WBS para la implementación de ISA/IEC-62443-2-1 en Usuarios Finales
ISA/IEC-62443 indica qué hacer pero no te dice cómo hacerlo. A través de las consultas que recibimos por asesoramiento vemos muchas veces que tanto los usuarios finales como los proveedores de servicios se hallan muy confundidos sobre el tema tan importante como la seguridad cibernética industrial.
También hemos visto muchas veces a través de varios procesos de licitación a los que nos han invitado, afirmando que la empresa está implementando la ISA/IEC-62443 y una vez que pasamos a las especificaciones y a la lectura de los requisitos, los documentos recibidos no tienen nada que ver con ISA/IEC-62443. Vemos como muchas veces han tomado un poco de todo creando una especie de Frankenstein generando más confusión entre los proveedores y luego muy difícil de evaluar y comparar propuestas.
La ciberseguridad industrial es un cambio cultural, y es un gran viaje donde la empresa pasará por un proceso de madurez, así como sus proveedores de soluciones y de servicios. Se debe establecer un programa apropiado con políticas y procedimientos antes de hacer cualquier cosa. Saltar directamente a la realización de una evaluación de riesgos situará a la empresa en una situación difícil. Las raíces necesitan ser correctamente asentadas, y sin esto el árbol en crecimiento finalmente caerá por su propio peso contra el viento más pequeño.
En este gran tema las suposiciones equivocadas, la falta de los conceptos correctos, la falta de capacitación oficial Certificada ISA, la falta de conocimiento real sobre los sistemas de control, el asesoramiento incorrecto sin experiencia previa, y aquellos procesos tomados prestados de los estándares de seguridad de la información, más probablemente situarán a la empresa en el camino equivocado para resolver el problema en el dominio físico. Por eso, la compañía se dará cuenta de que está en el camino equivocado una vez que sea demasiado tarde.
Muchas veces el dominio físico de una empresa está dividido en sub dominios en los cuales las políticas son diferentes, no habiendo una política general de la empresa. Resulta fundamental el rol de los proveedores de servicios en su interacción con los sistemas de control, muchas veces la falta de conocimiento de las políticas del cliente lleva a “romper las reglas” en las instancias de manejo de equipamiento sensible de una instalación crítica.
Contiene: Las líneas se han desdibujado entre los sistemas OT e IT, y el proceso está lejos de terminar. El personal de control de procesos y automatización industrial debe centrarse no solo en los procesos y su rendimiento, sino también en la gestión...
ARPEL y WisePlant firman acuerdo de cooperación para impulsar el fortalecimiento de la seguridad cibernética en el sector energético en América Latina y el Caribe
ARPEL (Asociación Regional de Empresas del Sector Petróleo, Gas y Bio-combustibles en Latino América y el Caribe) firmó recientemente un memorándum de cooperación con WisePlant Group, con el objetivo de impulsar en forma conjunta proyectos, estudios, eventos y cursos referidos a la ciberseguridad en infraestructuras críticas, en la búsqueda de aprovechar al máximo las fortalezas de cada una en beneficio de esta temática que cada día posee más relevancia en la industria de petróleo y gas.
Asimismo, ambas organizaciones se comprometen a través de este acuerdo a intercambiar información sobre el desarrollo de iniciativas que permitan fortalecer la seguridad cibernética.
El acuerdo fue firmado por el Director General de WisePlant Group, Maximillian Kon, y el Secretario Ejecutivo de ARPEL, Izeusse Braga.
WisePlant Group LLC es una empresa privada con sede en Estados Unidos y oficinas regionales en Argentina, Brasil, Chile, Colombia y Uruguay. Tiene por objeto promover el uso de las mejores prácticas globales en Ciberseguridad Industrial e Infraestructuras Críticas, Seguridad de Procesos, Seguridad Intrínseca, Seguridad de las Personas y Seguridad Física.
WisePlant Group es agente oficial de entrenamiento y capacitación de ISA (International Society of Automation), socio corporativo de ISA, ISASecure y miembro activo de ICS-CERT.
Por su parte, ARPEL cuenta desde 2015 con su Grupo de Trabajo en Ciberseguridad, el cual está conformado por especialistas en la temática de las principales empresas de petróleo y gas de la región, y tiene como fin compartir experiencias, mejores prácticas de gestión y nuevas tecnologías aplicadas en el mundo respecto a los nuevos desafíos de la ciberseguridad.
Asimismo, busca concientizar sobre la ciber-resiliencia, la cual no sólo consiste en prevenir o responder un ciberataque, sino que también incluye la habilidad de operar durante este evento, adaptándose y recuperándose del mismo.
Acerca de ARPEL Aquí
Implementación de la Autenticación Multifactorial (MFA) en el SecureCloud de WisePlant
En el SecureCloud de WisePlant la utilización del doble y/o múltiples factores de autenticación es selectiva (obligatorio para determinados perfiles de usuarios) y/o bajo solicitud (el usuario deberá solicitar que habilitemos las funciones adicionales de seguridad).
Qué tan bueno seria disponer de un mecanismo doble o multifactorial que lo podamos utilizar en todos los diferentes sistemas y aplicaciones, que sea lo suficientemente bueno y efectivo para verificar la identidad y lo suficientemente práctico, ágil y simple! Desde WisePlant estamos comprometidos con la seguridad pero también tomamos el desafio de implementar y promover el uso de métodos y técnicas que hagan de nuestras vidas más simples, seamos más efectivos y productivos.
La autenticación multifactorial (MFA) es un método de autenticación en el que se concede acceso a un usuario unicamente después de presentar correctamente dos o más piezas de evidencia (o factores) a un mecanismo de autenticación: conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario tiene), y la herencia (algo que solo el usuario es).
La autenticación de dos factores (también conocida como 2FA) es un tipo, o subconjunto, de autenticación multifactorial. Es un método para confirmar las identidades reclamadas por los usuarios emepleando una combinación de dos factores diferentes: 1) algo que saben, 2) algo que tienen, o 3) algo que son.
Un buen ejemplo de autenticación de dos factores es la retirada de dinero de un cajero automático; sólo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite realizar la transacción.
Otros ejemplos pueden ser completar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un dispositivo (por ejemplo, un token de seguridad o un teléfono inteligente) que solo el usuario posee.
Muchas personas evitan la configuración doble o multifactorial porque es engorroso y requiere de mayor tiempo, cuando en realidad esto es falso dependiendo del método utilizado. Es cuestión de práctica y buen hábito. Una vez que se familiariza con el tema y se adquiere práctica, la seguridad aumenta siginificativamente e iInclusive existen métodos que son todavía más ágiles y rápidos que la simple utilización de la contraseña.
