Tendencias del agua en seguridad para 2023: Mayor protección de las infraestructuras

Durante el año 2021, las instalaciones de agua potable situadas en Tampa, Florida, sufrieron un ciberataque que buscaba incrementar la ratio de hidróxico sódico para provocar el envenenamiento de la población. Previamente, en 2020, estaciones de bombeo e instalaciones de gestión hídrica de Israel fueron el objetivo de sendos ciberataques mientras que, en el año 2018, la ciudad suiza de Ebikon sufrió otro ataque contra el suministro de agua a través de miles de solicitudes de software malicioso. En todos los casos, afortunadamente, se pudo hacer frente a las amenazas, bien por la pericia de los operarios, bien por los sistemas de seguridad implantados.

Se trata de ejemplos de casos conocidos que han trascendido a la opinión pública pero, cada año, aumentan los ataques que reciben las instalaciones del sector del agua, muchas veces sin repercusión, y que en ocasiones incluso no cuentan con la atención debida por parte de los gestores de las infraestructuras, lo cual es un problema grave que debe afrontarse. Este problema es común a otras infraestructuras similares relacionadas con servicios esenciales, como el suministro eléctrico, equiparable por la tipología y alcance de los ataques.

Por otra parte, la digitalización también ha traído consigo un aumento de la exposición frente a ciberataques, que también en última instancia ponen en riesgo la salud y el desarrollo de la sociedad. La hiperconexión nacida de dicha digitalización, con sus indudables ventajas, conlleva también riesgos y en los últimos años, como ocurriera en otros sectores como la banca y la energía, las operadoras han comenzado a invertir más tiempo, esfuerzo y dinero en incrementar su seguridad cibernética. Y es que la transformación digital, que es una necesidad de las empresas gestoras del agua, debe estar orientada, también, a garantizar la ciberseguridad, máxime en un sector tan necesario para el desarrollo y la supervivencia de la sociedad.

En todo caso, es necesario ir más allá de la ciberseguridad, relacionada con la implementación de soluciones tecnologías, y abordar el problema desde un punto de vista global.

¿Cuáles son los resultados de mejorar la seguridad en el sector del agua?

La aplicación de una política efectiva de seguridad en las gestoras del agua conlleva una serie de ventajas claras a tener en cuenta:

  • Preservación del agua

Es el primer punto, y el más importante a salvaguardar. Tal y como se ha mencionado previamente, implementar medidas enfocadas a la seguridad online y offline permite el acceso en plenas garantías a un bien tan necesario como escaso, como es el agua. Por supuesto, cuando se habla de seguridad de suministro, se hace también en términos de cantidad y de calidad.

  • Preservación de datos

En un momento en el que los datos han adquirido un papel protagonista, ser capaz de protegerlos íntegramente es una prioridad, y máxime en un sector como el del agua, que maneja datos sensibles de sus usuarios (datos personales, económicos relacionados con la facturación, etc.). El riesgo no solo está relacionado con el robo de información confidencial, sino también con la pérdida de información de negocio y los serios problemas que ello acarrea.

  • Mejora de la productividad

Como consecuencia de contar con infraestructuras o sistemas actualizados y protegidos, se reducen las paradas no programadas por causa de un ataque o brecha de seguridad, con la consiguiente mejora de productividad.

  • Reputación empresarial

Tal y como se ha comentado, contar con un sistema que cumpla los estándares de seguridad, tanto online como offline, permite a las empresas gestoras ofrecer a los clientes una imagen de marca de confianza, lo que se traduce en un aumento del ciclo de vida del cliente. Los problemas de seguridad son actualmente en todos los sectores una de las posibles causas de pérdida de reputación empresarial, con las consecuencias que ello conlleva.

Seguridad Trend 2

ASPECTOS A TENER EN CUENTA EN MATERIA DE SEGURIDAD

Las cuestiones relacionadas con la seguridad, y más concretamente con la ciberseguridad, llevan siendo tendencia en muchos sectores desde hace años. Y como ya se ha mencionado previamente, en un servicio esencial como es el suministro de agua, esta problemática adquiere una especial relevancia. Sin embargo, no se debe hablar solo de ciberseguridad, sino que se debe plantear desde un punto de vista más completo, que comprenda distintos aspectos que serán tendencia durante el 2023. En ocasiones se plantean situaciones y medidas básicas, pero que, por desgracia, siguen estando plenamente vigentes y suponiendo situaciones de riesgo:

  • Seguridad física de las instalaciones

Una simple estación de control remota en un depósito de distribución, sin una adecuada vigilancia y sin sistemas frente a la intrusión adecuados, puede ser el origen de un ataque que genere importantes riesgos a los usuarios. Todos los activos del sistema, sin excepción, tienen que formar parte de la estrategia de seguridad. Si, además, los sistemas de seguridad y control están conectados a los sistemas de monitorización de la explotación, se favorece el dar una respuesta rápida y ágil a cualquier incidencia.

  • Actualización y modernización

En segundo lugar, en las gestoras del agua (y en otros sectores, por supuesto), la base de la monitorización y el control de los sistemas se basa en el uso de sistemas SCADA. En algunos casos, estos sistemas llevan funcionando desde hace décadas, con protocolos y configuraciones donde originalmente la seguridad no era la principal de las preocupaciones, al concebirse como sistemas aislados, y que ahora están expuestos. Así, se siguen encontrando sistemas operativos obsoletos, sin posibilidad de actualización ni instalación de parches de seguridad frente a nuevas amenazas. Su actualización y modernización debe ser uno de los ejes de actuación de las compañías durante este año. En este caso, el empleo de aplicaciones SCADA de última generación implantadas en la nube (o en un CPD dedicado propio del cliente o de terceros convenientemente securizado) pueden resultar de gran ayuda.

  • Consolidación de la seguridad perimetral de los sistemas

Los sistemas deben estar convenientemente separados del resto de sistemas corporativos, estableciendo una o varias DMZ (Demilitarized Zones) o un esquema similar. En aquellos casos en los que los sistemas no lo permiten, debe plantearse un cambio de estrategia

  • Gateways

Algo similar se puede decir acerca de la seguridad de las comunicaciones. En vista al creciente número y tipo de nuevos dispositivos que se están incorporando progresivamente a los sistemas, no solo debe asegurarse que los gateways sean escalables, sino que además estén cifrados mediante TLS o similares. En este sentido, las plataformas IoT de las que disponen los proveedores de Cloud pueden ser una buena alternativa.

  • Hosting seguro

Es importante que los sistemas estén alojados en ubicaciones y bajo configuraciones intrínsicamente seguras. En este punto, la irrupción de los proveedores Cloud ha supuesto una auténtica revolución, y su abanico de soluciones y alternativas permite configurar fácilmente servidores con redundancia en zonas geográficas distintas, sistemas de backup y disaster recovery altamente configurables, etc. Algunas de estas medidas de seguridad estaban fuera del alcance de la mayoría de las empresas hace unos años, siendo sin embargo ahora accesibles, y a un costo razonable. Pese a ello, existe un gran número de sistemas on-premise implantados, con sus particulares necesidades (seguridad física, mantenimiento y actualización de hardware y software, posibles cortes de suministro, sabotajes, etc.), que los pueden convertir en el eslabón débil de la infraestructura de IT de una gestora. En este caso, debemos considerar como posible alternativa el empleo de sistemas híbridos, por ejemplo, haciendo respaldos de la información sensible alojada localmente en servidores del Cloud adecuadamente respaldados.

  • Cultura corporativa

Por último, es preciso hablar de los sistemas corporativos en general, tanto expuestos a terceros (usuarios, etc.) como de uso interno de la organización. Afortunadamente, la progresiva implantación de sistemas de seguridad de última generación facilita un amplio abanico de herramientas y recursos para combatir las amenazas. No obstante, es necesario ir más allá, integrándolos en la cultura de empresa gracias al esfuerzo en formación y concienciación de todo el personal, no solo del equipo de IT. En este sentido, los esfuerzos corporativos deben desembocar en la consecución de sistemas certificados en seguridad según esquemas reconocidos internacionalmente. Estos deben empezar a ser vistos como una exigencia en el sector, y ser liderados por un perfil especializado y con dedicación exclusiva dentro de las empresas.

En definitiva, la seguridad en las gestoras del agua se ha convertido en un tema capital que se debe abordar de forma paralela al proceso de transformación digital de la compañía. Esto implica no solo cuestiones relacionadas con la ciberseguridad, sino que debe también plantearse de una forma global, actualizando infraestructuras, mejorando los sistemas IT utilizados, aprovechando las últimas tecnologías disponibles, y por supuesto, realizando una labor de formación y concienciación de toda la organización.

Artículos relacionados

Smart Buildings
Blog

La gestión de los recursos hídricos en smart buildings

Los Smart Buildings se han convertido, también, en impulsores de estas smart cities; unos edificios inteligentes en los que la tecnología se ha convertido en un aliado para mejorar la gestión inteligente del agua, permitiendo monitorear y controlar su uso en el edificio.

Ver artículo