▷ Sabiduría semanal que puedes leer en pocos minutos. Añade nuestra revista gratuita a tu bandeja de entrada. Lee gratis nuestras revistas de Derecho empresarial, Emprender, Carreras, Liderazgo, Dinero, Startups, Políticas, Ecología, Ciencias sociales, Humanidades, Marketing digital, Ensayos, y Sectores e industrias.

Peligros Combinados

por
▷ Lee Gratis Nuestras Revistas
Recibe gratis nuestras revistas de Derecho empresarial, Emprender, Marketing digital y SEO, Ensayos, Carreras, Liderazgo, Dinero, Políticas, Inversiones y startups, Ecología, Ciencias sociales, Derecho global, Humanidades, y Sectores e industrias, en Substack. Cancela cuando quieras.

Peligros Combinados

Este elemento es una ampliación de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]

En Seguridad, fiabilidad y protección de los equipos informáticos

La seguridad y la protección parecen ser dos características generales del sistema que se contradicen. Tradicionalmente, estas dos características se han tratado por separado, pero debido a la creciente conciencia de los impactos mutuos, el conocimiento entre dominios se vuelve más importante. Debido al creciente entrelazamiento de los sistemas automotrices con las redes (como Car2X), ya no es aceptable asumir que los sistemas críticos de seguridad son inmunes a los riesgos de seguridad y viceversa.

A medida que las computadoras se vuelven más poderosas y ubicuas, se depende cada vez más de los sistemas basados en software para las tareas de negocios, gubernamentales e incluso personales. Mientras que muchos de estos dispositivos y aplicaciones simplemente aumentan la comodidad de nuestras vidas, algunos -conocidos como sistemas críticos- realizan funciones comerciales o de preservación de la vida. A medida que se hacen más frecuentes, la protección de los sistemas críticos contra amenazas accidentales y maliciosas se ha vuelto más importante y más difícil.

Observación

Además de los problemas clásicos de seguridad, como asegurar la fiabilidad del hardware, la protección contra fenómenos naturales, etc., los sistemas críticos modernos están tan interconectados que también hay que tener en cuenta las amenazas de seguridad de los adversarios maliciosos.

Una forma común de determinar la seguridad de un sistema crítico es realizar lo que se denomina un análisis de riesgos… Véase también:

Existen varias técnicas tradicionales de análisis de peligros; dos de las más populares son el análisis de modos de falla y efectos (FMEA) y el análisis de árbol de fallas (FTA). El desarrollo de estas técnicas tradicionales es anterior a los niveles modernos de interconectividad, por lo que la mayoría de las versiones de las técnicas no abordan explícitamente las preocupaciones de seguridad. Esta omisión ha sido un problema en varios dominios que van desde los sistemas de control industrial, atacados por Stuxnet, hasta la red eléctrica inteligente, que se enfrenta a una serie de retos, e incluso los dispositivos médicos personales que se enfrentan a ataques ahora que exponen la funcionalidad a través de radios inalámbricas e Internet.

Este aumento de las amenazas a la seguridad ha llevado a algunos investigadores a adaptar las técnicas tradicionales de análisis de riesgos para incluir o centrarse en cuestiones relacionadas con la seguridad.

La literatura en este ámbito presenta la aplicación y la descripción del método de un enfoque novedoso para el análisis combinado de riesgos de seguridad y amenazas a la seguridad.Entre las Líneas En algunos trabajos se presenta una descripción detallada del método SAHARA y una aplicación de este método para un sistema automotriz. Analiza el impacto de este novedoso método y destaca los impactos de las amenazas a la seguridad en los objetivos de seguridad del sistema. Se describe las experiencias obtenidas en la aplicación del método y cómo se puede cuantificar la contribución crítica para la seguridad de los ataques a la seguridad que han tenido éxito.

