El Centro de Ciberseguridad Industrial (CCI) es una organizacin independiente, sin nimo de lucro, cuya misin es impulsar
y contribuir a la mejora de la Ciberseguridad Industrial, en un contexto en el que las organizaciones de sectores como el de
fabricacin o el energtico juegan un papel crtico en la construccin de la sociedad actual, como puntales del estado del bienestar.
El CCI afronta ese reto mediante el desarrollo de actividades de investigacin y anlisis, generacin de opinin, elaboracin y
publicacin de estudios y herramientas, e intercambio de informacin y conocimiento, sobre la influencia, tanto de las tecnologas,
incluidos sus procesos y prcticas, como de los individuos, en lo relativo a los riesgos -y su gestin- derivados de la integracin
de los procesos e infraestructuras industriales en el Ciberespacio.
CCI es, hoy, el ecosistema y el punto de encuentro de las entidades -privadas y pblicas- y de los profesionales afectados,
preocupados u ocupados de la Ciberseguridad Industrial; y es, asimismo, la referencia hispanohablante para el intercambio de
experiencias y la dinamizacin de los sectores involucrados en este mbito.
IISACA Santiago Chapter es el captulo chileno de la asociacin internacional ISACA que apoya y patrocina el desarrollo de
metodologas y certificaciones para la realizacin de actividades de Gobierno de las Tecnologas de Informacin, Auditora, Riesgos,
Controles y Seguridad de Sistemas de Informacin.
ISC2 Chapter Chile es una organizacin sin fines de lucro que tiene como misin liderar y avanzar en seguridad de la informacin
en la comunidad chilena, proporcionando a nuestros miembros y otros profesionales de la seguridad la oportunidad de compartir
conocimientos, crecer profesionalmente, educar a los dems y colaborar en proyectos.
ISBN: 978-84-947727-1-9
Primera edicin: octubre de 2017
Gold
Silver
Bronze
Estudio sobre el estado de la Ciberseguridad Industrial en Chile 5
ndice
1. PRLOGO 6 i
2. DESCRIPCIN DEL ESTUDIO 9 i
3. EMPRESAS ANALIZADAS 11 i
4. ORGANIZACIN DE LA CIBERSEGURIDAD INDUSTRIAL 13 i
RESPONSABILIDAD RESPECTO A LA CIBERSEGURIDAD INDUSTRIAL 14
GRADO DE CAPACITACIN EN CIBERSEGURIDAD INDUSTRIAL 15
8. CONCLUSIONES 28 i
9. GLOSARIO 30 i
Como buena parte de los lectores de este estudio sobre el Una de las primeras de corto plazo propuesta consiste
estado de la Ciberseguridad Industrial en Chile sabrn, el en la creacin de un Grupo de Trabajo especfico sobre
ciberespacio se est posicionado como una dimensin de la Infraestructura Crtica que establezca un marco normativo
vida cotidiana de las personas, en torno al cual se registra y de obligaciones para las infraestructuras crticas en Chile,
uno de los mayores procesos de innovacin tecnolgica en la desde un enfoque de gestin de riesgos atendida la falta de
historia de la humanidad. desarrollo que enfrentamos en este mbito.
1
Disponible en www.ciberseguridad.gob.cl
Estudio sobre el estado de la Ciberseguridad Industrial en Chile 8
Sin embargo, este incremento en el uso aumenta tambin Tambin el estudio viene a confirmar la impresin que
nuestra dependencia y vulnerabilidad frente a las redes, que existe transmitida de boca en boca sobre la falta de
hoy se expresa en la ocurrencia, cada vez ms frecuente, de profesionales especializados en estos asuntos, cuestin que
incidentes y ataques informticos. Esto nos obliga a mejorar est comenzando a ser enfrentada quizs con demasiada
los estndares de seguridad informtica del pas, a encarar demora por las instituciones de educacin superior
eficazmente los ciberdelitos, y a garantizar a la poblacin el del pas, las que ya han comenzado a ofrecer algunos
ejercicio de sus derechos en el ciberespacio. programas de posttulo en materia de ciberseguridad.
