MÓDULO Edición: Septiembre 2023 - Enero 2024

Entornos Ubicuos: SCADA, Móviles e IICC

ASIGNATURA
6 ECTS

Carácter Obligatorio

Curso 2023/24

Cuatrimestre 2º

Idioma en que se imparte Castellano

Requisitos previos Ninguno

Sara I. González
Especialista en Ciberseguridad
Profesora
Ingeniera Técnico Industrial
[email protected]

Caso práctico grupo

 Índice
Introducción 3
Objetivos 3
Formato del trabajo 3
Supuesto 4
Algunos datos de las infraestructuras de “Aguas del Lago Azul”
Proceso Industrial 5
Edificio de Oficinas Centrales 6
Sistema de telefonía móvil 6
Equipos informáticos de Gestión 7
Servidores y Servicios IT 7
Redes de Comunicaciones IT 7
Cuestiones que te pueden ayudar 8

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 2
 Introducción
De un tiempo a esta parte, cada vez son más los dispositivos que se gestionan en una empresa:
móviles, portátiles, tablets, etc.; lo mismo sucede con las redes que se deben administrar: redes
locales, cloud, redes industriales, etc.

El aumento de productos y servicios de TI externos, la hiperconectividad de las cosas (Internet

of Everything) y las políticas de BYOD (Bring your own device) ó BYOE (Bring your own
everything) incorporan nuevos escenarios y retos a los responsables de la gestión de la
ciberseguridad en la empresa.

La aplicación de tecnología de información (IT) en el entorno operacional (OT), hace que los
sistemas y dispositivos del proceso industrial se integren en redes industriales como parte de
las redes de la Organización. Los activos industriales presentan vulnerabilidades que hay que
protegerlos de potenciales amenazas cibernéticas

Objetivos
El objetivo de este trabajo es evaluar los conocimientos adquiridos durante la asignatura actual
y las que ya lleváis cursadas, para aplicar políticas, controles de seguridad y gestionar los
posibles riesgos que supone la incorporación de dispositivos conectados a Internet en la
empresa, así como la convergencia que está teniendo lugar en los ICS en las redes OT vs las IT
que ya dominamos.

Formato del trabajo

El grupo deberá considerar los activos que dispone la Organización, un estudio de los riesgos,
políticas, estrategias y controles de seguridad que se deberían aplicar para poder gestionar los
riesgos derivados de las nuevas tendencias de hiperconectividad en las redes empresariales. La
superficie de exposición es cada vez mayor, por lo que los vectores de ataque se multiplican.

El alumno deberá asumir el papel de CISO de una empresa que se enfrenta al reto de gestionar
la seguridad según los datos expuestos en el punto siguiente SUPUESTO, podéis definir roles
dentro del grupo de trabajo.

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 3
 El trabajo no se valorará por su extensión, sino por la capacidad del alumno de evaluar y
gestionar los riesgos asociados al uso de sistemas de telefonía distintos, diferentes dispositivos
ubicuos perfilados en el tema 1 de la asignatura, así como otras problemáticas que iremos
viendo durante el curso relacionadas con políticas de BYOD/BYOE, así como de los riesgos
derivados del uso del Cloud y de la administración remota de sistemas y redes industriales, así
como la conexión de las redes OT con las redes IT.

La entrega se tratará de un documento basado en plantilla, del que os proporciono una (similar
a la que usareis cuando desarrolléis vuestro TFM). La extensión del trabajo no debe ser superior
a 20 hojas.

Supuesto
El grupo empresarial “Aguas del Lago Azul” acaba de abrir una nueva planta embotelladora de
agua mineral en Castromurdielo, y ha sido anunciada en una rueda de prensa como una
referencia para las plantas embotelladoras del país ya que cuenta con las últimas tecnologías
en su planta industrial, con multitud de procesos automatizados permitiéndole una capacidad
de 44.000 botellas por hora para el formato de 2L.

La dirección de la empresa mantiene un compromiso con sus clientes basado en el uso de

procesos sostenibles, y garantizando siempre el cumplimiento de los máximos estándares de
calidad y seguridad en materia alimentaria.

Ante el nuevo reto empresarial, el director del grupo “Aguas del Lago Azul” ha decidido
contratarte a ti como responsable del área de Seguridad de la Información y te ha trasladado el
compromiso que tiene la empresa con sus clientes.

De igual forma el director, el Sr. Antonio Pérez Flores ha solicitado expresamente el deseo de
apoyarse en las nuevas tecnologías como eje vertebrador para el crecimiento de la empresa y
la exploración de nuevos mercados asegurando siempre el cumplimiento de los requisitos de
seguridad alimentaria, calidad y sostenibilidad.

Otros de los objetivos que te ha marcado el Sr. Antonio Pérez Flores es implantar medidas de
seguridad a los sistemas TI/OT de la compañía para garantizar su correcto funcionamiento y
evitar hechos delictivos mediante los medios técnicos que sean necesarios.

