Documente Academic
Documente Profesional
Documente Cultură
Tecnología Operativa: 7
Perspectivas que Debe Conocer
PATROCINADO POR TENABLE
Realizado en forma independiente por Ponemon Institute LLC
Marzo de 2019
Ciberseguridad en la Tecnología Operativa:
7 Perspectivas que Debe Conocer
RESUMEN EJECUTIVO
Ciberseguridad en la Tecnología Operativa: 7 Perspectivas que Debe Conocer, que fue patrocinado por Tenable® y realizado
por Ponemon Institute, revela que la falta de visibilidad hacia la superficie de ataque, personal de seguridad inadecuado
y la dependencia de los procesos manuales, socavan los requisitos establecidos por las organizaciones del sector de
tecnología operativa (OT) para proteger la infraestructura de OT y IoT de la inoperabilidad.
Este informe se basa en nuestro análisis de un subconjunto de 701 encuestados del informe Medición y Gestión de los
Riesgos Cibernéticos en las Operaciones de Negocios1, cuyas organizaciones pertenecen al sector de OT2. Este sector se
define como las industrias dependientes de sistemas de control industrial (ICS) y otras tecnologías operativas. Todos los
encuestados están involucrados en la evaluación y administración de las inversiones en soluciones de ciberseguridad
para TI u OT dentro de sus organizaciones. Debido a que los sistemas operativos de la actualidad dependen tanto de los
activos de OT como de los de TI, hemos investigado los sectores de TI, OT e IoT.
1. Los ataques cibernéticos son implacables y continuos contra los entornos de OT. La mayoría de las organizaciones
del sector de OT experimentaron múltiples ataques cibernéticos que causan filtraciones de datos y/o interrupciones
y tiempos de inactividad significativos en las operaciones de negocios, las plantas y los equipos operativos. Muchas
han sufrido ataques originados por estados nación.
2. La alta dirección está sumamente involucrada en la evaluación del riesgo cibernético. Los directores de tecnología,
seguridad y riesgos son los que están más involucrados en la evaluación del riesgo cibernético como parte de la
gestión de los riesgos del negocio de sus organizaciones.
3. Casi la mitad de las organizaciones intentan cuantificar el riesgo de los eventos cibernéticos. El 48 % de las
organizaciones del sector de OT (frente al 38 % de las organizaciones que no pertenecen a ese sector) intentan
cuantificar el daño que un evento cibernético podría tener en sus negocios, y es más probable que cuantifiquen el
impacto en función el inoperabilidad de los sistemas de OT.
4. Las organizaciones del sector de OT prevén amenazas significativas en 2019. Al analizar el año 2019, se observa un
incremento en las preocupaciones acerca de que terceros hagan un uso indebido de la información confidencial o
la compartan, y de ataques de OT que ocasionen tiempos de inactividad en la planta o los equipos operativos. Las
preocupaciones por los ataques originados por estados nación se mantienen a un nivel importante.
5. Las prioridades de gobernanza para 2019 varían. Aumentar la comunicación con la alta dirección y la junta directiva
acerca de las amenazas de ciberseguridad que enfrenta la organización y asegurar que los terceros tengan prácticas
de seguridad adecuadas para proteger los datos sensibles y confidenciales son las principales prioridades para 2019.
6. Las prioridades de seguridad para 2019 abordan las amenazas sofisticadas. La principal prioridad de seguridad para
2019 es mejorar la capacidad de mantener a las organizaciones actualizadas frente a la sofisticación y el sigilo de los
atacantes. Esto no es una sorpresa, dada la cantidad significativa de organizaciones del sector de OT que han sufrido
un ataque originado por estados nación en los últimos 24 meses.
7. Las organizaciones se enfrentan al desafío de mejorar la ciberseguridad. Pocas organizaciones tienen una visibilidad
suficiente hacia su superficie de ataque. Obtener la visibilidad necesaria continuará siendo un desafío, debido a la
combinación de la escasez de personal y la gran dependencia de los procesos manuales.
1 Encuestamos a 2410 profesionales de TI y de seguridad de TI en los Estados Unidos, el Reino Unido, Alemania, Australia, México y Japón, y los hallazgos se
presentaron en un informe ya publicado, Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocios.