Una de las mayores dificultades que se experiment en el Con todo, el presente estudio es una prueba ms de que la
proceso de diseo de la Poltica Nacional de Ciberseguridad, adecuada gestin de riesgos en el ciberespacio en general
es la falta de informacin sobre el estado de la seguridad y en la ciberseguridad industrial en particular, requiere del
digital tanto en el sector pblico como privado, ya sea por compromiso y la accin mancomunada del sector pblico,
el bajo nivel de madurez que tenemos en este mbito como de los actores privados y de la sociedad civil organizada,
tambin por la resistencia de las organizaciones a develar de manera de prevenir, minimizar y sobreponerse a los
sus debilidades. incidentes de ciberseguridad, poniendo especial nfasis en
aquellos que afectan a las infraestructuras crticas para el
Por ello, felicitamos la realizacin de este estudio, que nos
funcionamiento del pas.
permite contar con informacin ms especfica en materia
de ciberseguridad industrial en nuestro pas, que seguro ser De ah que el desafo que enfrentamos es implementar
de mucha utilidad para precisar y profundizar el diagnstico aquellas medidas especficas de la Poltica Nacional de
del estado de la cuestin como en la implementacin de Ciberseguridad, donde la colaboracin de todos los actores
las medidas o acciones necesarias para resolver aquellas involucrados es imprescindible para que el pas siga
debilidades que afectan al sector productivo de nuestro pas. avanzando de manera segura y decidida hacia el desarrollo.
Las empresas analizadas abarcan los principales sectores El hecho de que muchas de las empresas participantes
de la economa chilena, destacando, en primer lugar, las del sean importantes industrias se debe a que, actualmente,
sistema financiero y tributario, seguidas de las del sector de son las que tienen una mayor conciencia de la necesidad de
las tecnologas de la informacin, y, en tercer lugar, las del implantar y mantener medidas de Ciberseguridad Industrial,
sector elctrico. No obstante, el estudio tambin ha incluido y se ven directamente afectadas por algn requisito legal;
otros sectores como: las ingenieras, el sector transporte adems, son las que disponen de recursos humanos
(aeropuertos, puertos, ferroviario, trfico, etc), sanitario, especializados que dan soporte a las diferentes plantas e
aguas y residuos, farmacutica, administracin pblica y instalaciones.
fabricacin, entre otros.
Entre las organizaciones industriales no existe una
manera definida de afrontar los desafos que supone
la Ciberseguridad Industrial. Uno de los principales
Sector de la organizacin a la que representa causantes de esta actitud, es todava la falta de referencias
normativas y estndares reconocidos (la Poltica Nacional
12% 12%
de Ciberseguridad recin se promulgo en abril de este ao).
De esto se deduce que el mercado, tanto las organizaciones
9% industriales, los proveedores de servicios y los profesionales
de la ciberseguridad y la automatizacin de procesos
3% industriales, necesitan legislacin y normativas que ayuden a
afrontar los desafos que supone la Ciberseguridad Industrial.
6% 27%
Tambin deber avanzarse en metodologas que permitan
3% el desarrollo de productos seguros desde el diseo y en la
3% capacidad por parte de los clientes de verificar la seguridad
3% de los componentes utilizados en sus redes y sistemas.
3%
21%
Los departamentos de TI (Tecnologas de Informacin) y
Seguridad de la Informacin, seguidos por los de Seguridad
Elctrico Administracin pblica Fsica son sobre los que ms habitualmente recae la
Sistema financiero y tributario Transporte
responsabilidad en materia de Ciberseguridad Industrial. Con
Tecnologas de la informacin Fabricacin
el fin de mejorar el conocimiento requerido para la gestin
Sanitario Ingeniera
Agua Otro de la Ciberseguridad Industrial, ser necesario fomentar
Industria Farmacutica el trabajo en equipo entre los departamentos de TI y TO
(Tecnologas de Operacin) de las organizaciones.
Grfico 1 Sectores representados en el estudio.
La capacitacin en CI es mayor en los departamentos de TI
que en el resto de reas. De aqu podra inferirse que el nexo
La variedad de sectores representados en el estudio es de unin entre TI y TO, en lo que se refiere a ciberseguridad,
producto de la heterogeneidad vigente en el ecosistema es mucho ms cercano a TI. Uno de los motivos para esto
y de la transversalidad de la Ciberseguridad Industrial, podra ser que tradicionalmente los aspectos de TI, incluida
cuyas implicaciones alcanzan a gran parte de los sectores la ciberseguridad, no han sido relevantes para OT, sin
de la industria. La presencia en el estudio de tantos embargo, hoy en da no se puede seguir manteniendo esa
sectores diferentes es muy interesante, ya que proporciona postura.
una amplitud de puntos de vista que incrementa la
Las reas que ms participan en las acciones de
representatividad y el valor de los resultados obtenidos.
Ciberseguridad Industrial son las que tienen relacin con
Las empresas participantes son principalmente importantes algn tipo de seguridad (ciberseguridad o fsica) y las
industrias chilenas y parte esencial de las infraestructuras que son conscientes de los posibles impactos que los
crticas del pas. incidentes de ciberseguridad podran tener sobre el negocio
(operaciones, ingeniera).
ORGANIZACIN
DE LA
CIBERSEGURIDAD
INDUSTRIAL
Estudio sobre el estado de la Ciberseguridad Industrial en Chile 14
RESPONSABILIDAD RESPECTO A LA
CIBERSEGURIDAD INDUSTRIAL Quin o quienes tienen en su organizacin la
responsabilidad de proteger los sistemas que
controlan procesos industriales?
Quin(-es) tiene(-n) en su organizacin la responsabilidad de proteger,
55,2%
en materia de Ciberseguridad, los sistemas de automatizacin y control
industrial?
34,5% 34,5%
27,6%
24,1%
Gran parte de las organizaciones encuestadas (55,2%) 17,2% 13,8%
10,3% 10,3%
reconocen la tarea de proteger las redes industriales, desde 6,9%
3,4% 0,0%
un punto de vista ciberntico, como una responsabilidad del
Seguridad fsica
TI corporativa
Automatizacin
de procesos
industriales
Operaciones
Seguridad de la
informacin y/o
seguridad informtica
CISO - Oficial de
seguridad informtica
CISO - Oficial de
seguridad en los SCL
Adems, la responsabilidad
est disgregada en varias
unidades organizativas
Adems, la responsabilidad
est concentrada en una
unica unidad organizativa
No existe
responsabilidad definida
Otros
rea de seguridad de la informacin y/o seguridad lgica, lo
que puede ser prueba de la mayor madurez de estas reas
en materia de ciberseguridad, frente a las reas tcnicas de
operacin industrial, u otras.
En segundo lugar, en torno a un 34,5% de las respuestas Grfico 2 Responsabilidad sobre la ciberproteccin de los sistemas de
obtenidas asignan dicha responsabilidad, a partes iguales, a automatizacin y control industrial.
las reas de Tecnologas de la Informacin corporativa (TI) y
al CISO-Oficial de Seguridad Informtica.
Un amplio 24,1% afirma que dicha responsabilidad se Cmo participan las distintas reas de la organizacin en los aspectos
encuentra disgregada entre varias unidades organizativas, de ciberseguridad?
frente a un poco significante 3,4% en el cual la
responsabilidad se encuentra concentrada en un nico En concordancia con el grado de responsabilidad en la
departamento de la entidad. proteccin de los sistemas que controlan los procesos
industriales, se observa como el rea TI tiene la mayor
Ha de tenerse en cuenta que la ms que probable diferente participacin e implicacin, seguido de las reas de T.O.
estructura organizativa de las instituciones analizadas, puede (Tecnologas de Operacin) y seguridad fsica, e ingeniera.
determinar las diferentes atribuciones de responsabilidades
para la Ciberseguridad Industrial observadas.
Es notable, en todo caso, el hecho de que un 10,3% Cmo participan las distintas reas
de las empresas encuestadas haya identificado al de la organizacin en los aspectos de
CISO-Responsable de Seguridad en los Sistemas de ciberseguridad?
Automatizacin y Control Industrial como responsable de la
materia. Sin que ello forme parte, de manera explcita, de 100%
Las reas de OT
GRADO DE CAPACITACIN EN
Los responsables del negocio estn sensibilizados con las normas y los
riesgos de la Seguridad de las redes industriales? CIBERSEGURIDAD INDUSTRIAL
Los datos muestran que la mitad de los gestores de las Cul es el grado de capacitacin de su organizacin en Ciberseguridad
empresas estudiadas (50%) se encuentran sensibilizados Industrial?
en un nivel considerado normal, frente a las normas y
riesgos en redes industriales. Un importante 27% de los La capacitacin de las empresas en materia de
gestores afirma estar muy poco sensibilizado frente a estos Ciberseguridad Industrial vara segn los departamentos.
riesgos, y en casi similar nmero (23%) considera el nivel Las empresas industriales chilenas invierten ms en la
de sensibilizacin bastante significativo. Estas cifras pueden capacitacin de los departamentos que estn directamente
permitir mejoras importantes en lo que se refiere a las relacionados con la Seguridad de la informacin (T.I.) que en
implicaciones de la direccin en la gestin de la continuidad la capacitacin de los responsables del mantenimiento de
y el buen funcionamiento de los procesos de negocio. De lo los procesos de negocio (T.O.). Existe as una inversin de
anteriormente descrito se puede concluir que el largo camino valores, puesto que el ncleo del negocio de las empresas
por recorrer en trminos de esfuerzo de concienciacin est basado en procesos productivos que son habilitados por
a nivel directivo est avanzando en Chile, en la direccin los sistemas de automatizacin y control industrial.
correcta..