Revisor: Lawrence, y varios

Combinar la seguridad funcional y la ciberseguridad

A medida que las necesidades del negocio han ido evolucionando, ha aumentado la demanda de fusionar los datos en tiempo real de los sistemas de control de procesos con los datos del negocio, como la planificación (véase más en esta plataforma general) de la producción, los rendimientos, la calidad, el consumo de energía y las emisiones. Esto ha creado la necesidad de integrar tanto los dominios de la red corporativa como los dominios de control de procesos, lo que resulta en operaciones de negocio más dinámicas y permite a los propietarios de los activos ajustar la producción tanto para satisfacer la demanda como para capitalizar los cambios del mercado.

Si su red de control de procesos sigue estando separada de su red corporativa y espera que siga así, entonces el riesgo de contaminación cruzada es relativamente bajo. (Si cree que sus redes siguen estando separadas, es posible que desee comprobar eso. Es probable que haya muchos más lugares donde se conectan de lo que usted cree).Si, Pero: Pero si usted, como muchos de sus colegas, está modernizando su planta para lograr una mayor conectividad entre los dominios corporativos y de control de procesos, entonces esto requiere una mayor colaboración entre los sistemas que protegen los dominios de control e ingeniería de procesos y los que protegen los dominios de la empresa y la infraestructura de TI debería ser de gran interés para usted.

Modelos de protección convergentes

Durante años, la industria de TI ha sido meticulosa en la realización de evaluaciones de riesgos y amenazas, desde el inicio hasta el diseño, el despliegue y, finalmente, la implementación de redes de TI. Estas evaluaciones se han llevado a cabo de acuerdo con una gran cantidad de estándares, incluyendo BS7799, BS17799, ISO27001-27005, e ISA99, solo por nombrar algunos.

Paralelamente, fabricantes como los productores de petróleo, gas y petroquímicos han estado llevando a cabo actividades similares para identificar y evaluar los riesgos potenciales para el personal, los equipos y el medio ambiente. Estas actividades incluyen evaluaciones estructuradas y sistemáticas de seguridad, riesgos y amenazas; análisis de peligros y operabilidad (HAZOP); análisis de capas de protección (LOPA); determinación y validación del nivel de integridad de la seguridad (SIL); y otras. Estas actividades de seguridad funcional se llevan a cabo de acuerdo con las normas industriales pertinentes, tales como IEC61511, ANSI/ISA S84.00.001, etc.

Combinando fuerzas

A medida que las ciberamenazas actuales se vuelven cada vez más maliciosas con la vista puesta en los sistemas de automatización, la continua evolución de las amenazas sugiere que las combatamos con la fuerza combinada del enfoque de seguridad cibernética de TI y el enfoque de seguridad funcional de ingeniería.

Ya no es adecuado considerar que cada posible peligro podría provenir solo de fallos en los equipos, incendios, inundaciones u otros eventos dentro de las instalaciones de una planta. Ahora es posible que los peligros puedan iniciarse desde fuera de la planta, algunos de los cuales nunca se considerarían si se consideran solo desde una perspectiva de ingeniería. Incluso si se han considerado, el análisis podría estar ya desactualizado porque la amenaza a cualquier sistema no es una constante. Es una evolución continua.

Las evaluaciones de seguridad funcional se centran típicamente en el fallo (la sentencia o la decisión judicial) de una pieza de equipo, abordando la probabilidad de fallo, las consecuencias potenciales y su impacto en la seguridad, el medio ambiente y el negocio.

Detalles

Las evaluaciones de TI son muy similares, pero las consecuencias de que un sistema se vea comprometido serían más probablemente el impacto económico masivo de una interrupción de la producción, más que la pérdida de vidas.

Siguiendo las prácticas corporativas de TI, se han creado herramientas para su uso en redes de ingeniería de control de procesos que escudriñan el sistema en busca de detalles como la identificación de activos, protocolos en uso, estado del sistema operativo, niveles de versión, niveles de parches e instalación de paquetes de servicio.

Puntualización

Sin embargo, si no se aplican teniendo en cuenta las preocupaciones de seguridad cibernética, estas mismas herramientas, por la naturaleza del diseño de la red, podrían proporcionar a los posibles piratas informáticos una inteligencia a la que no tenían acceso anteriormente. Por este motivo, se debe emplear una combinación de conjuntos de habilidades o departamentos en todos los aspectos de la seguridad, desde el dispositivo de campo hasta el cortafuegos corporativo que se conecta a Internet.

