Antecedentes sobre convergencia entre IT y OT

Contenidos sobre Ciberseguridad ocultar

1 Antecedentes sobre convergencia entre IT y OT

2 ¿Qué es diferente entre IT y OT?

2.1 Convergencia entre IT y OT en los niveles de la organización

3 Amenazas de la convergencia IT y OT:

3.1 Una buena planificación mitiga las amenazas en la convergencia entre IT y OT

4 Objetivos de seguridad de la convergencia IT / OT

5 Retos de seguridad, beneficios y conclusiones

Tradicionalmente, aquellas tecnologías centradas en la información (en adelante IT, Information Technologies) y aquellas centradas en la operación (OT, Operational Tecnologies) se han mantenido aisladas entre sí, estando sus equipos centrados en tareas, objetivos distintos e incluso perfiles laborales diferentes, y manteniendo poca o nula comunicación y coordinación, acentuándose esta brecha según se baja por la estructura organizativa de la empresa.

Sin embargo, los nuevos procesos y técnicas de análisis permiten (gracias a la gran cantidad de datos generados en los sistemas productivos) obtener resultados nuevos y generar información detallada sobre qué y cómo ocurre el proceso de producción y poder realizar correcciones, optimizaciones, generar informes de valor para las capas de negocio y, en general, abrir un abanico de herramientas que permitan tomar mejores decisiones desde el negocio.

También, merece especial atención la progresiva adopción de tecnologías de red típicas del mundo IT en la cadena productiva, lo que supone una oportunidad para el intercambio de “knowhow” por parte de los técnicos de red y comunicaciones.

Realizando una transformación cuidadosa, los beneficios derivados de una correcta convergencia o integración entre los sistemas y equipos de ambos mundos son cada vez más conocidos y deseados en el entorno corporativo, lo que conduce a que cada vez más empresas se lancen a integrar y “conectar” ambas partes de su operativa.

¿Qué es diferente entre IT y OT?

La principal diferencia radica en la especialización y foco de ambos mundos:

IT trata con información desde una perspectiva basada particularmente en el dato,
mientras que OT se centra (tradicionalmente) en la máquina y su resultado en el mundo físico, y se preocupa de la obtención del dato para operar y controlar los procesos productivos.

Esta diferencia (y todas las derivadas, como la construcción y requisitos de máquinas o la formación recibida por los profesionales involucrados) hacen que los objetivos de los empleados IT y OT sean muy diferentes, y la idiosincrasia existente en ambos equipos es radicalmente distinta.

Es por esto que, aunque son sistemas y departamentos de naturaleza y misión diferentes, la integración y convergencia de ambos grupos es un problema de interés general para la industria.

Convergencia entre IT y OT en los niveles de la organización

Más aún, es importante destacar que la convergencia se debe producir en diferentes niveles dentro de la organización, ya que converger sólo a nivel organizativo o de sistemas obviando el resto del contexto va a producir un peor resultado que manteniendo ambos equipos separados:

Convergencia de procesos. La correcta convergencia debe incluir la integración de los flujos de trabajo y ambos departamentos deben adaptarse mutuamente y asegurar que la información relevante es correctamente compartida. Se debe producir una convergencia organizacional.
Convergencia del software e información. Se debe disponer y gestionar el software y la información y adaptarlos a las nuevas necesidades derivadas de los nuevos flujos de trabajo y organización propuesta de forma que pueda satisfacer las necesidades de ambos equipos.
Convergencia física. Incluye los equipos y dispositivos que se deben integrar o reforzar con nuevo hardware que permita la adición de los mundos IT y OT. Se debe actualizar y mantener dicha infraestructura física y puede involucrar la adquisición de nuevos equipos OT para poderse acomodar al nuevo contexto y necesidades.

Pero, como en todo proceso de cambio, existen numerosos factores que amenazan un correcto proceso de convergencia y resultado final.

