¿Puede la estrategia de copia de seguridad de los sistemas de información industrial (OT) limitarse a aplicar las recomendaciones de la ANSSI recogidas en su guía «Copia de seguridad de los sistemas de información»? Eso sería ignorar las especificidades propias de estos entornos altamente restringidos. Un reto creciente para cada vez más sectores con la llegada de NIS 2, que hace especial hincapié en la necesidad de garantizar la continuidad del negocio.
3-2-1, la fórmula básica para las copias de seguridad
En materia de copias de seguridad, es habitual escuchar hablar de la regla del «3-2-1». Esta fórmula sencilla permite recordar el principio según el cual cualquier dato debería existir en tres copias, almacenadas en dos soportes diferentes y en una ubicación física distinta del sitio al que pertenece. De este modo, siempre existe una solución en caso de pérdida, corrupción, fallo o destrucción de una de las copias, siempre que dichas copias hayan sido correctamente probadas para garantizar una restauración eficaz.
A escala de una empresa u organización, las estrategias de copia de seguridad informática se basan en dos conceptos clave: la pérdida máxima de datos admisible (PDMA) y la duración máxima de interrupción admisible (DMIA). Estos permiten determinar qué información es esencial para garantizar la disponibilidad de los sistemas, así como su frecuencia de actualización y las modalidades de restauración.
El concepto de pérdida máxima de datos admisible (PDMA) invita a replantear la visión absoluta que solemos tener de las copias de seguridad: abandonar el enfoque de «todo o nada» abre la puerta a estrategias de copia de seguridad y restauración más pragmáticas, basadas en las necesidades reales.
¿Son las buenas prácticas de copia de seguridad informática aplicables al OT?
Conviene reconocer que la regla del «3-2-1» no es el estándar en los sistemas de información industrial.
Además, determinadas especificidades propias de estos entornos deben tenerse en cuenta para definir una estrategia de copia de seguridad verdaderamente eficaz. A continuación, se destacan cinco puntos de atención clave:
- Cartografía incompleta de los sistemas industriales: En los entornos OT, ciertos elementos ocultos (shadow OT) pueden quedar fuera del perímetro de las copias de seguridad. Asimismo, es fundamental no olvidar la copia de seguridad de la configuración de los componentes de red (switches, etc.).
- DMIA desconocida: Es esencial definir con precisión la DMIA para todas las aplicaciones y datos de negocio de los sistemas de información industrial. Esta necesidad debe evaluarse de forma realista para orientar adecuadamente la estrategia de copia de seguridad.
- Procedimientos de copia de seguridad y restauración en modo degradado: Durante un ataque, las fábricas suelen aislarse para mantener la producción en modo degradado. Esto implica que el sistema de información industrial se desconecta del sistema de información corporativo (SI empresarial)… y, en algunos casos, pierde el acceso a los procedimientos de copia de seguridad y restauración.
- Ausencia de red de administración o de VLAN: Salvo excepciones, los sistemas de información industrial carecen de redes de administración o VLAN dedicadas, a pesar de que la ANSSI recomienda utilizarlas para los flujos de copia de seguridad. Dado que la implantación de una hoja de ruta de ciberseguridad en entornos industriales es un proceso largo (de 3 a 7 años) y complejo, se recomienda no esperar para poner en marcha un sistema operativo de copia y restauración. Este permitirá reiniciar rápidamente los sistemas industriales y limitar el impacto de un ciberataque durante esta fase crítica.
- Reticencia a realizar pruebas de restauración: Cuando existen copias de seguridad OT, los industriales suelen mostrarse reacios a probar su restauración, ya que el proceso suele afectar a la producción y rara vez existen entornos de preproducción. Además, en el caso de una planta que realice todas sus copias mediante una solución centralizada, surge la duda de si las redes industriales podrán soportar el volumen de datos a restaurar. El proceso podría prolongarse durante días, un plazo generalmente incompatible con las exigencias industriales.
De la avería al ciber-riesgo: una AMFE que protege lo esencial
La incorporación de un enfoque cibernético en las AMFE (Análisis de Modos de Fallo, Efectos y Criticidad), mencionadas en particular en la guía de la ANSSI, permite priorizar las copias de seguridad identificando y clasificando los riesgos según su criticidad, para concentrar los recursos en los elementos más vitales que deben protegerse.
