50 ABB R EVI EW Data c e nte rs

01

—
CE N TR O S D E DATOS

Seguridad más allá de las

fronteras: la ciberseguridad
de los centros de datos
La ciberseguridad está presente en toda la solución ABB Ability™ Data Center
Automation y comprende el diseño de productos, la ejecución de proyectos y el fun-
cionamiento. ABB ayuda a los clientes de centros de datos a proteger redes, servido-
res y datos, además de perímetros.
 03| 2020 CIBERSEGU RIDAD DE LOS CENTROS DE DATOS 51

Para operar de forma fiable y eficiente, los centros de Como el mayor proveedor de sistemas de control
datos necesitan una infraestructura eléctrica, además distribuido (DCS) y gestión de activos comerciales del
de los sistemas de automatización del edificio y de mundo, con una cuota de mercado del 20 % [3], ABB
control industrial (ICS) para gestionar esta infraestruc- está perfectamente preparada para suministrar sis-
tura con vistas a conseguir un sistema de alimentación temas de control y automatización fiables y seguros,
ininterrumpida (SAI). La integración de la tecnología manteniendo al mismo tiempo la transparencia y la
operativa (TO) con la tecnología de la información (TI) se interoperabilidad. ABB logra estos objetivos gracias
traduce en un aumento de la fiabilidad, el control y el a su solución de automatización de centros de datos,
rendimiento, pero también expone a los centros de promoviendo así la disponibilidad y optimización con-
datos a retos sin precedentes: las amenazas cibernéti- tinua de los sistemas y productos de misión crítica de
cas. La posibilidad real de que entidades o personas los centros de datos. El sistema de automatización de
maliciosas accedan a sistemas de misión crítica, como ABB ofrece la tecnología esencial de la solución ABB
Ability™ Data Center Automation para entornos in
situ e híbridos en la nube.
—
De este modo, ABB puede ofrecer a los centros de datos
Hace una década, los centros de
solidez industrial, soluciones de convergencia para
datos se centraban exclusivamente misión crítica para controles mecánicos (BMS), sistema
de control y supervisión eléctrica (ECMS), controles
en garantizar la seguridad de su
eléctricos (ECS) y gestión de infraestructuras del centro
perímetro físico y de los datos que de datos (DCIM). Esta plataforma abierta permite la
automatización y el intercambio de datos entre siste-
almacenaban y gestionaban. mas, equipos, componentes y aplicaciones para:
• Integrar conjuntos de herramientas de centros de
datos más rápidamente; esto incluye la capacidad
los centros de datos que dependen de controles de cargar activos en herramientas de seguimiento.
conectados, supone una verdadera angustia y este • Visualizar y administrar activos físicos dentro de
hecho puede impulsar el mercado. Por ejemplo, se una vista de «panel único» de todo el centro de
espera que el mercado mundial de ciberseguridad datos, que incluye varios emplazamientos.
industrial, que incluye la seguridad de redes, los • Automatizar los sistemas de refrigeración y electri-
sistemas de control industrial (ICS), las soluciones de ficación para la optimización y mejora continua del
hardware y software, alcance los 24 410 millones de tiempo de servicio.
dólares durante el período comprendido entre 2017 y
2023 [1]. Amenazas cibernéticas: el quid de la cuestión
A lo largo de la última década, la gravedad y la sofistica-
En la actualidad, el panorama de ciberseguridad de los cen- ción de las amenazas cibernéticas contra las ICS exis-
tros de datos es diverso, mientras que hace una década, tentes y la infraestructura asociada han aumentado [4].
los centros se centraban exclusivamente en garantizar A pesar de que la comunicación industrial implica una
la seguridad de su perímetro físico y de los datos que gran cantidad de productos y protocolos de hardware y
almacenaban y gestionaban (seguridad de la información). software para establecer la comunicación entre los dis-
Aún no existían normas de TI abiertas para sistemas de positivos de automatización industrial y las plataformas
automatización que fomentaran la conectividad a redes informáticas estándar, los sistemas se construyeron
externas y los centros de datos de empresa dominaban el originalmente para cumplir requisitos de rendimiento,
Madhav Kalia panorama. Lo que era sensato entonces ahora es alarman- fiabilidad, seguridad y flexibilidad sin tener mucho
ABB Data Center temente insuficiente. En la actualidad, los centros de datos en cuenta la seguridad de las capacidades de comu-
Automation Solutions
Singapur incluyen servidores basados en la nube e ICSs interconec- nicación. Al centrarse exclusivamente en asegurar
tados que se exponen a riesgos cibernéticos que antes no los perímetros y los datos, estos ICS heredados y su
madhav.kalia@
sg.abb.com existían. Actualmente, la seguridad del perímetro y de los infraestructura son lamentablemente permeables a los
datos no basta para proteger los centros de datos contra ciberataques e incidentes de seguridad.
fallos y apagones [2].
Pese a esta realidad, las empresas deben aprovechar la
ABB aplica un enfoque integral de ciberseguridad para información en tiempo real de los procesos y sistemas
los centros de datos con seguridad integrada en todas para aumentar la interconectividad y la interoperabi-
las fases de diseño, desarrollo e implantación de los sis- lidad predecible entre los diferentes sistemas de
temas de automatización y control industrial, incluidos automatización, y combinar sistemas heredados con
todos los productos de electrificación. Basándose en sistemas nuevos. Este panorama de comunicación eleva
las normas internacionales y en un enfoque sistemático drásticamente el nivel de amenazas a la seguridad a las
Apala Ray
ABB Industrial Automation basado en el conocimiento, ABB utiliza las mejores prác- que se enfrentan los clientes de los centros de datos.
Process Industries ticas para garantizar que la ciberseguridad desempeña
Bangalore, India
un papel fundamental en los productos de automatiza- En la actualidad, la infraestructura de electrifi-
[email protected] ción de los centros de datos. cación y los controles industriales forman una
52 ABB R EVI EW CENTROS DE DATOS

Usuarios y entornos Centro de operaciones Portales y cliente web Operaciones locales Nube IoT industrial

Monitorización, control y automatización

de extremo a extremo

Gestión de cambios
Gestión de edificios Gestión de potencia Mantenimiento Gestión estructurada
y planificación
(BMS) y energía (PMS, EPMS) predictivo del cableado
de capacidades (DCIM)
Aplicaciones
y funciones Control en tiempo real Operaciones Planificación y análisis
de extremo a extremo

SISTEM A CENTR AL DE AU TO MATIZ ACIÓN DEL CENTR O DE DATOS

Biblioteca de Alarmas y detección Monitorización Histórico y análisis Control y

dispositivos y sistemas de problemas y visualización de tendencias automatización

Datos e interfaces
de comunicación

Equipos y sistemas Equipos y sistemas Equipos y sistemas Aplicaciones y sistemas

mecánicos eléctricos de TI de empresa

01

parte integral y constante de todo el ciclo de —

vida del sistema ICS, desde el diseño, pasando
El reciente aumento de las
por las pruebas y la puesta en servicio, hasta
el servicio de soporte durante la vida útil y las amenazas cibernéticas intensas
adaptaciones futuras. Al ofrecer soluciones
y diversas requiere la seguridad
holísticas de ciberseguridad, ABB ayuda a los
clientes en sus esfuerzos por identificar, mitigar de las redes, los servidores, los
y gestionar los cambiantes riesgos cibernéticos
que pueden afectar a sus sistemas. El enfoque
datos y los perímetros.
de ciberseguridad que ABB adopta en todas las
ofertas, incluidos los centros de datos, se centra
en tres áreas: diseño de productos, ejecución de instalación va acompañada de personas y sus
proyectos y operación de la planta. funciones, tener empleados con diferentes perfiles
de permisos supone un desafío crucial.
Seguridad en los centros de datos: desafíos
El auge de las amenazas cibernéticas intensas y Además, los protocolos industriales y patentados
diversas que se han experimentado recientemente a menudo carecen de medidas adecuadas para
exigen que se garantice la seguridad de las redes, los la seguridad de los datos de la infraestructura
servidores, los datos y los perímetros [2]. eléctrica y los controles, por ejemplo, autenticación
o comprobaciones de integridad, o soporte de
La seguridad perimetral, además de la protección mecanismos de cifrado.
del perímetro físico, incluye la protección de la
infraestructura eléctrica y los controles mediante También es una hazaña proteger la red de comu-
sistemas mecánicos y/o electrónicos. Dado que la nicaciones y proteger los datos contra ataques
administración de la seguridad dentro de una procedentes de cualquier otra red de comunicacio-
 03| 2020 CIBERSEGU RIDAD DE LOS CENTROS DE DATOS 53

