Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV) Memoria (curso GEP) Para el Trabajo Final de Grado (TFG) presentado a la Facultad de Informática de Barcelona de la Universidad Politécnica de Cataluña por Javier Francés Falip En cumplimiento parcial de los requisitos para el GRADO EN INGENIERÍA INFORMÁTICA En la especialidad de Tecnologías de la Información Director: Medina Llinàs, Manuel Tutor GEP: Marfil Sánchez, Fernando Barcelona, 20 de junio de 2022 Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 3 Resumen Con la llegada de la industria 4.0 y la cada vez más cercana industria 5.0, las ciber amenazas se hacen más comunes dentro del entorno de las tecnologías operacionales (OT, operational technology). En este trabajo final de estudios realizaremos una introducción al mundo de la industria y los aspectos que afectan a su ciberseguridad. Especialmente trataremos el caso del vehículo eléctrico (EV, electric vehicle), analizando las debilidades y vectores de ataque de sus tecnologías y las posibles mitigaciones asociadas. Nota: Este documento es la memoria del proyecto. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 5 Contenidos CONTENIDOS _______________________________________________________ 5 Listado de Figuras .................................................................................................................... 7 Listado de Tablas ...................................................................................................................... 7 GLOSARIO __________________________________________________________ 9 1. PREFACIO _____________________________________________________ 11 1.1. Orígenes del proyecto ................................................................................................. 11 1.2. Motivación................................................................................................................... 12 1.3. Requisitos previos ....................................................................................................... 12 2. INTRODUCCIÓN Y CONTEXTUALIZACIÓN _____________________________ 13 2.1. Introducción ................................................................................................................ 13 2.2. Contexto ...................................................................................................................... 15 2.3. Conceptos clave .......................................................................................................... 15 2.3.1. Ciberseguridad ..................................................................................................... 15 2.3.2. Tecnología Operacional (OT) ............................................................................... 17 2.3.3. Vehículo eléctrico (EV) ......................................................................................... 18 2.4. Identificación del problema ........................................................................................ 19 2.5. Agentes implicados ..................................................................................................... 19 3. JUSTIFICACIÓN DE LA RESOLUCIÓN ESCOGIDA _________________________ 21 3.1. Estudio de referencias existentes ............................................................................... 21 3.2. Conclusiones ............................................................................................................... 23 4. ALCANCE DEL PROYECTO _________________________________________ 25 4.1. Objetivos ..................................................................................................................... 25 4.2. Requerimientos ........................................................................................................... 26 4.2.1. Requerimientos funcionales (contenido) ............................................................ 26 4.2.2. Requerimientos no funcionales (presentación) .................................................. 26 4.3. Obstáculos y riesgos .................................................................................................... 27 5. METODOLOGÍA Y RIGOR __________________________________________ 29 5.1. Metodología Lean ....................................................................................................... 29 6 5.2. Metodología Kanban ................................................................................................... 29 5.3. Metodología Lean + Kanban ....................................................................................... 30 5.4. Herramientas para aplicar Lean + Kanban .................................................................. 30 6. TIEMPOS Y PLANIFICACIÓN _______________________________________ 31 6.1. Descripción de las tareas ............................................................................................ 31 6.1.1. Tareas “gruesas” (Lean) ....................................................................................... 31 6.1.2. Tareas “finas” (Kanban) ....................................................................................... 34 6.1.3. Tabla de tareas (Tabla 3) ..................................................................................... 35 6.2. Estimación de recursos ............................................................................................... 36 6.2.1. Recursos humanos .............................................................................................. 36 6.2.2. Recursos materiales ............................................................................................. 36 6.2.3. Recursos generales .............................................................................................. 36 6.3. Diagrama de Gantt ...................................................................................................... 37 6.4. Gestión del riesgo: planes alternativos y obstáculos .................................................. 37 7. GESTIÓN ECONÓMICA ___________________________________________ 41 7.1. Presupuesto ................................................................................................................ 41 7.1.1. Costes de personal .............................................................................................. 41 7.1.2. Costes genéricos .................................................................................................. 41 7.1.3. Contingencia e Imprevistos ................................................................................. 41 7.1.4. Coste total............................................................................................................ 41 7.2. Control de gestión ....................................................................................................... 43 8. SOSTENIBILIDAD Y COMPROMISO SOCIAL ____________________________ 45 8.1. Autoevaluación ........................................................................................................... 45 8.2. Dimensión Económica ................................................................................................ 46 8.3. Dimensión Ambiental.................................................................................................. 46 8.4. Dimensión Social ......................................................................................................... 47 REFERENCIAS ______________________________________________________ 49 Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 7 Listado de Figuras FIGURA 1: DIAGRAMA GANTT A NIVEL LEAN.ROMBOS: GESTIÓN CONTINUA (GC). [ELABORACIÓN PROPIA] ................................. 37 Listado de Tablas TABLA 1: CATEGORÍAS PRINCIPALES DE LA CIBERSEGURIDAD. [ELABORACIÓN PROPIA] ................................................................. 16 TABLA 2: PRINCIPALES ECU DE UN VEHÍCULO (CM: CONTROL MODULE). [ELABORACIÓN PROPIA] .............................................. 18 TABLA 3: TABLA DE TAREAS CON LA DURACIÓN, RECURSOS Y DEPENDENCIAS. [ELABORACIÓN PROPIA]........................................... 35 TABLA 4: TABLA DE TAREAS CON SUS COSTES ASOCIADOS. [ELABORACIÓN PROPIA] .................................................................... 42 Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 9 Glosario • BCP (business continuity plan): un plan de continuidad de negocio es un documento que describe cómo una empresa continuará operando durante una interrupción no planificada del servicio. • CI (critical infrastructure): infraestructura crítica es un término utilizado por los gobiernos para describir los activos (infraestructura) esenciales para el funcionamiento de una sociedad y una economía. • DCS (distributed control system): un sistema de control distribuido es un sistema de control para una planta de proceso en el que controladores autónomos se distribuyen por todo el sistema. • DRP (disaster recovery plan): un plan de recuperación ante desastres es un documento formal creado por una organización que contiene instrucciones detalladas sobre cómo responder a incidentes no planificados, como desastres naturales, cortes de energía, ataques cibernéticos y cualquier otro evento disruptivo. • ECU (electronic control unit): una unidad de control electrónico es un dispositivo dentro de un vehículo que controla uno o varios sistemas eléctricos en ese vehículo. • EV (electric vehicles): los vehículos eléctricos son vehículos que funcionan parcial o totalmente con energía eléctrica. • ICS (industrial control systems): sistema de control industrial es un término colectivo utilizado para describir diferentes tipos de sistemas de control e instrumentación que incluyen los dispositivos, sistemas, redes y controles utilizados para operar y/o automatizar procesos industriales. • IIoT (industrial IoT): el internet industrial de las cosas es el uso de sensores y actuadores inteligentes para mejorar los procesos industriales y de fabricación. 10 • IoT (internet of things): el internet de las cosas (IoT) describe una red de objetos físicos, "cosas", que están integrados con sensores, software y otras tecnologías con el fin de conectar e intercambiar datos con otros dispositivos y sistemas a través de internet. • IRP (incident response plan): un plan de respuesta a incidentes es un conjunto de herramientas y procedimientos que un equipo de seguridad puede usar para identificar, eliminar y recuperarse de las amenazas de ciberseguridad. Está diseñado para ayudar al equipo a responder de manera rápida y uniforme contra cualquier tipo de amenaza externa. • IT (information technology): la tecnología de la información es el uso de computadoras para crear, procesar, almacenar, recuperar e intercambiar todo tipo de información y datos electrónicos. • OSINT (open source intelligence): la inteligencia open source o de fuente pública, implica la recopilación de información de fuentes disponibles abiertamente en línea, incluyendo tácticas como el minado de datos y el rastreo. • OT (operational technology): la tecnología operativa es el uso de hardware y software para monitorear y controlar procesos físicos, dispositivos e infraestructura. • SCADA (supervisory control and data acquisition): un sistema SCADA es una combinación de hardware y software que permite la captura de datos y la automatización de procesos industriales. SCADA conecta los sensores que monitorean equipos como motores, bombas y válvulas a un servidor remoto o en el sitio. • S-SDLC (secure software development life cycle): en términos generales, un ciclo de vida del desarrollo de software seguro implica la integración de pruebas de seguridad y otras actividades en un proceso de desarrollo existente. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 11 1. Prefacio 1.1. Orígenes del proyecto Este proyecto surge del propio entorno laboral en que me encuentro desde hace casi un año. Me explico: Como estudiante de ingeniería informática y sin demasiado contexto a la entrada, cuando uno empieza a trabajar en el mundo de la consultoría de ciberseguridad empieza a descubrir palabras que no había escuchado nunca antes durante la carrera. Resulta pues que el entorno corporativo es un entresijo de tecnologías informáticas distinto a lo que cabía esperar y uno debe poner todo su empeño en adaptarse al mundo de las tecnologías de la información (IT, information technology). Se podría decir que es el caso para toda persona que entra en contacto con el mundo de la ciberseguridad “de chapuzón”, es decir, empapándose de golpe con todo lo que el mundillo “ciber” conlleva. Sucede entonces que uno se encuentra una impresora 3D en la oficina y se pregunta: ¿Para qué querrá esto el equipo de seguridad IT? ¿Por qué iban a imprimir un coche en miniatura? La gente curiosa tiende a preguntar, y es ahí donde descubren un par de siglas nuevas: OT, (operational technology) y EV (electric vehicles). La reacción más habitual en la oficina es volver a preguntar: ¿Qué es eso de OT? ¿Qué tiene que ver con un vehículo eléctrico? Y es precisamente en ese punto, cuando se produce este segundo set de preguntas, donde nace este proyecto: ¿Cómo podemos proteger algo si no sabemos ni qué es? 12 1.2. Motivación Evidentemente, existen expertos en el ámbito de la seguridad OT capaces de securizar la infraestructura física y lógica de una empresa. Sin embargo, estos perfiles son escasos y se requiere de una formación urgente de nuevos perfiles especializados en el área. [1] Sumado a esto, los estudiantes de ingeniería informática tienen una escasez de conocimiento en el ámbito de la seguridad IT, la cual es básica a día de hoy para poder comprender adecuadamente la seguridad OT y la integración entre ambas. Por si fuese poco, el internet de las cosas (IoT, internet of things) y su derivada industrial (IIoT, industrial IoT) son tecnologías en proceso de crecimiento dentro de las empresas y qué también demandan una especialización de personal para garantizar la seguridad de las infraestructuras. Actualmente, las empresas buscan profesionales del sector sin demasiado éxito, llegando a aceptar personal por debajo de las capacidades mínimas necesarias con la esperanza de que en un par de años hayan podido ganar la experiencia y conocimientos requeridos para su puesto y decidan quedarse en la empresa. Por tanto, la motivación de este proyecto viene dada por esta situación, buscando ofrecer una guía o elemento documental de referencia que permita a las nuevas generaciones prepararse dentro del mundo de la seguridad OT. Además, por su cercanía en el día a día, esta guía tratará en especial el caso del vehículo eléctrico (EV, electric vehicle), permitiendo al lector comprender en mayor profundidad la complejidad de la seguridad OT. 1.3. Requisitos previos Este proyecto se desarrolla con la idea de que cualquier estudiante pueda hacer uso del mismo. Se espera del lector unos conocimientos básicos de las tecnologías de la información. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 13 2. Introducción y contextualización 2.1. Introducción Nací a principios de año en 1997, apenas tenía cuatro años cuando se produjo uno de los incidentes más conocidos a nivel de seguridadfísica operacional a día de hoy, causante de una tragedia en la que no nos podíamos creer lo que estaba sucediendo. El lector habrá oído o incluso recordará imágenes del 11 de septiembre de 2001, es decir, del “11S”. Un equipo terrorista tomó posesión de 4 aeronaves en las que viajaban un total de 265 personas y las estrelló contra la Torre Norte del World Trade Center (Nueva York), la Torre Sur del mismo, el Pentágono (Washington) y un campo de Pensilvania (desviándose del objetivo real: el Capitolio). En apenas 2 horas murieron casi 3000 personas por el simple hecho de que las cabinas de control de los aviones no estaban debidamente securizadas. [2] ¿Qué pasaría si se pudiese secuestrar un avión en remoto? Más allá de este evento, se han cometido ataques y actos de espionaje por parte de espías privados y de los propios estados con fines lucrativos y estratégicos. Quizá al lector le suene el colectivo hacktivista Anonymous [3] o el malware Stuxnet [4]. Los gobiernos se han visto obligados a desarrollar estrategias para garantizar la seguridad de sus infraestructuras críticas (CI, critical infrastructure), es decir, de las instalaciones y sistemas de servicios esenciales (p.ej.: centrales eléctricas). [5] Uno podría entender que la protección de las infraestructuras críticas, se refiere a la ciberseguridad industrial. Sin embargo, la mayoría de las infraestructuras industriales no están catalogadas como CI y lo mismo sucede al, como es el caso del sector de la salud. ¿Qué pasaría si “jugamos” con los dispositivos de un hospital? Centrándonos en lo que nos interesa para este proyecto, la OT está dedicada a detectar o cambiar los procesos físicos a través del monitoreo y administración de dispositivos. 