de campo. Es muy importante vigilar estas conexiones porque entran en el núcleo del negocio: las máquinas que fabrican.

Cuando una empresa aprueba una petición de actuación remota, el usuario accede a través de un cortafuegos perimetral a la red corporativa y de esta manera se garantiza la legitimidad de accesos mediante una comunicación protegida. Una vez que está dentro de la red corporativa, el resto de accesos se realiza mediante el equipo de salto.

A la segmentación de la red le debe acompañar:

• Establecer mecanismos de autenticación robustos.
• Implementar una correcta gestión de usuarios y permisos.
• Establecer una política de contraseñas seguras.

Permitir una conexión directa entre la red corporativa y la red industrial, así como entre las máquinas e Internet, se salta cualquier buena práctica.

Solicita asesoramiento en soluciones IoT