La verificación o autenticación en dos pasos es un método para confirmar la identidad reivindicada de un usuario mediante la utilización de algo que conocen (contraseña) y un segundo factor distinto de algo que tienen o algo que son. Un ejemplo de un segundo paso es el usuario repitiendo algo que se envió a ellos a través de un mecanismo fuera de banda. O, el segundo paso podría ser un número de seis dígitos generado por una aplicación que es común para el usuario y el sistema de autenticación.
En la tabla se demuestra los diferentes tipos y métodos de autenticación de usuarios y el nivel de seguridad que cada uno de estos métodos provee.
Todos estos métodos pueden ser utilizados en el SecureCloud. Los métodos son ofrecidos de acuerdo con el perfil del usuario, de la criticidad de la información que cada usuario gestiona y del acuerdo de servicios contratado.
Factores de AutenticaciónDefiniciones, tipos, métodos y técnicas
El uso de varios factores de autenticación para probar la identidad se basa en la premisa de que es improbable que un actor no autorizado pueda suministrar los factores necesarios para el acceso. Si, en un intento de autenticación, al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se establece con suficiente certeza y el acceso al activo está protegido por la autenticación multifactorial permanecerá bloqueada. Los factores de autenticación de un esquema de autenticación multifactorial pueden incluir:
- Algún objeto físico en posesión del usuario, como una memoria USB con un token secreto, una tarjeta bancaria, una llave, etc.
- Algún secreto conocido por el usuario, como una contraseña, PIN, TAN, etc.
- Alguna característica física del usuario (biometría), como una huella dactilar, iris ocular, voz, velocidad de mecanografía, patrón en intervalos de pulsación de teclas, etc.
- En algún lugar, como la conexión a una red informática específica o la utilización de una señal GPS para identificar la ubicación.
Factores de ConocimientoAlgo que solo el usuario sabe
Los factores de conocimiento son la forma más comúnmente utilizada de autenticación. En este formulario, el usuario debe probar el conocimiento de un secreto para autenticarse.
El uso de las contraseñas y de la preguntas de seguridad son los métodos de verificación y autenticación más débiles que existen. La utilización de doble o múltiple factor de seguridad hace que la responsabilidad por la seguridad no dependa en su totalidad de una contraseña. En un buen sistema de seguridad el uso de la contraseña pasa a un plano completamente secundario y a veces hasta casi irrelevante.
Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación de usuario. Este es el mecanismo de autenticación más comúnmente utilizado. Muchas técnicas de autenticación multifactorial se basan en la contraseña como un factor de autenticación. Las variaciones incluyen las más largas formadas a partir de varias palabras (una frase de contraseña) y el número de identificación personal (PIN) más corto, puramente numérico, utilizado comúnmente para el acceso ATM. Tradicionalmente, se espera que las contraseñas sean memorizadas.
La gran cantidad de sistemas y aplicaciones que utilizamos a diario requieren autenticación del usuario por medio de contraseña complejas. Esto provoca en los usuarios la necesidad de aplicaciones para almacenar contraseñas, reutilizar contraseñas en tantos sitios como sea posible y hasta requieren de cierto tiempo para su uso, almacenamiento y consulta.
Muchas preguntas secretas como “¿Dónde naciste?” son ejemplos pobres de un factor de conocimiento porque pueden ser conocidos por un amplio grupo de personas, o ser capaces de ser investigados.
Existen aplicaciones en el mercado negro que son muy hábiles para el descubriento de las claves utilizadas por las personas. Motivo por el cual muchas cuentas son violadas día tras día con gran facilidad. Esto sin mencionar cuando un determinado es hackeado y todos nuestros datos personales quedan expuestos.
Factores de PosesiónAlgo que solo el usuario tiene
Los factores de la posesión (“algo el usuario y solamente el usuario tienen”) se han utilizado para la autenticación por siglos, en la forma de una llave a un bloqueo. El principio básico es que la clave encarna un secreto que se comparte entre la cerradura y la clave, y el mismo principio subyace en la autenticación del factor de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de un factor de posesión.
Token Desconectados
El conocido Token RSA SecurID es un ejemplo de un generador de tokens desconectado. La tarjetas de coordenadas son otro ejemplo. Los tokens desconectados no tienen conexiones con el equipo cliente. Normalmente usan una pantalla integrada para mostrar los datos de autenticación generados, que el usuario escribe manualmente.
Token Conectados
Los tokens conectados son dispositivos que están conectados físicamente al equipo que se utilizará. Esos dispositivos transmiten datos automáticamente. Hay un número de diferentes tipos, incluyendo lectores de tarjetas, etiquetas inalámbricas y tokens USB.
Token de Software
Un token de software (alias Soft token) es un tipo de dispositivo de seguridad de autenticación de dos factores que se puede utilizar para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como un ordenador de sobremesa, un ordenador portátil, un PDA o un teléfono móvil, y pueden duplicarse. (Tokens de hardware de contraste, donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar (ausencia de invasión física del dispositivo)). Un token suave puede no ser un dispositivo con el que el usuario interactúa. Un certificado cargado en el dispositivo y almacenado de forma segura puede servir a este propósito también.
Factores InherentesAlgo que solo el usuario es
Estos son factores asociados a la Usuario y suelen ser métodos biométricos, como la huella dactilar, la cara, la voz o el reconocimiento del iris. También se pueden utilizar biometría conductual, como la dinámica de pulsación de tecla.
Factores de LocalizaciónBasados en la ubicación
Uso de Teléfonos CelularesAnálisis de su ventajas y desventajas
Muchos proveedores de autenticación multifactorial ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en inserción, autenticación basada en código QR, autenticación de contraseña única (basada en eventos y basada en el tiempo) y verificación basada en SMS. La verificación basada en SMS sufre algunos problemas de seguridad. Los teléfonos pueden ser clonados, las aplicaciones pueden ejecutarse en varios teléfonos y el personal de mantenimiento del teléfono celular puede leer textos SMS. No menos importante, los teléfonos celulares pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que sólo el usuario tiene.