14 Como resultará comprensible, esta actividad está muy ligada al entorno industrial, donde se requiere de un control continuo de elementos como tuberías, válvulas o disyuntores. [6] En el caso de un vehículo eléctrico, podríamos considerar que todos los sensores, electrónica y sistemas de control de potencia, energía y entorno, entre otros, forman parte de la OT. ¿Y si el vehículo acelera “solo” antes de una curva cerrada? Así pues, se conoce que un fallo en las IT puede implicar una pérdida económica o un impacto reputacional. Si se detecta algún conflicto de configuración o una vulnerabilidad, se puede parchear los sistemas con relativa facilidad y proseguir con la actividad normal. En cambio, una brecha en la seguridad de las OT conlleva poner en riesgo vidas humanas, especialmente en el caso de aquellos sistemas que puedan causar incidentes graves o afectar sobre las infraestructuras críticas. Añadido a este aspecto, las actualizaciones de seguridad (y las actualizaciones básicas) tienen una complicación añadida por el hecho de que muchos de los sistemas OT funcionan los 365 días del año o en períodos críticos para la actividad prestada. Actualizarlos supondría parar cadenas de producción o perder el control de un sistema durante un tiempo que podría ser indispensable. ¿Y si una actualización nos deja sin agua potable durante horas? La industria ha evolucionado desde la 1ª revolución industrial (Inglaterra, siglo XVIII). Hemos pasado de equipos de producción mecánica impulsados por vapor (1ª revolución), a líneas de montaje alimentadas con electricidad (2ª revolución), a la automatización de la producción usando robots y electrónica (3ª revolución). [7] Ahora nos encontramos frente al concepto de industria 4.0, las futuras fábricas “inteligentes” hiperconectadas y automatizadas, marcadas por la integración de tecnologías como la robótica, la analítica, la inteligencia artificial, las tecnologías cognitivas, la nanotecnología y el internet de las cosas, entre otros. [8] Más allá, surge el concepto de industria 5.0, la cual pretende desarrollar la Inteligencia Artificial para que pueda realizar procesos similares a los del pensamiento humano. [9] ¿Podríamos tomar control de toda una planta hiperconectada? Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 15 2.2. Contexto El Grado en Ingeniería Informática (GEI) de la Facultad de Informática de Barcelona (FIB) de la Universitat Politècnica de Catalunya (UPC) dispone de un abanico de casi 100 asignaturas entre todas las obligatorias y optativas de las 5 especialidades ofrecidas.[10] De estas asignaturas, apenas 2 hacen referencia a la seguridad, ambas enfocadas desde el punto de vista de IT e incluidas en la especialidad de tecnologías de la información. Sin embargo, no se ha encontrado mención a las tecnologías operacionales dentro del catálogo de asignaturas. A pesar de la transversalidad del ámbito y para facilitar la clasificación del proyecto, se considerará que este pertenece a la especialidad de tecnologías de la información, indicando como ámbito de trabajo el de la ciberseguridad OT. 2.3. Conceptos clave Dado que la ciberseguridad se extiende a lo largo y ancho de toda tecnología de una compañía, resulta complejo determinar una serie de conceptos clave que nos permitan sumergir fácilmente al lector en este mundo. En su lugar, se ha decidido presentar los tres conceptos básicos del título de este proyecto, lo cual puede proporcionar un punto de partida por si el lector decide investigar en profundidad alguno de estos conceptos: Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). A continuación, presentamos estos tres conceptos clave: 2.3.1. Ciberseguridad Según queda definida por el equipo de Kaspersky [11]: La ciberseguridad es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. 16 En la Tabla 1 mostramos diferentes ramas en las que se clasifica la ciberseguridad: Tabla 1: categorías principales de la ciberseguridad. [Elaboración propia] Categoría Descripción Seguridad de redes Práctica de securizar las comunicaciones entre dispositivos frente a atacantes o software malicioso. Seguridad de aplicaciones Se focaliza en cubrir las vulnerabilidades de los dispositivos y software. Un concepto relevante sería el S-SDLC (secure software development life cycle). Seguridad de la información Trata de proteger la integridad y privacidad del dato, tanto en el almacenamiento como en el tránsito. Seguridad operativa Centrada en los procesos y decisiones sobre los recursos y su uso. Un ejemplo sería la política de gestión de permisos y sus procedimientos asociados. Recuperación y continuidad Esta categoría se basa en tres documentos: IRP (incident response plan), DRP (disaster recovery plan) y BCP (business continuity plan). Con estos, se pretende definir cómo la organización debe tratar con incidentes de seguridad, recuperarse de estos y continuar operando. Formación La última categoría, pero no menos importante, es la formación. Las personas suelen ser el eslabón más débil en la seguridad de una empresa, por lo que es imprescindible tener acciones de formación y concienciación continua. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 17 2.3.2. Tecnología Operacional (OT) Como hemos ido comentando en la introducción (132.1 Introducción), la tecnología operacional (OT) está dedicada a detectar o cambiar los procesos físicos a través del monitoreo y administración de dispositivos y está muy ligada al entorno industrial, donde se requiere de un control continuo de diversos elementos. [6] Dada esta relación con la industria, es muy complicado elaborar normas generales como en las redes IT, ya que cada sector industrial o sistema OT funcionará con una serie de tecnologías y protocolos completamente distintos. Los ecosistemas OT tienden aestar dominados por un sistema SCADA (supervisory control and data acquisition) o DCS (distributed control system), centrados respectivamente en la recolección del dato por eventos o en el proceso por estados. Estos sistemas forman parte de los ICS (industrial control systems) y son los encargados de monitorizar y controlar los procesos industriales. [12] Naturalmente, sirven para poder comunicar, controlar y supervisar diversos dispositivos de las redes industriales, por lo que es esencial asegurar el buen funcionamiento de estos sistemas. Anteriormente, la industria estaba relativamente aislada dentro de sus propios edificios o recintos, los cuales podíamos securizar físicamente. Sin embargo, con la conexión al mundo exterior (internet) provocada por la industria 4.0, el acceso a estos sistemas podría darse desde cualquier lugar del planeta. Con ello, un actor malicioso en la actualidad o en futuro próximo podría poner en peligro vidas humanas desde la comodidad de su casa, detener procesos con costes económicos desorbitados o incluso afectar al medioambiente de la región en que se ubique la planta industrial. [6] 18 2.3.3. Vehículo eléctrico (EV) El uso creciente de tecnologías y componentes electrónicos en los vehículos nos ha llevado a disponer de vehículos con todo un repertorio de comodidades sustentadas sobre un sistema complejo de elementos interconectados. En especial, este es el caso de los vehículos eléctricos, que sustituyen una parte del control mecánico e incorporan nuevos sistemas de control electrónico. La transformación de la fuente de alimentación de los vehículos viene acompañada de una batería de mayor capacidad y la incorporación de aún más tecnologías sobre el vehículo: sistemas de infoentretenimiento avanzado, control autónomo del vehículo mediante inteligencia artificial, redes Wifi locales, conexión a internet, … La necesidad de poner a los vehículos eléctricos en la vanguardia de la tecnología conlleva que estos se vean expuestos a la incorporación de elementos en fase de prototipo expuestos a la conexión del vehículo a las redes (internet). Como principio básico, un vehículo emplea diversas ECU (electronic control unit) como interfaces entre los elementos electrónicos y de control. Así, cada ECU dispone de un dominio sobre diversos sensores y actuadores con los que controla una funcionalidad concreta y, a su vez, se comunica con otras ECU para consultar o compartir información. En la Tabla 2 mostramos algunas de las ECU principales [13]. Tabla 2: Principales ECU de un vehículo (CM: Control Module). [Elaboración propia] Body (BCMs) Controla la cabina del conductor y elementos asociados. Electronic brake (EBCMs) Gestiona los frenos (sistema de tracción, ABS, …) Infotainment (ICMs) Elementos de información y entretenimiento (p.ej.: radio). Powertrain (PCMs) Control del conjunto del motor y la transmisión. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 19 2.4. Identificación del problema Al igual que expresábamos en el prefacio (1.2 Motivación), el sector de la seguridad OT escasea en perfiles profesionales y se requiere de una formación urgente de nuevos perfiles especializados en el área. En los apartados anteriores hemos visto que los riesgos asociados a las OT van más allá de la pérdida de datos, dinero o reputación, llegando a involucrar vidas humanas de por medio. El hecho de que no haya suficientes expertos y con capacidad de securizar la infraestructura física y lógica de un ecosistema OT es un indicador de riesgo que nos hace plantearnos en qué estado está a día de hoy la seguridad de los sistemas sobre los que se sostiene nuestra vida. A ello se suman las preocupaciones de múltiples naciones a nivel mundial que ya están ejecutando evaluaciones de emergencia contra amenazas cibernéticas [14] o publicaciones como el hecho de que Gartner prediga que para 2025 los atacantes cibernéticos tendrán armamento preparado para dañar o matar humanos con éxito en entornos OT. [15] Así pues, el problema está claro: Existe una falta de conocimiento urgente en la ciberseguridad de los sistemas OT. Por tanto, para solucionar este problema deberíamos encontrar una solución que nos permita cubrir esta falta de conocimiento. 2.5. Agentes implicados La solución a desarrollar va dirigida a dos agentes principales: las personas con un interés propio en incorporarse al mundo de la ciberseguridad especializada en OT y a las empresas que necesitan proteger sus infraestructuras OT frente a incidentes cibernéticos. Sin embargo, el resultado de este proyecto es de interés común, dado que la protección de las infraestructuras críticas afecta a la seguridad nacional y, con ello, a la vida de los habitantes. Una buena formación es esencial para mejorar la ciberseguridad de las OT y mitigar el riesgo derivado de los ataques sobre estas. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 21 3. Justificación de la resolución escogida Basándonos en el problema presentado (Existe una falta de conocimiento urgente en la ciberseguridad de los sistemas OT), es necesario investigar las soluciones actuales de las que se dispone, evaluar la necesidad de una solución mejor y escoger entre la creación de una solución totalmente nueva o la mejora de algo preexistente. 3.1. Estudio de referencias existentes Entre los diversos libros que se han investigado, se ha podido encontrar algunos que pueden ser interesantes como base de estudio: • “Secure Operations Technology” – Andrew Ginter (2018). Este libro documenta la perspectiva, la metodología y las mejores prácticas de SEC- OT, incluida la protección contra ataques cibernéticos en línea y fuera de línea, así como un conjunto de veinte patrones estándar de ataques cibernéticos para usar al evaluar la seguridad de los sitios industriales [16]. Sin embargo, la perspectiva mostrada en el libro está focalizada en personal que ya conoce el mundo OT y que, por tanto, no necesita una introducción a su funcionamiento y elementos básicos. Es decir, está redactado para un público experto. • “Information and Operational Technology Security Systems” – Varios (2019). Este libro constituye las actas arbitradas del Primer Taller Internacional, IOSec 2018, patrocinado por CIPSEC, realizado en Heraklion, Creta, Grecia, en septiembre de 2018. Se compone de doce artículos que debaten temas diversos sobre seguridad en IT, OT e infraestructuras crítica. Destacando la exposición de los sistemas OT varios tipos nuevos de ciberataques por la adaptación de nuevas tecnologías con bastante rapidez y sin una evaluación adecuada de su impacto en la seguridad [17]. En este caso, el conjunto de artículos habla de manera excesivamente especializada sobre algunos detalles o tecnologías demasiado particulares. 22 • “Industrial network security: Securing critical infrastructure networks for smart grid, SCADA, and other industrial control systems” – E.D. Knapp y J.T. Langill (2014). En este libro de más de 400 páginas, los autores elaboran entorno a los sistemas de infraestructura crítica con bastante sencillez, pasando por la historia y tendencias de estos sistemas hasta los diseños de red, protocolos, riesgos y elementos de seguridad. A pesar de ello, la dedicación necesaria por parte del lector es muy superior a la esperada para un nivel introductorio en que se genere la curiosidad de seguir explorando el conocimiento sobre ciberseguridad OT. [18] • “SCADA Systems and Cyber Security for Critical Infrastructures” – M.N. Lakhoua (2018). Este trabajo presenta una revisión de la seguridad cibernética en SCADA, examinando los factores que han contribuido a la creciente vulnerabilidad de los sistemas de control y presentando nuevos estándarespara proteger la infraestructura crítica, incluido el uso de cifrado y autenticación para sistemas SCADA. Además, se presenta un modelo integral para el análisis y planificación de la ciberseguridad de las redes SCADA. [19] Con ello, este libro cubre con solidez los sistemas SCADA en particular, pero no cubre el resto de elementos OT ni hace una introducción a los mismos. • “Hacking Exposed Industrial Control Systems: ICS and SCADA Security Secrets & Solutions” – Clint Bodungen et al. (2016). Esta guía práctica se focaliza en los métodos de explotación y compromiso los sistemas de oleoductos y gasoductos, las redes eléctricas y las refinerías nucleares. En ella se explican las vulnerabilidades los vectores de ataque específicos de protocolos, aplicaciones, hardware, servidores y estaciones de trabajo de ICS/SCADA. De nuevo, la particularidad del documento no sirve como puerta de introducción al mundo de la ciberseguridad OT. [20] Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 23 • “Cyber-security of SCADA and Other Industrial Control Systems” – Colbert et al. (2016). Ofrece la perspectiva académica, industrial y gubernamental de expertos internacionales en el campo de la seguridad y proporciona un tratamiento estructurado integral del tema e información tutorial fácil de leer. Sin embargo, es otro documento largo, de unas 350 páginas, cuya dedicación necesaria por parte del lector se considera excesiva. [21] Otros libros considerados han sido: • “Security of Industrial Control Systems and Cyber Physical Systems” – Varios (2016). Siendo otra recopilación de artículos de conferencia. [22] • “Handbook of SCADA / Control Systems Security” – R. Radvanovsky et al. (2013). Focalizado en SCADA. [23] A todo esto, no se han encontrado referencias documentales respecto a la relación de las tecnologías operacionales (OT) y los vehículos eléctricos (EV). 3.2. Conclusiones A pesar de que existen documentos con información suficiente para cubrir la necesidad de conocimiento urgente en la ciberseguridad de los sistemas OT, la mayoría se apartan de los conocimientos genéricos o fundamentales para entrar en aspectos particulares o, alternativamente, se extienden en manuales excesivamente largos para el lector que se inicia en este campo. Se considera que se requiere de la creación de una nueva fuente documental que despierte la curiosidad del lector, y que actúe a modo de recopilatorio de fundamentos incluyendo una explicación de las OT y una introducción a su ciberseguridad. Además, este documento incorporará el caso del vehículo eléctrico (EV), como modelo de sistema OT no industrial, permitiendo al lector comprender en mayor profundidad la complejidad de la seguridad OT. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 25 4. Alcance del proyecto Respecto a la definición del alcance, se han determinado los objetivos y los requerimientos funcionales (contenido) y no funcionales (presentación) del documento que se elaborará como solución, así como los obstáculos y riesgos críticos del proyecto. Con esto, se pretende focalizar los esfuerzos del tiempo disponible para generar tareas concretas. 4.1. Objetivos Como ya introducíamos en el apartado anterior (3.2 Conclusiones), el objetivo principal del proyecto consiste en la elaboración de un documento a modo de recopilatorio de fundamentos y que incorpore: la explicación de las OT y una introducción a su ciberseguridad. Además, este documento incorporará el caso del vehículo eléctrico (EV), como modelo de sistema OT no industrial, permitiendo al lector comprender en mayor profundidad la complejidad de la seguridad OT. Así pues, concretando la segregación en subobjetivos resultaría: 1. Investigar y documentar el funcionamiento de las tecnologías operacionales (OT) dentro y fuera del mundo industrial para ofrecer una introducción al lector. 2. Analizar los aspectos de la ciberseguridad relacionados con las OT (arquitecturas, modelos, estándares, …) manteniendo la sencillez para el lector inexperto. 3. Investigar y documentar el funcionamiento de las OT dentro del ámbito del vehículo eléctrico (EV), introduciendo los sistemas y protocolos del EV. 4. Analizar los aspectos de la ciberseguridad relacionados con las OT en EV y los riesgos a futuro ligados a los EV. 5. Generar una base documental sólida de artículos y otros elementos bibliográficos de referencia para el lector que quiera seguir explorando. 