: Armario Rack. Tecnología de la información (IT)

: Armario PLCs. Tecnología Operacional (OT)

Amenazas de la convergencia IT y OT:

Falta de colaboración: Tradicionalmente, ambos equipos han trabajado de manera aislada y con colaboraciones muy puntuales, por lo que, para evitar problemas derivados del trabajo en silos informativos, se debe potenciar la colaboración y comunicación para establecer objetivos comunes, restricciones, consideraciones de impacto y, en general, toda aquella información que facilite la correcta gestión de la seguridad.
Sistemas antiguos: En el mundo OT, la vida útil de los equipos y maquinaria empleados puede alargarse mucho más que los equipos IT. Esto desemboca en la presencia de equipos obsoletos y fuera de soporte y corrección de vulnerabilidades, además de tener una menor cantidad de elementos de seguridad. La existencia de estos equipos y cómo se gestionan en el proceso de convergencia es algo que merece especial atención y, probablemente, la renovación o adquisición de elementos adicionales bien sea para proteger los activos existentes o para reemplazarlos por activos más nuevos.
Falta de visibilidad. Se debe garantizar que los administradores de los sistemas poseen la visibilidad y conocimiento necesarios de los activos y elementos existentes. Es común que desde IT no se disponga de información certera sobre la arquitectura, inventarios o procesos de OT, lo que dificulta o imposibilita la gestión de la seguridad de los mismos.
Requisitos críticos en cuanto a disponibilidad. Muchos sistemas OT están destinados a la producción y otra serie de procesos cuya detención e indisponibilidad causan impactos económicos muy relevantes, pudiendo llegar incluso a producirse impactos sobre la salud de personas. Es por esto que muchas veces se pospone u obvia la necesidad de actualización de sistemas (tanto a nivel de HW como de SW) para evitar incurrir en estas paradas de sistemas.

Esta serie de dificultades (y muchas más que surgen y que por motivos de espacio no se incluyen) hace que realizar una convergencia IT/OT de calidad, que aporte valor para el negocio y las operaciones, pueda fracasar tarde o temprano (entendiéndose fracasar como la incapacidad de alcanzar los objetivos de dicha transformación).

Una buena planificación mitiga las amenazas en la convergencia entre IT y OT

Para evitarlo, se debe tener una planificación detallada, aprovechando aquellas fortalezas presentes en el contexto particular de la empresa y mediante acciones destinadas a mitigar las amenazas a la correcta convergencia, como, por ejemplo:

Formalización de la comunicación y sus objetivos, asegurando que ambas partes (IT/OT) conocen dichos objetivos y los medios para conseguir el intercambio informativo exitoso.
Destacar sinergias y solapamientos. Es necesario detectar las posibles sinergias entre departamentos, así como aquellas tareas o elementos que se solapan para ambos equipos, así como asegurar todas las personas relevantes las conozcan y puedan aprovecharlas o mitigarlas.
Definición de roles y responsabilidades. Durante la convergencia se deben redefinir tanto los roles como las responsabilidades asociadas a dichos roles para reflejar la nueva realidad de la empresa e informar a todos los involucrados para que puedan trabajar y colaborar de la mejor manera posible.
Formación y concienciación. Además de las formaciones propias de cada puesto, es positivo el fomento de formaciones cruzadas que permiten que los empleados de IT y OT conozcan mejor las características y necesidades del trabajo realizado por el otro departamento/equipo y se fomente la integración de ambos mundos. Además, la falta de perfiles expertos en ciberseguridad de equipos OT hace que sea necesaria una inversión y selección de perfiles atendiendo a esta necesidad generalizada en el sector.
Tecnología. El uso de la tecnología adecuada, partiendo de la colaboración de ambos OT e IT, ayuda a mantener una correcta visibilidad y control sobre los activos, su seguridad, gestión, configuración, etc.

Pero… ¿esto es seguro?

Cada día se hace más evidente que la seguridad es un elemento imprescindible a tener en cuenta en todos los aspectos, y no es de extrañar que los cambios que se deben realizar para una correcta integración y convergencia entre los departamentos de IT y OT impliquen dudas sobre la seguridad y riesgos adicionales.

Objetivos de seguridad de la convergencia IT / OT

Conseguir abordar toda la transformación mitigando y reduciendo las amenazas y haciendo uso de aquellas fortalezas detectadas en el entorno particular de la organización, aumenta las probabilidades de éxito y la consecución de los objetivos de negocio y seguridad, los cuales merecen especial énfasis dado el panorama actual de crecimiento de ciberataques e incidentes.

