Introducción a la seguridad en sistemas SCADA

El informe Control Systems Cyber Security Awareness del año 2005 (US-CERT) analizaba cómo entre los años 2002 y 2004 el 66% de los incidentes de seguridad ocurridos con sistemas SCADA se debían a ataques externos, mientras que el 22% se debían a accidentes, el 3% a errores o fallos de funcionamiento internos y el resto, a causas desconocidas. Para que os hagáis una idea, entre 1982 y 2001, sólo el 29% de los incidentes de seguridad se habían catalogado como externos.

Este incremento tan espectacular se debe principalmente a lo que ya hemos comentado en alguna entrada anterior dedicada a CIIP: a principios del siglo XXI los sistemas SCADA han comenzado a trabajar con tecnologías y protocolos estándar y conocidos por todos, como suelen estar distribuidos geográficamente se conectan a centros de supervisión y control mediante tecnologías y protocolos estándar, y a su vez estos centros suelen estar conectados a la red corporativa de la empresa o institución propietaria del proceso, y a través de esta red, a Internet.

Por este motivo la preocupación por la seguridad de los sistemas SCADA ha sido creciente. Algunos ejemplos son las nuevas normativas, mejores prácticas, instituciones, etc; dedicadas a la seguridad de estos sistemas. Además, dentro de la protección de infraestructuras de información críticas (CIIP), la protección de los sistemas de control industriales es un punto clave. Incluso se ha comenzado a hablar de ciberterrorismo depués de los incidentes ocurridos en Estonia en el año 2007 y de la cantidad de información técnica acerca de los productos de diferentes fabricantes de sistemas SCADA que se han encontrado tras la detenciones de diferentes terroristas en los últimos años.

Aunque en España ya tenemos el CNPIC y por algo se empieza, en otros países como Estados Unidos nos llevan mucha ventaja trabajando en estos temas. Allí se creó dentro del DHS (Department of Homeland Security), el US-CERT y el Control Systems Security Program, que se dedica exclusivamente a la seguridad de sistemas SCADA.

Os dejo este enlace ya que está completamente actualizado con las últimas noticias relacionadas con la seguridad dentro del área industrial (ataquesm vulnerabilidades descubiertas), y tenéis multitud de información, artículos y noticias para comenzar a profundizar en estos temas:

http://www.us-cert.gov/control_systems/

Especialmente interesante, dentro de la pestaña Top10, es el recurso Secure Architecture Design, os recomiendo que le echéis un vistazo, aunque hablaremos de ello en el futuro en este blog.

Aunque como podéis ver todavía no existen estándares y normativas universalmente aceptadas, sino que suelen ser más bien inicitivas a nivel nacional, y/o sectorial sí que existen ciertos principios básicos que todos estamos de acuerdo en que deebn ser los fundamentos de la seguridad industrial en la actualidad:
  1. Conciencia de seguridad y formación.
  2. Definición de políticas y procedimientos.
  3. Diseño de arquitecturas seguras.
  4. Control del acceso remoto.
  5. Análisis de vulberabilidades y riesgos.
  6. Respuesta ante incidentes.
  7. Gestión de configuración y actualización.
  8. Monitorización y control.
  9. Gobernanza de IT.
  10. Gestión del cambio.
Como podéis ver, en relidad son los mismo principios básicos de la gestión de seguridad que en cualquier otro entorno, pero se están definiendo mejores prácticas específicas para los entornos industriales. Hablaremos de ello en entradas futuras.


True Downtime Cost (TDC)

El True Donwtime Cost es un métrica que permite identificar el coste económico de las paradas de un sistema de producción. No es una métrica que mida la productividad industrial, pero está muy relacionada con ella y con los proyectos que persiguen su mejora como objetivo.

Su cálculo no es trivial ya que no se puede medir directamente. Para ello, esta métrica se asocia con toda una metodología que analiza exhaustivamente diferentes aspectos de los procesos, equipos y personas de manera que se puedan descubrir los costes ocultos asociados a las paradas y discriminarlos de otro tipo de costes.

Para ello es necesario distinguir entre los distintos tipos de paradas que pueden producirse, sus casusas y sus efectos.