26 4.2. Requerimientos 4.2.1. Requerimientos funcionales (contenido) Para un proyecto como este, la definición de requisitos funcionales se aleja de lo que se esperaría en el desarrollo de un elemento software o hardware. En este caso, pretendemos crear un recurso de conocimiento, por lo que los requisitos funcionales se convertirán en el contenido que queremos cubrir. Así pues, los requisitos funcionales de este trabajo son: 1. Introducción al mundo de las OT. 2. Ciberseguridad de las OT. 3. Introducción a las OT de los EV. 4. Ciberseguridad de las OT de los EV. 5. Futuro de los EV desde el punto de vista de ciberseguridad. 6. Bibliografía extensa para el lector. 4.2.2. Requerimientos no funcionales (presentación) Por otra parte, los requisitos no funcionales pasan a tener un sentido enfocado a cómo se presentan los contenidos frente al lector. Podríamos establecer los siguientes requisitos no funcionales: 1. Sencillez: el documento resultante debe permitir que un lector inexperto, como pueda ser cualquier estudiante de ingeniería informática, pueda hacer uso del mismo. Por tanto, se asumirá un conocimiento básico de las tecnologías de la información, pero se debe mantener un lenguaje apto para un nivel introductorio. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 27 2. Completitud: se busca que el documento sea lo suficientemente completo como para permitir que el lector inexperto se haga a la idea de las implicaciones asociadas a la ciberseguridad del entorno de las OT y los EV. 3. Brevedad: finalmente, el lector debe despertar la curiosidad por conocer más del entorno presentado y querer buscar más información al respecto. Un lector que abandona el documento a media lectura por la dedicación que supone terminarlo, pone en riesgo la continuidad de esta persona en el mundo de las OT. 4.3. Obstáculos y riesgos A modo de listado, podríamos encontrarnos con: • Un error de comprensión o falta de conocimiento. Para poder presentar una serie de conocimientos, es requisito indispensable haberlos comprendido y asumido, lo cual supondrá un reto a lo largo del desarrollo de la solución y supone un riesgo a la hora de transmitir los conceptos al lector, pudiendo derivar en ideas erróneas para este. • Disponibilidad de textos y fuentes de información. Ligado al punto anterior, existen documentos que podrían facilitar notablemente la realización de este trabajo. La falta de acceso a estos podría dificultar la tarea e implicar retrasos en la planificación. • Desastres. La situación actual a nivel sanitario (pandemia) o político (Rusia y Ucrania) está trayendo sorpresas continuamente. De hoy para mañana nos podemos encontrar con que debemos volver a un estado de alarma, ingresar en un hospital o desplazarnos hacia un frente de batalla o huyendo de este. • Desviaciones del plan de tareas. Por error de planificación o porque una tarea nos implique más tiempo de lo esperado, será necesario tener en cuenta algún tiempo de reserva que nos permita mantenernos dentro de la fecha de entrega a pesar de esto. • Falta de recursos o avería de material. También puede darse el caso de que nos quedemos sin alguno de los recursos indispensables para realizar el proyecto,como pueda ser por un apagón que nos deje sin electricidad, un fallo del hardware que implique cambiar de ordenador o un ataque DoS en los servidores de algún proveedor que no nos permita acceder a algún documento o herramienta. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 29 5. Metodología y rigor Para generar un resultado acorde a los objetivos especificados, se ha decidido utilizar una metodología combinada entre el enfoque Lean y Kanban, ambas originadas por Toyota y con focos distintos. A continuación, presentamos ambas metodologías. [24] [25] 5.1. Metodología Lean Lean es una metodología de gestión de proyectos centrada la eficiencia. Cualquier cosa que no tenga un impacto positivo en la funcionalidad del producto de software final se considera un desperdicio en Lean. Tal que se busca optimizar continuamente el flujo de valor y eliminar lo innecesario. Se basa en tres disfunciones: Muda, Mura y Muri (las “3M”). 1. Muda – Eliminar cualquier cosa que no agregue valor al resultado. 2. Mura – Eliminar variaciones y estandarizar. 3. Muri – Eliminar la sobrecarga. Lean se centra en la clasificación de temas según su aporte de valor al proyecto. 5.2. Metodología Kanban Kanban intenta mejorar el rendimiento focalizándose en las tareas realmente importantes. Mejora la velocidad y la calidad de la entrega al aumentar la visibilidad del trabajo en progreso y limita la multitarea. Por lo general, los equipos Kanban limitan el trabajo en progreso (WIP, work in progress) y no trabajan en más de dos tareas al mismo tiempo. En esta metodología, es típico generar “tableros Kanban” con notas adhesivas o herramientas como Trello, para representar el flujo de tareas: “Pendientes”, “En proceso” y “Hechas”. Esto facilita la reorganización, la resolución de problemas del proceso y previene estancamientos. Kanban se centra en la clasificación de tareas según su aporte de valor al proyecto y regula el flujo de trabajo para garantizar un rendimiento constante. 30 5.3. Metodología Lean + Kanban La metodología planteada para este proyecto toma la clasificación de elementos a alto nivel propuesta por el sistema Lean (clasificación de temas) para la generación de bloques de tareas. Por otra parte, para realizar estas tareas, se hará uso de la metodología Kanban (clasificación de tareas y regulación del flujo) con el objetivo de mantener un proceso constante y una buena visibilidad sobre el progreso de cada bloque a bajo nivel. Es decir, se subdividirá el proyecto en tareas “gruesas” (bloques temáticos) y tareas “finas” (acciones concretas). Sobre estas divisiones, por una parte, se realizará un seguimiento de las tareas “gruesas” con el uso de un diagrama de Gantt que resuma el estado y planificación global del proyecto. Por otra parte, se registrará el progreso de las tareas “finas” en un tablero Kanban donde se vea la pertenencia de estas a cada una de las tareas “gruesas”. El objetivo de esta metodología conjunta es mantener una organización estructurada, enfocada en la aportación de valor y con un flujo continuo de producción. 5.4. Herramientas para aplicar Lean + Kanban Para el realizar un seguimiento de las tareas “gruesas” (Lean), se ha sugerido el uso de un diagrama Gantt. Acogiéndonos a los principios de esta metodología, se empleará un timeline en Microsoft PowerPoint [26], tomando por plantilla un diagrama simple ya realizado para proyectos anteriores y evitando la necesidad de nuevas herramientas. Para el seguimiento de las tareas “finas” (Kanban) se usará Microsoft To Do [27], ya incluido en la suite de Office, preinstalado en el sistema dedicado a este proyecto, simple y suficiente. Para la elaboración del documento resultante de este proyecto, se empleará una plantilla [28] de Microsoft Word [29] ofrecida por la ETSEIB (Escola Tècnica Superior d'Enginyeria Industrial de Barcelona), también perteneciente a la UPC (Universitat Politécnica de Catalunya). Esta plantilla nos permite eliminar variaciones y estandarizar el documento, no solo por la base de formato, sino porque también nos permite hacer un uso cómodo y sencillo del gestor de referencias Mendeley [30] a través del plugin Mendeley Cite [31] para Word. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 31 6. Tiempos y planificación Dada una coyuntura laboral de trabajo a tiempo completo, la disponibilidad para la elaboración del proyecto queda reducida a una máxima de entre 20 y 30 horas por semana con una saturación de casi el 100%. Según esta estimación, el tiempo máximo disponible sería de 2 horas al día entre semana y hasta 10 horas al día los fines de semana. Siendo realistas, el proyecto requerirá de un esfuerzo importante para su elaboración. Con una finalización prevista para el 30 de junio y a fecha actual de 19 de abril, se dispone de unas 10 semanas, es decir de un rango limitado a un máximo de 300 horas. Dada la saturación implicada y el tiempo restante para la finalización del proyecto, se considerará una disposición actual de 240 horas, quedando reservado un 20% del tiempo de proyecto para posibles desviaciones del calendario o problemas que puedan surgir durante las próximas 10 semanas. 6.1. Descripción de las tareas Al igual que sucedía con los requisitos funcionales, las tareas a realizar se centran puramente en el contenido del documento a desarrollar. Por ello, puede dividirse la elaboración en secciones que harán las veces de tareas “gruesas” (Lean) y subtareas de investigación y redacción que generarán tareas “finas” (Kanban). 6.1.1. Tareas “gruesas” (Lean) Se ha desgranado el proyecto en 7 tareas principales, por lo que se espera aproximadamente completar una tarea por semana, dejando un margen de seguridad del 20% según se había indicado previamente. Cabe destacar que se han desestimado de la planificación aquellas tareas que ya han sido realizadas y cuyo desarrollo queda reflejado en este documento. El motivo, como defendería la metodología Lean, es que no nos vamos a enfocar en planificar algo que ya está hecho. 32 01 - Introducción al mundo de las OT (1 semana) La primera tarea consiste en investigar y documentar el funcionamiento de las tecnologías operacionales (OT) dentro y fuera del mundo industrial ofreciendo una introducción al lector. 02 - Ciberseguridad de las OT (1 semana) – Depende de 01 Una vez realizada la introducción a los sistemas OT, se deberá analizar los aspectos de la ciberseguridad relacionados con las OT (arquitecturas, modelos, estándares, …). 03 - Introducción a las OT de los EV (1 semana) – Depende de 02 La tercera tarea consiste de nuevo en investigar y documentar el funcionamiento de las OT, pero esta vez dentro del ámbito del vehículo eléctrico (EV), introduciendo los sistemas y protocolos del EV. 04 - Ciberseguridad de las OT de los EV (1 semana) – Depende de 03 Como antes, una vez realizada la introducción a los sistemas OT de los EV, se deberá analizar los aspectos de la ciberseguridad relacionados con las OT de los EV. 05 - Futuro de los EV desde el punto de vista de ciberseguridad (1 semana) – Depende de 04 Para finalizar el contenido de redacción principal del documento, se realizará un estudio de los riesgos a futuro ligados a los EV. 06 - Bibliografía extensa para el lector (1 semana) – Depende escalonadamente de 01 a 05 Con toda la investigación realizada durante las tareas previas, la base documental de artículos y otros elementos bibliográficos de referencia para el lector debería estar parcialmente elaborada en este punto, solo que será necesario realizar una debida organización de la misma para generar una base sólida sobre la que el lector pueda seguir explorando. 07 - Maquetado y revisión (2 semanas) – Depende escalonadamentede todas las anteriores Finalmente, se procederá a realizar el proceso de maquetado final y revisar al detalle el contenido, formato y corrección del documento. En esta última tarea, se ha considerado un tiempo de 2 semanas, para tomar los procesos de lectura y revisión con cautela. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 33 Cabe considerar que para poder llevar a cabo estas tareas se ha realizado un trabajo previo de gestión y organización y debe existir una gestión continua del proyecto. 00 – Curso GEP (75 horas) Previo a la ejecución del proyecto, se ha llevado a cabo el Curso GEP ofrecido por la Facultad de Informática de Barcelona. En este curso se han realizado varias sesiones de aprendizaje entorno a los componentes esenciales de un proyecto, focalizando en el proyecto final de estudios. El curso GEP implica la creación de diversos apartados como prerrequisitos del proyecto: • 10 h - Explicación de los orígenes y motivación mediante un prefacio. • 14 h - Contextualización del proyecto y sus conceptos clave. • 11 h - Estudio de mercado o estado del arte referente a la problemática identificada. • 06 h - Propuesta de una solución y determinación del alcance del proyecto. • 07 h - Selección de una metodología y las herramientas para poder llevarla a cabo. • 10 h - Elaboración de un plan considerando el tiempo y recursos necesarios. • 09 h - Estudio de los costes asociados al desarrollo del proyecto y su control de gestión. • 08 h - Evaluación sobre la sostenibilidad del proyecto en varias dimensiones. GC – Gestión Continua de proyecto (1h por semana, más intensivo) Por otra parte, el desarrollo del proyecto requiere de algo más que la propia elaboración del resultado y el cumplimiento de las tareas. Es necesario dedicar un tiempo a la propia gestión del proyecto (comunicaciones con el tutor, planificación de las tareas a bajo nivel, métricas de seguimiento, etc.). En este sentido, se ha decidido reservar una hora cada semana para gestiones del proyecto. 34 6.1.2. Tareas “finas” (Kanban) Para las tareas 01 a 05 (introducción, ciberseguridad y futuro), las subtareas son las mismas para toda tarea “gruesa” y podrían definirse con una duración aproximada similar: #.1. Investigación de fuentes de información relacionadas (5 horas). – Mendeley #.2. Lectura en profundidad de las fuentes de información (8 horas). – Depende de #.1 #.3. Elaboración de un mapa de conceptos (2 horas). – Depende de #.2 #.4. Generación de la estructura documental a redactar (1 horas). – Depende de #.3 #.5. Plasmado del conocimiento adquirido (8 horas). – Depende de #.4 Por otro lado, para la tarea 06 (bibliografía): 6.1. Revisión de fuentes usadas: introducción a OT (4 horas). – Depende de 1.5 6.2. Revisión de fuentes usadas: ciberseguridad OT (4 horas). – Depende de 2.5 6.3. Revisión de fuentes usadas: introducción a EV (4 horas). – Depende de 3.5 6.4. Revisión de fuentes usadas: ciberseguridad EV (4 horas). – Depende de 4.5 6.5. Revisión de fuentes usadas: futuro EV (4 horas). – Depende de 5.5 6.6. Clasificación de las fuentes usadas por temáticas (3 horas). – Depende de 6.1 a 6.5 6.7. Clasificación de las fuentes no utilizadas (3 horas). – Depende de 6.1 a 6.5 6.8. Plasmado de la bibliografía (2 horas). – Mendeley Cite – Depende de 6.6 y 6.7 Finalmente, la tarea 07 (maquetado y revisión) conlleva: 7.1. Maquetado inicial del documento (10 horas). – Tras cada #.5 7.2. Lectura de apartados del documento (6 horas). – Tras cada #.5 y 7.1 7.3. Verificación de contenidos sobre las fuentes (20 horas). – Tras cada #.5 y 7.2 7.4. Verificación de corrección del texto (2 horas). – Tras cada #.5 y 7.3 7.5. Maquetado final del documento (8 horas). – Depende de 7.4 7.6. Verificación de formato del documento (2 horas). – Depende de 7.5 Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 35 6.1.3. Tabla de tareas (Tabla 3) Tabla 3: Tabla de tareas con la duración, recursos y dependencias. [Elaboración propia] ID Tarea Horas Recursos Dependencias 0. Curso GEP. 75 Mendeley, Word, Cite - 1. Introducción al mundo de las OT. 29 Mendeley, PPT, Word, Cite 0. 1.1. Investigación de fuentes de información relacionadas. 5 Mendeley 0. 1.2. Lectura en profundidad de las fuentes de información. 10 - 1.1. 1.3. Elaboración de un mapa de conceptos. 3 PowerPoint (PPT) 1.2. 1.4. Generación de la estructura documental a redactar. 1 Word 1.3. 1.5. Plasmado del conocimiento adquirido. 10 Word, Cite 1.4. 2. Ciberseguridad de las OT. 29 Mendeley, PPT, Word, Cite 1. 2.1. Investigación de fuentes de información relacionadas. 5 Mendeley 1.5. 2.2. Lectura en profundidad de las fuentes de información. 10 - 2.1. 2.3. Elaboración de un mapa de conceptos. 3 PowerPoint (PPT) 2.2. 2.4. Generación de la estructura documental a redactar. 1 Word 2.3. 2.5. Plasmado del conocimiento adquirido. 10 Word, Cite 2.4. 3. Introducción a las OT de los EV. 29 Mendeley, PPT, Word, Cite 2. 3.1. Investigación de fuentes de información relacionadas. 5 Mendeley 2.5. 3.2. Lectura en profundidad de las fuentes de información. 10 - 3.1. 3.3. Elaboración de un mapa de conceptos. 3 PowerPoint (PPT) 3.2. 3.4. Generación de la estructura documental a redactar. 1 Word 3.3. 3.5. Plasmado del conocimiento adquirido. 10 Word, Cite 3.4. 4. Ciberseguridad de las OT de los EV. 29 Mendeley, PPT, Word, Cite 3. 4.1. Investigación de fuentes de información relacionadas. 5 Mendeley 3.5. 4.2. Lectura en profundidad de las fuentes de información. 10 - 4.1. 4.3. Elaboración de un mapa de conceptos. 3 PowerPoint (PPT) 4.2. 4.4. Generación de la estructura documental a redactar. 1 Word 4.3. 4.5. Plasmado del conocimiento adquirido. 10 Word, Cite 4.4. 5. Futuro de los EV desde el punto de vista de ciberseguridad. 29 Mendeley, PPT, Word, Cite 4. 5.1. Investigación de fuentes de información relacionadas. 5 Mendeley 4.5. 5.2. Lectura en profundidad de las fuentes de información. 10 - 5.1. 5.3. Elaboración de un mapa de conceptos. 3 PowerPoint (PPT) 5.2. 5.4. Generación de la estructura documental a redactar. 1 Word 5.3. 5.5. Plasmado del conocimiento adquirido. 10 Word, Cite 5.4. 6. Bibliografía extensa para el lector. 28 Mendeley, Word, Cite Tras cada: #.5. 6.1. Revisión de fuentes usadas: introducción a OT. 4 Mendeley 1.5. 6.2. Revisión de fuentes usadas: ciberseguridad OT. 4 Mendeley 2.5. 6.3. Revisión de fuentes usadas: introducción a EV. 4 Mendeley 3.5. 6.4. Revisión de fuentes usadas: ciberseguridad EV. 4 Mendeley 4.5. 6.5. Revisión de fuentes usadas: futuro EV. 4 Mendeley 5.5. 6.6. Clasificación de las fuentes usadas por temáticas. 3 Mendeley Progresivo: 6.1. a 6.5. 6.7. Clasificación de las fuentes no utilizadas. 3 Mendeley Progresivo: 6.1. a 6.5. 6.8. Plasmado de la bibliografía. 2 Word, Cite 6.6. y 6.7. 7. Maquetado y revisión. 58 Mendeley, Word, Cite Tras cada: #.5. 7.1. Maquetado inicial del documento. 10 Word Tras cada: #.5. 7.2. Lectura de apartados del documento. 8 - Progresivo con: 7.1. 7.3. Verificación de contenidos sobre las fuentes. 24 Mendeley Progresivo con: 7.2. 7.4. Verificación de corrección del texto. 3 Word Progresivo con: 7.3. 7.5. Maquetado final del documento. 10 Word 7.4. 7.6. Verificación de formato del documento. 3 Word 7.5. GC Gestión continua del proyecto 9 PowerPoint, To Do 0. 36 6.2. Estimación de recursos 6.2.1. Recursos humanos En un entorno profesional, este proyecto implicaría el trabajo colaborativo entre: • Uno o varios expertos en la ciberseguridad de entornos OT y EV, capaces de explicar este conocimiento de manera sencilla. • Un redactor, el cual plasmaría los conceptos en sus notas y las transformaría en un documento apropiado para su divulgación. • Un editor que realiceel maquetado y revise el propio documento para asegurar que está impecable en contenido, formato y corrección. Sin embargo, este proyecto se desarrollará por una sola persona, por lo que no se requiere de una separación por roles de las tareas asociadas a cada perfil. 6.2.2. Recursos materiales El material requerido para la elaboración del proyecto consta meramente de: • Hardware: un ordenador portátil para el uso de software y acceso a internet. • Software: o Suite de Microsoft ▪ Microsoft PowerPoint: para la gestión de tareas por Lean. ▪ Microsoft To Do: para la gestión de tareas por Kanban. ▪ Microsoft Word: para la elaboración del documento. o Mendeley: para la gestión de referencias. o Mendeley Cite: para incorporar la bibliografía (plugin de Word). 6.2.3. Recursos generales Para poder hacer un uso debido de los recursos, es necesario disponer de un espacio y los consumibles para trabajar dentro de este espacio. Así, se consideran recursos generales: • El espacio de trabajo: en este caso, se asume que se trabajará desde casa, por lo que no habrá alquileres de locales a considerar como añadidos. • La electricidad, agua y gas consumidos por el equipo durante el tiempo de trabajo. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 37 6.3. Diagrama de Gantt Por el uso de metodologías agile como Lean y Kanban, se ha decidido reducir el diagrama de Gantt (Figura 1) a la disposición temporal únicamente de las tareas “gruesas” (Lean). Figura 1: Diagrama Gantt a nivel Lean. Rombos: Gestión Continua (GC). [Elaboración propia] 6.4. Gestión del riesgo: planes alternativos y obstáculos Así como ya se ha trabajado en el apartado de alcance (4.3 Obstáculos y riesgos), nos podemos encontrar con diversas problemáticas que requieran de un plan alternativo con el que mantenernos dentro del plazo de entrega del proyecto. Este factor se ha tenido en cuenta desde el inicio al reservar un 20% del tiempo disponible para corregir cualquier desviación que pueda suceder. Es decir, se dispone de hasta 2 semanas de margen para reaccionar y retomar el progreso adecuado del proyecto. A pesar de ello, es necesario plantear soluciones antes de que sucedan los incidentes. Planteamos a continuación nuestro "BCP (business continuity plan)" reducido del proyecto. 38 Para cada caso indicado en el apartado de alcance (4.3 Obstáculos y riesgos): • Un error de comprensión o falta de conocimiento. Para este caso, deberíamos invertir algunas horas extra en buscar mayor información del tema implicado o, alternativamente, buscar consejo de algún profesional del ámbito que nos pueda resolver las dudas. Respecto a los recursos, esto implicaría consumir parte del 20% de tiempo de reserva (60h) previsto para situaciones así. • Disponibilidad de textos y fuentes de información. La falta de una fuente afectará al proyecto según la criticidad de la información que contenga. Se puede considerar que un caso crítico sería la incapacidad de acceder a un estándar de alguna organización (como pueda ser ISO, NIST o CIS). Los estándares suelen tenerse muy en cuenta como guía para la protección de las infraestructuras, especialmente en las CI (critical infrastructure), donde la aplicación de según que estándares es determinante frente a los organismos de gobierno del país. Así pues, cabrá localizar estos textos a través de todas las fuentes posibles, teniendo que invertir un tiempo y, seguramente, un posible coste económico. Como posible alternativa más económica, se ha considerado la opción de evaluar fuentes de información que contengan extractos o resúmenes de la fuente a la que no se tiene acceso tal que, contrastando entre múltiples fuentes, se podría derivar parte del contenido necesario para la realización del proyecto. En términos “ciber”, sería como obtener OSINT (open source intelligence) recomponiendo los datos. • Desastres. Tras evaluar detenidamente varias opciones frente a desastres, se ha visto que no se puede predecir el propio contenido de un desastre y que debería realizarse todo un análisis para componer un DRP (disaster recovery plan), lo cual podría ser todo un proyecto en sí. Como mitigante del riesgo, se considera la posibilidad de presentar el trabajo final de estudios en un cuadrimestre distinto al inicial y realizar una matrícula adicional. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 39 • Desviaciones del plan de tareas. En el caso de la desviación temporal de la planificación, debería valorarse si es posible recuperar el ritmo dentro del 20% de tiempo de reserva (60h) previsto. De no ser así, cabría reducir en parte el alcance de alguno de los últimos bloques temáticos: “Ciberseguridad de las OT de los EV” o “Futuro de los EV desde el punto de vista de ciberseguridad”. Otra alternativa podría ser aplazar la entrega y realizar una matrícula adicional, pero preferiríamos evitar llegar a este extremo. Si se diese el caso de algún inconveniente que implicase una velocidad de redacción reducida (p.ej.: fractura de brazo), se ha considerado el módulo de dictador de texto (speech to text) de Microsoft Word como herramienta de soporte para reducir este retraso temporal. • Falta de recursos o avería de material. En cuanto a la falta de recursos, pueden darse tres casos principales: o Falta de suministros (electricidad, agua, gas) en el lugar de trabajo habitual. Para solucionar este primer caso, se han localizado en los alrededores diversas cafeterías con políticas de permitir trabajar en ellas y que incluyan conexión a la red eléctrica, baño y Wifi para los clientes. Por si fallase dicha conexión a internet, se ha aplicará una sincronización en local de toda la biblioteca de Mendeley para asegurar que se mantiene el acceso a la documentación. Y si hubiese problemáticas de suministros en toda el área metropolitana de Barcelona, se dispone de la posibilidad de desplazarse a otras regiones de España para poder proseguir durante el fallo de suministros (Madrid, Valencia, Galicia, …). o Fallo del ordenador portátil (parcial o terminal). En este 2º caso, se tratará de solucionar los fallos parciales dentro de un margen de 2 horas a lo sumo. Si no fuese posible dar solución en este periodo de tiempo, se procederá a reemplazar el dispositivo por un portátil nuevo o prestado para la ocasión. o Conflictos de licencia o funcionamiento del software. En este último caso, se ha identificado la suite gratuita de Google como alternativa a la de Microsoft. Se tratará de renovar licencias si es posible o se cambiará de plataforma. En el caso de Mendeley, se ha identificado Zotero como posible alternativa. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 41 7. Gestión económica 7.1. Presupuesto 7.1.1. Costes de personal Para un perfil de consultor junior con conocimientos de ciberseguridad y dedicado a OT, se considera adecuada una ratio 36,13€/h [32]. Para facilitar el cálculo se ha tomado 35 €/h. Considerando que se realizan las 300 horas disponibles (10.500€) y sumando a estas las 75 horas del curso GEP (2.625€), el coste asociado al proyecto ascendería a 13.125€. El desglose puede verse en la Tabla 4. 7.1.2. Costes genéricos Dado que el proyecto se desarrolla en casa, con software gratuito para la comunidad de estudiantes y sin necesidad de desplazamientos ni instalaciones propias, los costes genéricos se podrían resumir en el propio consumo del hogar: internet, electricidad, gas y agua. Como referencia [33], una sola persona en España paga mensualmente unos 35€ de luz, 25€ de gas, 7,6€ de agua (4 m3) y unos 20€ de internet. En total, esto serían unos 87,6€ por suministros al mes. Se ha considerado que el 60% de estos gastos (aproximadamente50€) corresponderían al consumo y el propio desgaste del material empleado durante las horas de trabajo. Con ello, se ha considerado un coste genérico de 150€ para cubrir los gastos. 