Qué son los “Martes de parches” de seguridad para tecnología operativa (OT)

En el mundo de la ciberseguridad estamos acostumbrados a la publicación de paquetes que corrigen las vulnerabilidades detectadas en software para empresas, los conocidos como actualizaciones o «parches» de seguridad. Una de las publicaciones que ha establecido una periodicidad y continuidad de este proceso es lo que Microsoft ha denominado como “Martes de parches” (Patch Tuesday). Pero no es la única.

Señalar un día concreto para la publicación de actualizaciones de seguridad es muy útil para los equipos de defensa, que tienen así en una lista la posibilidad de revisar qué correcciones deben aplicar basándose en la criticidad del riesgo y en la aplicabilidad en sus sistemas. Por lo que esta práctica se considera una buena referencia para el mercado.

Más amenazas cibernéticas para los sistemas industriales

En este último año, donde el sector de operaciones industriales se ha visto involucradas en una creciente ola de amenazas cibernéticas, es fundamental para los equipos de ciberseguridad industrial iniciar con la apropiación de este tipo de prácticas que permite una gestión más proactiva de las amenazas encontradas en los equipos y sistemas que se usan en la industria.

El sector industrial empieza a seguir los pasos que han mostrado eficiencia del mundo TI en cuanto a la forma de publicar las amenazas detectadas en sus diferentes productos o sistemas

Existen varias entidades gubernamentales en el mundo que tienen portales donde es posible encontrar todos los días las alertas de las debilidades encontradas. El más reconocido en el mundo industrial es la publicación de CISA, pero en español sin duda la de INCIBE ha ganado mucha fuerza. En otras fuentes que unen un poco las de IT con las de OT está la de VDE de Alemania o la de ZDI en Estados Unidos.

Esta tendencia ha hecho que dos grandes empresas del sector industrial hayan empezado a seguir los pasos que han mostrado eficiencia del mundo TI en cuanto a la forma de publicar las amenazas detectadas en sus diferentes productos o sistemas.

Esta publicación no es algo nuevo en estas empresas, pero si han adoptado la buena práctica de realizar esta publicación de forma conjunta un único días del mes y siguiendo a Microsoft, tomaron el martes como el día ideal para esta publicación.

El origen de los “Martes de parches”

La primera empresa del sector industrial que opto esta práctica fue Siemens, que genero un equipo denominado ProductCERT, que integra todas las publicaciones de seguridad de la empresa desde 2011 y donde el segundo martes de cada mes se publica de forma conjunta las vulnerabilidades detectadas o actualizadas en cada mes.

Esta práctica inicia en los primeros meses de 2021, consolidándose como la publicación esperada por los equipos de seguridad industrial y que en promedio cada mes publica 30 vulnerabilidades entre nuevas y actualizaciones. En el mes de julio de 2022 se publicaron 34 alertas de las cuales 20 son nuevas y 5 de estas nuevas calificadas como de riesgo crítico.

La otra empresa del sector que se unió a esta práctica es Schneider Electric, que desde principios de 2020 tiene creado su portal de publicaciones de seguridad, pero que hace pocos meses inicio a publicar de forma unificada las vulnerabilidades los martes. En el mes de julio de 2022 publicaron 8 alertas críticas en diversos dispositivos.

Estas publicaciones no son las únicas que se hacen. Si entre el periodo establecido surge alguna alerta crítica esta se publica en el portal y se anuncia de varias formas en Internet, lo que además permite garantizar que los equipos de defensa cibernética de las empresas tengan un clara la importancia de la aplicación inmediata de estos parches.

Conclusión

Como conclusión, las buenas prácticas que han funcionado en el mundo IT ahora están siendo adoptadas por el mundo de OT, aunque el acercamiento a la gestión y corrección de vulnerabilidades es completamente diferente, el poder tener esta fuente de alertas tempranas permite tener el plan de recuperación de incidentes mucho más preventivo que solo reactivo.

El sector industrial está migrando rápidamente a sistemas y servicios cada día más similares a los que tradicionalmente se trabajaban en IT, con varias diferencias y particularidades del sector, pero donde se pueden implementar y aprovechar las ventajas de las buenas prácticas que han evolucionado en ciberseguridad de IT.