En esta entrevista realizada por Help Net Security, Ken Deitz, CISO de Brown & Brown, analiza cómo la definición de ciberriesgo se ha expandido más allá de las TI para incluir el IoT, la OT y ecosistemas más amplios de la cadena de suministro. A medida que las organizaciones conectan estos activos a través de la nube y sistemas en red, la superficie de ataque y las dependencias se han multiplicado.
Deitz también comparte estrategias para gestionar el riesgo a través de la visibilidad, la segmentación y la planificación de una recuperación resiliente.
Desde su perspectiva, ¿cómo se han ampliado los límites del “riesgo cibernético” en los últimos años para incluir IoT, OT y la cadena de suministro más amplia?
El riesgo cibernético solía ser sinónimo de «riesgo de TI». Esa frontera ha desaparecido. La opción predeterminada suele ser la conectividad externa/en la nube para cámaras, lectores de credenciales, sistemas de climatización, sensores de flotas y controladores de fábrica. Las exigencias de las empresas también han derribado las barreras entre TI, OT e IoT , lo que permite que la telemetría alimente el análisis, la automatización y las decisiones empresariales.
El cambio más significativo que hemos observado desde la perspectiva del riesgo es la concentración de las dependencias. Un único proveedor de identidad, actualizador de software, herramienta de gestión remota o socio logístico puede ahora ser un único punto de fallo para múltiples sistemas. La unidad de riesgo ya no es un endpoint. Es el plano de control (consolas en la nube, API, etc.) que gestiona miles de endpoints y procesos críticos.
Dadas sus limitaciones de recursos y sus largos ciclos de vida, ¿qué enfoques prácticos pueden adoptar las organizaciones para proteger los dispositivos IoT después de su implementación?
Empiece siempre por saber qué defender y luego aplique el principio de privilegio mínimo . Adopte una mentalidad de «asumir una brecha». Cree y mantenga un inventario dinámico a partir del descubrimiento pasivo y los registros existentes (DHCP, DNS, NetFlow). Trate los dispositivos desconocidos como inseguros hasta que se demuestre lo contrario. Segmente por función y criticidad, coloque cámaras con grabadoras, dispositivos de pago con puertas de enlace y deniegue por defecto el tráfico entre límites. Cuando los dispositivos no puedan gestionar la criptografía ni la autenticación, utilice puertas de enlace que terminen TLS y puedan aplicar políticas, a la vez que proporcionan observabilidad.
Aplique parches cuando sea posible y proteja sus datos con parches virtuales (IPS/WAF) cuando no sea posible. Establezca listas de permitidos de salida y filtrado DNS estrictos. Elimine las credenciales predeterminadas y adopte secretos o certificados por dispositivo. Establezca líneas base de comportamiento sencillas (puertos, destinos, cadencia de actualización) para detectar desviaciones sin necesidad de agentes de alto nivel. Utilice su función de compras como control: exija SBOM, actualice los compromisos y exija modelos de acceso remoto que pueda auditar o no los compre.
Los entornos de OT son notoriamente difíciles de proteger sin interrumpir las operaciones. ¿Qué estrategias han demostrado ser las más eficaces para reducir el riesgo en estos contextos?
Trate los cambios de OT como cambios de negocio (porque lo son). Involucre a los gerentes de planta, gerentes de seguridad y líderes de mantenimiento en las decisiones sobre riesgos. Asegúrese de probar todos los cambios en un entorno de desarrollo que modele adecuadamente el entorno de producción, siempre que sea posible. Programe los cambios durante las paradas planificadas con reversiones listas. Genere visibilidad pasiva con recopiladores de solo lectura y monitoreo basado en protocolos para crear mapas de activos y tráfico sin necesidad de acceso al PLC.
Optimice el acceso remoto gestionando todas las sesiones de los proveedores a través de hosts de salto con MFA, aprobaciones con límite de tiempo y grabación de sesiones. Identifique y retire módems ad hoc y túneles no administrados. Mantenga imágenes maestras, copias de seguridad validadas y repuestos en caliente para facilitar el intercambio y la restauración.
Si tuviera que asesorar a una junta directiva o a un CISO, ¿cuáles diría que son las tres principales prioridades para reducir el riesgo en IoT, OT y las cadenas de suministro?
Mi consejo para una junta directiva es muy diferente al que le daría a un CISO . Para una junta directiva, mi consejo sería simple: busque un CISO que comprenda las operaciones de su negocio, su tolerancia al riesgo y que transmita una visión para una función de ciberseguridad de alto rendimiento.
Las tres principales prioridades que recomendaría a un CISO para reducir el riesgo son:
1. Reduzca el radio de acción. Identifique los procesos clave y realice pruebas activas para garantizar que la segmentación, la identidad y el mínimo privilegio se mantengan en torno a ellos. Asegúrese de medir los resultados deseados, incluyendo el porcentaje de activos en inventario, el porcentaje segmentado, el porcentaje de acceso remoto bajo MFA y el tiempo para aislar una zona.
2. Reforzar los planos de control y la cadena de suministro. Proteger las consolas, las API, los servidores de actualización y las rutas de terceros que pueden cambiar varios elementos simultáneamente. Contratar SBOM, derecho a auditoría y parchear los SLA. Monitorear continuamente la superficie de ataque de terceros y el acceso privilegiado, y planificar con antelación las operaciones en modo seguro si un proveedor falla o se ve comprometido .
3. Prepárese para una recuperación segura. Mantenga y practique manuales de estrategias para incidentes interdisciplinarios que incluyan operaciones, proveedores, capacidades de restauración en salas blancas y objetivos de RTO/RPO para líneas críticas. No informe a la gerencia con sus intenciones; informe la evidencia de los ejercicios y simulacros.
Con la convergencia de TI, OT e IoT, ¿dónde cree que surgirán los mayores riesgos en los próximos 3 a 5 años?
Nadie puede predecir el futuro. Sin embargo, si el pasado es un indicador del futuro, los adversarios seguirán eludiendo cada vez más dispositivos y secuestrando consolas en la nube, tokens API y plataformas de gestión remota para impactar a las empresas a escala industrial .
Otra área de riesgo es la cadena de suministro de firmware. Los dispositivos pequeños suelen llevar código de terceros que no podemos parchear fácilmente. Nos enfrentaremos a más realidades de «parche por reemplazo», donde la única solución es cambiar el hardware.
Además, las identidades de las máquinas en el borde, como los certificados y tokens, superarán con creces a las de los humanos. El ciclo de vida y los privilegios de esas identidades constituyen el nuevo perímetro.
Desde una perspectiva de amenazas, veremos un número cada vez mayor de ataques de ransomware que apuntan a la interrupción física para aumentar la influencia de los actores de amenazas, así como instalaciones privadas 5G/inteligentes que, si están mal configuradas, propagan el riesgo más rápido que cualquier LAN.
Debemos tratar el IoT, la OT y la cadena de suministro como ciudadanos de primera clase del riesgo empresarial, no como excepciones especiales. Inventariar sin descanso, segmentar con rigor, verificar continuamente y ensayar la recuperación con quienes mantienen el negocio en marcha.
Fuente y redacción: helpnetsecurity.com / Mirko Zorz