La integración de un enfoque cibernético en las AMFE mejora significativamente la estrategia de copia de seguridad en entornos industriales. Al identificar y clasificar los riesgos según su criticidad cibernética, este método permite priorizar las copias de seguridad de los sistemas y datos esenciales para la continuidad operativa. De este modo, los recursos se asignan de forma eficiente, garantizando que la información y los equipos críticos se protejan prioritariamente frente a cualquier tipo de fallo o ataque malicioso. Este enfoque proactivo reduce el riesgo de pérdidas irreversibles y facilita una recuperación rápida, reforzando la resiliencia y la seguridad de las infraestructuras industriales.
¿Cómo realizar copias de seguridad de los sistemas de información industrial?
Es fundamental asegurarse de que la infraestructura de copia de seguridad y restauración sea compatible con la DMIA. Esto suele implicar soluciones híbridas, con almacenamiento local para los datos críticos y pruebas periódicas en entornos dedicados.
En términos generales, la pregunta clave de toda estrategia de copia de seguridad es la siguiente: ¿puedo restaurar los sistemas de información industrial en condiciones aceptables?
Se trata de un desafío especialmente complejo para los sistemas más críticos que no pueden conectarse en red —y, por tanto, no disponen de copias de seguridad centralizadas—, pero no es imposible: se pueden diseñar soluciones basadas en pequeños servidores locales, como sistemas NAS. No obstante, se debe prestar especial atención a los soportes extraíbles, como discos duros o memorias USB, que también pueden convertirse en vectores de infección por malware.
Para ir más allá, a continuación se enumeran algunos elementos indispensables para elaborar una respuesta adaptada a su entorno industrial:
- Conocer la PDMA y la DMIA: En primer lugar, será necesario identificar qué procesos industriales requieren de forma imprescindible la restauración de un histórico y cuáles pueden prescindir de ella. En el caso de una empresa logística, por ejemplo, una pérdida de datos de unos minutos puede implicar rehacer un inventario completo, mientras que un autómata en una línea de producción continua solo necesitará su configuración para reanudar los ciclos. La fecha de la última copia de seguridad debe ser compatible con el tipo de proceso industrial y la estrategia de copia, alineada con la DMIA.
- Diseñar una arquitectura de copia de seguridad compatible con el modelo Purdue: En los entornos industriales, es fundamental garantizar el posicionamiento adecuado de los servidores de copia de seguridad para evitar flujos entrantes desde los sistemas de información ofimáticos. Para un mayor nivel de ciberseguridad, la arquitectura debe integrar el concepto de DMZ industrial.
- Realizar copias de seguridad de las bases de datos: Las copias deben ser recientes y coherentes para permitir una restauración operativa.
- Respaldar las evoluciones de los programas: El mecanismo de copia de seguridad de los activos industriales debe integrar la gestión de versiones, y cualquier modificación de los programas de los autómatas debe incorporarse automáticamente al servidor de copias. Las soluciones de respaldo permiten volver a una versión anterior y garantizar que todas las modificaciones queden correctamente integradas.
- Implementar el cifrado de las copias de seguridad: Este mecanismo, en ocasiones exigido por la normativa, protege frente a la compromisión de datos y el espionaje industrial.
- No olvidar los secretos: Es necesario prestar especial atención a la copia de seguridad de los secretos, como las claves criptográficas empleadas en protocolos industriales, que pueden almacenarse en los chips TPM de determinados controladores, e integrar en los procedimientos la reasignación de claves.
- Anticipar el impacto organizativo de la virtualización: Aunque la automatización industrial sigue basándose principalmente en autómatas físicos, los controladores virtuales se están extendiendo progresivamente. Este fenómeno facilita las copias de seguridad, pero plantea interrogantes sobre los procedimientos de restauración 24/7 y su impacto organizativo (por ejemplo, la restauración de máquinas virtuales por parte del soporte IT).
- Financiar la implantación de la estrategia de copia de seguridad: La financiación de las buenas prácticas de copia de seguridad en entornos industriales debe figurar en la hoja de ruta de los comités ejecutivos. Mientras se consiguen los presupuestos necesarios, algunas organizaciones recurren a soluciones improvisadas. Es fundamental asegurarse de que estas alternativas «artesanales» sigan siendo seguras y no aumenten la superficie de ataque (por ejemplo, copias en soportes extraíbles).
En definitiva, el OT aún tiene años de retraso que recuperar frente al IT, especialmente en lo relativo a las copias de seguridad inmutables. Afortunadamente, a pesar de sus limitaciones específicas, este ámbito puede apoyarse en tecnologías de copia de seguridad existentes y ampliamente probadas.
En un contexto en el que asegurar una fábrica puede llevar varios años y en el que la probabilidad de sufrir un ciberataque sigue aumentando, invertir en copias de seguridad fiables y de rápida restauración constituye un enfoque pragmático que aporta una mayor tranquilidad.