Evaluación de la vulnerabilidad

Se deben llevar a cabo evaluaciones sobre el uso de protocolos hasta el nivel de dispositivo de campo. ¿Cuáles son vulnerables a los ataques a través de una red IP (protocolo de Internet)? La evaluación debería continuar hasta el nivel en el que la salida del dispositivo de campo se convierte para la compatibilidad con el DCS. Un equipo de evaluación de múltiples habilidades debe determinar, por ejemplo, si un dispositivo de campo comprometido puede controlar o interrumpir las operaciones de forma efectiva. Para realizar estas determinaciones es necesario comprender muchas tecnologías diferentes, incluyendo los protocolos, la red en la que residen, los conmutadores, los rastros de cables y la fuente de alimentación.

Si un conmutador de red que conecta la infraestructura de campo al dominio de control de procesos perdiera energía o se viera comprometido de alguna otra manera, por ejemplo, ¿cuál sería la consecuencia? La redundancia no siempre es la respuesta, ya que el diseño podría hacer que los conmutadores redundantes estuvieran disponibles para un virus que atacara a un conmutador. ¿Qué pasa si un hacker redirige los puertos o redirige los comandos de control de procesos de un puerto/ruta de red a otro? Este es un ataque común que se utiliza para explotar los datos de los conmutadores, pero ¿qué pasaría si este atacante pudiera redirigir el comando y los datos de control de un puerto o red a otro?

▷ Lo último (en 2026)
▷ Si te gustó este texto o correo, considera compartirlo con tus amigos. Si te lo reenviaron por correo, considera suscribirte a nuestras publicaciones por email de Derecho empresarialEmprenderDineroMarketing digital y SEO, Ensayos, PolíticasEcologíaCarrerasLiderazgoInversiones y startups, Ciencias socialesDerecho globalHumanidades, Startups, y Sectores económicos, para recibir ediciones futuras.

Después de evaluar los protocolos de campo, los componentes de red y los puertos, el siguiente en la línea sería el dominio de control de procesos (PCD) o DCS.

Informaciones

Los días en que las infraestructuras de red DCS eran administradas únicamente por los ingenieros de instrumentación y control están disminuyendo rápidamente. Estas redes están ahora sujetas a malware, virus y tendencias comunes a través del análisis de amenazas.

Una Conclusión

Por lo tanto, el departamento de TI suele disponer de las habilidades y conocimientos necesarios para determinar el daño que se puede causar a la red en caso de que entren programas malintencionados. Por supuesto, el departamento de ingeniería todavía tiene que evaluar el daño causado al proceso de producción, ¡si un ataque basado en la tecnología de la información derriba un dispositivo en particular!

Además, el cambio en el dominio del control de procesos es tradicionalmente lento en comparación con el de un sistema informático tradicional. Los sistemas informáticos han respondido a las interferencias externas desde los años 70 y han evolucionado con una mentalidad táctica en su enfoque de la seguridad, mientras que el control de procesos ha adoptado un enfoque más estratégico. Sólo ahora se están volviendo más tácticos, lo que hace esencial que tanto las habilidades y prácticas de TI como de ingeniería se combinen en la evaluación del riesgo de planta actual.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

El factor humano

Si observamos el aumento de los ataques recientes, el virus Stuxnet es probablemente el más conocido debido a la publicidad que lo rodea, a los informes exhaustivos y al hecho de que se dirigió específicamente a los sistemas de automatización de procesos. Esta amenaza se creó fuera de la planta y se diseñó para causar una interrupción en la ejecución rutinaria de un proceso o procesos. El virus fue diseñado con el conocimiento específico de los protocolos utilizados en la red de control de procesos, lo que le permite causar estragos. Sería interesante saber si alguna evaluación de riesgos y amenazas previa al HAZOP consideró este tipo de ataque cuando se diseñaron e implementaron los sistemas.