El principal inconveniente de la autenticación, incluyendo algo que el usuario posee es que el usuario debe llevar alrededor del token físico (la memoria USB, la tarjeta bancaria, la clave o similar), prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben transportar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido al malware y los riesgos de robo de datos, y la mayoría de las máquinas importantes no tienen puertos USB por la misma razón. Los tokens físicos normalmente no se escalan, por lo general requieren un nuevo token para cada nueva cuenta y sistema. La adquisición y posterior sustitución de tokens de este tipo conlleva costos. Además, existen conflictos inherentes y compensaciones inevitables entre la usabilidad y la seguridad.
La autenticación de dos pasos de telefonía móvil que involucra dispositivos como teléfonos móviles y smartphones fue desarrollada para proporcionar un método alternativo que evitaría tales problemas. Para autenticarse a sí mismos, las personas pueden utilizar sus códigos de acceso personales al dispositivo (es decir, algo que sólo el usuario individual sabe) más una contraseña de una sola vez-válida, dinámica, que normalmente consta de 4 a 6 dígitos. El código de la clave se puede enviar a su dispositivo móvil por SMS o notificación PUSH o puede ser generado por una aplicación de una sola vez-clave-generador. En los tres casos, la ventaja de usar un teléfono móvil es que no hay necesidad de un token dedicado adicional, ya que los usuarios tienden a llevar sus dispositivos móviles en todo momento.
A partir de 2018, SMS es el método de autenticación multifactorial más ampliamente adoptado para las cuentas orientadas al consumidor. A pesar de la popularidad de la verificación por SMS, el NIST de los Estados Unidos lo ha desusado como una forma de autenticación, y los defensores de la seguridad lo han criticado públicamente.
En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer autenticación de dos pasos de usuario con notificación PUSH como método alternativo.
La seguridad de los tokens de seguridad entregados por dispositivos móviles depende plenamente de la seguridad operativa del operador móvil y puede ser fácilmente violada mediante escuchas telefónicas o clonación de SIM por las agencias de seguridad nacionales.
Cada vez más, un cuarto factor está entrando en juego que implica la ubicación física del usuario. Aunque está conectado a la red corporativa, se puede permitir a un usuario Iniciar sesión utilizando solamente un código PIN mientras que fuera de la red que ingresa un código de un token suave también podría ser requerido. Esto podría considerarse como un estándar aceptable donde se controla el acceso a la oficina.
Los sistemas para el control de admisión de red funcionan de maneras similares en las que su nivel de acceso a la red puede estar supeditado a la red específica a la que está conectado su dispositivo, como la conectividad Wi-Fi y por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red en cada uno.
Ventajas
- No hay tokens adicionales y no son necesarios porque utiliza dispositivos móviles que son (generalmente) transportados todo el tiempo.
- A medida que cambian constantemente, las contraseñas generadas dinámicamente son más seguras de usar que la información de registro fija (estática).
- Dependiendo de la solución, los códigos de uso que se han utilizado se reemplazan automáticamente para garantizar que un código válido esté siempre disponible, los problemas de transmisión/recepción no impiden, por tanto, los inicios de sesión.
Desventajas
- Los usuarios deben llevar un teléfono móvil, cargado y mantenido en el rango de una red celular, siempre que sea necesaria la autenticación. Si el teléfono no puede mostrar mensajes, como si se daña o se apaga para una actualización o debido a temperaturas extremas (por ejemplo, exposición invernal), el acceso es a menudo imposible sin planes de copia de seguridad.
- Las compañías de telefonía móvil pueden cobrar al usuario por cargos de mensajería.
- Los mensajes de texto a teléfonos móviles que utilizan SMS son inseguros y pueden ser interceptados. Por lo tanto, los terceros pueden robar y utilizar el token.
- Es posible que los mensajes de texto no se entreguen instantáneamente, añadiendo retrasos adicionales al proceso de autenticación.
- La recuperación de la cuenta normalmente omite la autenticación de dos factores del teléfono móvil.
- Los smartphones modernos se utilizan tanto para navegar por correo electrónico como para recibir SMS. Por lo general, el correo electrónico siempre está conectado. Así que, si el teléfono se pierde o es robado, todas las cuentas para las que el correo electrónico es la clave puede ser hackeado como el teléfono puede recibir el segundo factor. Así que los teléfonos inteligentes combinan los dos factores en un factor.
La clonación de SIM permite a los hackers acceder a conexiones de teléfonos móviles. Los ataques de ingeniería social contra empresas de operadores móviles han dado lugar a la entrega de tarjetas SIM duplicadas a criminales.
Avances de la Tecnología en Teléfonos CelularesUtilización de dos factores en teléfonos móviles
Los avances en la investigación de la autenticación de dos factores para los dispositivos móviles consideran diferentes métodos en los que se puede implementar un segundo factor sin suponer un obstáculo para el usuario. Con el uso continuado y las mejoras en la exactitud del hardware móvil tal como GPS, micrófono, y girocompás/acelerómetro, la capacidad de utilizarlos como segundo factor de autenticación es cada vez más digno de confianza. Por ejemplo, registrando el ruido ambiente de la ubicación del usuario desde un dispositivo móvil y comparándolo con la grabación del ruido ambiental desde el ordenador en la misma sala en la que el usuario intenta autenticarse, uno puede tener un segundo factor efectivo de Autenticación. Esto también reduce la cantidad de tiempo y esfuerzo necesarios para completar el proceso.
Manteniendo la Sesión ActivaCierre de sesión por inactividad
Una vez que el usuario ha sido autenticado y validado para iniciar la sesión, se han configurado tiempos para cerrar la sesión del usuario que se encuentra inactivo con la finalidad de proteger su información personal y su cuenta frente a un descuido o inclusive frente a un cierre de la venta o aplicación en al cual se encontraba trabajando. No obstante ello es muy importante que el usuario sea responsable y cuidadose en el uso de su sesión.
Proveedores de Servicios de IdentidadMétodos alternativos para el inicio de sesión con Redes Sociales
Proveemos un método alternativo en el inicio de sesión para ingresar al SecureCloud utilizando sus cuentas de usuario existentes en otros proveedores de servicios de identidad (IDP). El inicio de sesión por medio de alguna de las Redes Sociales ofrecidas (Amazon, Facebook, LinkedIn y Microsoft) permitirá a los visitantes ingresar a los contenidos públicos sin la necesidad de completar el formualrio de registro.
Al ingresar por medio de alguna de las Redes Sociales el visitante es automáticamente asignado con el perfil de Suscriptor Básico. Es decir que podrá acceder a una gran cantidad de contenidos en la biblioteca digital y configurar su perfil de usuario entre muchas otras capacidades.