2 El sector de OT en este estudio incluye encuestados de los sectores de energía y servicios públicos, de la salud y farmacéutico, industrial y de manufactura,
y del transporte.
Como se muestra en la Figura 1, el 90 % de las organizaciones de OT representadas en este estudio han experimentado,
al menos, un ataque cibernético que causó daños en los últimos dos años, y el 62 % han tenido dos o más. Estos ataques
causaron filtraciones de datos, o una interrupción o un tiempo de inactividad significativos en las operaciones de
negocios, las plantas y el equipo operativo.
90 %
15% 13% 13%
10%
10%
7%
han experimentado, 5%
4%
al menos, un ataque
cibernético perjudicial en
los últimos dos años 0%
0 1 2o3 4o5 6o7 8o9 10 u 11
Cantidad de ataques cibernéticos experimentados en los últimos 24 meses
Otra 3%
50 %
0% 10% 20% 30% 40% 50% 60%
han experimentado, al
menos, un ataque contra la
infraestructura de OT que
ocasionó tiempo de inactividad
en los últimos 24 meses
No es de extrañar que más de la mitad (60 %) de los encuestados hayan afirmado que la alta dirección está más involucrada
en la evaluación del riesgo cibernético como parte de la gestión de los riesgos del negocio de sus organizaciones. Los gerentes
de línea de negocio y de planta están más involucrados solo alrededor de un tercio (37 %) del tiempo.
Figura 3.
Director de Información 25%
¿Quién está más
Director de Seguridad de la Información 12%
involucrado en la
evaluación del riesgo Director de Seguridad 6%
60 %
Gerencia de Planta 8%
Otra 3%
Casi la mitad de los encuestados del sector de OT (48 %) dicen que su organización intenta cuantificar el daño a los negocios
causado por las amenazas enumeradas en la Figura 4. De hecho, cuantificar el daño causado por el tiempo de inactividad de
los sistemas de OT se considera el factor más importante a la hora de cuantificar el riesgo cibernético general (vea la Figura 4).
El tiempo de inactividad de OT puede generar pérdidas por millones de dólares en ingresos, productividad, etc. Por ejemplo,
Taiwan Semiconductor Manufacturing Company Ltd. informó que la infección por WannaCry, que paralizó varias fábricas,
reduciría los ingresos trimestrales en un 3 %3, estimados en más de USD 150 millones.
Figura 4.
Tiempo de inactividad de los sistemas de OT 49%
Factores utilizados
para cuantificar el Frecuencia de las vulnerabilidades sin parche (conocidas) 45%
1/2
Rotación de clientes 33%
• Terceros que hagan un uso indebido de la información confidencial o la compartan: Aunque solo el 37 % de los encuestados
del sector de OT informan que, en los últimos 24 meses, un tercero hizo un uso indebido de la información confidencial o
la compartió (vea la Figura 2), el 65 % menciona la amenaza como una de las cinco que más les preocupan en 2019 (vea la
Figura 5), lo que la convierte en la amenaza más importante prevista para este año. Esto no es sorprendente, ya que muchas
organizaciones del sector de OT delegan en terceros la gestión y el mantenimiento de su infraestructura de OT.
• Los ataques de OT que ocasionan tiempo de inactividad son una amenaza cada vez mayor: Mientras que el 50 % de las
organizaciones sufrieron, al menos, un ataque contra la infraestructura de OT que ocasionó tiempo de inactividad en la planta
y/o los equipos operativos en los últimos 24 meses (vea la Figura 2), el 60 % lo menciona como una de las cinco principales
amenazas que más les preocupan en 2019 (vea la Figura 5).
• Los ataques originados por estados nación continúan: Más de una quinta parte (21 %) de las organizaciones del sector de OT
mencionan los ataques originados por estados nación como una de las amenazas que más les preocupan (vea la Figura 5). Los
ataques originados por estados nación son especialmente inquietantes en el sector de OT, ya que, por lo general, son llevados
a cabo por delincuentes cibernéticos sólidamente financiados y altamente capacitados, y están dirigidos a las infraestructuras
críticas.4
60 %
Espionaje económico (robo de información crítica para la empresa) 35%
Otra 1%
4 Consulte la alerta técnica de US-CERT, “Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors”
(La actividad cibernética del gobierno ruso está apuntando al sector energético y otros sectores de infraestructuras críticas)
La prioridad número uno para 2019 es aumentar la comunicación con la alta dirección y la junta directiva acerca de las
amenazas de ciberseguridad que enfrenta la organización (vea la Figura 6). La segunda prioridad es asegurar que los
terceros tengan prácticas de seguridad adecuadas para proteger los datos sensibles y confidenciales. Este objetivo se
alinea directamente con la amenaza más preocupante para 2019: que un tercero haga un uso indebido de la información
confidencial o la comparta (vea la Figura 5).
Otra 0%
Como se muestra en la Figura 7, las dos prioridades principales, “Mejorar nuestra capacidad para mantenernos actualizados
frente a la sofisticación y el sigilo de los atacantes” y “Reducir el riesgo de los ataques a la infraestructura de OT” se alinean
perfectamente con el riesgo, analizado anteriormente, de ataques originados por estados nación contra la infraestructura de
OT (vea la Figura 2).
Otra 2%
Figura 8. Percepciones sobre los desafíos a los que se enfrentan los equipos de seguridad
20%
Tengo suficiente visibilidad de
39%
La función de seguridad de
nuestra organización cuenta con
la superficie de ataque de mi
el personal adecuado para
organización
detectar las vulnerabilidades de
forma oportuna
53%
Nuestra organización está en
55%
El equipo de seguridad dedica
más tiempo a sortear los procesos
desventaja para responder a las
manuales que a responder a las
vulnerabilidades porque usamos
vulnerabilidades, lo que conduce
un proceso manual
a retrasos en las respuestas
difíciles de superar
Los porcentajes representan las respuestas de “totalmente de acuerdo” y “de acuerdo” combinadas
• Mejorar la comunicación con la alta dirección y la junta directiva sobre las amenazas cibernéticas que enfrenta la
organización. Esto ayudará a identificar y abordar las brechas entre el apetito por el riesgo de la organización y la
exposición real al riesgo.
• Mejorar la visibilidad hacia la superficie de ataque. Los puntos ciegos pueden ocasionar que existan sistemas de TI y
OT no administrados e inseguros. Se requiere una visibilidad completa para que las organizaciones puedan evaluar sus
riesgos.
• Seguir reconociendo el impacto en la seguridad de las interdependencias entre los sistemas de TI y de OT. Las
vulnerabilidades y otras debilidades en los sistemas de TI pueden poner en riesgo los sistemas de OT interconectados, y
viceversa.
¿Necesita ayuda para obtener visibilidad hacia su infraestructura de OT? Vea la publicación en el blog: “Gain Greater Insight
into Operational Technology Environments” (Obtenga una mayor comprensión de los entornos de tecnología operativa).
Ponemon Institute
Promover una gestión responsable de la información
Ponemon Institute se dedica a la investigación independiente y a la formación para promover prácticas responsables de
gestión de la información y de la privacidad dentro de las empresas y las instituciones de gobierno. Nuestra misión es realizar
estudios empíricos de alta calidad sobre temas críticos que afectan la gestión y la seguridad de la información sensible sobre
personas y organizaciones.
Cumplimos con estrictos estándares de confidencialidad de los datos, privacidad e investigación ética. No recopilamos
ningún tipo de información de identificación personal de individuos (o información identificable de empresas en nuestras
investigaciones empresariales). Además, tenemos estrictos estándares de seguridad para garantizar que no se les hagan
preguntas irrelevantes o inadecuadas a las personas a quienes pertenecen los datos.
www.tenable.com
COPYRIGHT 2019 TENABLE, INC. TODOS LOS DERECHOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER
CONTINUOUS VIEW Y LOG CORRELATION ENGINE SON MARCAS REGISTRADAS DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE Y THE CYBER EXPOSURE COMPANY SON
MARCAS REGISTRADAS DE TENABLE, INC. EL RESTO DE LOS PRODUCTOS O SERVICIOS SON MARCAS REGISTRADAS DE SUS RESPECTIVOS PROPIETARIOS.