Seguridad en entornos industriales: el primer paso
Uno de los puntos de interés en los últimos tiempos en cuestiones de seguridad está en la protección de infraestructuras críticas y, más generalmente, en la seguridad en entornos industriales.
Es evidente que hay un largo camino que recorrer en cuestiones tecnológicas. Los especialistas en la materia rápidamente aplican su experiencia y descubren que nociones básicas en entornos TIC como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial. El hecho de encontrar un territorio prácticamente virgen ante sus ojos puede hacer que el experto en seguridad se centre en estas carencias tecnológicas tan visibles descuidando, sin embargo, otros aspectos menos obvios, quizá, pero igualmente importantes.
Como en tantos ámbitos de la vida hemos de acometer primero lo primero. Y es que hasta que existan soluciones técnicas para las carencias mencionadas, soluciones que tengan en cuenta las características propias de las industrias y sus procesos, hay otros problemas que resolver. En mi opinión, uno de los principales es el relativo a la gestión de las organizaciones, los equipos humanos y los choques culturales.
Hoy en día, en nuestro mundo de especialización creciente y compartimentación profesional es fácil perder la perspectiva y juzgar el todo por la parte. Y ello incluso dentro de una misma empresa, donde se supone que existe una comunidad de objetivos. De esta forma nos encontramos con que dos universos hasta ahora completamente separados, el de los ingenieros informáticos y el de los ingenieros industriales o de producción, han entrado en contacto. Me imagino que debe ser algo parecido a cuando los nativos americanos y el los europeos se tuvieron frente a frente por primera vez. Cada grupo ve al otro como si fuese un alienígena. Prácticamente no tienen nada en común, salvo el aspecto físico (y quizá ni eso): sin experiencias comunes y, lo que es más importante, separados hasta por el lenguaje, mutuamente ininteligible. Llegados a este punto he de realizar una confesión: yo soy ingeniero industrial y he desarrollado gran parte de mi labor profesional en el ámbito de los sistemas industriales. Yo he pasado por la experiencia descrita y supongo que muchos de mis compañeros también (estaría bien que los lectores se manifestasen al respecto: ¿han entrado alguna vez en contacto con un ente proveniente del más allá?)
El punto que quiero exponer es el siguiente: ninguna estrategia de seguridad puede tener éxito sin una integración previa de los equipos humanos que permita abordar proyectos de forma global. Las soluciones técnicas existentes en los sistemas TIC no pueden aplicarse sin más sin tener en consideración los procesos industriales que están siendo controlados (recuérdese el aforismo: cuando todo lo que tenga sea un martillo, todo lo que vea le parecerá un clavo). Y del mismo modo, no puede confiarse en que los técnicos y responsables de producción y mantenimiento interioricen unas herramientas destinadas a controlar unos riesgos que desconocen. No es posible que en la fábrica se tenga la percepción de que ésto lo han hecho los informáticos, que sólo saben que venir a j… Tampoco es posible que los informáticos perciban a la gente de producción como unos desaprensivos peligrosos y rebeldes a los que se debe vigilar y atar en corto para que cumplan unos protocolos aparentemente elementales que cualquiera con dos dedos de frente percibe como obvios.
He visto personalmente como desde el departamento de informática se imponían restricciones poco realistas en las conexiones a red que dificultaban enormemente el trabajo del personal de mantenimiento; y a su vez como el problema anterior era resuelto imaginativamente por medio de conexiones inalámbricas clandestinas creando un problema de seguridad más grave que el que se pretende resolver. Ambas partes consideran al otro “el enemigo”, convirtiendo esta cuestión en un juego de policías y ladrones en el que, en realidad, nadie puede ganar.
En mi opinión, es imprescindible avanzar en dos líneas. En primer lugar, el establecimiento de grupos de trabajo multidisciplinares de forma que todos los aspectos de un problema de seguridad en el ámbito industrial sean considerados. Y en segundo lugar, y más importante aún, el desarrollo de una cultura y lenguaje común en un ambiente de cooperación y comprensión mutua. Nada separa más a las personas que el idioma (bueno, y la religión, pero eso es otra cuestión). La gestión de los aspectos culturales constituye el paso previo imprescindible para crear un entorno industrial verdaderamente seguro.
