A principios de 2020, ANDRITZ empezó a observar un aumento de los incidentes de ciberseguridad en su entorno informático. En aquel momento, el entorno estaba monitorizado por un proveedor de servicios gestionados de seguridad (MSSP). Pero el aumento de las infracciones indicaba que había llegado el momento de cambiar. En menos de seis meses tras contratar IBM Security® e implementar un conjunto integrado de IBM® Managed Security Services (MSS), todo ello de forma virtual, la empresa contaba con una nueva y completa solución de servicios de seguridad.
Para ANDRITZ, proveedor líder de plantas, equipos y soluciones industriales, mantenerse al día de las ciberamenazas era cada vez más difícil. Una de las razones era que su entorno informático incluía una variedad de sistemas y políticas de seguridad que complicaban los avances en materia de seguridad. Pero un problema mayor era la amplitud del perímetro de seguridad de la empresa y la superficie de ataque: ANDRITZ cuenta con más de 280 centros de producción y organizaciones de servicios y ventas en todo el mundo. Aproximadamente el 50% de sus 27.000 empleados viajan y utilizan la red de la empresa y las opciones de conectividad remota para acceder automáticamente a los recursos informáticos. Además, numerosos contratistas e ingenieros tienen acceso a los principales sistemas informáticos.
Klaus Glatz, director digital de ANDRITZ, se percató de los riesgos. "Con tantas conexiones remotas a nuestros equipos no se trata sólo de los empleados de ANDRITZ, sino también de muchas empresas externas. Por eso se trata de transparencia, visibilidad y comprensión holística de lo que ocurre. No se puede poner en riesgo la operación de un cliente".
Los clientes de ANDRITZ operan centrales hidroeléctricas, fábricas de pasta y papel, plantas químicas y fábricas metalúrgicas que dependen de las plantas, equipos y sistemas de la empresa para funcionar. Una violación de seguridad o una vulnerabilidad en las TI podría dar pie a algo mucho más grave o catastrófico, sobre todo si las intenciones de un actor de la amenaza van más allá del robo de datos.
Visibilidad mejorada
Visibilidad del 100% de la red
Grandes volúmenes
La plataforma procesa millones de eventos al día
Thomas Strieder, vicepresidente del grupo de seguridad informática y servicios operativosde ANDRITZ, explica: "La TI proporciona infraestructura básica y servicios y aplicaciones a todos nuestros empleados, en todo el mundo. Al mismo tiempo, nuestros equipos prestan servicios de TO [tecnología operativa] a nuestros clientes. Estas dos áreas están conectadas, y lo estarán mucho más en el futuro".
Con estos riesgos en mente y teniendo en cuenta la convergencia de TI y TO, ANDRITZ fundó su propia empresa de ciberseguridad de TO, OTORIO, en 2018. Hoy en día, OTORIO es un pilar crucial en la estrategia de ciberseguridad de la empresa. Pero a principios de 2020, una vez implementadas las medidas de seguridad de TO, la empresa centró su atención en la TI.
Desde el principio, ANDRITZ tuvo un objetivo claro y bien definido que iba más allá de la simple implementación de una colección de herramientas de ciberseguridad operadas por un tercero. La empresa necesitaba una organización de servicios que comprendiera sus necesidades y pudiera complementar el equipo y la estructura existentes.
En julio de 2020, tras investigar a varios proveedores, ANDRITZ sustituyó su anterior MSSP por MSS. IBM diseñó y desplegó una solución completa en menos de seis meses, incluyendo la integración del software, la implantación de los servicios de seguridad y la finalización de un despliegue mundial para demostrar las ventajas del modelo de software como servicio (SaaS). Como la pandemia COVID-19 no permitió a los equipos mundiales reunirse en persona, todo el trabajo se realizó a distancia y mediante reuniones virtuales. Esto exigía aún más profesionalidad y confianza de ambas partes.
"Lo primero que pensamos fue que IBM era una empresa demasiado grande y demasiado burocrática, y que probablemente no encajaba bien con nosotros", admite Strieder. "Pero después de trabajar juntos, nos vimos obligados a replantearnos las cosas. IBM hizo exactamente lo que esperábamos. Fueron superflexibles. Escucharon nuestras necesidades, y dieron con las soluciones adecuadas."
Para la gestión de eventos e información de seguridad (SIEM), ANDRITZ eligió la tecnología IBM® Security QRadar on Cloud implementada como SaaS. La plataforma ayuda al centro de operaciones de seguridad (SOC) de ANDRITZ, con sede en Polonia, a centrarse en la detección y corrección de amenazas, mientras que los profesionales de IBM Security se encargan de la gestión de la infraestructura las 24 horas del día. El SIEM ingiere datos y eventos de registro de múltiples fuentes a través de la red. Mediante la aplicación de análisis avanzados y correlaciones entre distintos tipos de datos (redes, endpoints, activos, vulnerabilidades, amenazas, etc.), el SOC obtiene una visión holística de la seguridad.
Cuando el sistema detecta actividades o patrones sospechosos, como múltiples intentos fallidos de inicio de sesión, activa una alerta automática. Dependiendo del nivel de gravedad, el equipo de IBM Security abre una incidencia o trabaja directamente con el SOC para proporcionar recomendaciones de respuesta. ANDRITZ también puede recurrir al equipo de IBM Incident Response Services para que lleve a cabo una investigación directa.
"La solución nos garantiza una protección adecuada", afirma Glatz. "Tenemos mucha más información y transparencia. Normalmente, se producen millones de incidentes al día, por lo que es importante que nuestro personal comprenda y seleccione los 25 o 30 más críticos, esos que podrían suponer un alto riesgo para el entorno".
El servicio SIEM se complementa con dos servicios adicionales: IBM® X-Force Red Vulnerability Management Services más soporte de clasificación y reparación, e IBM Managed Detection and Response Services, que se integra con la tecnología antivirus CrowdStrike Falcon Prevent para acelerar la detección y corrección de amenazas.
X-Force Red Vulnerability Management Services analiza los sistemas de ANDRITZ y evalúa las vulnerabilidades de seguridad. Cada análisis genera un informe que puntúa las vulnerabilidades por gravedad mediante el sistema común de puntuación de vulnerabilidades (CVSS). Esto ayuda a ANDRITZ a priorizar la respuesta ante incidentes.
"Para nosotros, el componente proactivo es la gestión de vulnerabilidades", explica Strieder. "Con la gestión de la vulnerabilidad se pueden hacer muchas cosas mal. Necesitábamos a alguien que nos ayudara a superar estos puntos débiles y a priorizar lo primero que debíamos atender. Es un esfuerzo conjunto".
Managed Detection and Response Services emite alertas que son recogidas por el servicio SIEM. Utiliza el machine learning y la IA para evaluar las actividades que tienen lugar en los ordenadores portátiles, teléfonos móviles y otras interfaces de los empleados. Si detecta un comportamiento anómalo, puede bloquear los sistemas, dando tiempo a ANDRITZ para investigar.
Para aumentar las capacidades de su SIEM y su programa de seguridad, ANDRITZ aprovecha IBM Security X-Force Threat Management Services, una oferta completa que integra capacidades de conocimiento de amenazas, protección, detección, respuesta y recuperación.
Con IBM® Security services, ANDRITZ puede detectar y comprender de forma proactiva la gravedad, el alcance y la causa raíz de las amenazas antes de que afecten a la empresa. Un único panel de control centralizado proporciona una visibilidad y una información sin precedentes de toda la red.
"Hemos podido minimizar el impacto de los ataques porque hemos creado muchas fuentes bloqueadas", dice Glatz. "Analizamos nuestra red de forma continua. IBM Security ofrece una base sólida en la que tenemos un 100% de visibilidad y transparencia, lo que nos ayuda a resolver las amenazas en muy poco tiempo".
Con los servicios gestionados de detección y respuesta, ANDRITZ puede detectar más fácilmente comportamientos que podrían infectar los sistemas de los usuarios finales. Para Strieder, esto cobró especial importancia durante la pandemia. "La mayor recompensa es que estamosmás seguros y mucho mejor preparados en caso de que ocurra algo", afirma. "Nuestros 27.000 usuarios pudieron trabajar desde casa, y nosotros pudimos protegerlos mientras trabajábamos en la implementación con IBM".
Para ayudar a ANDRITZ a comprender y combatir las amenazas emergentes, IBM organiza trimestralmente con la empresa una sesión de innovación y mejora continua de dos horas de duración. Para Glatz, es fundamental hacerse una idea del futuro panorama de las amenazas. "En seguridad, es necesario prever qué cosas pueden ocurrir el mes o el año que viene", afirma. "Al asociarnos con IBM, nos hemos asociado con una empresa que tiene el poder y el potencial de anticiparse a lo que pueda ocurrir dentro de seis meses".
De cara al futuro, ANDRITZ pretende integrar su información sobre TO y la inteligencia sobre ciberamenazas de OTORIO con su SOC para obtener una visión aún más amplia del entorno de seguridad. "ANDRITZ se está transformando en un proveedor de servicios digitales", concluye Strieder.
"Con todo lo que proporcionamos hoy en día (nuestras fábricas de papel, instalaciones hidroeléctricas, metalúrgicas, etc.), tenemos que prestar aún más atención a la ciberseguridad de TI y TO. Es como un viaje sin fin".
Con sede central en Graz, Austria, ANDRITZ (enlace externo a ibm.com) es un proveedor internacional de plantas, equipos y servicios para centrales hidroeléctricas y para las industrias papelera y metalúrgica. También ofrece soluciones para la separación sólido/líquido en los sectores municipal e industrial. ANDRITZ se fundó en 1852 y hoy emplea a más de 27.000 personas en más de 40 países.
OTORIO (enlace externo a ibm.com) diseña y comercializa la próxima generación de soluciones de seguridad de TO y gestión de riesgos digitales. Con sede en Tel Aviv (Israel) y oficinas en Austria y Estados Unidos, OTORIO es parte integrante de la estrategia holística de ciberseguridad de ANDRITZ. El núcleo de su equipo directivo está formado por antiguos miembros de las Fuerzas de Defensa de Israel (IDF) que construyeron y mantuvieron su unidad de ciberdefensa.
Legal
© Copyright IBM Corporation 2022 IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Producido en los Estados Unidos de América, marzo de 2018.
IBM, el logotipo de IBM, ibm.com, IBM Security, QRadar y X-Force son marcas comerciales de International Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. La lista actual de las marcas registradas de IBM está disponible en la web en "Información sobre derechos de autor y marcas comerciales" en ibm.com/legal/copyright-trademark.
La información contenida en este documento es la vigente en la fecha de su publicación original y está sujeta a cambios por parte de IBM. No todas las ofertas mencionadas en este documento están disponibles en todos los países en los que IBM está presente.
Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos. Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.
Declaración de buenas prácticas de seguridad: La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. Un acceso indebido puede dar lugar a la alteración, destrucción, apropiación o uso indebidos de la información o puede provocar daños o el uso indebido de sus sistemas, incluso para utilizarlos en ataques a terceros. Ningún sistema o producto informático debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad por sí solo puede ser completamente eficaz a la hora de evitar usos o accesos indebidos. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un enfoque de seguridad legal y global, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más eficaz. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES O VAYAN A HACER QUE SU EMPRESA SEA INMUNE A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS.