Si usted es responsable de la seguridad de los dispositivos conectados sobre el terreno, ya sean sensores industriales, controladores o puertas de enlace, probablemente haya sentido esta tensión:
¿Cómo reforzar la seguridad y cumplir nuevas normativas como la Ley de Ciberresiliencia (CRA) sin detener las operaciones, reescribir el firmware o gestionar un lío de herramientas criptográficas?
La mayoría de las organizaciones ya están al límite para mantener en línea los sistemas heredados, por no hablar de actualizarlos para que cumplan las normativas, sean fiables y resistentes.
Este blog analiza lo que la CRA exige realmente a los fabricantes de dispositivos, fabricantes de equipos originales y operadores, y cómo responder con PKI escalable, automatización de certificados y orquestación de dispositivos sin intervención.
Aprenderás a:
- Detectar carencias en la gestión de identidades, el cifrado y la actualización segura.
- Aumentar la ciberresiliencia de los sistemas nuevos y obsoletos
- Automatice la confianza a escala con la solución Keyfactor + Symmera
- Y todo ello sin añadir fricción a las operaciones existentes.
Vamos a ello.
Qué significa la Ley de Ciberresiliencia para los dispositivos conectados
La CRA introduce requisitos de seguridad obligatorios para los productos con elementos digitales, incluidos desde dispositivos IoT de consumo hasta sistemas de control industrial. Los fabricantes y operadores deben garantizar:
- La seguridad por diseño se aplica en la arquitectura del producto
- Disponibilidad de actualizaciones de software seguras y gestión de vulnerabilidades
- Se puede establecer y mantener la identidad y la confianza en los dispositivos
- Seguridad del ciclo de vida y capacidad de actualización de los productos, incluso después de su despliegue
En la práctica, esto significa replantearse cómo se incorporan, actualizan, autentican y auditan los dispositivos, sobre todo en entornos fragmentados o con recursos limitados.
Retos comunes: Detectar las lagunas
Muchas organizaciones se enfrentan a obstáculos similares cuando intentan cumplir estas expectativas:
Redes y autenticación
- La convergencia de diversas redes empresariales de TI y OT con diferentes niveles de restricciones y conectividad (por ejemplo, inalámbrica, Ethernet).
- Autenticación de dispositivos mediante protocolos de transporte seguros (por ejemplo, SSL)
- La implantación de flujos de trabajo de autenticación y tipos de certificados varía en función del protocolo y de la fase del ciclo de vida del dispositivo, desde la incorporación hasta la retirada.
Desarrollo de infraestructuras de clave pública (PKI)
- Integración con una PKI pública o implantación, configuración y gestión de una PKI privada
- Gestión de ICP dispares entre dominios en fábricas de OEM y entornos de producción de usuarios finales
- Generación de claves y solicitudes de firma de certificados (CSR) tanto en el servidor como en el cliente
Diseño y aplicación de soluciones
- Prevención de interrupciones del servicio debidas a la expiración de certificados de corta duración o a la revocación de certificados activos en uso debido a indicadores de compromiso o a requisitos de las políticas de seguridad.
- El aumento o la reducción elásticos de la escala en entornos IoT en los que están interconectados millones de tipos de dispositivos dispares y de múltiples proveedores requiere una plataforma de servicios extensible.
- Ubicuidad en dispositivos con recursos limitados, con poca memoria de código disponible y poco espacio de almacenamiento de datos.
- La implementación de certificados complejos y pilas de gestión de claves en dispositivos de clase IoT puede requerir una amplia reingeniería, y la diversidad en las bibliotecas de protocolos de transporte subyacentes introduce desafíos técnicos.
- Utilizar el aprovisionamiento tardío de certificados de nacimiento y de unión en la fábrica para reducir la acumulación previa al pedido y la probabilidad de certificados caducados en los envíos o el aprovisionamiento previo justo a tiempo por parte de operadores de usuarios finales que requieren métodos de cero intervención para la escalabilidad y la automatización con el fin de reducir los errores humanos.
Diseño de productos
- Identificación de dispositivos con identificadores inmutables y verificables
- Protección de artefactos criptográficos en dispositivos de campo autónomos para el no repudio y la detección de clones.
- Riesgos cibernéticos derivados de claves locales y almacenes de confianza débiles o desprotegidos.
- Explotación de certificados no protegidos y claves privadas por aplicaciones no autorizadas.
Gestión del ciclo de vida de dispositivos y certificados
- Detección de dispositivos e incorporación segura a escala
- Gestión automatizada del ciclo de vida de artefactos criptográficos en dispositivos IoT
- Distribución segura de contenidos a dispositivos heterogéneos con manifiesto de firma para verificar la confianza
- Recopilación de datos de dispositivos para inteligencia operativa y gestión de riesgos
Abordar estos retos es fundamental. En primer lugar, para cumplir los estrictos requisitos de la Ley de Ciberresiliencia y, en segundo lugar, para construir una base escalable y fiable para la seguridad de los dispositivos que siga el ritmo del crecimiento de los ecosistemas IoT y OT.
Creación de una arquitectura ciberresiliente: Por dónde empezar
Para crear una ciberresiliencia a escala, las organizaciones deben establecer tres pilares:
- Identidad de dispositivos de confianza con PKI. PKI proporciona la base para la identidad de dispositivos y la comunicación cifrada.
- Utilice certificados digitales para la incorporación segura y el establecimiento de la confianza
- Emitir certificados de nacimiento, unión y plataforma durante las distintas fases del ciclo de vida del dispositivo.
- Apoyo a la firma de código para asegurar la procedencia del firmware y el software
- Gestión del ciclo de vida de los certificados (CLM). Sin visibilidad ni automatización, los certificados son una bomba de relojería.
- Implantar CLM para el despliegue de PKI públicas y privadas
- Automatice las alertas de caducidad, las renovaciones, las revocaciones y los registros de auditoría.
- Distribución de claves y gestión del ciclo de vida de los certificados con seguridad cuántica
- Reduzca las interrupciones, minimice los errores humanos y obtenga un control criptográfico del inventario.
- Orquestación de dispositivos segura y escalable. La orquestación de dispositivos debe funcionar en condiciones reales, desde la nube hasta la fábrica.
- Utilice el aprovisionamiento sin intervención y la emisión tardía de certificados para evitar envíos con credenciales caducadas.
- Obtenga visibilidad en tiempo real de las operaciones sobre el terreno mediante metadatos a nivel de dispositivo y aplicación, esenciales para la observabilidad y el control remoto.
- Gestión de la cadena de suministro de software con inspección de riesgos de contenido y flujos de trabajo controlados
- Compatible con sistemas de nueva y vieja planta con distintos tipos de proveedores y recursos
- Integración con SCADA, SIEM y sistemas de análisis basados en IA/ML para hacer operativa la confianza digital.
La solución Symmera + Keyfactor : Confianza práctica a gran escala
La plataforma Distributed Intelligent Network (DIN) de Symmera ofrece una solución de orquestación y habilitación de PKI basada en SaaS que funciona en redes públicas, privadas y de banda aérea, sin necesidad de agentes.
Las características clave incluyen:
- Codificación cero mediante un agente de punto final o utilidades de línea de command
- Bajo nivel de codificación para la integración utilizando sólo 3-5 API en cualquier plataforma y en cualquier lenguaje de programación.
- Automatización desde la fabricación hasta el aprovisionamiento, actualizaciones seguras y visibilidad
- Compatibilidad con cualquier tipo de dispositivo, incluidos los heredados y los limitados.
- Cumplimiento de las normas CRA, IEC 62443, NIST 800-53, IEEE 802.1AR, etc.
- Interoperabilidad con cualquier sistema operativo, chipset o pila criptográfica
- Integración RESTful con SCADA, SIEM y sistemas de gestión de activos
Al integrar Symmera DIN con la plataforma PKI y de criptoagilidad de Keyfactor, las organizaciones ganan:
- Una capa de confianza unificada en los entornos de TI y OT
- Criptografía resistente al quantum para dispositivos de larga duración
- PKI como servicio de extremo a extremo y firma de código sin complejidad añadida
- Distribución de contenidos con resistencia a la manipulación en la cadena de suministro
- Recopilación de datos fiables con perspectivas basadas en datos para mejorar la eficacia operativa
Keyfactor + Symmera: Los 5 mayores beneficios en el mundo real
Esta solución combinada ayuda:
- Reduzca el tiempo de comercialización de las implantaciones de productos seguros
- Acelerar el diseño y desarrollo de productos para cumplir los mandatos de conformidad
- Automatizar el establecimiento de la confianza y la aplicación de las políticas
- Simplifique las auditorías normativas con visibilidad criptográfica integrada
- Reducir los costes operativos con un mínimo de desarrollo interno o reingeniería, incorporación sin intervención y gestión remota del ciclo de vida de los dispositivos.
Conclusión: La ciberresiliencia está al alcance de la mano
Cumplir las normativas de la CRA y proteger los dispositivos conectados no tiene por qué significar reinventar su infraestructura. Mediante el uso de PKI, automatización de certificados y plataformas de orquestación de dispositivos diseñadas específicamente para entornos IoT y OT, puede reducir el riesgo y acelerar la transformación digital.
El momento de actuar es ahora, antes de que las vulnerabilidades o las lagunas en el cumplimiento de la normativa se conviertan en interrupciones de la actividad empresarial.
Más información
- Visite la página de asociación Symmera + Keyfactor
- Descargue el eBook de preparación para la CRA, 5 cosas que debe saber sobre la CRA
- Explore la visión general de la plataforma DIN SaaS de Symmera