60%
23%
27% 40%
20%
0%
Las reas de TI
Las reas de OT
automatizacin? 17%
60%
50%
24%
40%
30%
20%
10% 14%
0%
4%
No hemos hecho ninguna
evaluacin del riesgo
Se ha realizado evaluacin
funcional (ISA99, LPIC u otra)
ISO 27005
MAGERIT
AS/NZS - Australiana
Otro
No s
24%
0%
No s
Se planifican, disean y
ejecutan en el tiempo
Ms de la cuarta parte (34,5%) de las empresas industriales La mayora de las empresas estudiadas (65,5%) afirma
estudiadas afirman que existe una separacin total entre sus tener dispositivos que estn conectados a Internet de forma
redes, la corporativa y la industrial. permanente o temporal, mientras que un porcentaje menor
(31%) afirma que su red industrial no posee dispositivos
conectados a Internet.
La red corporativa e
industrial estn conectadas
directamente
28%
Su red industrial posee accesos remotos? En caso afirmativo en la pregunta anterior, por qu motivo?
La gran mayora de las empresas industriales estudiadas Los motivos para el establecimiento de accesos remotos
afirma que dispone de accesos remotos (75,8%). De todas a los sistemas de control industriales de las empresas
ellas, el 24,1% tiene el acceso remoto permanentemente estudiadas son principalmente el soporte y el mantenimiento
disponible para la conexin, mientras que en el 51,7% remoto de los mismos, bien a nivel del personal de empresa,
de estas empresas, los dispositivos de comunicacin se o por terceras partes (73,7%).
conectan a demanda.
24% 70%
21%
60%
50%
40%
30%
20%
10%
0%
Soporte y mantenimiento
por terceras partes
Gestin remota
Integracin con
sistemas remotos
Otros
52%
Si, permanentes
Si, solo conexin temporal por peticin
Grfico 12 Motivos para la utilizacin del acceso remoto.
No
No s
20%
Gateways unidireccionales
10%
0% IDS/IPS
NERC CIP
No
Ley de proteccin de
infraestructuras crticas
Familia ISA99
NIST 800-82
NIST 800-53
ISO 27001
ISO 22301/BS25999
Otro
Backup/ Copias de seguridad
Correlacin de eventos
Comunicaciones cifradas
Grfico 13 Normas utilizadas en la Seguridad Ciberntica Industrial
Control de aplicaciones
industriales
INDUSTRIAL negocio
Gestin de seguridad en la
cadena de suministro
Ciberseguridad Gestionada
Casi todas las empresas estudiadas afirman tener
implantado algn tipo de medida de Ciberseguridad Ninguna de las anteriores
12% 50%
40%
30%
20%
10%
19%
0%
Recomendaciones de consultores
o proveedores
Respuesta a incidentes de
seguridad
Otras
54%
15%
20%
0%
Requisitos en el Diseo
Requisitos en la
implementacin
Requisitos de arquitectura
en la red LAN
Requisitos en la operacin
Requisitos de arquitectura
de red WAN
Requisitos para
proteger informacin
En su opinin Cul ser la evolucin de cara
al futuro en inversin de recursos humanos y
presupuesto en Ciberseguridad Industrial?
19%
No s Nunca Bsicos Completos
81%
CONTRATACIN DE PROYECTOS DE
CIBERSEGURIDAD INDUSTRIAL
En su empresa, quin toma la decisin sobre contratacin de proyectos
Se incrementar
de Seguridad Ciberntica para las redes de automatizacin?
Se mantendr
Disminuir La mayora parte de las decisiones sobre contratacin de
Ciberseguridad Industrial la realiza el rea de T.I. (46,2%)
Grfico 17 Tendencia de las inversiones en Ciberseguridad Industrial. sobre quien parece que recae est responsabilidad en buena
parte de los casos, mientras que, desde los mbitos de
negocio de la organizacin, y seguridad de la informacin,
REQUISITOS PARA NUEVOS asciende la toma de decisiones de Ciberseguridad Industrial
PROYECTOS al 30,8% en ambos casos.