Pero Stuxnet no era solo una cuestión de tecnología. También implicaba debilidad y error humano. La introducción del virus fue aparentemente a través de un dispositivo USB que se dejó donde los empleados lo encontrarían. ¿Las personas que encontraron dicho dispositivo consideraron el riesgo, el impacto y las consecuencias de usar el dispositivo en el dominio de control de procesos? Probablemente no lo hicieron.

Entonces, ¿qué departamento de seguridad, protección, riesgo y evaluación de amenazas debería ser el responsable de abordar este tipo de amenaza? La respuesta debería ser ambas!

En retrospectiva, es fácil ver que, desde una perspectiva de TI, una mejor gestión de los puertos USB habría ayudado. Si los empleados hubieran seguido las políticas y procedimientos, asumiendo que estaban en vigor y se aplicaban, no habrían introducido el virus en el dominio de control de procesos. Muchos departamentos de TI ahora proporcionan a los empleados dispositivos USB autorizados para evitar que se produzcan tales incidentes y que los empleados utilicen sus propios dispositivos.

Otro ataque reciente, este de malware de Shamoon, consistió en tres elementos: elaboración de informes; sobrescritura de controladores, programas o bibliotecas; y, el más dañino, la función que sobrescribió el registro de arranque maestro y luego dio instrucciones al equipo para que se reiniciara, dejándolo inútil.

📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras:

Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.

Si se hubiera considerado la ciberseguridad durante la evaluación de la seguridad funcional, entonces las consecuencias y el impacto podrían haber sido evaluados y comprendidos, impulsando las medidas de reducción de riesgos pertinentes a ser implementadas. Éstas podrían haber incluido la desactivación de los puertos USB, la garantía de la aplicación de políticas y procedimientos, la capacitación del personal sobre los riesgos de la utilización de dispositivos USB no autorizados, etc.

Integración de prácticas y procedimientos

No basta con tener grupos de informática e ingeniería en comunicación. (Tal vez sea de interés más investigación sobre el concepto). Una colaboración efectiva requiere un análisis detallado de las prácticas y procedimientos de ambos departamentos para ver si existen contradicciones. La sinergia es buena, pero cualquier contradicción podría ser una debilidad potencial en su sistema.

Ha llegado el momento de combinar lo mejor del mundo de la informática y del mundo de la seguridad funcional. La próxima vez que se realice un HAZOP, considere no solo los peligros del proceso, sino también los peligros, consecuencias e impacto de la TI. Cuanto antes podamos erradicar la división tradicional entre las funciones de protección de seguridad y de ciberseguridad, mejor estaremos todos, tanto desde el punto de vista del bienestar como del financiero. Y la mejor manera de hacerlo es entender las mejores prácticas de ambos mundos, aprender de ellas y aplicar el conocimiento conjuntamente.

Revisor: Lawrence

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.
▷ Lee Gratis Nuestras Publicaciones
,Si este contenido te interesa, considera recibir gratis nuestras publicaciones por email de Derecho empresarial, Emprender, Dinero, Políticas, Ecología, Carreras, Liderazgo, Ciencias sociales, Derecho global, Marketing digital y SEO, Inversiones y startups, Ensayos, Humanidades, y Sectores económicos, en Substack.

2 comentarios en «Peligros Combinados»

  2. Pingback: Ataque Peligroso | Plataforma Digital de Derecho, Ciencias Sociales y Humanidades

Foro de la Comunidad: ¿Estás satisfecho con tu experiencia? Por favor, sugiere ideas para ampliar o mejorar el contenido, o cómo ha sido tu experiencia:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

▷ Recibe gratis nuestras revistas de Derecho empresarial, Emprender, Carreras, Dinero, Políticas, Ecología, Liderazgo, Marketing digital, Startups, Ensayos, Ciencias sociales, Derecho global, Humanidades, y Sectores económicos, en Substack. Cancela cuando quieras.

Descubre más desde Plataforma de Derecho y Ciencias Sociales

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo