Cómo proteger la estructura crítica que conforma la red industrial

Implementación de la seguridad de TI a nivel de red física

La integración de mecanismos de seguridad en carcasas y en otros componentes de red forma parte esencial de la arquitectura de red tanto física como lógica. Una implementación correcta permite una estructura y una interrelación entre los distintos niveles de seguridad con el fin de proteger la red, las instalaciones y las personas. En muchos casos será superflua la posterior modernización o sustitución de los componentes. Las soluciones físicas de seguridad permiten ahorrar tiempo y gastos vinculados con las violaciones de seguridad, los tiempos de inactividad de la red, las reparaciones y la sustitución de hardware.

La transformación digital no se detiene ante la forma en la que fabricamos nuestros productos. El acceso a una inmensa cantidad de datos relativos al ciclo completo de vida útil del producto (desde el desarrollo hasta la realización y el pedido) es el factor clave para la próxima revolución en el entorno de la fabricación. A esta revolución se le conoce, por lo general, como «Industria 4.0».
Los cimientos para este modelo de acceso y diseño de datos son la red física o la infraestructura TIC. Los inconvenientes de este tipo de estructuras se pueden identificar fácilmente en el nivel físico y se extienden a menudo a otros aspectos del sistema completo.

Big Data: suerte y desgracia

Con las instalaciones de producción totalmente integradas, en la actualidad hay disponible una gran cantidad de datos casi en tiempo real. Esto representa una suerte y una desgracia al mismo tiempo. La posibilidad de acceder a la información y los datos de origen, calidad y fabricación cuando se requieren es toda una suerte. Sin embargo, supone también una desgracia, ya que esta accesibilidad a los datos y los estándares abiertos facilitan que los datos estén disponibles en todos los niveles de la empresa, sobre todo cuando las redes no están protegidas mediante distintas capas de seguridad.

La seguridad de la red de datos no es un objetivo que se pueda implementar en un único paso durante la fase de concepción y que con eso se dé por terminado. La seguridad de la red de datos es más bien un proceso continuo que comienza con un diseño sólido y continúa a lo largo de toda la vida útil de la instalación de producción.

Los sistemas más antiguos tienen un mayor riesgo, ya que en los sistemas de automatización antiguos no se planificaron ni se tuvieron en consideración la seguridad y la consiguiente vulnerabilidad resultante de la implementación de nuevas aplicaciones. Por tanto, estos sistemas constituyen factores de riesgo adicionales para los ingenieros de tecnología de regulación y control y para los planificadores de redes en entornos de TI en desarrollo; en particular en «situaciones brownfield» o, por ejemplo, en islas de automatización que se deban integrar en toda la red de la empresa.

Flujo de datos de producción y seguridad

Los datos de producción se generan en los dispositivos periféricos. El procesamiento de datos tiene lugar en la «capa de aplicación perimetral» y permite repuestas, reacciones y cambios en tiempo real en dispositivos, máquinas y sensores. El nivel de control admite el procesamiento posterior y el almacenamiento de los datos. Este nivel contiene funciones avanzadas de la red de automatización, como la elaboración de informes locales y la administración de fórmulas. Partes de los datos se almacenarán y procesarán posteriormente en servidores locales.

La mayoría de las funciones avanzadas se procesarán en el nivel de control y esos datos se utilizarán y procesarán en otros puntos de la red y no en el servidor local. Por esta razón, la seguridad de la capa perimetral representa un papel clave en la seguridad integral de la red y del sistema, ya que, de lo contrario, los datos de la capa perimetral llevarían consigo un fallo de seguridad a la capa empresarial de las funciones avanzadas.

El flujo de datos es selectivo y está orientado a los usuarios de la instalación de producción en la capa empresarial de la red. En la capa empresarial, los datos enviados (p. ej., la nube privada de la empresa o recursos dedicados del centro de datos) están previstos para los procesos avanzados, específicos y de procesamiento posterior como los análisis históricos, las funciones de emisión de informes de niveles superiores, las áreas de Big Data, el mantenimiento predictivo y el almacenamiento.

Es evidente cuando los datos relevantes para los KPI de la empresa no se generan ni se procesan en un plazo de tiempo adecuado en el dispositivo periférico. En estos casos, las instancias superiores, como las funciones de gestión de análisis y de Big Data, no pueden procesar estos datos en el plazo de tiempo adecuado para los KPI, como OEE, MRP, CRM, etc.

En todos los niveles de la infraestructura se analizan ampliamente las cuestiones de seguridad, los asuntos relativos al ciclo de vida útil del producto, la seguridad de los datos y una larga lista de otras vulnerabilidades en toda la empresa, con el fin de garantizar ese delicado equilibrio entre la productividad, la rentabilidad, la satisfacción de los clientes y la seguridad.

La seguridad es uno de los objetivos principales en todos los niveles de la red física y de la infraestructura de red. Según el modelo de agregación de datos, los puntos de entrada del sistema, sin importar su naturaleza, se deben clasificar fundamentalmente como riesgo de seguridad. El sistema ofrece la fortaleza de su componente más débil. Por esta razón es muy importante analizar desde la fase de diseño las vulnerabilidades del sistema y eliminar los puntos débiles que se conocen mediante niveles de protección planificados.