—
01 La arquitectura
nes; esto incluye la gestión de operaciones crip- ofreciendo sistemas de control y supervisión de
del sistema ABB tográficas. Además, para garantizar la seguridad ingeniería (ECMS) que incluyen el sistema de gestión
Ability™ Data Center
Automation propor-
del cliente y del servidor en términos de infraes- de energía (EMS), el sistema de gestión del edificio
ciona a los clientes tructura eléctrica y controles, deben aplicarse (BMS) y el sistema de gestión de energía (PMS). Los
estrategias de automa-
tización para todos sus
parches y deben utilizarse archivos de definición ECMS recaban toda la información/datos con el fin de
sistemas energéticos, de software malicioso para filtrar. Y, si se produce registrar, controlar y reportar.
eléctricos, mecánicos y
de gestión del edificio.
un desastre imprevisto, los mecanismos de backup
adecuados deben permitir la recuperación. Los Está claro que la tecnología por sí sola no puede elimi-
—
02 Esquema de una
entornos virtuales resultan especialmente difíciles nar los riesgos cibernéticos. Al definir los medios para
arquitectura de y requieren excelentes soluciones de supervisión. instalar un sistema de automatización de centros de
referencia para la
solución de ciberse-
ABB ofrece soluciones de protección para abordar datos con los controles de seguridad adecuados, ABB
guridad Data Center todos estos retos. está promoviendo los esfuerzos de ciberseguridad
Automation de ABB.
del cliente →02. La arquitectura de referencia de ABB
Solución de ciberseguridad de ABB para centros también puede personalizarse en función de las
de datos necesidades de cada proyecto. Para ello, los clientes
La solución Ability™ Data Center Automation de ABB deben ponerse en contacto con el equipo de proyecto
proporciona a los clientes los medios para diseñar, de ABB. Por lo tanto, las personas, los procesos y la
poner en servicio, supervisar, controlar y operar tecnología son el centro del enfoque de fortificación
estrategias de automatización en sus sistemas, →01 para la ciberseguridad de ABB.

DMZ
Servicio de actualización
Reenviador de la seguridad Cortafuegos
Servidor de
de eventos Actualizaciones de cliente web Separación
Supervisión de la seguridad validadas
de la red
seguridad
Protección contra
software malicioso

Internet
Dispositivo Servidor Sensor
SIEM de backup de red Acceso
remoto
seguro

Nivel 2
Estaciones de
trabajo Servidor de aspectos
de operadores + controlador de Recopilador
dominio de eventos
Cortafuegos de host
Puerto Control de acceso
Autenticación de basado en perfiles
Span
usuarios de Windows
Supervisión
de red
Control de Servidores EMS/PMS
supervisión + servidor de
conectividad Servidores BMS Estacio-
+ servidor de nes de
Fortalecimiento trabajo
del sistema conectividad
técnicas

Cortafuegos
transparentes
(FGR-30D o Modbus TCP Modbus TCP Cortafuegos
via TCP/IP IEC61850 via TCP/IP ABB RNRP NE871
Tofino o similar)
via TCP/IP

Nivel 1
ECS Nivel 1 ABB Nivel 1
Red de automatización Red de control Ethernet
el centro de datos (red TCP/IP) redundante TCP/IP

EPMS Nivel 1 BMS Nivel 1 Controlador

Modbus RTU a ­Modbus Modbus RTU a ­Modbus Modbus RTU vía Serie CI153
TCP Gateway TCP Gateway Modbus IO
Nivel 0: Procesos

(MGATE o similar) (MGATE o similar) RTU

Modbus RTU vía Serie CI153
Modbus IO
Red EPMS Red BMS Red ECS IEC61850 via TCP/IP RTU
(Modbus) (Modbus/BACnet) (IEC61850)
CI153
Serie Serie TC P/ Modbus IO
Dispositivo Ether­- RTU
Analizador monitorización net
Hardware I/Os
calidad de circuitos de Relé de Transfor-
Cortafuegos transparentes para sistemas eléctricos,
energía bifurcación Medidor CRAC AHU Extractor protección mador Genset
(FGR-30D o Tofino o similar) sensores y antiincendio

02
54 ABB R EVI EW CENTROS DE DATOS

zación del centro de datos con diferentes controles

Seguridad en el proceso de desarro- de seguridad →02. Este enfoque por capas utiliza
Seguro por diseño llo del producto: requisitos, diseño,
­i mplementación, verificación diferentes controles cibernéticos para abordar con
éxito los problemas de seguridad a nivel de servidor,
red y datos:
Instalación y uso predeterminados con
una superficie de ataque mínima incor-
Seguro por defecto
porada en funciones para una defensa
en profundidad
—
El enfoque de ciberseguridad
Soporte para la validación segura del
de ABB se centra en tres áreas:
Seguro por despliegue proyecto y del ciclo de vida de la planta
de software y soluciones de terceros
diseño de productos, ejecución de
proyectos y operación de la planta.

Información correcta
Comunicación • Gestión de parches: utilizando actualizaciones
para los que la necesitan
de seguridad del sistema validadas del servidor
procedentes de software de terceros, a saber,
03 productos Microsoft, EXSi y Adobe, los usuarios
pueden confiar en que el sistema de control siempre
está actualizado.
Seguridad por segregación • Actualizaciones antivirus: los servidores deben
La arquitectura de referencia de ABB pone todos los incluir las últimas actualizaciones.
componentes del centro de datos en un nivel de red • Gestión de copias de seguridad: incluye documen-
específico →02. Este concepto de seguridad amplia- tación de procedimientos, pruebas de copias de
mente utilizado segrega las redes seguras de las no seguridad y almacenamiento de copias de seguri-
seguras mediante cortafuegos y zonas desmilitari- dad calificadas en una ubicación segura fuera de
zadas (DMZ). Para los sistemas de automatización línea; garantizando así que ningún fallo del sistema
de centros de datos, la red interna tiene diferentes o tiempo de inactividad prolongado no suponen la
dispositivos con distintos niveles de seguridad; en pérdida de datos. ABB promueve aplicaciones que
este punto, la zonificación de la red con un sistema programan, gestionan y operan procesos de copia
fortalecido es fundamental. La conectividad de red de seguridad de datos en ordenadores, servidores
dentro de un nivel se rige por los cortafuegos del o dispositivos de red de manera periódica. Estos
host (cortafuegos de software instalado en ordena- pasos son conformes con el plan de recuperación
dores individuales); los datos solo pueden pasar a del sistema de la organización.
otro nivel a través de un cortafuegos (hardware). La • Fortalecimiento: el proceso de fortalecimiento
arquitectura de centros de datos de ABB cuenta con reduce la superficie del ataque, la cantidad de
autenticación de usuarios, software y dispositivos; aplicaciones de software, deshabilita servicios no
gestión de cuentas, aplicación de permisos, protec- esenciales, utiliza corta fuegos host y cambia las
ción contra códigos maliciosos y segmentación de contraseñas predeterminadas. Solo se instalan
redes y supervisión continua de redes para garantizar aplicaciones y servicios necesarios.
la seguridad contra incidentes cibernéticos →02. La • Administrar cuentas de usuario y derechos de acceso
arquitectura de ABB incluye una fase de operación y perfiles de usuarios: un desafío crítico de seguridad.
y mantenimiento del ciclo de vida de la automati- • Supervisar los sistemas de automatización con

Ciclo de vida del proyecto Ciclo de vida de la operación Consultoría

Puesta en marcha Formación y

Operación Mantenimiento Evaluación
e ingeniería sensibilización

• Fortalecimiento del ­s istema •G

 estión de la protección • Copia de seguridad • Referencia de •F
 ormación impartida por
• Configuración de protección contra software y simulacro de ciberseguridad/huella ABB y la universidad
­contra software malicioso malicioso recuperación dactilar
• G estión de parches •G
 estión de parches de • Evaluación de riesgos de
• Configuración de usuarios y seguridad ciberseguridad
­accesos •G
 estión de copias de
• Configuración de respaldo seguridad
• Configuración de gestión de redes •V
 igilancia de
ciberseguridad

04
 03| 2020 CIBERSEGU RIDAD DE LOS CENTROS DE DATOS 55

—
la información de seguridad y una plataforma de de controles de seguridad técnicos y organizati-
03 Se muestra el marco
de seguridad SD3 C. gestión de eventos: continuamente surgen nuevas vos. Estos controles, correctamente aplicados y
amenazas y se producen intrusiones a diario, por lo mantenidos, frustrarán la mayoría de las amenazas
—
04 Se ilustra la cadena que la supervisión continua mantiene la seguridad genéricas. La segunda etapa consiste en gestionar y
de valor de ciberseguri-
de los sistemas de control. mantener continuamente estos controles e incorpo-
dad de centros de datos
de ABB. • ABB cumple el marco de seguridad SD3+ C, creado rar controles más sofisticados según sea necesario.
por Microsoft para garantizar y mejorar la seguri- La tercera etapa es el funcionamiento colaborativo
dad de sus productos; →03, entre otros, reducir el de los controles de ciberseguridad con servicios
número de fallos de seguridad o vulnerabilidades de seguridad gestionados a través del Centro de
presentes en el nuevo software; hacer que las Operaciones Colaborativas de ABB.
instalaciones y configuraciones de productos
por defecto sean más resistentes a los ataques; La arquitectura de referencia de ABB cuenta con
garantizar que los productos puedan instalarse, autenticación de usuarios, software y dispositivos,
configurarse, operarse y mantenerse de forma gestión de cuentas, aplicación de permisos y
segura; y promover una comunicación responsable. protección de códigos malintencionados para
mejorar la posición de los niveles de seguridad en el
Ofrecer el máximo valor posible servidor. Las actualizaciones periódicas de los
Los servicios de ciberseguridad se integran en el parches de seguridad y archivos de definición
ciclo de vida de la solución ABB Ability™ Data Center anti-malware también mejoran la seguridad. El
Automation e incluyen: ciclo de vida de ejecución de servidor de gestión de copias de seguridad en DMZ
proyectos, ciclo de vida de funcionamiento y servicios permite la copia de seguridad y la recuperación de
de asesoramiento →04. La fase de puesta en servicio datos en caso de catástrofe gracias a la plataforma
e ingeniería permite establecer una sola vez la con- recomendada de ABB. Garantizar la seguridad de los
figuración de ciberseguridad, mientras que el ciclo
de vida de la planta se ocupa de renovar los servicios
de ciberseguridad durante la operación y el manteni- —
miento periódicos.
ABB ofrece a los clientes de
Estos servicios de ciberseguridad garantizan que centros de datos soluciones
la infraestructura del centro de datos funcione
— innovadoras que resuelven
Referencias de acuerdo con las mejores prácticas basadas en
[1] Market Research
normas internacionales y en la amplia experiencia de los desafíos más enojosos en
ABB. Los objetivos son comprobar, facilitar, abordar
Future, “Industrial
Cyber Security Market materia de ciberseguridad.
Worth 24.41 USD Billion
y promover:
By 2023 With 10.97 % • Comprobar que las actualizaciones no interfieren
CAGR”, Market Research
Future, Sept. 28, 2017,
con el funcionamiento del sistema de infraestruc-
Available: https://www. tura del centro de datos. datos de la infraestructura eléctrica y los controles
marketresearchfuture.
com/press-release/
• Facilitar servicios con una calidad cohe- es una de las máximas prioridades, al igual que la
industrial-cyber-security- rente y garantizar que las tareas las realiza seguridad perimetral. La transferencia de datos
market [Accessed:
June 26, 2020].
personal cualificado. segura, cifrada y comprimida entre el nodo del
• Abordar la ciberseguridad a lo largo del ciclo de vida colector de datos y el servidor de histórico permite
[2] F. Howarth,
“Architecting the
de desarrollo de productos y soluciones de ABB. la comunicación segura; la supervisión de eventos se
security of the next-ge- • Promover la seguridad durante todo el ciclo de realiza en ICS. Para garantizar la seguridad perime-
neration data center:
a white paper by Bloor
vida de las soluciones suministradas por ABB. tral de la infraestructura y los controles, ABB
Research”, in Bloor recomienda reforzar la seguridad física al instalar el
Research, Aug. 9, 2011,
Available: https://www.
Las inquietudes del cliente y el camino a seguir sistema de automatización en los centros de datos.
bloorresearch.com/ Garantizar la seguridad de redes, servidores, datos
research/ [Accessed:
May 5, 2020].
y perímetros de la infraestructura eléctrica y los Los esfuerzos de ciberseguridad de ABB no
controles es lo que los clientes de los centros de terminan con este enfoque integral. ABB reco-
[3] ABB Press, “Industry
analyst ranks ABB #1
datos necesitan ahora y en el futuro. Dado que la noce que las amenazas cibernéticas continuarán
for distributed control segregación de redes es un objetivo crucial de la a medida que se amplíe la adopción de la nube.
systems globally”,
Nov. 6, 2018, Available:
arquitectura de referencia de ABB →02, se utilizan Actualmente, los expertos de ABB están explo-
https://new.abb.com/ cortafuegos para controlar y moderar el tráfico en rando una solución a prueba de manipulaciones:
news/ [Accessed:
May 5, 2020].
diferentes niveles de red, lo que mejora la visibilidad un módulo de plataforma de confianza que alma-
del tráfico de la red. También se mejora la seguridad cena claves de cifrado Rivest-Shamir-Adelman
[4] W. Ashford, “Cyber
threat to industrial
de la red mediante su supervisión para detectar (RSA). Este tipo de solución proporcionará a los
control systems highest sucesos inusuales. clientes un entorno informático seguro para la
yet”, in Computer
Weekly, March 2, 2018,
nube. Así, ABB ofrece a los clientes de centros de
Available: https:// Se ha establecido un modelo en tres etapas para datos soluciones innovadoras que resuelven los
www.computerweekly.
com/news/252436129/
gestionar la ciberseguridad en entornos ICS. La retos más enojosos actuales y futuros en materia
[Accessed: May, 5, 2020]. primera etapa consiste en establecer un nivel básico de ciberseguridad.  •