Ciberseguridad por diseño

Cristian Marinescu, Líder de desarrollo de software integrado


Las compañías eléctricas tienen que dedicar cada vez más atención a la ciberseguridad, ya que el riesgo de apagones está siempre presente. Los problemas recientes han demostrado lo rápido que pueden producirse tales perturbaciones, lo que ha provocado una creciente presión por parte de los reguladores para que se aborde la cuestión. Sin embargo, la seguridad es un proceso gradual, en el que cada fase avanza hacia un objetivo final.

Los equipos de pruebas de protección, por ejemplo, representan un vector de ataque potencial. Si un atacante piratea el dispositivo, podría generar tensiones o corrientes que podrían dañar los componentes activos de la subestación y provocar una interrupción del servicio. Además, si el malware infecta el dispositivo de un proveedor de servicios, puede transferirse fácilmente de la subestación A a la subestación B, de forma similar a la propagación mediante un dispositivo de almacenamiento USB. Aunque éste sea el escenario de ataque más probable, es sólo una de las muchas amenazas posibles.

Hemos implementado una serie de medidas de protección en el CMC 500 para salvaguardar las infraestructuras críticas. Como en cualquier sistema de seguridad, el eslabón más débil de la cadena define el nivel de ciberseguridad. Es como tener una alta verja de hierro delante de casa mientras que el resto de la propiedad sólo está protegida por un seto bajo. Una ciberseguridad eficaz requiere abordar todas las vulnerabilidades conocidas.

En respuesta a las necesidades de nuestros clientes, llevamos a cabo un exhaustivo análisis de riesgos y amenazas, identificando y evaluando otros posibles escenarios de ataque. Adoptamos una metodología de «caja blanca», asumiendo que los atacantes podrían conocer alguna información del sistema. Este método proporciona mucha más protección que confiar únicamente en el secreto.

Nuestra estrategia de ciberseguridad en toda la empresa se basa en la creación de «seguridad por diseño», que nos permite desarrollar mediciones de acuerdo con directrices claras. También utilizamos el proceso SSDLC (Secure Software Development Life Cycle, ciclo de vida de desarrollo seguro de software), que aborda cómo hacer frente a posibles vulnerabilidades. Esto es especialmente importante porque utilizamos muchos paquetes de código abierto en nuestro software y, si una licencia lo exige, publicamos el código fuente. Como parte de este proceso, comprobamos rutinariamente si hay vulnerabilidades en nuestros productos, evaluamos si pudiera utilizarse algún código dañino, y valoramos lo que podría verse comprometido en el caso de un ataque certero. A continuación, aplicamos medidas para mitigar estos riesgos.

Nuestro equipo humano ha desarrollado una solución que resiste un riguroso escrutinio, especialmente en materia de ciberseguridad, y eso es un logro del que nos sentimos muy orgullosos.

Aprender más:
1: ¿A prueba de futuro? ¡Reto aceptado!
2: Ciberseguridad por diseño
3: La seguridad de los usuarios no puede dejarse al azar
4: ¿Lo tienes todo?


Conozca el CMC 500

A LA PORTADA

Está utilizando una versión de navegador desactualizada.
Por favor, actualice su navegador o utilice otro para ver correctamente esta página.
×