Antecedentes sobre convergencia entre IT y OT
Tradicionalmente, aquellas tecnologías centradas en la información (en adelante IT, Information Technologies) y aquellas centradas en la operación (OT, Operational Tecnologies) se han mantenido aisladas entre sí, estando sus equipos centrados en tareas, objetivos distintos e incluso perfiles laborales diferentes, y manteniendo poca o nula comunicación y coordinación, acentuándose esta brecha según se baja por la estructura organizativa de la empresa.
Sin embargo, los nuevos procesos y técnicas de análisis permiten (gracias a la gran cantidad de datos generados en los sistemas productivos) obtener resultados nuevos y generar información detallada sobre qué y cómo ocurre el proceso de producción y poder realizar correcciones, optimizaciones, generar informes de valor para las capas de negocio y, en general, abrir un abanico de herramientas que permitan tomar mejores decisiones desde el negocio.
También, merece especial atención la progresiva adopción de tecnologías de red típicas del mundo IT en la cadena productiva, lo que supone una oportunidad para el intercambio de “knowhow” por parte de los técnicos de red y comunicaciones.
Realizando una transformación cuidadosa, los beneficios derivados de una correcta convergencia o integración entre los sistemas y equipos de ambos mundos son cada vez más conocidos y deseados en el entorno corporativo, lo que conduce a que cada vez más empresas se lancen a integrar y “conectar” ambas partes de su operativa.
¿Qué es diferente entre IT y OT?
La principal diferencia radica en la especialización y foco de ambos mundos:
- IT trata con información desde una perspectiva basada particularmente en el dato,
- mientras que OT se centra (tradicionalmente) en la máquina y su resultado en el mundo físico, y se preocupa de la obtención del dato para operar y controlar los procesos productivos.
Esta diferencia (y todas las derivadas, como la construcción y requisitos de máquinas o la formación recibida por los profesionales involucrados) hacen que los objetivos de los empleados IT y OT sean muy diferentes, y la idiosincrasia existente en ambos equipos es radicalmente distinta.
Es por esto que, aunque son sistemas y departamentos de naturaleza y misión diferentes, la integración y convergencia de ambos grupos es un problema de interés general para la industria.
Convergencia entre IT y OT en los niveles de la organización
Más aún, es importante destacar que la convergencia se debe producir en diferentes niveles dentro de la organización, ya que converger sólo a nivel organizativo o de sistemas obviando el resto del contexto va a producir un peor resultado que manteniendo ambos equipos separados:
- Convergencia de procesos. La correcta convergencia debe incluir la integración de los flujos de trabajo y ambos departamentos deben adaptarse mutuamente y asegurar que la información relevante es correctamente compartida. Se debe producir una convergencia organizacional.
- Convergencia del software e información. Se debe disponer y gestionar el software y la información y adaptarlos a las nuevas necesidades derivadas de los nuevos flujos de trabajo y organización propuesta de forma que pueda satisfacer las necesidades de ambos equipos.
- Convergencia física. Incluye los equipos y dispositivos que se deben integrar o reforzar con nuevo hardware que permita la adición de los mundos IT y OT. Se debe actualizar y mantener dicha infraestructura física y puede involucrar la adquisición de nuevos equipos OT para poderse acomodar al nuevo contexto y necesidades.
Pero, como en todo proceso de cambio, existen numerosos factores que amenazan un correcto proceso de convergencia y resultado final.
- Armario Rack. Tecnología de la información (IT)
- Armario PLCs. Tecnología Operacional (OT)
Amenazas de la convergencia IT y OT:
- Falta de colaboración: Tradicionalmente, ambos equipos han trabajado de manera aislada y con colaboraciones muy puntuales, por lo que, para evitar problemas derivados del trabajo en silos informativos, se debe potenciar la colaboración y comunicación para establecer objetivos comunes, restricciones, consideraciones de impacto y, en general, toda aquella información que facilite la correcta gestión de la seguridad.
- Sistemas antiguos: En el mundo OT, la vida útil de los equipos y maquinaria empleados puede alargarse mucho más que los equipos IT. Esto desemboca en la presencia de equipos obsoletos y fuera de soporte y corrección de vulnerabilidades, además de tener una menor cantidad de elementos de seguridad. La existencia de estos equipos y cómo se gestionan en el proceso de convergencia es algo que merece especial atención y, probablemente, la renovación o adquisición de elementos adicionales bien sea para proteger los activos existentes o para reemplazarlos por activos más nuevos.
- Falta de visibilidad. Se debe garantizar que los administradores de los sistemas poseen la visibilidad y conocimiento necesarios de los activos y elementos existentes. Es común que desde IT no se disponga de información certera sobre la arquitectura, inventarios o procesos de OT, lo que dificulta o imposibilita la gestión de la seguridad de los mismos.
- Requisitos críticos en cuanto a disponibilidad. Muchos sistemas OT están destinados a la producción y otra serie de procesos cuya detención e indisponibilidad causan impactos económicos muy relevantes, pudiendo llegar incluso a producirse impactos sobre la salud de personas. Es por esto que muchas veces se pospone u obvia la necesidad de actualización de sistemas (tanto a nivel de HW como de SW) para evitar incurrir en estas paradas de sistemas.
Esta serie de dificultades (y muchas más que surgen y que por motivos de espacio no se incluyen) hace que realizar una convergencia IT/OT de calidad, que aporte valor para el negocio y las operaciones, pueda fracasar tarde o temprano (entendiéndose fracasar como la incapacidad de alcanzar los objetivos de dicha transformación).
Una buena planificación mitiga las amenazas en la convergencia entre IT y OT
Para evitarlo, se debe tener una planificación detallada, aprovechando aquellas fortalezas presentes en el contexto particular de la empresa y mediante acciones destinadas a mitigar las amenazas a la correcta convergencia, como, por ejemplo:
- Formalización de la comunicación y sus objetivos, asegurando que ambas partes (IT/OT) conocen dichos objetivos y los medios para conseguir el intercambio informativo exitoso.
- Destacar sinergias y solapamientos. Es necesario detectar las posibles sinergias entre departamentos, así como aquellas tareas o elementos que se solapan para ambos equipos, así como asegurar todas las personas relevantes las conozcan y puedan aprovecharlas o mitigarlas.
- Definición de roles y responsabilidades. Durante la convergencia se deben redefinir tanto los roles como las responsabilidades asociadas a dichos roles para reflejar la nueva realidad de la empresa e informar a todos los involucrados para que puedan trabajar y colaborar de la mejor manera posible.
- Formación y concienciación. Además de las formaciones propias de cada puesto, es positivo el fomento de formaciones cruzadas que permiten que los empleados de IT y OT conozcan mejor las características y necesidades del trabajo realizado por el otro departamento/equipo y se fomente la integración de ambos mundos. Además, la falta de perfiles expertos en ciberseguridad de equipos OT hace que sea necesaria una inversión y selección de perfiles atendiendo a esta necesidad generalizada en el sector.
- Tecnología. El uso de la tecnología adecuada, partiendo de la colaboración de ambos OT e IT, ayuda a mantener una correcta visibilidad y control sobre los activos, su seguridad, gestión, configuración, etc.
Pero… ¿esto es seguro?
Cada día se hace más evidente que la seguridad es un elemento imprescindible a tener en cuenta en todos los aspectos, y no es de extrañar que los cambios que se deben realizar para una correcta integración y convergencia entre los departamentos de IT y OT impliquen dudas sobre la seguridad y riesgos adicionales.
Objetivos de seguridad de la convergencia IT / OT
Conseguir abordar toda la transformación mitigando y reduciendo las amenazas y haciendo uso de aquellas fortalezas detectadas en el entorno particular de la organización, aumenta las probabilidades de éxito y la consecución de los objetivos de negocio y seguridad, los cuales merecen especial énfasis dado el panorama actual de crecimiento de ciberataques e incidentes.
- Aumentar la resiliencia de la compañía ante posibles ataques y fallos de funcionamiento.
- Evaluar los riesgos de seguridad de todos los sistemas de la empresa.
- Cumplir la normativa.
- Ser capaz de reaccionar en situaciones de crisis.
- Reducir la superficie de exposición de los sistemas a ciberataques.
Estos objetivos, sin intención de ser exhaustivos, van a implicar el enfrentamiento a una serie de retos durante todo el proyecto de unificación.
Retos de seguridad, beneficios y conclusiones
Enumeramos algunos de los retos a nivel organizativo y de seguridad:
- Abordar la recopilación y el tratamiento fluido y seguro de los datos, con énfasis en su criticidad.
- La falta de concienciación y educación (derivada de las diferencias del mundo IT y el mundo OT) sobre las amenazas y su posible evolución dificulta los planes de acción y su eficacia
- El reparto de responsabilidades entre el nivel global y el local dificultan la escalabilidad, y por lo tanto, el éxito de los proyectos.
- La necesidad de integrar los conocimientos y la experiencia en culturas muy diferentes dificulta la colaboración interna (destrucción de silos de información).
- Hallar las competencias adecuadas y determinar los perfiles necesarios.
- Gestión del ciclo de vida y obsolescencia (en especial, en el ámbito OT).
- Gestión de la heterogeneidad de los sistemas.
- Identificación y clasificación de nuevos orígenes de información.
- Tecnología propietaria de fabricantes con funcionamiento y arquitectura desconocidas.
- Crecimiento descontrolado de dispositivos IoT
- Integración de diseño seguro en los ciclos de desarrollo de proyectos
Como se observa, hay bastantes desafíos a abordar durante todo el proceso de transición, pero los beneficios derivados de la acometida de la unificación y convergencia hacen que merezca la pena llevarla a cabo.
- Garantiza la seguridad y ciberseguridad en toda la organización
- Aumenta la concienciación y sensibilización de los empleados ante las ciberamenazas
- Garantiza la calidad del producto
- Reduce los costes de operación y mantiene un flujo de producción adecuado
- Facilita el mantenimiento predictivo para mejorar la disponibilidad de la maquinaria y equipos
- Desarrollo de nuevos servicios e información dentro de la empresa
- Mejora los datos y permite realizar correlaciones y análisis más profundos utilizando técnicas avanzadas
Para una convergencia exitosa, es necesario reconocer aquellos riesgos y oportunidades presentes en cada contexto y tenerlos en cuenta a la hora de plantear la estrategia de convergencia.
Como conclusión, la convergencia entre los reinos IT y OT es una realidad que, si bien actualmente es una necesidad para aquellas empresas ya maduras en aspectos tecnológicos, implica una serie de retos principalmente derivados de las diferencias inherentes y las formas de entender la tecnología entre los profesionales IT y OT que deben ser abordados con cuidado para asegurar el éxito del proyecto.
Convergencia entre IT y OT