Hidroconta
Connecting Waterpeople
Fundación CONAMA
Kamstrup
Ingeteam
Xylem Water Solutions España
Asociación de Ciencias Ambientales
Red Control
SCRATS
Centro Nacional de Tecnología de Regadíos (CENTER)
AGS Water Solutions
Likitech
Agencia Vasca del Agua
ADECAGUA
AECID
RENOLIT ALKORPLAN
TecnoConverting
Lama Sistemas de Filtrado
Vector Energy
Confederación Hidrográfica del Segura
Saint Gobain PAM
HRS Heat Exchangers
DATAKORUM
Laboratorios Tecnológicos de Levante
AGENDA 21500
Global Omnium
Rädlinger primus line GmbH
ISMedioambiente
Molecor
Filtralite
Schneider Electric
LACROIX
Hidroconta
CAF
Gestagua
ONGAWA
Minsait
Fundación Botín
Grupo Mejoras
Aganova
NTT DATA
Consorcio de Aguas de Asturias
AMPHOS 21
Aqualia
Regaber
Sivortex Sistemes Integrals
Mancomunidad de los Canales del Taibilla
Catalan Water Partnership
Innovyze, an Autodesk company
Baseform
Sacyr Agua
Amiblu
J. Huesa Water Technology
ICEX España Exportación e Inversiones
ACCIONA
KISTERS
TEDAGUA
NSI Mobile Water Solutions
VisualNAcert
Barmatec
Terranova
Fundación Biodiversidad
Danfoss
MOLEAER
GS Inima Environment
s::can Iberia Sistemas de Medición
EPG Salinas
EMALSA
STF
Ministerio para la Transición Ecológica y el Reto Demográfico
TFS Grupo Amper
Consorcio de Aguas Bilbao Bizkaia
Hach
FENACORE
Almar Water Solutions
ESAMUR
Idrica

Se encuentra usted aquí

La importancia de la IA en la detección de ciberincidentes

Sobre el blog

Juan Caubet
Director de la Unidad de IT&OT Security de Eurecat.

Publicado en:

Portada iAgua Magazine
  • importancia IA detección ciberincidentes

La interconexión de los sistemas de la operación (OT) y los sistemas de la información (IT) que se ha estado llevando a cabo desde hace un par de décadas en infraestructuras críticas, instalaciones industriales, etc., y que continuará en los próximos años, con el objetivo de disponer de datos de la operativa diaria para mejorar la eficiencia de los procesos, su productividad, acelerar la toma de decisiones sobre su funcionamiento, o controlarlos de forma remota, ha incrementado los riesgos a los que están expuestas estas infraestructuras.

Por este motivo, y para proteger los sistemas y activos pertenecientes al ámbito de OT, la gestión de la ciberseguridad industrial es ya, desde hace años, una prioridad para la mayoría de las empresas industriales. Si dicha gestión se hace adecuadamente, garantiza la adopción de buenas prácticas en ciberseguridad respecto a los sistemas de control y automatización industrial. Estas incluyen la evaluación de riesgos, la implementación de políticas, procedimientos y medidas de seguridad, la monitorización y la mejora continua, entre otras.

Hoy en día la prevención en ciberseguridad ya no es suficiente, aunque obviamente sigue siendo muy necesaria, la monitorización y la detección de ciberincidentes son ahora acciones fundamentales para la ciberseguridad industrial. Las empresas necesitan tecnología que les permita detectar actividades sospechosas en sus sistemas y redes. Esto puede incluir la implementación de sistemas de detección de intrusiones (IDS), sistemas de información y eventos de seguridad (SIEM), o incluso servicios de SOC (centro de operaciones de seguridad) que también proporcionan capacidades de respuesta a esos ciberincidentes.

La gestión de la ciberseguridad industrial es ya, desde hace años, una prioridad para la mayoría de las empresas industriales

La monitorización recopila y analiza eventos relevantes, permitiendo así detectar de forma temprana ciberincidentes, lo cual habilita la capacidad de responder de forma rápida a los mismos. Tradicionalmente, estos sistemas de detección han estado basados únicamente en el uso de un conjunto de firmas, reglas y filtros elaborados a mano por especialistas. Sin embargo, hoy en día esto ya no es suficiente, las amenazas evolucionan a una velocidad de vértigo y hace que estos sistemas sean frágiles y no puedan captar todo el espectro de señales o acciones maliciosas. Además, su naturaleza estática dificulta su mantenimiento y mejora.

Es por esto por lo que los sistemas de detección modernos, además de aplicar firmas, reglas y/o filtros, incorporan también la detección basada en anomalías. Este tipo de detección permite detectar nuevas amenazas, amenazas personalizadas o, incluso, detectar amenazas que han podido ser introducidas «voluntariamente» por un usuario legítimo de la infraestructura, en definitiva, amenazas previamente desconocidas. La detección basada en anomalías compara las definiciones de qué actividad se considera normal, frente a los eventos observados para identificar desviaciones significativas. Este método utiliza perfiles que se desarrollan al monitorear las características de la actividad típica durante un período de tiempo. Posteriormente, se comparan las características de la actividad actual con los umbrales relacionados con el perfil.

Este tipo de soluciones se basan en el uso de la inteligencia artificial (IA), ya que estos algoritmos son capaces de detectar cualquier cambio que no sea normal sin la necesidad de definir que es anormal; además, tienen el potencial de ofrecer un rendimiento satisfactorio a bajo coste y en tiempo real. No obstante, es importante destacar que un sistema de detección efectivo se caracteriza principalmente por: i) combinar soluciones basadas en IA con aproximaciones basadas en firmas o reglas, como ya hemos dicho antes; ii) necesitar la interacción de los especialistas en el dominio de la ciberseguridad para analizar los incidentes y actualizar el sistema de detección; y iii) reentrenar de forma continuada los modelos de IA para adaptarse a las nuevas circunstancias, y a las nuevas amenazas y ataques.