'Zero trust', sistemas heredados y cadena de suministro: los focos de Siemens para garantizar la ciberseguridad de sus sistemas

Siemens ha estado trabajando para estar al tanto de las vulnerabilidades encontradas en sus productos, pero lo que es más importante, para garantizar la seguridad de sus operaciones internas. El gigante de la fabricación que trabaja en diferentes líneas de negocio, incluyendo industrial, infraestructura inteligente, atención médica, servicios financieros, está protegiendo sus sistemas centrándose en tres áreas principales: zero trust, cadena de suministro y sistemas heredados o legacy.

Siemens ha crecido exponencialmente a través de adquisiciones en sus 166 años y emplea a más de 300.000 personas. Las adquisiciones implican integraciones de sistemas y a menudo pueden conllevar riesgos de ciberseguridad.

"Somos una empresa de empresas", explica a CSO Helen Negre, que recientemente asumió el cargo de directora de ciberseguridad de Siemens Estados Unidos. Esto significa que es difícil crear una única estrategia de ciberseguridad para toda la empresa, explica.

No es un momento fácil para ser responsable de ciberseguridad, y Siemens está en el punto de mira de los atacantes avanzados porque está muy implicada en el espacio de las infraestructuras críticas. "Si nombras una infraestructura crítica, probablemente tengamos algo que ver con ella", explica Negre a CSO. "Y con el panorama político y cibernético actual, vemos actividad... tenemos miles de millones de eventos al día que tenemos que gestionar".

Qué significa zero trust para Siemens

Siemens no está sola cuando se trata de poner la confianza cero (zero trust) en lo más alto de su agenda de ciberseguridad. Según Forrester, el 83% de las grandes empresas globales se han comprometido con la adopción de zero trust. Una encuesta realizada en 2022 por Okta reveló que el 55% de las organizaciones ya han puesto en marcha una iniciativa de zero trust, y el 97% tiene previsto hacerlo en los próximos 12 a 18 meses.

En Siemens, zero trust significa microsegmentación, seguridad perimetral, gestión estricta de identidades y aplicación estricta de políticas.

Siemens está adoptando un enfoque de tres niveles para el zero trust. La primera fase es la formación, la creación de una hoja de ruta, la identificación de las aplicaciones y los activos que deben protegerse, y la elaboración de una definición compartida de lo que significa zero trust para cada organización de la empresa.

"Parte de ello ha sido una mentalidad cultural", dice Negre. "Eso incluye conseguir que la gente de todos los niveles de la organización entienda qué es zero trust, por qué es importante y cómo reduce el riesgo, y elaborar una hoja de ruta con hitos concretos para cada una de nuestras organizaciones".

El objetivo era crear un marco de confianza cero junto con cada una de las líneas de negocio. "Así que no es la ciberseguridad viniendo a la organización y diciendo: 'Debes hacer esto y tienes esta cantidad de tiempo para hacerlo'".

Esta primera etapa de la transición al zero trust ya se ha completado, dice. Siemens está pasando ahora a la segunda fase y a la tercera.

La segunda fase consiste en abordar todos los "frutos maduros" de la hoja de ruta del zero trust, centrándose en proyectos que se ejecutarán en un plazo de seis a doce meses.

A continuación, la tercera fase incluiría proyectos a más largo plazo. Algunas de las líneas de negocio de Siemens pertenecen a sectores muy regulados. "Podría requerir una transformación más lenta y deliberada", afirma Negre. Y luego están los sitios con dispositivos legacy que necesitarán una inversión significativa antes de que se haya realizado la transición completa al zero trust.

La dificultad de proteger el hardware legacy

En entornos industriales y sanitarios, es habitual encontrar hardware antiguo que no se diseñó para funcionar en un mundo conectado y que, desde luego, no es compatible con los principios de zero trust.

