Dominios para la gestión de la ciberseguridad en entornos industriales

La infraestructura tecnológica asociada a un entorno industrial suele componerse de protocolos, redes, dispositivos, equipos, sistemas y agentes (personas) muy heterogéneos. Llevar a cabo iniciativas de ciberseguridad en este contexto, suele ser una tarea demasiado compleja si se aborda de forma global.

Por ello habitualmente, se suelen definir siete dominios que deben tenerse en cuenta para afrontar la protección de un entorno informático. Estos dominios son: 
  1. Dominio de Usuario: es el conjunto de personas que acceden a los sistemas de información de una organización.
  2. Dominio de Máquina: es el conjunto de dispositivos (PC´s, portátiles…) desde los que se accede a los sistemas corporativos a través de una o varias redes.
  3. Dominio de Red Local: formada por el conjunto de dispositivos (PC´s, servidores, portátiles, firewalls, enrutadores) que están conectados entre sí a través de diferentes medios (cables, fibra, radio y otros medios como GPRS o GPR). 
  4. Dominio de Red Local a Red Extensa: es el punto en el que la infraestructura TI de la organización se conecta con una WAN (Red Extensa) o Internet. 
  5. Dominio de Red Extensa: este dominio permite conectar localizaciones distribuidas.
  6. Dominio de Acceso Remoto: es el dominio que gestiona los accesos a las aplicaciones y sistemas de forma remota.
  7. Dominio de Sistemas y Aplicaciones: es el dominio que gestiona la aplicaciones corporativas, backoffice, etc.
Cuando se trata de ciberseguridad industrial, este tipo de acercamiento por dominios, también es una buena práctica a tener en cuenta. Tan sólo debe tenerse en consideración que en los entornos industriales, cada uno de estos dominios presenta una serie de peculiaridades.
  1. Dominio de Usuario: administradores de PLC´s, RTU´s y dispositivos de campo, operadores SCADA, usuarios avanzados MES.
  2. Dominio de Máquina: concurren PLC´s, RTU´s, DCS´s, servidores SCADA, servidores OPC, paneles de operador, puestos de control SCADA.
  3. Dominio de Red Local: normalmente existe una red industrial determinista (ubicada en la Safety Zone o nivel 0 según la ISA 95), otra red industrial no determinista (ubicada en los niveles 1 y 2 donde residen los SCADA) y una red corporativa que suelen estar integrada como mínimo con la red industrial no determinista.
  4. Dominio de Red Local a Red Extensa: en principio no hay características concretas de los entornos industriales.
  5. Dominio de Red Extensa: igual que el dominio 4.
  6. Dominio de Acceso Remoto: es típico acceder a las RTU´s o los SCADA de forma remota, siendo necesario esta conexión.
  7. Dominio de Sistemas y Aplicaciones: las aplicaciones son muy específicas (SCADA, MES, programas de PLC´s y otros dispositivos).
En la siguiente figura, puede verse un ejemplo de estos dominios.


No hay comentarios: