Disciplina militar en Control Industrial: OPSEC

Publicado el 22/09/2015, por INCIBE
Disciplina militar en Control Industrial: OPSEC

El término OPSEC tiene como origen el proceso de seguridad de las operaciones del entorno militar con objeto de asegurar las misiones llevadas a cabo por el ejército. Sobre los sistemas de control industrial, un programa OPSEC se asemeja en cierto modo a un proceso de gestión de seguridad de la información, SGSI, llevado a cabo sobre el entorno corporativo. La diferencia es que un SGSI se encarga de diseñar, implantar y mantener un conjunto de procesos para gestionar eficientemente la seguridad de los sistemas de información; mientras que OPSEC se centra en evitar la divulgación de secretos, en forma de información crítica, a los adversarios. En ambos casos se trata de un proceso continuo de análisis y revisión.

OPSEC e información crítica

Siempre que se habla de desarrollar un programa OPSEC es necesario definir claramente la información crítica que se maneja en cada organización. Dentro de los sistemas de control industrial existen algunas dudas sobre el uso de información crítica, ya que algunos empleados no saben exactamente si manejan información sensible en sus puestos de trabajo o no. Para seguir hablando de OPSEC es muy importante tener clara qué información es clasificada como crítica y la definición de ésta.

Por definición, se entiende la información crítica como aquella que, en el caso de ser publicada ya sea intencionadamente o de forma accidental, tendría un impacto negativo en una organización. Se considera información crítica no sólo la documentación secreta o altamente técnica con especificaciones sobre productos (como por ejemplo contraseñas, recetas de producción, fórmulas), sino también el hecho de tratar con información sensible, como procesos usados en un sistema industrial (comandos y puntos de acceso), datos financieros, grabaciones personales, información médica, etc.

La pérdida o divulgación no intencionada de información crítica dentro de los sistemas de control industrial originaría entre otras situaciones: pérdidas económicas, problemas de imagen con los clientes, falta de recursos, etc.; y,  mucho más importante, pérdida de vidas, accesos indebidos a sistemas críticos que originen accidentes o catástrofes.

Para evitar este tipo de problemas, el uso de un buen programa OPSEC, junto con una adecuada concienciación a los empleados, proporcionará a cualquier empresa un nivel extra de seguridad en sus sistemas.

Diseño y funcionamiento de un programa OPSEC

Para el desarrollo de un buen programa OPSEC es necesario recorrer un proceso continuo gracias al cual se detectarán todo tipo de debilidades, una vez definida la información crítica dentro de la organización, y los posibles vectores de ataque que puede tener la misma.

Ciclo del proceso OPSEC

- Proceso OPSEC -

Cada uno de los estados que se pueden observar en el proceso OPSEC en la imagen anterior tiene su importancia. A continuación se explican las implicaciones que tiene cada estado en el desarrollo del proceso:

  • Identificación de información crítica: Fase inicial del proceso, en la que se detecta la información que podría ser interesante para un atacante a la hora de lograr su meta.
  • Análisis de amenazas: Identificación de posibles atacantes, ¿Quiénes son? ¿Qué motivaciones les animan a realizar ciertos actos? En este estado, adoptar el rol y modo de un atacante es de gran ayuda.

Esquema de atacantes y sus motivaciones

- Atacantes y motivaciones-

  • Análisis de vulnerabilidades: El objetivo de esta fase es la detección de las debilidades que pueden ser explotadas por un atacante:
    • Formación inadecuada de los empleados.
    • Falta de seguridad en las comunicaciones.
    • Sistemas construidos sin tener presente la seguridad.
  • Evaluación de riesgos: esta fase consiste en determinar el grado de protección existente en la organización, evaluar los posibles riesgos sobre los activos de la misma y determinar el impacto umbral aceptable

fórmula para evaluar el riesgo

- Evaluacion de riesgos-

En esta evaluación de riesgo se tienen en cuenta los siguientes factores:

    • Amenaza: Cualquier persona, circunstancia o evento con el potencial suficiente como para causar pérdidas o peligros.
    • Vulnerabilidad: Cualquier debilidad que pueda ser explotada por un atacante o de forma accidental.
    • Consecuencia: Impacto negativo en la organización (pérdidas o peligros) que ocurriría si un ataque es efectivo.

En los sistemas de control industrial, al igual que en otros sistemas de información, la determinación del riesgo es directamente proporcional al impacto o consecuencias que la explotación de una amenaza pueda: Pérdida de vidas, tiempo de recuperación del sistema, impacto en el entorno, etc.

  • Aplicar contramedidas: Las contramedidas son implementadas en orden de prioridad para proteger a la organización de las debilidades que presentan las consecuencias más significativas en la actividad, operación y objetivo. Estas contramedidas tendrán como objetivo disminuir el impacto a un nivel umbral aceptable.

