La defensa de profundidad es un principio de las redes industriales que hace referencia a las ventajas de proteger equipos críticos. Se hace posicionándolos detrás de varios niveles de defensa. De esta forma, dispondríamos de varias oportunidades para detectar y detener un ataque antes de que impacte los elementos críticos de un sistema. En este artículo trataremos el tema de segmentación industrial.
Segmentación de redes
La herramienta principal es la segmentación de redes. En casos avanzados, microsegmentación. La segmentación es el conjunto de equipos y técnicas que se utilizan para separar una red única en múltiples segmentos o zonas que se comunican solamente por canales o conductos identificados y protegidos.
Tipos de segmentación
Esta técnica permite reducir el perímetro atacable de cada zona. Eso es así porque las comunicaciones de entrada y salida se limitan a puntos de perímetro defendidos. Es posible crear arquitecturas más complejas, a través de:
- Segmentación vertical: separación entre zonas con diferentes niveles de privilegio.
- Segmentación horizontal: separación entre zonas con mismo nivel de privilegios, pero diferente nivel de acceso.
Microsegmentación
La microsegmentación que es reconocida en regulaciones como la IEC 62443, es la práctica de utilizar los métodos de segmentación conocidos para crear zonas independientes dentro de una red industrial clásica.
Actualmente esta técnica representa principalmente una meta adicional para la industria con un nivel más avanzado de madurez de ciberseguridad. Sin embargo, poco a poco se está convirtiendo en una herramienta esencial para la protección de sistemas de control industrial. Esto se debe a que:
- Las nuevas tecnologías facilitan su implantación.
- Mayor facilidad de gestión de una red.
- La mayor interconectividad entre sistemas industriales.
- Etc.
Conclusiones
Como resumen, se recomienda considerar las ventajas de implementar prácticas de microsegmentación durante el diseño de nuevas redes industriales. Y también a la hora de aplicar cambios o introducir nuevos equipos en redes ya existentes.
Más información en el siguiente enlace de INCIBE.