Podéis encontrar más información en www.DowntimeCentral.com

Referencias Mesa de Innovación Alcalá de Henares

Esta mañana hemos terminado con el ciclo de dos mesas de innovación que el IMADE organizaba en Alcalá de Henares dentro del ciclo de PYMEInnova.

Como nos hemos comprometido con los asistentes, os dejamos a continuación una serie de links que os pueden ser útiles para encontar información que complemente todo lo que hemos hablado estos dos días. Hay multitud de buenos enlaces a páginas web y blogs, pero esta es una selección razonable para comenzar a leer e investigar en aquellos temas que más os hayan interesado:

Estadísticas acerca de productividad en España
Instituto Nacional de Estadística (INE)

Métricas
Downtime Central

Lean Manufacturing, Six Sigma y Lean Six Sigma
Lean Institute
Instituto Lean (castellano)
Blog del Grupo Galgano
Lean Manufacturing Strategy
Toyota Production System (TPS)
ISixSigma
Club Europeo Seis Sigma

Ingeniería Forense
Hazop
FTA
FTA2
FMEA y FMECA
FMEA y FMECA 2

Captura automática de datos, sistemas MES y estándares de integración para la industria
The OPC Foundation
MESA
NAMUR
ISA95
World Batch Forum


Y en cuanto a la bibliografía actualizada sobre estos temas, aquí tenéis algunos libros que nos han gustado especialmente y que os pueden ser útiles:
  • “OEE for Operators: Overall Equipment Effectiveness”. Productivity Press,1999.
  • “How To Implement Lean Manufacturing”, Lonnie Wilson. McGraw-Hill Professional, 2009.
  • “The Six Sigma Handbook”, Thomas Pyzdek and Paul Keller. McGraw-Hill Professional, 2009.
  • “Guidelines for Process Hazards Analysis (PHA, HAZOP), Hazards Identification, and Risk Analysis”, Nigel Hyatt. CRC Press, 2003.
  • “Manufacturing Execution Systems (MES): Optimal Design, Planning, and Deployment”, Heiko Meyer, Franz Fuchs and Klaus Thiel. McGraw-Hill Professional, 2009.
  • “The Road to Integration: A Guide to Applying the ISA-95 Standard in Manufacturing”, Bianca Scholten. ISA, 2007.
Para cualquier cosa que necesitéis, ya sabéis donde encontrarnos. Un saludo a todos.


Concepto y definiciones de Productividad Industrial

En estos tiempos estamos involucrados en multitud de cursos, conferencias e iniciativas relacionados con la productividad industrial, obviamente, una gran preocupación actual en nuestro país. Es un buen ejercicio en estos casos comenzar por definir la productividad para tener un punto de partida común y consensuado.

Para definir el concepto de productividad industrial, partimos de la definición de Productividad que realiza la Real Academia Española. "Relación entre lo producido y los medios empleados, tales como mano de obra, materiales, energía, etc".


A partir de esta definición genérica, se han propuesto otras definiciones que la complementan, planteándose desde diferentes puntos de vista:
  • Capacidad de producir más satisfactores (sean bienes o servicios) con menos recursos.
  • Medida de rendimiento que se refiere a la relación entre lo obtenido (bienes y servicios) y lo ingresado (materiales usados y horas de trabajo).
  • Relación entre los insumos y la producción total obtenida al operar un proceso.
  • Los insumos pueden ser dinero, mano de obra ó tiempo.
  • La producción total puede ser en número de productos ó dinero.
  • Eficacia con la que se utilizan los recursos para alcanzar los objetivos de producción que se han fijado inicialmente.

No podemos dejar de mencionar la definición que hace la EPA (Agencia Europea de Productividad). “La productividad es el grado de utilización efectiva de cada elemento de producción. Es sobre todo una actitud mental. Busca la constante mejora de lo que existe ya. Está basada en la convicción de que uno puede hacer las cosas mejor hoy que ayer, y mejor mañana que hoy. Requiere esfuerzos continuados para adaptar las actividades económicas a las condiciones cambiantes y aplicar nuevas técnicas y métodos. Es la firme creencia del progreso humano".

Tomando como referencia estas definiciones, si las trasladamos al entorno industrial, podemos definir la productividad industrial como la resultante equilibrada entre cantidad, calidad y coste de la producción obtenida.

Por último, desde redindustria proponemos la siguiente definición para la productividad industrial: Evaluación de la capacidad del sistema de producción de alcanzar la producción requerida al menor coste posible, utilizando óptimamente los recursos disponibles y con la máxima calidad.

Planes de actuación en ERM

Para cerrar la última entrada en la que os hablábamos de las matrices de riesgos, nos faltaba aclarar los términos Mitigación, Investigación y Monitorización que aparecían en la matriz que os pusimos de ejemplo.

Tras la fase de análisis de riesgo que se suele llevar a cabo con este tipo de matriz, el siguiente paso para hacer una correcta gestión del riesgo corporativo suele ser la fase de planificación.

En esta fase es necesario establecer los planes de actuación asociados a cada riesgo o grupo de riesgos. Para ello es necesario investigar el riesgo en detalle, establecer indicadores cualitativos y cuantitativos que permitan describirlo y conocer su tendencia.

También se establecen los planes de contingencia por si fallan los de actuación. Estos planes normalmente entrarán en juego cundo se sobrepasen los umbrales de alarma establecidos.

Para diseñar los planes de actuación y de contingencia suele ser una buena práctica clasificar los riesgos según su situación en la matriz de riesgo. En el ejemplo de la entrada anterior utilizamos una clasificación tradicional en la que se distiguían tres tipos de riesgos:
  • Riesgos que necesitan Mitigación. En este caso los planes de actuación son correctivos e intentan utilizar estrategias de evitación o minimización de los riesgos.
  • Riesgos que necesitan Investigación. Los planes de actuación que se diseñan para estos riesgos son planes de actuación preventivos en los que la estrategia es transferir o compartir el riesgo con un proveedor, un cliente, un socio, etc.
  • Riesgos que necesitan Monitorización. En esta última categoría se encuentran los riesgos que necesitan planes de actuación detectivos, es decir, cuyo tratamiento y gestión se basa en estrategias de aceptación debido a su baja probabilidad de ocurrencia o a su impacto mínimo en la organización.
Las fases de identificación de riesgos, análisis y planificación ya tratadas en todas estas entradas dedicadas al ERM en este blog hasta el momento, se realizan off-line sin ningún tipo de exigencia de tiempo real. Sin embargo para completar un ciclo de gestión de riesgo son necesarias fases de monitorización, control, comunicación, etc. En general son fases que se realizan on-line, en tiempo real, y que necesitan apoyarse en un plan estratégico de gestión del riesgo, en procesos de mejora continua y hoy en día, en casi todos los casos, en algún tipo de plataforma tecnológica.

Si os interesa el tema, podemos tratarlo en entradas futuras.


Matriz de riesgos

Ya hemos tratado en entradas anteriores temas relacionados con ERM (Enterprise Risk Management) y la gestión de riesgos.

Como sabéis, el primer paso en la gestión de estos riesgos suele ser realizar un inventario de todos los riesgos que pueden afectar a nuestra organización. Una vez obtenido este inventario de riesgos, se deben analizar para evitar riesgos duplicados o equivalentes, agrupar los riesgos por áreas para proponer planes de actuación y contingencia conjuntos y facilitar las tareas de monitorización posteriores.

Pero sobre todo para realizar una priorización que permita realizar una gestión ordenada y sistemática. Esta priorización suele realizarse mediante la construcción de una matriz de riesgos, en la que se representen claramente la probabilidad de ocurrencia de los riesgos y, al mismo tiempo, la gravedad de las consecuencias que acarrean (impacto o coste).

Este sería un ejemplo:

En este ejemplo los riesgos se clasifican según su probabilidad sea muy baja (1), baja (2), media (3), alta (4) o muy alta (5); analizando si es posible evitarlos o no. En cuanto al impacto, se ha medido en coste económico con una escala que cuantifica si este impacto es menor de 1000 euros (1), entre 1000 y 10000 (2), entre 10000 y 100000 (3), entre 100000 y 1000000 (4) o por encima de este millón de euros (5).

En futuras entradas hablaremos de los términos mitigación, investigación y monitorización.