Funete: hacer clic aqui.
Es evidente que hay un largo camino que recorrer en cuestiones tecnológicas. Los especialistas en la materia rápidamente aplican su experiencia y descubren que nociones básicas en entornos TIC como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial. El hecho de encontrar un territorio prácticamente virgen ante sus ojos puede hacer que el experto en seguridad se centre en estas carencias tecnológicas tan visibles descuidando, sin embargo, otros aspectos menos obvios, quizá, pero igualmente importantes.
Como en tantos ámbitos de la vida hemos de acometer primero lo primero. Y es que hasta que existan soluciones técnicas para las carencias mencionadas, soluciones que tengan en cuenta las características propias de las industrias y sus procesos, hay otros problemas que resolver. En mi opinión, uno de los principales es el relativo a la gestión de las organizaciones, los equipos humanos y los choques culturales.
Hoy en día, en nuestro mundo de especialización creciente y compartimentación profesional es fácil perder la perspectiva y juzgar el todo por la parte. Y ello incluso dentro de una misma empresa, donde se supone que existe una comunidad de objetivos. De esta forma nos encontramos con que dos universos hasta ahora completamente separados, el de los ingenieros informáticos y el de los ingenieros industriales o de producción, han entrado en contacto. Me imagino que debe ser algo parecido a cuando los nativos americanos y el los europeos se tuvieron frente a frente por primera vez. Cada grupo ve al otro como si fuese un alienígena. Prácticamente no tienen nada en común, salvo el aspecto físico (y quizá ni eso): sin experiencias comunes y, lo que es más importante, separados hasta por el lenguaje, mutuamente ininteligible. Llegados a este punto he de realizar una confesión: yo soy ingeniero industrial y he desarrollado gran parte de mi labor profesional en el ámbito de los sistemas industriales. Yo he pasado por la experiencia descrita y supongo que muchos de mis compañeros también (estaría bien que los lectores se manifestasen al respecto: ¿han entrado alguna vez en contacto con un ente proveniente del más allá?)
El punto que quiero exponer es el siguiente: ninguna estrategia de seguridad puede tener éxito sin una integración previa de los equipos humanos que permita abordar proyectos de forma global. Las soluciones técnicas existentes en los sistemas TIC no pueden aplicarse sin más sin tener en consideración los procesos industriales que están siendo controlados (recuérdese el aforismo: cuando todo lo que tenga sea un martillo, todo lo que vea le parecerá un clavo). Y del mismo modo, no puede confiarse en que los técnicos y responsables de producción y mantenimiento interioricen unas herramientas destinadas a controlar unos riesgos que desconocen. No es posible que en la fábrica se tenga la percepción de que ésto lo han hecho los informáticos, que sólo saben que venir a j… Tampoco es posible que los informáticos perciban a la gente de producción como unos desaprensivos peligrosos y rebeldes a los que se debe vigilar y atar en corto para que cumplan unos protocolos aparentemente elementales que cualquiera con dos dedos de frente percibe como obvios.
He visto personalmente como desde el departamento de informática se imponían restricciones poco realistas en las conexiones a red que dificultaban enormemente el trabajo del personal de mantenimiento; y a su vez como el problema anterior era resuelto imaginativamente por medio de conexiones inalámbricas clandestinas creando un problema de seguridad más grave que el que se pretende resolver. Ambas partes consideran al otro “el enemigo”, convirtiendo esta cuestión en un juego de policías y ladrones en el que, en realidad, nadie puede ganar.
En mi opinión, es imprescindible avanzar en dos líneas. En primer lugar, el establecimiento de grupos de trabajo multidisciplinares de forma que todos los aspectos de un problema de seguridad en el ámbito industrial sean considerados. Y en segundo lugar, y más importante aún, el desarrollo de una cultura y lenguaje común en un ambiente de cooperación y comprensión mutua. Nada separa más a las personas que el idioma (bueno, y la religión, pero eso es otra cuestión). La gestión de los aspectos culturales constituye el paso previo imprescindible para crear un entorno industrial verdaderamente seguro.
Funete: hacer clic aqui.
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios