Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Diferencias entre TI y TO

Fecha de publicación 13/07/2015
Autor
INCIBE (INCIBE)

Los mundos de TI (Tecnologías de la Información) y TO (Tecnologías de la Operación) han sido tradicionalmente independientes, pero este hecho no debería ser así ya que hoy en día las necesidades de ambos entornos están cada vez más cerca. Las necesidades y problemas que presentan se hacen más comunes entre ellos, y la experiencia que posee cada uno debería extenderse al otro.

imagen TI vs TO

- Sistemas TI Corporativos vs. Sistemas de Control Industrial -

A continuación se enumeran gran parte de esas diferencias para poder entender a una mayor profundidad los problemas que separan a ambos:

Tecnología

Una de las principales diferencias es la tecnología predominante en cada entorno. Mientras que en el entorno industrial hablamos de sensores, controladores, actuadores, etc.; en el corporativo hablamos de bases de datos, gestor documental, etc. Por ello, el conocimiento tecnológico que poseen los perfiles de cada entorno es totalmente diferente y supone un gran distanciamiento entre ellos.

Del mismo modo, no son comparables las necesidades que tienen unos con respecto a los otros, en el sector TI nos encontramos con un entorno de oficina donde el número de activos es similar al número de personas; sin embargo, si hablamos del entorno TO, contamos con multitud de dispositivos repartidos por un espacio amplio en la mayoría de las ocasiones y bastantes menos personas en proporción. Además, el entorno TO posee unas condiciones de funcionamiento bastante duras (temperatura, humedad,…), no comparables a las que podríamos encontrarnos en unas oficinas de TI.

Asociada a la tecnología también encontramos la jerga utilizada. Dentro de los sistemas de control Industrial existe un lenguaje enriquecido por la variedad de dispositivos y procesos que se ejecutan; detectándose incluso diferencias entre trabajadores de diferentes sectores, ya que pueden manejar tecnologías distintas dentro de sus respectivos ámbitos. Por el contrario, en TI encontramos una cara más amable, pero no por ello menos importante, con conocimientos generales y, aunque a veces sean algo concretos, gran parte de los profesionales que trabajan en este sector o incluso de sectores diferentes podrían entenderlos.

 Enfoque de seguridad

 Siendo TO un entorno de trabajo donde prima el trabajo con máquinas y dispositivos, la importancia de la seguridad, desde el punto de vista de seguridad física y del proceso (safety), es clave. Cuando nos referimos a safety, estamos hablando de la protección del medio ambiente, personas e infraestructuras ante posibles fallos en el proceso. En sistemas TI, al no poner vidas en riesgo, hablamos de una seguridad desde el punto de vista lógico (security), es decir, proteger la información con respecto a cualquier tipo de riesgo que pueda acecharla, ya sean personas, desastres naturales, deterioro, etc.

Ambos tipos de seguridad buscan proteger la Confidencialidad, Integridad y Disponibilidad de la información de los sistemas en sus entornos. Pero ambos entornos entienden la seguridad desde puntos diferentes, y también persiguen sus objetivos de seguridad de forma diferente.

Mientras que en los entornos TI la confidencialidad de la información es el aspecto más importante a proteger, en los entornos TO la disponibilidad es el aspecto con mayor importancia, ya que las empresas pueden perder mucho dinero por culpa de una parada de servicio en sus sistemas o plantas.

prioridad sistemas control

- Comparación de objetivos -

 SO, software y protocolos

 En los sistemas de control industrial abundan los equipos de propósito específico con sistemas operativos propietarios, a diferencia del mundo de TI donde abundan sistemas operativos estándar, en su mayoría Windows, y mucho software comercial instalado en cada ordenador para cubrir las necesidades de los trabajadores.

En las comunicaciones también existen grandes diferencias, siendo los protocolos industriales propietarios y, en los últimos años, algunos TCP/IP los predominantes en sistemas de control industrial; mientras que en TI, por las principales labores que se realizan en una oficina, nos encontramos con protocolos asociados a la navegación web, es decir, HTTP/HTTPS sobre TCP/IP.

 Normativa

 Otro punto que muestra una gran diferencia entre ambos entornos es la normativa. En el caso del mundo TO, las normativas suelen ser específicas de cada sector industrial, siendo muy pocas las de carácter generalista; sin embargo, en TI es habitual que las regulaciones sean cruzadas y que no apliquen sobre un solo sector sino que puedan ser utilizadas independiente del ámbito relacionado con la empresa.

Por ejemplo, dentro del sector TO no es lo mismo hablar de la normativa que aplica a una central nuclear, siendo esta bastante específica de ese sector y que depende de las características asociadas a la central y a la región donde se ubica; que la normativa o la regulación que aplica a una planta embotelladora.

En el sector TI, la regulación aplicada a una empresa dedicada a la banca aplica de igual manera a otra orientada la comercialización de luz, salvando las distancias de que la actividad realizada no es la misma.

En los organismos reguladores de cada entorno también hay diferencias, si para el entorno TI casi siempre se habla de organismos internacionales, para el entorno TO suelen existir reguladores por sectores independientes unos de otros.

Por ejemplo, un sistema SCADA que controla la distribución de gas en EE.UU. está regulado por la AGA (American Gas Association) mientras que el SCADA de distribución eléctrica está regulado por NERC (North American Electric Reliability Corporation) pese a que los equipamientos y el concepto de SCADA sean similares en ambos casos.

 Para llegar a la meta de un trabajo más coordinado entre todos en pro de una seguridad más global (tanto a nivel de safety como de security) queda mucho camino por recorrer, y todos tenemos que remar en el mismo sentido. Por ello, la concienciación en ciberseguridad industrial y la compartición de experiencias e información entre el mundo TI y el mundo TO es de gran importancia y un buen punto de inicio para avanzar en este campo.