Análisis y monitorización en el proceso OPSEC

Recopilación de información

Tras conocer el tipo de atacante con el que se puede encontrar y las motivaciones que posee el mismo a la hora de realizar ataques. Es interesante conocer los ataques que puede llevar a cabo en busca de información.

  •  Ingeniería social: Una de las técnicas más efectivas si se realiza con sutileza. Se trata de una técnica de engaño cuyo objetivo es la recopilación de información.
  • Phishing: Email o ventana emergente (pop-up) cuyo objetivo es el robo de información mediante el engaño. Podría tratarse también como un caso particular de ingeniería social.
  • Descuidos (fuga de datos): Hablar sobre las tareas que se realizan en el trabajo en público (tomando un café al lado del trabajo, fumando a la entrada del trabajo, etc.), dejar información sensible en los servidores, tirar a la basura documentos importante o con información sensible sin haber sido destruidos previamente, uso de dispositivos móviles en espacios públicos (aeropuertos, hoteles, estaciones, etc.), accesos a la documentación de la empresa externamente sin unas reglas de cortafuegos con control de accesos, no cerrar la puerta cuando nos ausentamos de nuestro puesto de trabajo y se posee información sensible de la empresa y, por último, otro de los posibles descuidos podría ser el no proteger con contraseña el acceso al ordenador.
  • Búsqueda de información en la basura: Algunos atacantes pueden utilizar este recurso para obtener información gracias a notas en papel, CDs, papeles, etc. que son tirados a la basura. Pueden no ser de utilidad bajo el punto de vista de algunos, pero pueden ser aprovechados por otros. Toda esta información debería ser destruida convenientemente.

Algunas contramedidas

Para evitar caer en los engaños y descuidos comentados anteriormente, es importante seguir ciertas pautas que proporcionan un grado extra de seguridad:

  •  Creación de contraseñas robustas. Un uso adecuado de contraseñas complejas (mínimo 8 caracteres; incluir mayúsculas, minúsculas, números e incluso caracteres especiales; cambiarlas según un periodo de tiempo definidos…) y que no sean escritas en pegatinas al lado del puesto de trabajo.
  • Uso de protección adicional en los accesos. Gracias a los tokens de sesión o al uso de documentos llave se podrá añadir un extra de seguridad a la hora de permitir accesos a los activos de la organización, tanto de forma interna como externa, y cubriendo accesos lógicos y físicos.
  • Ser cuidadoso a la hora de publicar información en la intranet o en Internet sobre la empresa. Es posible que a la hora de publicar cierta información se incluya más de la cuenta, por ello es una buena práctica releer tranquilamente la información publicada, evitando incluir información sensible que comprometa de alguna forma la seguridad de la organización.
  • Destrucción o saneamiento de todos los equipos que contengan información crítica. Una vez que los equipos dejan de utilizarse, o cambian de propietario dentro de la empresa, es importante utilizar software específico para realizar un borrado total de los datos sensibles que contiene el dispositivo. Evitando así la fuga de información y controlando el acceso a documentos sensibles si se tiene un control de acceso a los documentos.

    A la hora de destruir documentos es muy adecuado la creación de un procedimiento en el que se indiquen los pasos a seguir para destruir documentos que contengan información sensible que un atacante podría aprovechar.

  • Vía de comunicación a la empresa comportamientos sospechosos o anómalos. Recibir llamadas o correos en los que se pregunta por información sensible dentro de la empresa suele ser habitual. Por este motivo, hay que tener claro quien está al otro lado realizando la pregunta. Si no se está seguro es aconsejable informar dentro de la empresa para poder determinar que la información proporcionada será utilizada sólo por miembros pertenecientes a la misma y no por personas ajenas a la empresa.
  • OPSEC en entornos fuera de la empresa. Al realizar un viaje, en hoteles, en casa o en otra ubicación externa al entorno laboral; es importante tener en cuenta que estamos rodeados de gente ajena a la empresa y que no tendría por qué tener acceso a cierta información. Tener los dispositivos móviles controlados o no usar redes inalámbricas públicas o sospechosas es una buena práctica si se quiere conservar la información almacenada en los dispositivos intacta.

 Conclusión

OPSEC es aplicable en muchos entornos y situaciones, tanto en sistemas de control industrial como en otro tipo de entornos. El uso de OPSEC proporciona un nivel extra de seguridad, tanto a nivel físico como a nivel lógico. Por ello, seguir las pautas anteriormente comentadas junto con una campaña de concienciación dentro de las empresas debería bastar para poder conservar la documentación sensible a salvo, sin tener problemas en la organización por diferentes fugas de información.