En la actualidad las Redes Sociales disponen de mecanismos para la configuración de factores de autenticación. Es responsabilidad de los usuarios configurarlos y utilizarlos adecuadamente. Una vez configurados se puede obtener seguridad y rapidez al mismo tiempo.
Para escalar o acceder a mayores privilegios necesariamente debemos verificar la autenticidad y credibilidad de la Cuenta del Usuario. Si bien podrá acceder y bajar documentos de la biblioteca digital, todos sus comentarios y acciones en el SecureCloud será moderados por un administrador en la Web, hasta que su perfil de suscriptor básico sea actualizado. Los usuarios que ingresan con una Cuenta Social podrán solicitar actualizar sus privilegios entrando en contacto con el Administrador de la Web enviándonos un mensaje o creando un Ticket en el área de Soporte Técnico.
Es bien sabido que los proveedores de servicios de identidad (Google, Facebook, etc.) tienen muchos perfiles falsos y que en promedio los usuarios de las redes sociales sulen tener un mínimo de dos o tres perfiles sociales. Por este motivo que a todos aquellos usuarios que comienzan a utilizar los servicios del SecureCloud por medio de otros proveedores de identidad son moderados y les asignamos la categoría más baja de Suscriptor Básico. Antes de escalar sus provilegios debemos verificar y estar seguros de la identidad del usuario.
Si bien el SecureCloud de WisePlant actua como proveedor de servicios de identidad (REST API), no proveemos acceso a plataformas de terceros. Las únicas plataformas con acceso al servicio de identidad del SecureCloud de WisePlant son las aplicaciones y sistemas de WiseGroup. Estas son Academy Campus, CRM, Accounting, Projects, Cyber-HAZOP Tool entre otras.
Perfiles de UsuariosVisitante, registrado, cliente, proveedor, partner, funcionario, administrador y otros.
En el SecureCloud tenemos diferentes tipos de perfiles. Cada uno de los perfiles tiene una serie de características generales del perfil y otras características particulares que pueden ser modificados para cada usuario específicamente. La modificación de los perfiles de usuario y de sus privilegios pueden ser realizadas únicamente por un usuario adminsitrador. Sin embargo, ningún Administrador del sistema puede realizar el 100% de los cambios.
- Visitante: este perfil corresponde a un visitante de la Web que no se ha iniciado sesión. El visitante sin iniciar sesión tiene funciones limitadas para acceder a la Biblioteca de Contenidos Digitales, crear un caso de soporte (ticket) y enviarnos algún tipo de consulta entre muchas otras acciones.
- Registrado: Una vez que el visitante ha creado e iniciado sesión podrá acceder a una gran cantidad de información disponible de forma pública y gratuita. Existen múltiples diferentes tipos de usuarios registrados en función de los roles y privilegios asignados por los administradores del SecureCloud. No todos los perfiles tiene la posibilidad de configurar alguno de los factores de autenticación.
- Funcionarios: por la naturaleza de la información que manejan y los contenidos a los cuales tienen acceso, todos los funcionarios miembros de WiseGroup deben utilizar como mínimo algúno de los factores de autenticación disponibles en el SecureCloud, sin excepción pudiendo extenderse a múltiples factores de autenticación.
Mecanismos Adicionales de SeguridadMétodos y técnicas adicionales para la seguridad de contenidos
Una vez dentro del sistema los diferentes ítems o contenidos pueden disponer de métodos, técnicas y mecanismos de validación adicionales, pudiendo ser válidos y reutilizados todos los mecanismos empleados para la autenticación del usuario al momento de inicio de la sesión o nuevos métodos de seguridad, incluyendo:
- Claves de Acceso individuales
- Claves de Acceso Grupales
- Aceptación de las Políticas de Confidencialidad, No divulgación y/o privacidad.
- Aceptación de las Políticas de Derecho a la Propiedad Intelectual
- CAPTCHA (Verificación de Persona Humana – No Robot)
- Políticas de seguridad y acceso definidas en los perfiles de usuarios
- Utilización de Firmas Digitales o Electrónicas
- Encriptación con intercambio de llaves públicas previamente
- Limitación de la Dirección IP del usuario. Ejemplo: Puede ser que para acceder a determinado tipo de información únicamente le sea permitido desde una ubicación específica, o rango específico.
- Reconocimiento y Validación del Dispositivo.
- … otros métodos y tecnologías están siendo incorporados.
Estuvimos en el Seminario de CiberSeguridad Industrial ARPEL 2018
Una vez más estuvimos presentes en el Seminario de CiberSeguridad Industrial e infraestructuras Críticas ARPEL 2018 organizado por ARPEL, OAS, YPF y el Ministerio de Modernización de la República Argentina, con al apoyo de importantes empresas del mercado.
En la actualidad, la CiberSeguridad industrial se ha convertido en una temática muy importante para las empresas debido al aumento de los ciber-crímenes y del volumen de datos que manejan. Es fundamental que las grandes, pequeñas y medianas empresas, establezcan una estrategia adecuada para proteger los activos de la empresa.
Esta segunda edición del Seminario bajo el lema “CiberSeguridad en Infraestructuras Críticas, Riesgos, Oportunidades y Prioridades” fue organizado por la Asociación Regional de Empresas del Sector Petróleo, Gas y Biocombustibles en Latinoamérica y el Caribe (ARPEL), a través de su Grupo de Trabajo de CiberSeguridad. Este Grupo está integrado por expertos de las empresas asociadas y que operan en la región.
El evento contó con la participación de expertos de alto nivel, quienes abordaron la temática desde un punto de vista estratégico, de gestión y operativo, representados por especialistas de fabricantes de equipos, consultoras, usuarios finales e infraestructuras críticas. El Seminario fue de especial interés para las siguientes industrias:
- Industria de petróleo y gas (exploración, producción, almacenamiento, distribución, etc.);
- Industria química y nuclear (producción, almacenamiento y transportes de mercancías peligrosas, materiales químicos, biológicos, radiológicos, etc.);
- Agua (embalses, almacenamiento, tratamiento y redes);
- Centrales y redes de energía (producción y distribución);
- Tecnologías de la Información y las Comunicaciones (TIC);
- Salud (infraestructura sanitaria);
- Transporte (aeropuertos, puertos, ferrocarriles y redes de transporte público, sistemas de control del tráfico, etc.).
El evento fue una excelente oportunidad para conocer la situación de esta disciplina de la mano de líderes internacionales y de establecer valiosas relaciones que favorezcan la colaboración en distintos ámbitos a nivel nacional e internacional.