Esta preocupación viene fundada tras las últimas noticias aparecidas en los medios de
comunicación sobre ciberataques y el Sr. Antonio Pérez Flores ha mostrado su temor a que la

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 4
 compañía sea objeto de un ciberataque para manchar su fantástica reputación y trayectoria en
el mercado.

Algunos datos de las infraestructuras de “Aguas del Lago Azul”

En las oficinas trabajan más de 350 personas, y aproximadamente 150 en la planta industrial en
turnos rotativos cubriendo un horario de 24x7x365.

Proceso industrial
La planta embotelladora está controlado por un conjunto de controladores lógicos
programables, de diferentes proveedores, cuya finalidad es recoger datos, procedentes de los
instrumentos y sensores de campo instalados que permiten la lectura de las variables de
proceso y basado en el control lógico definido en el controlador programable, actuar sobre
elementos de salida, y así controlar el proceso automatizado.

Se dispone de un PLC por cada una de las líneas de producción, interconectados en una red
industrial, para integrar todo el proceso de embotellado en un sistema SCADA único y local de
supervisión para todas las líneas.

Se dispone de un sistema integrado de seguridad (SIS), para asegurar que el proceso se lleva a
condiciones seguras, en caso de que se produzca un fallo en el control automatizado de proceso

Este sistema está basado en un controlador lógico programable, independiente al de proceso,

y con instrumentación específica.

Las fuentes de agua natural de donde se extrae el agua que posteriormente será embotellada
existen unos sensores que permiten conocer el caudal del agua.

La nueva planta embotelladora de “Castromurdielo”, se integra como el resto de plantas

embotelladoras del Grupo, en un centro global de operaciones, control y supervisión, localizado
en Oficinas Centrales, que permite la supervisión general, monitorización y control de todas las
instalaciones de producción.

Además, este Centro, permite planificar la producción de cada planta embotelladora para
optimizar rendimientos, por lo que dispone de un sistema de historización de datos de proceso
(MES), en tiempo real, que recopila datos de las líneas de producción y los sirve a otros sistemas
del negocio, interconectando el entorno de Operaciones con el de Gestión del Negocio, para
planificar las producciones locales y ajustarlas a las demandas de los clientes

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 5
 Los sistemas SCADA locales y los de supervisión están basados en Windows 7 y Windows 10,
con aplicaciones específicas desarrolladas para los objetivos de control automatizado
definidos, que requieren ser actualizadas con frecuencia para su adaptación a los
requerimientos de proceso.

Operadores de Planta y Mantenimiento son los responsables de la operación y mantenimiento

del proceso, respectivamente, así como de los sistemas de control.

Las redes de control están basadas en protocolos Ethernet/IP y la comunicación entre

controladores y SCADA utiliza protocolo OPC-DA, así como con el Centro de Operación Global
y con el sistema de histórico de datos (MES)

La empresa que realizó la instalación del sistema industrial nos indicó que disponen de un
sistema de soporte que les permite acceder a través una conexión remota desde sus oficinas a
la red industrial para conocer el estado de los sistemas de control de proceso de planta de
forma que en caso de avería nos lo notificarán para tomar acciones.

Edificio Oficinas Centrales

En un intento de modernizar la empresa y ser más eficiente, esta dispone de sensores de
presencia, sensores de luz. De igual forma también dispone de un sistema domótico para
gestionar los ascensores y la climatización de la empresa, conectado a una consola central
desde donde lo gestiona el equipo de mantenimiento.

Sistema de telefonía móvil

El Sr. Antonio Pérez Flores se ha declarado en varias ocasiones ser un “fan incondicional” de
Apple, y siempre lleva consigo su iPhone 13 y su iPad Pro a todas partes con el que siempre está
conectado y desde el que cierra los tratos con sus clientes internacionales.

El comité de dirección de la empresa lleva siempre la última versión de iPhone y una Tablet tipo
iPad desde donde pueden consultar el correo, acceder al dashboard que refleja la evolución del
negocio en tiempo real, datos financieros, además de acceder también a Internet siempre
mediante su conexión 4G que les permite estar siempre “online”.

Los mandos intermedios disponen de teléfonos Android y tablets Android.

La fuerza comercial, que está viajando continuamente por toda España y Portugal, dispone de
teléfonos y tablets Android y portátiles.

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 6
 Desde la dirección, para poder dar facilidades a sus empleados, les permite (a los que lo deseen)
traer su propio dispositivo móvil y/o portátil para conectarse al correo electrónico y a la red
empresarial.

Equipos informáticos de Gestión

El parque informático de la compañía está compuesto en su totalidad por equipos portátiles.
Muchos de los trabajadores para poder continuar su trabajo se llevan el dispositivo a casa y lo
conectan a su red de casa.