"En los entornos de fabricación, el ciclo de vida de los equipos es bastante largo. Si tienes un proyecto en una industria que no ha cambiado mucho en 40 años, lo que estás heredando, especialmente en adquisiciones, podría ser algo que tu padre o tu abuelo podrían reconocer", dice Negre.

Según ella, entre el 1% y el 2% de las fábricas de Siemens son las más modernas, fábricas inteligentes actualizadas construidas en torno a principios de ciberseguridad. Otro 1% o 2% son reliquias del pasado. El resto se encuentra en algún punto intermedio.

Ya sea trabajando con unidades de negocio internas o con clientes externos, "tenemos que encontrarnos con ellos donde están", dice Negre. "Y a veces se trata de una máquina antigua que ha funcionado perfectamente durante 30 años. ¿Cómo seguimos adelante y proporcionamos conectividad, lo hacemos de forma segura y transformamos esto en zero trust?".

Si se trata de un entorno de fabricación, las máquinas pueden estar funcionando todo el tiempo y no se pueden apagar para parchearlas. Además, algunos de estos equipos tienen software a medida, dice, creado para ese lugar en particular. Poner una capa de seguridad alrededor de estos equipos es sólo una medida provisional. "No confiamos únicamente en eso", afirma.

Aunque la envoltura de seguridad tenga conectividad y un firewall, no se considera suficiente para cumplir las normas internas de Siemens. "Tendría que cumplir nuestros estándares de contraseñas y autenticación, nuestros estándares de microsegmentación".

La mejor opción es arrancar y sustituir, que es lo que Siemens está haciendo con el tiempo. Pero, al fin y al cabo, todo tiene que pasar por el zero trust, dice. "Si no queremos que esta máquina funcione como lo hacían nuestros abuelos, tenemos que tener conectividad, pero tenemos que añadirla de forma segura".

Seguridad en la cadena de suministro

Asegurar los sistemas internos y los equipos legacy es sólo la mitad de la batalla de la ciberseguridad. La estrategia zero trust de Siemens también se extiende a todos sus proveedores. Según el informe de la industria de ciberseguridad 2022 de Bulletproof, el 40% de las amenazas cibernéticas ahora se producen indirectamente a través de la cadena de suministro. "Tratamos con proveedores que no están preparados para la confianza cero", dice Negre. "Ya sea una aplicación que aún no está allí, o una solución SaaS que aún no alcanza ese nivel".

De hecho, Siemens tiene una iniciativa completamente separada sobre la seguridad de la cadena de suministro, de la cual el zero trust es solo una parte. "Y gran parte de ella consiste en identificar qué proveedores cumplen nuestros criterios de ciberseguridad de vanguardia", afirma.

Si no cumplen los criterios, Negre afirma que están clasificando a todos los vendedores por categorías y manteniendo conversaciones sinceras con sus empresas internas. "Este vendedor en particular, este proveedor en particular, puede ser demasiado arriesgado para la organización y puede que tengamos que encontrar una alternativa".

No hay un solo factor que haga que un proveedor sea demasiado arriesgado, dice. "Evaluamos la tecnología de forma holística, basándonos en una serie de criterios, como las normas mundiales de ciberseguridad, la información de acceso público sobre sus vulnerabilidades y los ciberincidentes recientes", afirma. También se puntúa a los proveedores en función de su postura de seguridad en áreas como la seguridad física, de los puntos finales y de la nube.

Disponer de alternativas también es especialmente útil cuando se trata de infraestructuras críticas y proveedores únicos. "Últimamente se ha convertido en un problema en muchos sentidos. Hay un empuje para encontrar cierta diversidad en el paisaje, no sólo desde una perspectiva de ciberseguridad, sino una perspectiva de disponibilidad".

Otro aspecto clave de la seguridad de la cadena de suministro es exigir a los proveedores que proporcionen listas de materiales de software (SBOM). Existen requisitos normativos para las SBOM en algunos de los negocios de Siemens. Además, la empresa tiene profundos lazos con Europa, y la próxima Cyber Resilience Act (CRA) exigirá SBOM para la mayoría de las infraestructuras críticas.