Para más información del Seminario Visite www.arpelciberseguridad.org
Análisis de un Ataque a los Sistemas Instrumentados de Seguridad y cómo protegerse de este tipo de amenazas
Quedó claro que los sistemas instrumentados de seguridad también son blancos de ataque con motivo de causar y provocar severos daños a infraestructuras industriales con graves consecuencias.
El pasado mes de agosto de 2017 un ataque cibernético fue dirigido a los Sistemas Instrumentados de Seguridad en una instalación de petróleo y gas localizada en algún lugar del Medio Oriente.
Un nuevo malware identificado como TRITON (Bautizado por Fireeye), TRISIS (Bautizado por Dragos) o también conocido como HatMan, fue desarrollado para actuar sobre las funciones de seguridad de los sistemas TRICONEX con la finalidad de interferir en las protecciones de los sistemas poniendo en riesgo la planta de producción y la vida de las personas provocando daños en gran escala.
El malware fue desarrollado específicamente para actuar sobre los sistemas TRICONEX y TRICON fabricados por la empresa Schneider Electric (Originalmente Foxboro/Invensys). Sin embargo, el vector de ataque utilizado no sería exclusivo de esta marca ya que podría ser utilizado o modificado para actuar sobre otros fabricantes de sistemas instrumentados de seguridad.
El ataque a los Sistemas Instrumentados de Seguridad tuvo como resultado final, en esta ocasión, la parada de la planta. Sin embargo, los investigadores hallaron que los responsables buscaban modificar las funciones de seguridad configuradas y así provocar un incidente de mucha mayor magnitud. Un error en la intervención del sistema por parte de los responsables termina por provocar que el sistema entre en falla y por consiguiente automáticamente desencadena una parada segura de la planta.
De haber sido exitosos en el objetivo final seguramente hoy hubiésemos sido testigos de un incidente de magnitudes mayúsculas.
La empresa Schneider Electric luego de una rápida investigación puso a disposición del mercado un informe para advertir al mercado mundial y principalmente a otros usuarios, sobre dicho malware recomendando medidas inmediatas de seguridad para evitar que otras compañías sean víctimas del mismo tipo de ataque quizá con daños mucho más graves que el actual incidente. Los funcionarios de Schneider Electric anunciaron en su comunicado oficial que se trató de un incidente aislado. Sin embargo, recomendaron enfáticamente a todos los usuarios, que tomen medidas de seguridad al respecto.
Impacto de SPECTRE y MELTDOWN en los Sistemas Industriales y cómo responder a la Amenaza
Durante los últimos meses se han dado a conocer varias vulnerabilidades atribuidas a los microprocesadores que ponen en evidencia la importancia de disponer de sistemas con CiberSeguridad interna. Este tipo de vulnerabilidades nos están alertando de los potenciales riesgos cibernéticos en las tecnologías emergentes basadas en IoT e IIoT. Hace un tiempo difundimos un artículo muy interesante de MAXIM INTEGRATED sobre cripto-procesadores que se puede acceder desde aquí.
SPECTRE y MELTDOWN son dos vulnerabilidades recientemente descubiertas que afectan el hardware que se ejecuta en la mayoría de los dispositivos del mundo. Lo más probable es que cada usuario tenga un dispositivo afectado en su proximidad.
Casi todas las máquinas con un procesador moderno se ven afectadas, desde estaciones de trabajo hasta, sistemas de control, servidores, teléfonos y tabletas.
Esto incluye Microsoft Windows, Linux, Android, Google ChromeOS, macOS de Apple en procesadores Intel, ARM y sistemas embebidos. La mayoría de los chips INTEL fabricados después de 2010 son vulnerables, mientras que muchos chips AMD, ARM y otros también se ven afectados.
SPECTRE y MELTDOWN son vulnerabilidades diferentes, pero relacionadas. SPECTRE comprende dos vulnerabilidades: CVE-2017-5753: circunvalación de verificación de límites y CVE-2017-5715: inyección de blanco de ramificación, mientras que MELTDOWN consta de uno: CVE-2017-5754: carga de caché con datos falsos.
Estas vulnerabilidades hacen que los sistemas sean susceptibles a los llamados ataques de “canal lateral”, que se basan en la implementación de hardware físico y no atacan directamente la lógica o el código. Estos tipos de ataques generalmente incluyen a acciones tales como rastrear la radiación electromagnética (es decir TEMPEST), monitorear el consumo de energía, analizar luces intermitentes, análisis de caché, etc.
Dado que los dispositivos IT, IoT y IIoT son muy frecuentes y se actualizan con poca frecuencia, la presencia de dispositivos vulnerables puede permanecer en entornos de producción por varias generaciones venideras.
¿Cuál es el impacto de SPECTRE y MELTDOWN?
Si una de estas vulnerabilidades se utiliza para comprometer un dispositivo, esto podría dar a un atacante acceso a datos privilegiados en el sistema. Las vulnerabilidades no otorgan acceso al sistema; solo permiten a los atacantes leer datos que, de lo contrario, deberían restringirse. En otras palabras, un atacante aún necesita ingresar al sistema para ejecutar el ataque.
Mientras que esto puede sonar “alentador”, en realidad es una preocupación crítica en sistemas con múltiples usuarios, donde los datos de un espacio de memoria perteneciente a un usuario aún deben estar aislados de los demás.
En pocas palabras, en entornos compartidos o multi-tenant, como un entorno virtual, en la nube o cualquier otro entorno multiusuario, deben existir barreras estrictas entre los usuarios. De lo contrario, cualquier cliente en la nube podría acceder a los datos que pertenecen a otros clientes que comparten la misma CPU.
La misma compartimentación se produce dentro de las aplicaciones, que deben aislarse unas de otras. Por ejemplo, un navegador web no debe tener acceso directo a los datos que usa el sistema operativo Windows para almacenar contraseñas u otra información confidencial.
Todos los sistemas operativos implementan múltiples niveles de seguridad para evitar que ocurra este comportamiento, incluidos Windows UAC, SELinux y más. Por esa razón, resulta que las vulnerabilidades de SPECTRE y MELTDOWN pueden no ser tan malas como se las ha reportado, especialmente si no eres un usuario de la nube.
Explicación Sencilla
En los dos videos siguientes se explican las vulnerabilidades de SPECTRE y MELTDOWN de forma simple pero muy clara y concreta. La noticia es que mientras los parches están siendo desarrollados y publicados en los sistemas operativos para evitar este problema, estos provocan demoras en los sistemas. La vulnerabilidad aprovecha una técnica creada en los microprocesadores modernos que les permite adelantar parte del trabajo para mejorar su rendimiento.