Aumentar la resiliencia de la compañía ante posibles ataques y fallos de funcionamiento.
Evaluar los riesgos de seguridad de todos los sistemas de la empresa.
Cumplir la normativa.
Ser capaz de reaccionar en situaciones de crisis.
Reducir la superficie de exposición de los sistemas a ciberataques.

Estos objetivos, sin intención de ser exhaustivos, van a implicar el enfrentamiento a una serie de retos durante todo el proyecto de unificación.

Retos de seguridad, beneficios y conclusiones

Enumeramos algunos de los retos a nivel organizativo y de seguridad:

Abordar la recopilación y el tratamiento fluido y seguro de los datos, con énfasis en su criticidad.
La falta de concienciación y educación (derivada de las diferencias del mundo IT y el mundo OT) sobre las amenazas y su posible evolución dificulta los planes de acción y su eficacia
El reparto de responsabilidades entre el nivel global y el local dificultan la escalabilidad, y por lo tanto, el éxito de los proyectos.
La necesidad de integrar los conocimientos y la experiencia en culturas muy diferentes dificulta la colaboración interna (destrucción de silos de información).
Hallar las competencias adecuadas y determinar los perfiles necesarios.
Gestión del ciclo de vida y obsolescencia (en especial, en el ámbito OT).
Gestión de la heterogeneidad de los sistemas.
Identificación y clasificación de nuevos orígenes de información.
Tecnología propietaria de fabricantes con funcionamiento y arquitectura desconocidas.
Crecimiento descontrolado de dispositivos IoT
Integración de diseño seguro en los ciclos de desarrollo de proyectos

Como se observa, hay bastantes desafíos a abordar durante todo el proceso de transición, pero los beneficios derivados de la acometida de la unificación y convergencia hacen que merezca la pena llevarla a cabo.

Garantiza la seguridad y ciberseguridad en toda la organización
Aumenta la concienciación y sensibilización de los empleados ante las ciberamenazas
Garantiza la calidad del producto
Reduce los costes de operación y mantiene un flujo de producción adecuado
Facilita el mantenimiento predictivo para mejorar la disponibilidad de la maquinaria y equipos
Desarrollo de nuevos servicios e información dentro de la empresa
Mejora los datos y permite realizar correlaciones y análisis más profundos utilizando técnicas avanzadas

Para una convergencia exitosa, es necesario reconocer aquellos riesgos y oportunidades presentes en cada contexto y tenerlos en cuenta a la hora de plantear la estrategia de convergencia.

Como conclusión, la convergencia entre los reinos IT y OT es una realidad que, si bien actualmente es una necesidad para aquellas empresas ya maduras en aspectos tecnológicos, implica una serie de retos principalmente derivados de las diferencias inherentes y las formas de entender la tecnología entre los profesionales IT y OT que deben ser abordados con cuidado para asegurar el éxito del proyecto.

Convergencia entre IT y OT

AUTOR: Chema Pardo

Cybersecurity Consultant en Bidaidea Ciberseguridad.

Cookie	Duración	Propiedad	Descripción
wordpress_logged_in_	Sesión	Wordpress	Después del login, WordPress activa la cookie wordpress_logged_in [hash], que indica cuando te has conectado y quién eres, siendo usado para la interfaz de WordPress.
wordpress_sec_	1 año	Wordpress	Estas cookies nos ayudan a mantenerte conectado a nuestro sitio.
wordpress_test_cookie	Sesión	Wordpress	Esta cookie se usa para que el gestor de contenidos WordPress compruebe si el navegador tiene las cookies activadas.
wfwaf-authcookie-	1 dia	Plugin Wordfence	Esta cookie es establecida por el plugin de seguridad de WordPress «Wordfence». Se utiliza para autenticar la solicitud de inicio de sesión del usuario.
woocommerce_recently_viewed	Sesión	WooCommerce	Para que funcione el widget de “visto recientemente”
woocommerce_cart_hash	Sesión	WooCommerce	Coookie que ayuda a detectar y guardar cambios en el carrito.
woocommerce_items_in_cart	Sesión	WooCommerce	Coookie que ayuda a detectar y guardar cambios en el carrito
wp_woocommerce_session_	2 días	WooCommerce	Añade un código único a cada cliente para poder identificar su carrito en la base de datos
cookielawinfo-checkbox-analytics	11 meses	Plugin GDPR /Webtofee	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Analíticas'.
cookielawinfo-checkbox-necessary	11 meses	Plugin GDPR /Webtofee	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Necesarias'.
cookielawinfo-checkbox-performance	11 meses	Plugin GDPR /Webtofee	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Rendimiento'.
cli_user_preference	Sesión	Plugin GDPR /Webtofee	Esta cookie es guardada por el plugin GDPR Cookie Consent y se utiliza para registrar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.
tk_ai	Sesión	WordPress Jetpack	Almacena un ID anónimo generado aleatoriamente. Esto solo se usa dentro del /wp-admin área del backoffice ( ) y se usa para el seguimiento del uso.
tinv_wishlistkey	1 mes	Worpress Woocomerce	Guadar los productos marcados como favoritos

Cookie	Tipo	Duración	Descripción
_ga	de terceros	2 años	La Web utiliza Google Analytics, un servicio analítico de Web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos (“Google”). La información que genera la cookie acerca de su uso de la Web (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información por cuenta de Bidaidea con el propósito de seguir la pista de su uso de la Web, recopilando informes de actividad y prestando otros servicios relacionados con la actividad y el uso de Internet. Google no asociará su dirección IP con ningún otro dato del que disponga Google.
_gali	de terceros	30 segundos	Cookie instalada por Google Analytics, utilizada para obtener información acerca de la página que un usuario está visitando dentro del sitio web. Tiene una duración determinada por el tiempo que se pasa en una determinada entrada.
_gat	0	1 minuto	La cookie es instalada por Google Universal Analytics para acelerar la tasa de solicitud y limitar la recopilación de datos para webs con gran trafico. Se usa para limitar el porcentaje de solicitudes.
_gid	0	1 día	La Web utiliza Google Analytics, un servicio analítico de Web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos (“Google”). La información que genera la cookie acerca de su uso de la Web (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información por cuenta de Bidaidea con el propósito de seguir la pista de su uso de la Web, recopilando informes de actividad y prestando otros servicios relacionados con la actividad y el uso de Internet. Google no asociará su dirección IP con ningún otro dato del que disponga Google.
audience	0	1 año
demdex	0	5 months	This cookie is set under the domain demdex.net and is used by Adobe Audience Manager to help identify a unique visitor across domains.
KRTBCOOKIE_188	0	5 months	Cookie de seguimiento basada en intereses de Pubmatic

Cookie	Tipo	Duración	Descripción
_cc_aud	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_cc_cc	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_cc_dc	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_cc_id	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_fbp	0	3 meses	Facebook configura esta cookie para enviar publicidad cuando están en Facebook o en una plataforma digital impulsada por publicidad de Facebook después de visitar este sitio web.
_kuid_	0	5 months	The cookie is set by Krux Digital under the domain krxd.net. The cookie stores a unique ID to identify a returning user for the purpose of targeted advertising.
dpm	0	5 months	The cookie is set by demdex.net. This cookie assigns a unique ID to each visiting user that allows third-party advertisers target that users with relevant ads.
fr	1	3 meses	Facebook configura la cookie para mostrar anuncios relevantes a los usuarios y medir y mejorar los anuncios. La cookie también rastrea el comportamiento del usuario en la web en sitios que tienen píxeles de Facebook o complementos sociales de Facebook.
IDE	1	2 años	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario utiliza el sitio web y cualquier otro anuncio antes de visitar el sitio web. Se utiliza para presentar a los usuarios anuncios que son relevantes para ellos de acuerdo con el perfil del usuario.
PUBMDCID	0	3 months	This cookie is set by pubmatic.com. The cookie stores an ID that is used to display ads on the users' browser.
TapAd_DID	0	2 months	The cookie is set by tapad.com. The purpose of the cookie is to track users across devices to enable targeted advertising
TapAd_TS	0	2 months	The cookie is set by Tapad.com. The purpose of the cookie is to track users across devices to enable targeted advertising.
uid	0	2 months	This cookie is used to measure the number and behavior of the visitors to the website anonymously. The data includes the number of visits, average duration of the visit on the website, pages visited, etc. for the purpose of better understanding user preferences for targeted advertisments.
VISITOR_INFO1_LIVE	1	5 meses	Youtube establece esta cookie. Se utiliza para rastrear la información de los videos de YouTube incrustados en un sitio web.