"Y a veces tenemos productos diseñados aquí y vendidos en Europa, o diseñados allí y vendidos aquí, así que tenemos que asegurarnos de tener definidas todas nuestras dependencias en la medida de lo posible", añade Negre.

Prepararse para nuevas normativas y estrategias en todo el mundo

La CRA europea es sólo uno de los cambios normativos a los que Siemens presta atención. En Estados Unidos ha habido varias iniciativas nuevas en materia de ciberseguridad, la más reciente la nueva Estrategia Nacional de Ciberseguridad.

También en marzo, la Administración de Seguridad en el Transporte publicó una directiva que exige una mayor ciberseguridad en el sector de la aviación. "Es un lugar dinámico. Estamos averiguando exactamente cómo se aplica a nuestro mundo y abogando en la medida de lo posible con nuestros socios para que, con un poco de suerte, tengamos una legislación práctica sobre ciberseguridad que puedan aplicar no sólo las grandes organizaciones como nosotros, sino también las organizaciones que están por debajo del umbral de pobreza cibernética". Esas otras organizaciones podrían ser proveedores de Siemens, o clientes externos, dice.

Siemens también está comprometida a trabajar con organizaciones gubernamentales y Centros de Análisis e Intercambio de Información (ISAC), dice, no sólo en los EE.UU., sino en todo el mundo. "La clave para nosotros como organización es construir relaciones. En todos los países en los que estamos presentes, probablemente tenemos una relación con el gobierno que nos permite compartir información y hacernos una idea de cuál es la amenaza específica para ese país".

La empresa trabaja principalmente a través de grupos de intercambio de inteligencia público-privados, como los diversos ISAC. "También trabajamos con organismos gubernamentales como CISA, NIST, el FBI y muchos más para compartir conocimientos, recibir información y asegurarnos de que cumplimos todos los requisitos normativos", afirma. Esto también ayuda a crear un ecosistema de ciberseguridad más seguro para todas las empresas.

El equipo de ciberseguridad de Siemens estudia las amenazas futuras

También se avecinan grandes cambios tecnológicos. Uno de ellos, la computación cuántica, que algunos esperan que tenga el potencial de dejar obsoleta toda la encriptación actual. Es una amenaza real, dice Negre, pero no necesariamente inminente.

"La computación cuántica lleva diez años en el horizonte, y se dice que va a ocurrir en cualquier momento", explica. "Los ordenadores realmente capaces de actuar en este espacio son bastante limitados. Aún no se han producido los algoritmos. Todo el mundo debería prepararse para esto, pero no es necesariamente el número uno de su agenda".

Otra tendencia que ya está aquí es la de la inteligencia artificial (IA). Siemens tiene su propio equipo de investigación y científicos de datos en esta materia. "Nos ayuda a trabajar de forma más eficiente", afirma. "Si no lo estás usando en tu programa cibernético, tal vez deberías evaluarlo, tal vez en la automatización o en la remediación. ¿Qué se puede hacer utilizando la IA que pueda sustituir parte de este esfuerzo manual, para que tus expertos clave puedan estar libres para trabajar en las cosas grandes?".

Con más de mil millones de eventos al día, Siemens ha tenido que construir sus propias soluciones, pero también trabaja con proveedores externos para integrar sus soluciones en su entorno. "Algunos de nuestros negocios han sido bastante públicos en la forma en que están utilizando la IA para autoremediar tickets y para impulsar algunas de nuestras innovaciones de ciberseguridad", dice. "Estamos analizando todas las versiones de IA y descubriendo la mejor manera de utilizarla en nuestra organización".

Siemens no utiliza actualmente ChatGPT de OpenAI a nivel interno debido a la preocupación por la seguridad de las comunicaciones. "Tenemos nuestra propia versión que hemos animado a los empleados a utilizar", dice. "Es una solución interna".