En caso de que estos cálculos anticipados no sean necesarios el sistema los descarta y elimina dejándolos en zonas de memoria desprotegidas al alcance de otras aplicaciones y/o usuarios no autorizados.
Explicación en términos de Layman
Imaginemos, por un momento, que ha sido recientemente galardonado con: Spectre Meltdown Mindreading Capability
Para simplificar, vamos a llamarlo SMMC. SMMC le da el ‘poder’ para leer la mente de otra persona, siempre y cuando ambos estén en la misma habitación.
Su SMMC puede funcionar en casi cualquier persona, en cualquier lugar: el centro comercial, el teatro e incluso las mesas de póquer en Las Vegas. Independientemente de su ubicación, puede leer la mente de los demás, siempre y cuando esté en la misma habitación que ellos. Ahora tiene acceso a datos que deben ser privados, como secretos, información confidencial o crítica, y más.
SMMC no funciona de forma remota; debe estar cerca de la otra persona y en la misma habitación. Además, debe tener permiso para ingresar a esta sala (es decir, en Las Vegas, debe tener al menos 21 años para ingresar a ciertos casinos).
Ahora, imaginemos un escenario diferente: usted está en su propia habitación, usted mismo, y usa SMMC para obtener acceso a sus propios datos. Además del potencial estallido del reflejo mental, ¿qué sentido tiene ejecutar un ataque en tu propia mente? Ya tiene acceso a los datos, y puede recuperarlos a voluntad.
En pocas palabras, esa es la idea detrás de SPECTRE y MELTDOWN. Son efectivos en una sala de múltiples inquilinos donde los secretos de más de una persona deben mantenerse en privado.
Sin embargo, no tiene sentido ejecutar un ataque en una habitación con un solo propietario, ya que, técnicamente, no hay secretos. Mientras seas la única persona que alguna vez ocupe la habitación, tus datos estarán seguros, aunque sigas siendo vulnerable al ataque.
Explicación Detallada
Una explicación técnica bien detallada requiere conocimientos de programación en microprocesadores. En este LINK tendrá acceso a información relevante publicada por los descubridores de estas dos vulnerabilidades que afecta a todos los microprocesadores modernos del mercado, salvo aquellos que sean cripto-procesadores.
¿Por qué SPECTRE y MELTDOWN han recibido tanta difusión?
SPECTRE y MELTDOWN han generado cobertura en los medios convencionales debido a la gran cantidad de sistemas que han impactado. Casi todos poseen un dispositivo que es vulnerable al ataque.
Sin embargo, ser vulnerable no significa necesariamente que este le afectará en sus sistemas de la planta. A veces, como en el caso del parche de Microsoft, la cura causa el dolor, no el ataque en sí mismo. Como se sugiere en la norma ANSI/ISA99/IEC-62443 las acciones de mitigación deben ser el resultado de una evaluación de riesgos cibernéticos en OT y un análisis de criticidad además de un cuidadoso proceso de instalación y de gestión de cambios.
Un claro ejemplo es el impacto del parche MELTDOWN/SPECTRE en Rockwell Factory Talk, que provocó interrupciones en los servidores FactoryTalk. A partir de ahora, el parche aún no ha sido probado por Rockwell, y actualmente no está aprobado para su uso en ningún sistema FactoryTalk (puede que no sea por un tiempo …). En el caso de Wonderware el parche afectó al tradicional histórico de planta. La actualización de Microsoft “KB4056896” a generado consecuencias inesperadas para el líder de software SCADA provocando inestabilidad en el sistema y bloqueo del acceso a los servidores de datos.
Las mitigación es todavía un tema de considerable debate. Algunos han tenido un impacto negativo en el rendimiento, inutilizando los sistemas y creando otros problemas que aún están siendo resueltos por varios proveedores y comunidades de usuarios. Algunos parches ya no están disponibles para el público y aún no se han vuelto a emitir.
Los ataques a los sistemas industriales son cada vez más sofisticados capaces de causar cada vez más daños. Al inicio los ataques se concentraban en las capas más altas de las redes industriales y tecnologías comerciales de IT, mientras que en los últimos años los ataques han golpeado sobre las redes más bajas y propietarias de los sistemas de control y tecnologías de OT. Los daños provocados por año, ante la misma cantidad de incidentes, se han incrementado en 10 veces!
¿Cuál es el impacto de SPECTRE y MELTDOWN en los sistemas industriales?
Los entornos industriales poseen una gran variedad de equipos, de los cuales algunos de ellos suelen incluir a los siguientes:
- Estaciones de Operacipon.
- Estaciones de Ingeniería.
- Servidores sobre Windows (DNS, AD, etc.)
- Servidores sobre Linux (historiadores, firewalls, sistemas de automatización)
- PLCs de varios fabricantes
- DCSs de varios fabricantes
- Sistemas Instrumentados de Seguridad
- Sistemas de Control de Motores CCM
- HMI de varios fabricantes
- Interruptores en estaciones eléctricas
- y muchos otros dispositivos con sistemas embebidos
Casi todas las redes de ICS son vulnerables al ataque. Que un dispositivo específico esté o no en riesgo depende de múltiples factores, como el conjunto de chips, el nivel de firmware, etc. No está demás decir que podemos esperar una investigación sustancial y parches en el futuro cercano.
Muchos HMI, paneles y pantallas utilizan los microprocesadores afectados. La gran mayorías de los fabricantes sistemas industriales todavía están evaluando la amenaza. Muchos sistemas que admiten controladores industriales como sistemas de automatización, sistemas de control de lotes, servidores de control de producción, impresoras, sistemas OPC, sistemas SCADA, dispositivos periféricos y dispositivos IIoT, incluidas cámaras, sensores, etc., son los más vulnerables.
¿Cómo podemos ayudar a mitigar este tipo de vulnerabilidades?
Se trate de sistemas nuevos que serán incorporados en las plantas industriales y que luego deberán ser soportados por décadas, o bien se trate de sistemas industriales existentes tendremos que tomar una decisión para mitigar los riesgos asociadas a este tipo de amenazas. Lo mismo que sucede con otras amenazas.
En el ámbito industrial existen tantos dispositivos inteligentes distribuidos en la planta que no podemos tratar a todos por igual. Una evaluación de riesgos cibernéticos para ámbitos industriales es de un valor sustancial para determinar las acciones correctas. Esta evaluación nos proveerá de los elementos necesarios para tomar decisiones y determinar los requerimientos de seguridad cibernética para satisfacer el nivel de riesgo tolerable por la organización. Una buena evaluación de riesgos dará los elementos necesarios para no gastar de más ni invertir de menos.