Cada rea
su parte
Otras reas
El rea de
seguridad fsica
El rea de
seguridad de la
informacin
El rea de
automatizacin
de procesos
El rea de
tecnologas de
informacin
No s
CERTIFICACIONES PROFESIONALES
Cules son los proveedores de Ciberseguridad para redes de
automatizacin de su empresa?
Cmo valora usted las certificaciones profesionales del equipo
En cuanto al tipo de empresa proveedora de Ciberseguridad de proveedores a la hora de contratar servicios de Ciberseguridad
para empresas industriales, el estudio muestra que Industrial?
existe cierta inclinacin por las empresas consultoras
Mayoritariamente la existencia de certificaciones
especializadas en ciberseguridad (65,4%), aunque tambin
profesionales entre el personal de los proveedores de
tienen amplia cabida entre los agentes identificados el propio
servicios de Ciberseguridad Industrial recibe una valoracin
equipo interno (26,9%) y los fabricantes de ciberseguridad
muy positiva (42,3%) o positiva (53,8%). nicamente el
(23,1%).
3,8% de las empresas no valora las referidas certificaciones.
30%
Los fabricantes de
ciberseguridad
Se proporciona internamente
4%
42%
54%
Es importante destacar la aparicin en algunas Eso es motivo, de que las tecnologas de ciberseguridad
organizaciones chilenas de la figura del responsable de ms utilizadas en las redes de control de procesos sigan
ciberseguridad industrial, siendo un claro sntoma de siendo las de uso habitual en las redes corporativas; aun
madurez. cuando tales soluciones no sean siempre las ptimas para
La mayor participacin de empresas del sector financiero el entorno industrial.
y bancario, y de tecnologas de la informacin, en el Por ello, se recomienda la adopcin de medidas ms
presente estudio permite concluir su mayor nivel de especficas para dicho entorno, tales como la elaboracin
sensibilizacin frente a estas cuestiones, pero el resto de de listas blancas de aplicaciones (whitelisting, en ingls),
sectores ha experimentado tambin un aumento de la cortafuegos industriales, las pasarelas (nos referimos
conciencia en ciberseguridad. a swiths o gateways?) unidireccionales o los sistemas
de prevencin y deteccin de intrusiones (IDPS) con
De lo anterior, se desprende, igualmente, que la
caractersticas especficas para reconocer protocolos
paulatina incorporacin de la Ciberseguridad Industrial
industriales, entre otras.
en las organizaciones se ve favorecida cuando existen
normativas y regulacin. Es muy destacable tambin que Segn el estudio se aprecian reticencias a la hora
el largo camino por recorrer en trminos de esfuerzo de de reconocer y notificar los impactos derivados de
concienciacin a nivel directivo est avanzando en Chile ciberincidentes ocurridos en las plantas industriales; a
en la direccin correcta, como as se demuestra en este diferencias de lo que ocurre en otros pases en los cuales
estudio. se dispone, incluso, de bases de datos especficas, y
compartidas, al menos sectorialmente, con informacin de
Es preocupante que casi un cuarto de las industrias del
incidentes de Ciberseguridad Industrial.
estudio no haya realizado ningn tipo de evaluacin de
riesgos, sobre todo por el tamao y nivel crtico de las Finalmente, cabe subrayar que muchas organizaciones
empresas que han respondido a este estudio. chilenas de todos los sectores de la industria tienen
previsto abordar, a lo largo del presente ao, iniciativas
Destacan en el estudio los aportes de aquellos sectores
de Ciberseguridad Industrial, lo que implicar un aumento
con mayor madurez en la adopcin de nuevas tecnologas.
de los presupuestos destinados a esta materia. Este
Experiencia que les facilitar su proceso natural de
paradigma se ve impulsado por la reciente promulgacin
acercamiento a la Industria 4.0 y junto a ello, una
de la poltica nacional de Ciberseguridad donde uno
aproximacin menos tmida a la Ciberseguridad Industrial.
de los objetivos principales es identificar y proteger la
El mercado, las empresas y los proveedores de servicios
infraestructura critica del pas.
en el mbito industrial precisan de profesionales
especializados en la ciberproteccin de los entornos de
produccin industrial. Los esfuerzos en capacitacin en
ciberseguridad, en el conjunto de las empresas chilenas
estudiadas, siguen dedicndose, principalmente, a los
departamentos de TI, en perjuicio del resto de reas de la
empresa.
GLOSARIO
Estudio sobre el estado de la Ciberseguridad Industrial en Chile 31