Además, la compañía ha detectado que en ocasiones muchos empleados acceden al correo

corporativo desde sus dispositivos personales (tablets, móviles, …)

Los comerciales, que como dijimos anteriormente siempre están viajando, llevan consigo sus
portátiles y sus dispositivos móviles (Tablet, Smartphone) siempre consigo. Además, por su
trabajo indican que siempre llevan encima tarifas de precios, y datos “sensibles” de la empresa.
Por otro lado, muchos de ellos confiesan conectarse siempre a las wifis de las estaciones de
tren, aeropuertos y hoteles para consultar el correo personal o navegar por internet en su
tiempo libre.

Servidores y Servicios IT
La compañía dado que está en un proceso de crecimiento tiene la mayoría de sus servicios en
Cloud (Microsoft Azure) ya que le permite mayor flexibilidad a la hora de crear nuevos
servidores sin tener que invertir en el CPD actual.

● Su sistema de correo electrónico es Office 365

● Utilizan Microsoft One Drive para almacenar e intercambiar información entre los
empleados. Y en general toda la suite M365

● Para la gestión de los usuarios y la identidad la empresa dispone del servicio de Active
Directory en on-premise conectado con el cloud de Microsoft Azure.

Redes de Comunicaciones IT
● La compañía dispone de una red inalámbrica (Wifi) para dar servicio a sus empleados y
visitantes

● Una conexión VPN para enlazar con el servicio Cloud de Microsoft

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 7
 ● Actualmente no dispone de Proxy de navegación ni VPN para que los empleados
puedan conectarse

Cuestiones que te pueden ayudar

Algunas preguntas que te ayudarán a centrar tus acciones como nuevo máximo responsable de
la Seguridad de los Sistemas de Información:

1. ¿A qué riesgos me enfrento estando mi empresa situada en el sector alimentario?

2. ¿Qué riesgos destacarías después de leer el supuesto y de conocer a grandes rasgos la

compañía?

3. ¿Qué estructura documental te ayudará a conseguir tus objetivos como CISO?.

4. ¿Cuál sería la organización de seguridad que montarías para implementar las medidas
necesarias?.

5. ¿En qué niveles de la pirámide de “Purdue”, se localiza cada activo industrial de la

planta?

6. ¿Cómo clasificarías cada activo en cuanto a criterios de confidencialidad, integridad y

disponibilidad?

7. ¿Cuáles pueden ser las vulnerabilidades de cada activo industrial?

8. ¿Es segura mi red industrial?

9. Identifica zonas y conductos para segregar las distintas redes de la organización y qué
dispositivos de red (switches, routers, firewalls,...) instalarlas

10. ¿Cuál sería la propuesta de arquitectura de seguridad para todas las partes de la
empresa?.

11. ¿Qué solución propondrías para dotar de unas garantías mínimas de seguridad al tráfico
(acceso remoto, tráfico de empleados…).

12. ¿Alguna vez se ha evaluado la seguridad de los sistemas IT/OT?

13. ¿Qué medidas adoptarías para proteger los dispositivos móviles de la compañía? ¿y los
portátiles?

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 8
 14. ¿Qué medidas adoptarías para proteger los activos y las redes industriales de la
compañía?

15. ¿Que requerirían al proveedor externo de soporte de los PLCs para acceder
remotamente?

16. ¿Cuál sería tu propuesta para la gestión de las ciberamenazas (ciberinteligencia, CSIRT,
Red Team)?.

17. En caso de un incidente, ¿existe un Plan de Respuesta a Incidentes? ¿Existe un Plan de

Resiliencia?. ¿Que deberían contener dichos planes?

18. ¿Cuál sería tú propuesta para la implementación de un Plan de Continuidad de

Negocio?.

19. ¿Cómo sería la política de backups propuesta?.

20. ¿Cómo gestionarías el riesgo con los proveedores?.

21. ¿He perdido “gobernabilidad” sobre mis sistemas?

22. ¿Están seguros mis datos en el cloud?

23. ¿Es seguro utilizar Microsoft One Drive para el intercambio de información?

24. ¿Qué pasa si pierdo la conectividad de mi sistema Active Directory con el Cloud?

25. ¿Es seguro mi proveedor de cloud? ¿qué garantías de seguridad me ofrece? ¿Y qué
normativas cumple?

26. ¿Los empleados de la Organización están concienciados y formados sobre

ciberseguridad?

27. ¿Cómo gestionarías el control de acceso físico?.

Después de las noticias aparecidas en los medios de comunicación sobre WikiLeaks, fake news,
etc. la dirección está muy preocupada, ¿deberías tomar medidas adicionales? ¿Son suficientes
las medidas adoptadas actualmente por la compañía?

Tema 1
Entornos Ubicuos: SCADA, Móviles e IICC 9