La segmentación de los sistemas industriales en Zonas y Conductos nos permitirá crear sistemas industriales seguros por diseño. Existen muchos tipos de vulnerabilidades en todas las etapas del ciclo de vida de los sistemas, desde el diseño y concepción, pasado por las etapas de construcción, configuración, instalación, puesta en marcha, la operación y el mantenimiento. Muchas personas creen que la tecnología tiene todas las respuestas a la seguridad cuando en realidad esto es completamente falso. La metodología de ISA99 registrada ANSI/IEC-62443 nos garantiza una seguridad óptima por diseño que satisface las necesidades de la organización a la medida de cada Zona y cada Conducto.
La forma más práctica consiste en incorporar sistemas industriales con Seguridad Cibernética intrínsecamente embebida dentro del equipo (BUILT-IN, por su definición del inglés) evitando la necesidad de tener que incorporar Seguridad Cibernética Agregada. Los sistemas con tecnologías de Seguridad Cibernética embebida proveen de varias ventajas para los usuarios finales e integradores. Estas ventajas se resumen en (a) menor costo de propiedad del sistema. (b) menor coste de la seguridad, (c) mayor confiabilidad del sistema – menor tasa de fallas, (d) mayor vida útil, (e) mayores de nivel de seguridad cibernética para satisfacer los más elevados requerimientos.
Un claro ejemplo de este tipo de soluciones los podemos encontrar en los sistemas de BEDROCK AUTOMATION. Para sistemas nuevos la mejor forma y más segura consiste en la implementación de sistemas industriales con CiberSeguridad embebida como la de BEDROCK. Estos sistemas de BEDROCK han sido concebidos con Cripto-Procesadores haciendo que este tipo de vulnerabilidades sean virtualmente imposibles. La tecnología de BEDROCK permite a los usuarios crear una Red de Confianza (ROOT OF TRUST) que se puede extender al respecto de la organización.
Los vectores de ataque a los sistemas industriales son cada vez más sofisticados. El exponencial crecimiento del mercado negro en el descubrimiento y el notable interés por utilizar estos métodos cada vez más sofisticados hacen pensar que las tecnologías de los sistemas sin Ciber-Seguridad embebida serán un juego de niños para los chicos malos en apenas unos pocos años. Mucho antes de que estos sistemas piensen en ser reemplazados.
Para los sistemas ya instalados en primer lugar, ser consciente de lo que existe en su entorno industrial es fundamental para asegurarlo con éxito. No podrá proteger lo que no conoce. A su vez, tener un inventario de activos automatizado en su caja de herramientas es esencial para entender qué equipo está en riesgo y requiere atención.
Tener visibilidad en profundidad de su inventario de activos es vital. Sin esto, se queda con una lista de dispositivos industriales que deben examinarse manualmente para determinar si su módulo de hardware específico se ve afectado.
Un inventario de activos automatizado es clave para identificar activos vulnerables y seguir los esfuerzos de su mantenimiento. Una solución de CiberSeguridad industrial como la de INDEGY recopila automáticamente esta información de dispositivos industriales y la pone a disposición en su Inventario de activos.
Finalmente, para explotar estas vulnerabilidades, un atacante necesita acceso a la red. Esto enfatiza la importancia de tener un sistema de monitoreo de red, que le permita identificar a cualquier persona que se conecte a la red, comunicándose con o modificando activos clave.
Aplicacion de parches en sistemas vulnerables
Los sistemas de aplicación de parches en entornos industriales de ningún modo son un proceso trivial, ya que a menudo se requieren estos sistemas para garantizar la seguridad y la estabilidad de los procesos industriales.
Podemos ayudar a las organizaciones con el proceso de parches de dos maneras:
- Para la supervisión del progreso de parchado INDEGY le permite ver qué sistemas se han parcheado y cuáles son aún vulnerables. Si un sistema no está parcheado por error, el sistema de INDEGY le informará sobre esto.
- Para el monitoreo de personal y sistemas involucrados en la aplicación de parches existe la posibilidad de que varias personas implementen varias mitigaciones, parches, actualizaciones de firmware, etc. en una variedad de plataformas, desde estaciones de trabajo hasta servidores, PLC, HMI y dispositivos IIoT. Esto puede dar como resultado que varias personas, en una variedad de funciones, de diferentes organizaciones entren potencialmente en su entorno de producción. ¿Cómo sabrá en qué está trabajando cada persona? ¿Puede alguna de sus actividades causar interrupciones en sus procesos industriales? ¿Qué pasa con el uso de portátiles de terceros no administrados que pueden verse comprometidos? ¿O casos en los que se abren conexiones remotas para habilitar el trabajo necesario? Todos estos pueden exponer sus sistemas industriales a amenazas no deseadas.
Con la plataforma de INDEGY, se puede monitorear los sistemas industriales de forma segura a medida que los empleados y contratistas externos entran y salen de la planta, o cuando se conectan y desconectan de su red. La plataforma le permite realizar un seguimiento de todas sus actividades y recibir alertas en tiempo real sobre cualquier actividad no autorizada o sospechosa.
Indegy le permite confirmar que sus sistemas de control industrial de misión crítica no han sido tocados por usuarios no autorizados, y que no se cometieron errores al intentar actualizar sus sistemas. Póngase en contacto con nosotros si desea obtener más información sobre cómo proteger a los sistemas de control industrial.
Bedrock Automation recibe el premio Vaaler Award 2017 de la revista Chemical Processing
San José, California, Estados Unidos — 12 de octubre de 2017 — Bedrock Automation ha ganado el premio Vaaler de la revista Chemical Processing por el sistema de automatización Abierto y Seguro (OSA, Open Secure Automation), el primer sistema de control industrial universal que se diseñó con seguridad cibernética intrínseca. Bedrock es uno de los dos únicos ganadores del prestigioso premio, que se ofrece sólo una vez cada dos años.
“Establecimos los premios Vaaler en 1964 para reconocer productos que prometen una mejoría significativa en las operaciones de las plantas químicas y la economía. Nuestro panel de jueces imparciales seleccionó el sistema de control Bedrock porque aborda las cuestiones operacionales y económicas ofreciendo un sistema de seguridad cibernética incorporado a su electrónica. Felicitamos a todo el equipo de Bedrock”, dijo Mark Rosenzweig, redactor jefe de Chemical Processing.
El premio rinde homenaje a John C. Vaaler, Presidente del Consejo editorial de Chemical Processing desde 1961 hasta su muerte el 1963. Los jueces de este año representaron a expertos en ingeniería, seguridad y sostenibilidad de algunas de las principales compañías químicas del mundo. Seleccionaron el sistema de automatización segura, basado en su significado técnico, su singularidad y amplitud de aplicabilidad.
A diferencia de los principales diseñadores de control de automatización, cuyos sistemas se basan en arquitecturas fundamentales implementadas antes de que la seguridad cibernética fuera un problema, los diseñadores de Bedrock comenzaron su solución de seguridad cibernética con una hoja de papel en blanco con nuevas y mejores requerimientos fundamentales. El control resultante y la arquitectura de E/S ofrece una placa de electromagnética sin Pines, seguridad cibernética profundamente incrustada y potencia computacional que sobrepasa los sistemas convencionales de PLC, RTU o DCS.
“Estamos muy honrados de haber sido reconocidos por nuestros esfuerzos para llevar un sistema de control muy necesario, simple, escalable y seguro para el mercado. Nos complace especialmente haber sido seleccionados por un panel de jueces que representan a algunas de las compañías químicas más respetadas del mundo “, dijo el fundador y CEO de Bedrock, Albert Rooyakkers.
Publicación Original por Bedrock Automation Aquí
El Sistema Instrumentado de Seguridad HiMax recibe la Certificación de ISA Secure®
El sistema de seguridad funcional HiMax de HIMA recibe el certificado ISASecure® por TÜV Rheinland cumpliendo con estrictas normas de ciberseguridad
Seguridad cibernética avanzada: el controlador de seguridad HiMax de HIMA ha recibido el nuevo certificado de seguridad cibernética de TÜV Rheinland. La agencia de prueba certificó el procesador y el módulo de comunicaciones de acuerdo con los estándares internacionales ISA/IEC-62443-4-1, ISA/IEC-62443-4-2 e ISASecure® EDSA 2.0.0. El certificado se basa en rigurosas pruebas y evaluaciones de todos los requisitos relacionados con la seguridad cibernética durante toda la vida útil del controlador de seguridad, y dice que HiMax cumple los requisitos del nivel de seguridad SL-1. Al combinar la seguridad funcional más alta (hasta SIL 3) con la seguridad cibernética en un solo sistema, el controlador de seguridad proporciona una protección óptima para las personas, las instalaciones y el medio ambiente en tiempos de creciente criminalidad cibernética.
Para conocer más sobre los Sistemas HiMax de HIMA visite Aquí
Fuente: LINK Externo
WisePlant firmó acuerdo de patrocinio con la sección de ISA Sao Paulo
WisePlant HQ – A WiseGroup Company – firmó un contrato para el patrocinio de la seccion de ISA Sección San Pablo confirmando la confianza en sus actividades. Ambas entidades están seguras de que esta asociación será muy exitosa!
ISA Sao Paulo es una de las secciones más desarrolladas en Sudamérica que organiza eventos, cursos de capacitación, congresos, libros técnicos con la finalidad de difundiar las mejores prácticas en intrumentación y control y facilitar la vinculación de los profesionales de la comunidad con nuevas oportunidades para el aprendizaje, el desarrollo continuo y nuevas oportunidades de crecimiento.
WisePlant fue fundada en 2012 por un grupo de profesionales y empresarios que decidieron su creación para proporcionar soluciones innovadoras con productos y sistemas de tecnologías seguras para la infraestructura industrial crítica y el desarrollo de ciudades digitales seguras. Nuestras áreas de experiencia, soluciones y servicios incluyen la instrumentación, automatización, control, ingeniería, software, redes de OT, la ciberseguridad industrial, consultoría y servicios profesionales con muchos años de experiencia consolidando un equipo de trabajo multidisciplinario y orientado a proporcionar soluciones tecnológicas de la más alta calidad.
Junto con los integradores de sistemas especializados, ayudamos a seleccionar la tecnología a utilizar y proporcionar servicios específicos para implementar las soluciones de acuerdo con las mejores prácticas y metodología probada proyectos de implementación tanto requeridos para cada proyecto y para el suministro de productos.
Nuestro equipo de técnicos e ingenieros han trabajado en grandes proyectos para empresas internacionales en América Latina. Nuestro conocimiento y tecnología se aplican en diversas industrias tales como petróleo y gas, química, petroquímica, minería, metales, alimentos, bebidas, automotriz, farmacéutica y otras.
Para obtener más información sobre las actividades que desarrolla ISA Sección Sao Paulo, visite www.isasp.org.br
Nuevo Programa para Partners e Integradores de Sistemas 2017
¡Prepárese! ¡Ya está aquí! El Programa para Partners e Integradores de Sistemas de WiseGroup, que lanzamos especialmente diseñado para el mercado sudamericano. Acumulamos más de 20 años de experiencia habiendo trabajado con canales en la región, en un nuevo extraordinario programa.
No tenemos ninguna duda que este será el programa del canal más destacado del sector. Un programa Simple, Predecible, y Rentable. Un programa para destacar. Un programa para superar.
Cuando dimos a conocer el programa para partners de WiseGroup, anunciamos los tipos de niveles: Agente, Registrado, Certificado y Premier.
- Desde que se haya registrado en nuestro programa recibirá diversos cursos de entrenamiento para sus profesionales sobre todos los productos y sistemas distribuidos por WisePlant. Más de 10 Cursos de capacitación disponibles además de todas las herramientas necesarias para que el Integrador adquiera una buena autonomía y confianza.
- Sabemos que la mejor forma para ser exitosos es que todos estamos comprometidos. Por eso que no somos amigos de las relaciones oportunistas. Los leads que recibamos de clientes interesados serán canalizados a través de integradores Certificados. Nosotros no realizamos integración de sistemas y es por esto motivo que el 100% de los proyectos deben ser ejecutados por Integradores de Sistemas capacitados.
- Indendientemente de que el Integrador de Sistemas Certificado adquiera una gran cantidad de conocinientos y autonomía, tanto comercial como técnica, siempre estaremos acompañando y soportando sus actividades para el éxito.
Nuestro compromiso es de ser transparentes y mantenerlo informado durante el proceso de desarrollo. Hoy, nos complace compartir nuestra estrategia para integradores y sus niveles, en una metodología adecuada a su organización con el apoyo de los fabricantes representados por WiseGroup.