Plan de gestión de activos OT: Políticas de Uso e Inventario

‍

La gestión de activos OT se rige como un pilar fundamental para garantizar la integridad de los procesos industriales, preservar la seguridad de los datos y promover la eficiencia en la utilización de los activos de Tecnologías Operativas (OT). Su objetivo primordial es coordinar todo el ciclo de vida de los activos, englobando una serie de actividades destinadas a extraer el máximo valor de los recursos de la empresa.

‍

La gestión de activos OT, por tanto, no solo representa una inversión en ciberseguridad, sino que también conlleva significativos beneficios operativos para las organizaciones industriales.

‍

Beneficios Gestión de Activos OT

‍

Adoptar una estrategia proactiva en la gestión de estos activos puede marcar la diferencia en términos de eficiencia, confiabilidad y rentabilidad. Estos son algunos delos beneficios clave:

‍

-       Reducción del tiempo de inactividad al identificar problemas anticipadamente.

-       Mayor eficiencia operativa reduciendo costes optimizando los recursos.

-       Toma de decisiones basadas en datos generados por los activos.

-       Cumplimiento regulatorio y normativo del sector (NIST, ISA/IEC 62443 y ENS).

‍

Políticas de uso e Inventario para una gestión eficaz de los activos

‍

Una gestión eficaz de los activos de OT se basa en dos elementos clave: Política de uso de activos OT y un inventario exhaustivo.

1. Política de uso de activos OT

‍

‍

La Política de Uso de Activos, en el ámbito de sistemas de seguridad y sistemas de control industrial (ICS), tiene como misión regular la utilización, administración y protección responsables y seguras de los dispositivos OT y los activos de información.

‍

Cumplir con esta política es esencial, ya que permite a los empleados y partes interesadas contribuirá la creación de un entorno industrial seguro, eficiente y conforme a las normativas. Al adherirse a estas directrices, se promueve la seguridad y la productividad en el entorno laboral, garantizando el cumplimiento de las normas aplicables (ISA/IEC 62443, NIST y ENS).

‍

Entre los procedimientos que comprende esta política se encuentran:

‍

• Un glosario con la terminología utilizada, esto para que todos comprendan y entiendan de lo que se habla. 
• Normativas para la adquisición de los activos fijos en la empresa. 
• Procedimiento para realizar el registro de los activos fijos. 
• Reglas para el uso adecuado de los activos. 
• Procedimiento para la creación y mantenimiento de inventarios. 
• Pasos para asignar a los responsables de los activos. 
• Pasos para asegurar los activos fijos de la empresa. 
• …

‍

Es importante destacar que el contenido de esta política puede variar según la empresa que la implemente, pero estos puntos generales son esenciales para una gestión adecuada de los activos.

‍

2. Inventario de activos OT para la Gestión Efectiva

‍

En entornos de operación tecnológica (OT), la gestión de activos requiere un inventario exhaustivo que enumere todos los activos físicos y tecnológicos utilizados en las operaciones con información detallada de cada uno de ellos.

‍

Las regulaciones de seguridad relacionadas con sistemas críticos, como la directiva NIS de la Unión Europea o el estándar de seguridad ISA/IEC 62443, imponen la necesidad de mantener un inventario de activos como cimiento para la gestión de riesgos.

‍

‍

Cómo Realizar un Inventario y Qué Información Incluir

‍

La creación del inventario puede llevarse a cabo de diversas maneras, dependiendo de la seguridad requerida y la complejidad de la infraestructura de OT. Se pueden emplear métodos manuales, como hojas de cálculo, o métodos automáticos mediante herramientas de escaneo de red.

‍

Es fundamental mantener el inventario actualizado de manera regular para asegurarse de que la información sea precisa y refleje los cambios en la infraestructura con el tiempo.

‍

Cada organización debe definir el alcance de su inventario, es decir, la información que se recopilará de cada activo. Entre los campos clave que se deben recopilar para cada activo incluyen:

‍

• ‍Identificador: Un código único que identificará a cada activo.
• ‍Nombre: Puede incluir el modelo, marca, versión, etc.
• ‍Fabricante: Información sobre el fabricante o desarrollador, especialmente si se trata de un activo software.
• ‍Descripción: Detalles sobre el uso y funcionalidad del activo.
• ‍Tipo: Clasificación del activo.
• ‍Propietario: La persona o entidad encargada de tomar decisiones sobre el activo.
• ‍Responsable: La persona encargada de asegurarse de que el activo se encuentre operativo y de gestionar los accesos al mismo. Puede coincidir con el propietario.
• ‍Ubicación: El lugar físico donde se encuentra el activo. Si se trata de un activo lógico, la ubicación se relaciona con un activo físico.
• ‍Versiones de Software: En el caso de activos físicos, se puede incluir un resumen del software presente en el dispositivo, incluyendo sus versiones.
• ‍Valoración del Activo: Permite evaluar el impacto y la criticidad del activo en el sistema. Se pueden utilizar varios parámetros para establecer esta valoración.

‍

Es importante tener en cuenta que algunos campos pueden no aplicar dependiendo del tipo de activo que se esté inventariando.

‍

‍

Ejemplo práctico: Inventario automático

‍

‍

En Mytra, utilizamos Netin para la creación de inventarios automáticos. Netin es un software de gestión y monitorización de redes OT que permite la creación automática de un inventario detallado de activos OT, independientemente de la marca, protocolo o fabricante de los dispositivos.

‍

Este inventario incluye información clave, como:

‍

• Proveedor.
• Nombre del dispositivo.
• Descripción.
• Modelo.
• Dirección IP.
• Dirección MAC.
• Puerta de enlace.
• Máscara de red.
• Versión del firmware.
• Número de serie.

‍

Una de las características más destacadas de Netin es su capacidad para generar la topología de red a partir de los dispositivos escaneados. Esto permite una visualización más clara del estado de la red.

‍

‍

Otras características clave para la gestión de activos con Netin incluyen:

‍

• Gestión de usuarios para definir roles y permisos.
• Alertas en tiempo real para notificar el estado de los activos y de la red.
• Integración con sistemas de terceros, como sistemas SCADA o Plataformas IIoT.
• Auditorías y registros de eventos para monitorear la actividad de los activos.
• KPIs para evaluar el rendimiento de los activos.

‍

En resumen, una estrategia proactiva en la gestión de activos OT fortalece la ciberseguridad, mejora la eficiencia operativa, garantiza la integridad de los datos y facilita el cumplimiento normativo. Además, libera recursos para la innovación, lo que puede ser un factor clave para la competitividad en las operaciones industriales y el éxito a largo plazo de cualquier organización industrial.

‍

Contáctanos, te asesoramos y acompañamos en tu plan de seguridad.