BYOD en entornos industriales

Publicado el 01/09/2015, por INCIBE
BYOD en entornos industriales

El uso del móvil o una tablet  como herramienta de trabajo no es nada extraño hoy en día. Aunque este hecho proporciona gran comodidad y movilidad a los empleados, hay que diferenciar entre las herramientas de trabajo y los dispositivos personales que llevamos al trabajo para poder estar comunicados en todo momento.

El concepto de traer tu propio dispositivo al trabajo lanza bastantes retos a las empresas, que han de evolucionar según la tecnología y las necesidades de sus empleados.

Este artículo trata acerca de las problemáticas que origina el BYOD (Bring Your Own Device, trae tu propio dispositivo) y las posibles soluciones que se pueden aplicar en una organización para evitar dichas problemáticas dentro de los sistemas de control industrial.

Los problemas asociados al uso de dispositivos móviles que surgen de manera habitual en gran parte de las empresas pueden abordarse en tres puntos:

La pérdida de datos en entornos industriales puede originar grandes problemas, desde pérdidas económicas o de imagen hasta paradas de producción por problemas técnicos, siendo estas últimas las más problemáticas sobre todo si no se realizan de forma segura.

Este problema no afectaría sólo y en exclusiva al BYOD, pero, tratándose de entornos industriales, un posible acceso no autorizado dentro de una red crítica se convertiría en un gran problema.

  • Variedad de dispositivos: Tener entornos en los que no exista gran variedad de dispositivos móviles suele implicar menos complejidad, y cuando hablamos de complejidad, en este caso, nos referimos al nivel de exposición al que nos sometemos frente a errores humanos.

    En el caso de los entornos industriales existe un gran número de dispositivos, por lo que la problemática con respecto a la variedad de dispositivos ya existe. Si a los dispositivos necesarios para que la organización realice sus tareas de forma correcta le sumamos el uso de dispositivos móviles personales de cada empleado, entonces estamos aumentando el nivel de exposición sin tener un control del mismo. En el caso de dispositivos pertenecientes a la organización es una práctica habitual disponer de un listado de activos, pero en el caso de los dispositivos pertenecientes a los empleados no.

  • Pérdida de datos: Existen multitud de aplicaciones, compatibles con los diferentes sistemas operativos móviles, que podrían enviar información a terceros. Los dispositivos móviles personales suelen ser los más propensos a ser infectados, ya que en éstos el control de las aplicaciones instaladas depende de cada usuario.
  • Accesos externos: Un dispositivo móvil puede funcionar como punto de acceso. Este hecho permitiría a un atacante la creación de un punto de acceso falso con el que podría acceder a los diferentes servicios disponibles dentro de la red dependiendo de la red en la que se encuentre y de los dispositivos que accedan a dicho punto de acceso falso. Una buena práctica a aplicar en estos casos es el uso de redes segmentadas.

 Como ya se ha comentado antes, esas son gran parte de las amenazas a las que nos enfrentamos, no sólo en sistemas de control industrial sino también en empresas relacionadas con otros ámbitos.

Al igual que existen problemas, tenemos la opción de poder evitarlos con algunas de las pautas que se comentan a continuación:

En los sistemas de control industrial este problema es solucionado sobre todo por los proveedores que proporcionan los dispositivos con el software asociado a las organizaciones.

Tanto en sistemas de control como en entornos TI los datos incluidos en correos pueden contener información sensible para la organización y por ello es necesario protegerla de alguna forma impidiendo que se produzcan fugas de datos o pérdida de información.

El acceso a ciertas zonas dentro de un sistema de control puede estar restringido a la mayor parte de los empleados de la organización por tratarse de una zona crítica, donde se realizan tareas importantes que mantienen el buen funcionamiento del sistema o donde se almacena información relevante. Impidiendo el acceso se controlan las posibles fugas de información.

La utilización de un inventario de activos y el uso de una aplicación específica para cada dispositivo utilizado en los sistemas de control permitiría controlar los dispositivos de la empresa cuando se conectan en la red interna.

En el caso de los entornos industriales, esta tarea resulta bastante compleja por la extensión que puede llegar a poseer la zona de planta, pudiendo tener que cubrir muchos kilómetros dependiendo de las características del sistema.

Esta práctica es muy importante si queremos seguir las pautas que se están comentando ya que si los propios empleados se dan cuenta de la importancia de la ciberseguridad en sus entornos serán más conscientes de lo que implicaría un problema en el sistema.

Como ya comentamos en uno de los puntos anteriores, el control de los dispositivos en sistemas de control industrial es una ardua tarea por tener que manejar en ocasiones áreas muy amplias. Por ello, es necesario disponer de un equipo de profesionales que puedan administrar y controlar todos los dispositivos, o al menos la inmensa mayoría de ellos, dentro de la organización, ya sea en un entorno TI o TO.

  • Soporte para multitud de plataformas: Es importante disponer de soporte técnico para la mayor cantidad de plataformas utilizadas por los empleados necesarias para desarrollar su trabajo. Este apoyo nos podrá garantizar una seguridad y una productividad alta, es decir, conocer las tecnologías más utilizadas por nuestros empleados y permanecer documentados sobre las mismas.
  • Asegurar los servicios de mensajería: Usar una contraseña adicional para acceder a documentos de trabajo en dispositivos móviles o utilizar un cifrado en el dispositivo, de tal forma que los datos de la empresa estén a salvo en caso de robo o de un intento de intrusión al dispositivo.
  • Control de accesos: Mediante tarjetas de identificación personalizadas (PIV, Personal Identity Verification) para la realización de una verificación hardware y no solo software.
  • Control de dispositivos externos: La mayoría de los sistemas operativos móviles poseen capacidades para que los dispositivos que los usan puedan ser rastreados, como por ejemplo, el administrador de dispositivos de Android o find my iphone en iOS. El uso de esta funcionalidad sería perfecta para controlar si los dispositivos pertenecientes a la empresa, los únicos que deberían tener acceso a la red son los únicos conectados o también hay dispositivos no controlados...
  • Eliminación o bloqueo de aplicaciones con geolocalización: Una buena práctica es el bloqueo del GPS o de aplicaciones que intenten activarlo. Más aún si los empleados trabajan en una infraestructura crítica, para evitar el posicionamiento de los sistemas críticos.
  • Concienciación a los empleados: Impartir pequeñas formaciones dentro de la organización para que los usuarios sean conscientes del peligro que supone instalar aplicaciones de terceros o navegar por ciertas páginas desde su dispositivo móvil si luego va a conectarse a una red dentro de la organización con su dispositivo personal.
  • Departamento para administrar los dispositivos o externalizar el servicio: Si una organización desea incluir el BYOD es necesario que disponga de suficientes empleados dentro del departamento correspondiente que se haga responsable de la gestión y seguimiento de los dispositivos. Si no existe un volumen adecuado de miembros en el departamento para cubrir estos esfuerzos, el servicio tendría que ser externalizado (servicio externo de TI o en la nube).
  • Saber cuándo decir no: Los dispositivos personales no son adecuados para todos los entornos y en el caso de los sistemas de control industrial el acceso ha de estar restringido por la criticidad que tienen sus redes.

Incluir en la política de parches la actualización de los dispositivos móviles que acceden a la red es de vital importancia. Los sistemas de control industrial trabajan con entornos diferentes a los que podríamos encontrarnos en TI, pero podrían compartir vulnerabilidades en el sistema operativo o en el software de los dispositivos móviles que pueden afectar luego a los propios sistemas operativos o aplicaciones de los dispositivos del sistema de control.

  • Control de parches y actualizaciones: Es complejo llevar un control de parches y actualizaciones de las aplicaciones instaladas en los dispositivos de los empleados, por lo que antes de establecer cualquier conexión con algún entorno de la organización ha de actualizarse el dispositivo para verificar que las actualizaciones de seguridad se aplican.

dispositivos

Tras repasar las problemáticas que origina llevar tu propio dispositivo al trabajo y algunas buenas prácticas que permitirían el BYOD dentro de una organización, podemos concluir que esta práctica sólo podría llevarse a cabo en redes poco críticas, como algunas de TI donde hay redes de compartición de información entre empleados; sin embargo, en redes tan críticas como las de los sistemas de control industrial no es recomendable su uso.