se han producido o no como parte de una operación rutinaria. En el primer caso, la alarma se «reconoce» y no se tendrá en cuenta. La ventaja de esta metodología es que funciona independientemente de las firmas. Aun así, existe el riesgo de que acepte las actividades de software malicioso que ya estaba en la red de OT antes de que comenzara la fase normal de aprendizaje. El largo proceso de aprendizaje requiere mucho tiempo, recursos y costes. Metodología basada en especificaciones Por lo general, existen especificaciones adecuadamente documentadas para los sistemas (archivos IEC 61850 SCL, listas de señales, listas de direcciones IP). Estas especificaciones describen exhaustivamente el sistema y sus comunicaciones. La información sobre el sistema se transmite al IDS, haciéndolo operativo de inmediato. Analiza inmediatamente todo el tráfico de datos y evalúa si estas comunicaciones están permitidas en el modelo del sistema, lo que permite la detección eficaz y rápida de posibles ataques y defectos funcionales. No hay necesidad de una fase de aprendizaje que requiera mucho tiempo ni de asegurarse de que las firmas están actualizadas. Cuando se comparan directamente estas metodologías, las soluciones basadas en listas de elementos permitidos son preferibles para las redes OT del sector energético porque requieren un esfuerzo de implementación mínimo. Un conocimiento a fondo de los procesos utilizados (pruebas de protección, trabajos de mantenimiento, etc.) facilita mucho el día a día de los empleados de informática y OT, y ayuda a conservar los recursos de personal. Ciberseguridad informática ≠ Ciberseguridad OT Sin embargo, las tres opciones de detección de intrusión tienen algo en común a nivel de red: Tienen que integrarse en las redes de procesos de los operadores de forma pasiva y no reactiva. Esto revela una diferencia clave entre estos sistemas de seguridad y los sistemas de ciberseguridad de la informática clásica (de oficina). En las redes de control de OT, es esencial que los comandos de conmutación de los relés de protección no se retrasen. Por ejemplo, es habitual que en 24
RkJQdWJsaXNoZXIy NTkxNzY=