La seguridad de red a nivel físico se considera la primera línea de defensa y se debe tener en cuenta como tal. El diseño de la red, la instalación adecuada y el monitoreo permanente en funcionamiento son indispensables para garantizar la integridad y seguridad permanentes del sistema. Sin embargo, la seguridad absoluta no es un objetivo realista, ya que las amenazas se desarrollan continuamente a lo largo del tiempo. La seguridad física debe empezar ya en el perímetro de la red y reproducirse en la medida adecuada en cada nivel de la red física.

Seguridad física perimetral

Algunas de estas medidas físicas de seguridad se pueden implementar perfectamente en las instalaciones brownfield y los sistemas de control existentes con el fin de reducir la vulnerabilidad de sistemas antiguos.

Conexiones de red perimetrales

La selección del medio de red correcto (cable de cobre, fibra óptica, carcasa y bandeja) desempeña también un papel importante tanto en la seguridad funcional como en la seguridad de los datos. Esta selección debe llevarse a cabo en una fase temprana de la etapa de diseño de la red.

Seguridad perimetral

Monitoreo perimetral

La seguridad física debe estar garantizada siempre. Por esta razón, las redes de datos y de telecomunicación se deben monitorear e inspeccionar periódicamente. Un diseño de red profesional es un buen comienzo, pero debido al continuo y rápido desarrollo de la tecnología y las aplicaciones, las preocupaciones sobre seguridad están siempre presentes y son reales. Los empleados cualificados y la protección contra los riesgos M.I.C.E. desempeñan un papel importante en la eficiencia y funcionalidad de la red.

El software de monitoreo se emplea para el monitoreo en tiempo real de redes y proporciona información del estado las 24 h del día. En una situación perfecta, nada debería afectar al funcionamiento del sistema completo, pero las fábricas e instalaciones de producción no operan en las condiciones ideales. Los dispositivos adicionales no deseados encuentran el camino en la red a través de interfaces abiertas y desprotegidas o canales de WLAN abiertos.

Los dispositivos adicionales son potenciales amenazas para la seguridad y se deben identificar, monitorear y, en caso necesario, bloquear con el fin de mantener inalterado el tráfico de datos de red y el funcionamiento del sistema. Esto se puede garantizar con precisión con la ayuda de un software de monitoreo; así, se puede informar de manera adecuada a los operadores de sistema y a los operadores. Del monitoreo se pueden desprender también conclusiones sobre la calidad de transmisión de las señales, identificar el envejecimiento de los componentes del cableado, por ejemplo, en las guías de cable, y evitar así fallos imprevistos causados por tales circunstancias.

Seguridad de TI a nivel de red física

La red de datos siempre debe considerarse un componente integral de la estrategia de seguridad completa, desde los distintos componentes de red de la capa física hasta la estructura de red completa. La integración de la red física en el concepto de seguridad empresarial es un paso esencial que permite a administradores e ingenieros de control diseñar e implementar un complejo concepto de seguridad; un concepto que no solo se limita a la zona inmediata de la isla de automatización, una HMI u otro dispositivo de red.

La implementación de la seguridad de la TI en el nivel físico de la red permite ahorrar en gastos y tiempo gracias a la reducción de fallos de seguridad, tiempos de inactividad de la red, reparaciones y sustitución de hardware. La base de la estrategia de seguridad debe ser tanto el ciclo de vida útil completo de la red o la instalación de producción que se deban proteger como la protección de los datos de proceso y de producción durante el ciclo de vida útil de la instalación y más allá.

Son esenciales las inspecciones periódicas para determinar si el sistema sigue exento de déficits de seguridad y si se han encontrado nuevas carencias en ese sentido. Una parte fundamental de un plan de inspección de este tipo en el proceso completo de la estrategia de seguridad de la TI es el concepto de redefinición de las medidas de seguridad en caso necesario. A día de hoy, los datos ya forman parte importante del valor empresarial. Ya solo por esta razón, la seguridad de la infraestructura de red debería ir de la mano de diseñadores de infraestructuras, ingenieros e instaladores certificados y cualificados que cuenten con una buena formación.

En un mundo donde el hardware de TI, la aplicación de TI y el número de participantes de red se desarrollan de forma vertiginosa como nunca antes había sucedido, las estrategias de seguridad estrictas y consecuentes son el único camino para prevenir fallos de red críticos y evitar unas consecuencias catastróficas para la empresa.

Autores:

Michael Jammal, Sr. Business Development Manager of Industrial Automation, Panduit Marty Kronz, Manager of Business Development, Panduit

Recommander cet article

Nous vous recommandons

Más luz sobre las inversiones

Más luz sobre las inversiones

Lea sobre los criterios que deben cumplir los cables de fibra óptica en las redes de centros de datos para satisfacer la demanda de volumen de datos y capacidad de transmisión a largo plazo.

Infraestructuras eléctricas para una configuración de redes eficaz

Infraestructuras eléctricas para una configuración de redes eficaz

En tiempos de profunda transformación digital como los que nos ha tocado vivir, las tecnologías y estrategias para las redes del futuro cobran cada vez más importancia en edificios inteligentes, entornos industriales y centros de datos de alto rendimiento. En

Tres imprescindibles de la infraestructura del centro de datos

Tres imprescindibles de la infraestructura del centro de datos

Lea cómo puede hacer que la infraestructura de su centro de datos sea más inteligente, más eficiente y más segura mediante el uso específico de regletas de enchufes inteligentes y sus funciones adicionales.