Ciberseguridad en plantas industriales con IIoT

Siempre que se implementa una solución IIoT en una instalación industrial, esta contiene datos sensibles que requieren una protección especial. Además, la conexión a Internet también precisa una supervisión y mantenimiento constantes. Asimismo, el rápido avance de la tecnología obliga a que todos los sistemas se mantengan permanentemente actualizados en materia de ciberseguridad, tanto en el ámbito industrial como en cualquier otro.

Una gestión fiable de la seguridad de la información no solo implica el cifrado de los datos, sino que también exige un enfoque integral que abarque aspectos como:

• Cumplimiento de la legislación y las normativas: es necesario cumplir las directrices legales pertinentes y las normas recomendadas (por ejemplo, ISO 27001, ISO 27017, RGPD, etc.).
• Seguridad de los datos: es evidente que una solución IIoT contendrá datos sensibles. Estos datos deben tratarse de forma minuciosa mediante procesos estrictos.
• Ubicación de los servidores: siempre que se utiliza la tecnología de computación en la nube, los datos se almacenan en servidores alojados por el proveedor. La ubicación geográfica de los servidores, en función de la jurisdicción local, determina en gran medida el nivel de ciberseguridad aplicable. Los centros de datos ubicados en Europa están sujetos a las normativas de protección de datos más estrictas.
• Procesos organizativos: sin unos procesos organizativos que determinen qué datos se gestionan, quién los trata, cómo y cuándo, no es posible garantizar la ciberseguridad.
• Transparencia: los proveedores de soluciones digitales de confianza cuentan con un sistema de asistencia claro y transparente que muestra al cliente el estado de su consulta en todo momento.
• Características de la aplicación: Endress+Hauser implementó todos los requisitos de las normas ISO 27001 e ISO 27017. Un total de 121 medidas abarcan todas las operaciones de la empresa. Estas se monitorizan continuamente y se actualizan siempre que es necesario.

Al ofrecer una tecnología IIoT es necesario tener en cuenta, implementar y revisar de forma periódica todos estos aspectos. Los marcos de auditoría y estandarización, junto con las leyes y las mejores prácticas, pueden servir de apoyo práctico durante la fase de implementación.

Endress+Hauser ha demostrado que su ecosistema de IIoT, Netilion, cumple elevados estándares de seguridad de la información sometiéndolo a evaluaciones llevadas a cabo por organismos de certificación independientes. Desde el inicio, los criterios de gestión de la seguridad de la información han sido prioritarios y sirven como guía para implementar servicios digitales y garantizar una ciberseguridad eficaz en la industria.

• Cumplimiento de la legislación y las normativas: gracias a la implementación de una gestión profesional de la seguridad de la información mediante tecnologías del IIoT, Endress+Hauser obtuvo las siguientes certificaciones en relación a Netilion:
• ISO 27001 Gestión de la seguridad de la información
• ISO 27017 Código de buenas prácticas de seguridad de la información para servicios en la nube
• Sistema de gestión de la calidad ISO 9001
• Seguridad de los datos: los datos de los clientes almacenados y procesados en el ecosistema Netilion se tratan siempre con el máximo cuidado. Los usuarios tienen derecho a introducir, acceder, actualizar y suprimir sus datos. Todas las medidas cumplen los requisitos del RGPD.
• Ubicación de los servidores: los servidores en los que se basa el ecosistema Netilion se encuentran en Fráncfort y Dublín. Desde el punto de vista de la ciberseguridad, los servidores situados en la Unión Europea se consideran muy seguros.
• Procesos organizativos: Endress+Hauser ha establecido procesos que permiten reaccionar con rapidez ante emergencias relacionadas con la seguridad de los datos, cumpliendo en todo momento con los requisitos del RGPD. Si se produce un incidente, se informará inmediatamente a las partes afectadas y se tomarán las medidas oportunas.
• Transparencia: Endress+Hauser ha implementado un proceso de asistencia transparente que informa al cliente de manera clara sobre cómo se gestiona su consulta.
• Características de la aplicación: la interfaz de usuario del ecosistema Netilion IIoT incorpora todas las funciones necesarias, entre ellas una avanzada política de contraseñas, la gestión automatizada de credenciales, el cierre de sesión por inactividad y opciones de exportación.

El ecosistema Netilion cubre una serie de criterios considerados esenciales para garantizar una gestión profesional de la seguridad de la información:

• Cifrado de información sensible: El ecosistema IIoT Netilion de Endress+Hauser proporciona protección profesional de la información:
• Las contraseñas se cifran con 'bcrypt + salt + pepper'.
• La identificación de usuarios funciona con procedimientos tokenizados habilitados para OAuth2.
• La comunicación está encriptada mediante https.
• Transferencia de datos de proceso a través de puertas de enlace: en la ciberseguridad en plantas industriales, las puertas de enlace se convierten en un elemento crítico, ya que actúan como el principal punto de acceso al sistema. Las puertas de enlace habilitadas para Netilion utilizan una comunicación unidireccional: los datos de campo pasan por la puerta de enlace y se envían a la nube, pero la comunicación en la dirección contraria está prohibida. Esta arquitectura está diseñada para proteger el campo frente a posibles manipulaciones.
• Certificación: un organismo de certificación externo ha confirmado que el ecosistema de IIoT Netilion cumple con los requisitos de ISO 27017. El estándar internacional incluye requisitos para plataformas basadas en la nube. El cumplimiento de los requisitos de ISO 27017 garantiza que los clientes puedan confiar en el ecosistema Netilion para proporcionar un puerto seguro para sus datos. Y Endress+Hauser Digital Solutions, la empresa que desarrolla el ecosistema IIoT Netilion, ha obtenido la certificación ISO 27001 de seguridad de la información.