Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Buenas prácticas para la recuperación de sistemas industriales (I)

Fecha de publicación 13/07/2023
Autor
INCIBE (INCIBE)
Buenas prácticas para la recuperación de sistemas industriales (I)

La evolución de los ciberataques en los últimos años ha sido muy significativa, los atacantes ahora están más preparados y se focalizan en objetivos muy concretos y con una gran repercusión sobre las empresas u organizaciones de los entornos industriales. A medida que ha avanzado la tecnología, también lo han hecho los métodos utilizados por los atacantes para obtener acceso no autorizado a información y sistemas sensibles.

Actualmente, existe una tendencia creciente en la sofisticación de los ataques. Por ejemplo, los agresores utilizan programas maliciosos más avanzados, como el ransomware y ataques APT (amenazas persistentes avanzadas) para eludir la detección del ataque y permanecer activos en el sistema de la víctima durante largos periodos de tiempo. Además, los atacantes están utilizando tácticas focalizadas en el trabajador, en vez de en los dispositivos. Entre estas técnicas encontramos una gran cantidad de ataques basados en la ingeniería social, como el phishing, buscando obtener credenciales o permisos de acceso a diferentes equipos.

Los ataques pueden provocar la pérdida o divulgación de datos confidenciales, pérdidas financieras, daños a la reputación de la organización e interrupciones de las operaciones industriales. En algunos casos, las consecuencias pueden ser lo suficientemente graves como para obligar a una empresa a cerrar.

A la luz de estas tendencias, las organizaciones deben ser proactivas en sus esfuerzos de ciberseguridad. Esto significa implantar fuertes medidas de seguridad, como cortafuegos, sistemas de detección de intrusos y cifrado, así como formar a los empleados sobre cómo identificar y evitar ataques comunes como el phishing. Además, las organizaciones deben tener preparado un plan de respuesta a incidentes, en caso de violación de la seguridad, para minimizar los daños y reanudar el funcionamiento normal lo antes posible.

Planes de recuperación

Este procedimiento es el que ha de seguir la empresa, en el caso de que se produzca un incidente grave que afecte a su infraestructura, es decir, se trata de un protocolo en el que se incluyen las acciones a seguir y los recursos necesarios para restaurar los sistemas y los datos de la empresa, para que esta pueda volver a operar con normalidad lo antes posible tras sufrir un desastre, sea este natural, a causa de un error humano o fruto de un ciberataque.

componentes o imagen de un plan de respuesta ilustración

- Componentes o acciones de un plan de respuesta -

Los principales componentes de un plan de respuesta ante desastres suelen incluir:

  • Preparación: aquí se determinan qué herramientas o procedimientos deben realizarse antes de que el incidente sea detectado para minimizar su posible impacto. Puede incluir la monitorización y auditoría de los sistemas de producción, conexiones remotas y servicios publicados.
  • Detección y análisis: abarca todas las medidas que deben tomarse inmediatamente después de que se produzca un ciberataque. Entre ellas se pueden encontrar la detección del alcance del propio incidente, las acciones de respuesta y el personal responsable asociado.
  • Contención, resolución y recuperación: incluye una serie de actuaciones y protocolos a ejecutar para volver a la normalidad tras el incidente, como, por ejemplo, la reparación o sustitución de los dispositivos afectados, instalación de copias de seguridad y reinicio de los programas afectados. Asimismo, se incluyen las acciones a realizar para contener el ataque mientras se instauran las medidas para la recuperación de la normalidad y la resolución del incidente.
  • Mitigación o acciones tras el cierre del incidente: aquí se definen las diferentes propuestas a realizarse para minimizar el impacto de futuros incidentes, reduciendo las vulnerabilidades y mejorando la capacidad de recuperación. Estas pueden ser mejoras en las medidas seguridad, actualizaciones en el software utilizado y mejor calidad de las copias de seguridad entre otras soluciones.
  • Reporte y cierre del incidente: se trata de la definición de los protocolos para la gestión de informes y resultados, ya sean durante o tras el incidente. Aparte de la política para guardado y desechado de la información, sirve para posibles asuntos judiciales, tales como denuncias y reclamaciones por parte del cliente o una futura investigación del propio incidente. Estos reportes también son empleados por la propia empresa para tener un histórico de los pasos realizados pre, durante y postincidente.

Pautas generales de un plan de recuperación

Antes de la creación de cualquier plan de respuesta/recuperación hay que tener en cuenta varios factores clave que permitirán identificar el objetivo, alcance, las premisas iniciales, estrategias predeterminadas y las acciones para la recuperación de los servicios tras un incidente de ciberseguridad. A continuación, se definen los puntos más relevantes a tener en cuenta:

  • Identificar los activos críticos: identificar la criticidad de sistemas y datos del proceso industrial para poder priorizar su protección. Esto permitirá centrar los esfuerzos de respuesta en las áreas más importantes y proteger los datos más sensibles. En el ámbito industrial un inventario de activos es de vital importancia, junto con un análisis de riesgos para la categorización de la criticidad de todos los activos industriales de la organización.
  • Desarrollo de procedimientos de respuesta: en este paso es necesario definir claramente los pasos que deben darse cuando se produce un ciberataque. Esto puede incluir procedimientos para comunicarse con las partes interesadas, acciones para contener el ataque y llevar a cabo investigaciones forenses y, además, planes personalizados dependiendo el activo y su criticidad.
  • Establecer roles y responsabilidades: definir la asignación de roles y responsabilidades específicas de los miembros del equipo u organización relacionados con ciberincidentes.
  • Pruebas y actualizaciones periódicas: crear una planificación de las actualizaciones periódicas, así como sus pruebas, para asegurar la eficacia del plan de respuesta. Esto puede implicar la realización de ejercicios prácticos o ataques simulados para identificar cualquier posible mejora o vulnerabilidad en el plan.
  • Mantener una estrategia de comunicación adecuada: tener una estrategia de comunicación clara durante la respuesta a incidentes es crucial. Debe incluir una lista de las partes interesadas y el tipo de información que deben recibir, así como la forma de comunicarse entre ellas. Si el incidente es crítico, las comunicaciones deberán ser confidenciales.
  • Disponer de un centro de mando de incidentes: establecer un centro de mando de incidentes (ICC) como ubicación central para las actividades de respuesta a incidentes y la toma de decisiones.
  • Formación periódica de concienciación sobre ciberseguridad para los empleados: los empleados han de ser conscientes de los riesgos y deben saber cómo responder a posibles ataques e incidentes de seguridad.
  • Prácticas de respuesta ante incidentes de ciberseguridad: es importante contar con acuerdos y protocolos para la coordinación de respuesta a incidentes con otras organizaciones y agencias gubernamentales en caso de ataques críticos, por lo que se deben realizar pruebas o ensayos simulando posibles incidentes de ciberseguridad.
  • Plan de recuperación en caso de catástrofe: implementación de un plan de recuperación de desastres para garantizar que los sistemas críticos puedan restaurarse rápidamente en caso de un ciberataque.

Conclusiones

Los incidentes de seguridad son situaciones que pueden causar un grave daño a la organización objetivo, y es por lo que los planes de recuperación son uno de los aspectos más relevantes para garantizar una rápida gestión de los incidentes. Además, no solo la utilización del plan es vital, sino que su desarrollo y contenido ha de analizarse y desarrollarse de acuerdo a las características de la organización y de los activos que esta contiene.

Actualmente, en los SCI se suceden los incidentes de ciberseguridad, y es por ello que, a lo largo de este artículo, se ha querido resaltar la necesidad de que todas las organizaciones, ya sean del sector industrial o no, tengan diferentes planes para la recuperación ante incidentes de ciberseguridad.

En nuestro próximo artículo de blog hablaremos de los diferentes tipos de planes y opciones para nuestros puntos de recuperación, así como las métricas y normativas disponibles para mejorar la resiliencia de una organización.