7.1.3. Contingencia e Imprevistos Dado que el coste de personal se ha realizado con la totalidad de las horas disponibles, se ha considerado que ya se dispone de un presupuesto equivalente al 20% de dichas horas para este aspecto. Es decir, de 10.500 € de personal, hay 2.100 € para contingencia e imprevistos. 7.1.4. Coste total El coste total del proyecto sería de 13.275€ (150€ genéricos y 13.125€ de personal, los cuales incluyen los gastos de contingencia e imprevistos). 42 Tabla 4: Tabla de tareas con sus costes asociados. [Elaboración propia] ID Tarea Horas Coste 0. Curso GEP. 75 2.625 € 1. Introducción al mundo de las OT. 29 1.015 € 1.1. Investigación de fuentes de información relacionadas. 5 175 € 1.2. Lectura en profundidad de las fuentes de información. 10 350 € 1.3. Elaboración de un mapa de conceptos. 3 105 € 1.4. Generación de la estructura documental a redactar. 1 35 € 1.5. Plasmado del conocimiento adquirido. 10 350 € 2. Ciberseguridad de las OT. 29 1.015 € 2.1. Investigación de fuentes de información relacionadas. 5 175 € 2.2. Lectura en profundidad de las fuentes de información. 10 350 € 2.3. Elaboración de un mapa de conceptos. 3 105 € 2.4. Generación de la estructura documental a redactar. 1 35 € 2.5. Plasmado del conocimiento adquirido. 10 350 € 3. Introducción a las OT de los EV. 29 1.015 € 3.1. Investigación de fuentes de información relacionadas. 5 175 € 3.2. Lectura en profundidad de las fuentes de información. 10 350 € 3.3. Elaboración de un mapa de conceptos. 3 105 € 3.4. Generación de la estructura documental a redactar. 1 35 € 3.5. Plasmado del conocimiento adquirido. 10 350 € 4. Ciberseguridad de las OT de los EV. 29 1.015 € 4.1. Investigación de fuentes de información relacionadas. 5 175 € 4.2. Lectura en profundidad de las fuentes de información. 10 350 € 4.3. Elaboración de un mapa de conceptos. 3 105 € 4.4. Generación de la estructura documental a redactar. 1 35 € 4.5. Plasmado del conocimiento adquirido. 10 350 € 5. Futuro de los EV desde el punto de vista de ciberseguridad. 29 1.015 € 5.1. Investigación de fuentes de información relacionadas. 5 175 € 5.2. Lectura en profundidad de las fuentes de información. 10 350 € 5.3. Elaboración de un mapa de conceptos. 3 105 € 5.4. Generación de la estructura documental a redactar. 1 35 € 5.5. Plasmado del conocimiento adquirido. 10 350 € 6. Bibliografía extensa para el lector. 28 980 € 6.1. Revisión de fuentes usadas: introducción a OT. 4 140 € 6.2. Revisión de fuentes usadas: ciberseguridad OT. 4 140 € 6.3. Revisión de fuentes usadas: introducción a EV. 4 140 € 6.4. Revisión de fuentes usadas: ciberseguridad EV. 4 140 € 6.5. Revisión de fuentes usadas: futuro EV. 4 140 € 6.6. Clasificación de las fuentes usadas por temáticas. 3 105 € 6.7. Clasificación de las fuentes no utilizadas. 3 105 € 6.8. Plasmado de la bibliografía. 2 70 € 7. Maquetado y revisión. 58 2.030 € 7.1. Maquetado inicial del documento. 10 350 € 7.2. Lectura de apartados del documento. 8 280 € 7.3. Verificación de contenidos sobre las fuentes. 24 840 € 7.4. Verificación de corrección del texto. 3 105 € 7.5. Maquetado final del documento. 10 350 € 7.6. Verificación de formato del documento. 3 105 € GC Gestión continua del proyecto 9 315 € - Reserva de tiempo para contingencia e imprevistos 60 2.100 € Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 43 7.2. Control de gestión Para poder controlar debidamente el rendimiento del proyecto, es necesario definir una serie de indicadores clave de rendimiento (KPI, key performance indicator). Estos indicadores nos permitirán medir la desviación respecto a lo planificado de manera cuantificable y, con ello, podremos reaccionar antes de que el proyecto acabe en fracaso. Por la particularidad de la metodología mixta que se ha decidido emplear, se focalizará el seguimiento de costes en un periodo semanal, es decir, centrado en las tareas “gruesas” (Lean). A tal efecto, se proponen los siguientes KPI: 1. Desviación del coste de personal por tarea: (𝐻𝑜𝑟𝑎𝑠𝐼𝑛𝑣𝑒𝑟𝑡𝑖𝑑𝑎𝑠 − 𝐻𝑜𝑟𝑎𝑠𝑃𝑙𝑎𝑛𝑖𝑓𝑖𝑐𝑎𝑑𝑎𝑠) ⋅ 𝐶𝑜𝑠𝑡𝑒𝑃𝑜𝑟𝐻𝑜𝑟𝑎 2. Desviación del coste de personal total: (𝐻𝑜𝑟𝑎𝑠𝐼𝑛𝑣𝑒𝑟𝑡𝑖𝑑𝑎𝑠𝑇𝑜𝑡𝑎𝑙 − 𝐻𝑜𝑟𝑎𝑠𝑃𝑙𝑎𝑛𝑖𝑓𝑖𝑐𝑎𝑑𝑎𝑠𝑇𝑜𝑡𝑎𝑙) ⋅ 𝐶𝑜𝑠𝑡𝑒𝑃𝑜𝑟𝐻𝑜𝑟𝑎 3. Consumo previsto de gastos de contingencia e imprevistos (%): (𝐻𝑜𝑟𝑎𝑠𝐼𝑛𝑣𝑒𝑟𝑡𝑖𝑑𝑎𝑠𝑇𝑜𝑡𝑎𝑙 − 𝐻𝑜𝑟𝑎𝑠𝑃𝑙𝑎𝑛𝑖𝑓𝑖𝑐𝑎𝑑𝑎𝑠𝑇𝑜𝑡𝑎𝑙) ⋅ 𝐶𝑜𝑠𝑡𝑒𝑃𝑜𝑟𝐻𝑜𝑟𝑎 𝐶𝑜𝑠𝑡𝑒𝐶𝑜𝑛𝑡𝑖𝑛𝑔𝑒𝑛𝑐𝑖𝑎+𝐼𝑚𝑝𝑟𝑒𝑣𝑖𝑠𝑡𝑜𝑠 ⋅ 100 Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 45 8. Sostenibilidad y compromiso social 8.1. Autoevaluación Dada la formación continua en aspectos de sostenibilidad durante el grado en informática (FIB), concienciando al alumno a lo largo de todo el proceso educativo, y complementando con la formación recibida en el grado de ingeniería en tecnologías industriales (ETSEIB), que incorpora asignaturas específicamente entorno al medio ambiente y sostenibilidad, así como entorno a la gestión integral de proyectos y su impacto a nivel de organización, economía, sostenibilidad y sociedad; me he dado cuenta de que mi evolución desde el comienzo de mi etapa universitaria. Sin embargo, me ha resultado curioso que, frente a las cuestiones de medida del impacto social de una solución o proyecto, me he sentido impotente y falto de conocimiento. Esto ha evidenciado que mi foco no ha estado ubicado sobre las personas, sino sobre las tecnologías y elementos de rendimiento comúnmente evaluados por la industria. Curiosamente, y sin haberlo planeado previamente, el proyecto propuesto para el TFG no tiene ninguna componente lucrativa evidente y no realiza un impacto ambiental significativo en principio. Sin darme cuenta, la solución propuesta recaería principalmente sobre la dimensión social, afectando a la educación, calidad de vida y tranquilidad de las personas. Más allá, mi campo de crecimiento profesional, la ciberseguridad, a la cual llevo dedicándole ya varios años, resulta que se centra en la protección de las personas y su entorno, es decir, en la dimensión social. Parece que, como si fuese una broma inesperada del destino, estoy dedicando mi vida a la dimensión en la que menos he pensado durante toda mi vida. ¿Quién me iba a decir a mí, que adoro la tecnología y me encierro en el mundo cibernético alejado de la sociedad, que iba a acabar trabajando por y para las personas? 46 8.2. Dimensión Económica Reflexionando entorno al coste del proyecto, si bien un cliente debería invertir unos 10.650€ en el desarrollo del proyecto, la introducción de profesionales en el mundo de la ciberseguridad OT proporciona una potencial caída de los riesgos actualmente asociados a estas tecnologías y, con una securización adecuada, que permite reducir los gastos ligados a las pólizas de seguro de ciberseguridad y los costes derivados de la materialización de un incidente cualquiera sobre la infraestructura de la empresa. Por otra parte, a día de hoy se soluciona el problema a base de “fajo de billetes”, es decir, las empresas ponen una oferta laboral con remuneración cuantiosa sobre la mesa y se roban los profesionales entre ellas. El incremento de profesionales equilibrará la inflación actual de los perfiles de ciberseguridad OT, ofreciendo una relación más estable entre las empresas y empleados de ciberseguridad. 8.3. Dimensión Ambiental En cuanto al impacto ambiental, esteproyecto no tiene un impacto directo sobre el medio ambiente, por lo que se necesita pensar un poco más allá en las posibles consecuencias de su desarrollo. 1. Si este proyecto sale a la luz y triunfa, se formarán más expertos en ciberseguridad OT. 2. Si disponemos de más recursos especializados en ciberseguridad OT, las infraestructuras críticas e industriales tendrán menor riesgo de sufrir ciber incidentes. 3. Una falta de ciber incidentes en infraestructuras críticas e industriales evita potenciales contaminaciones ambientales que habrían sucedido si, por ejemplo, estalla una central nuclear por un ciber ataque. Así pues, no es que este proyecto colabore de manera directa en la dimensión ambiental, pero el uso que se haga de este puede ayudar a prevenir incidentes que, de otro modo, podrían haber dañado esta dimensión. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 47 8.4. Dimensión Social Como se ha comentado más arriba, el proyecto propuesto para el TFG recae principalmente sobre la dimensión social, afectando a: • La educación: Tanto propia por todo el conocimiento adquirido durante la elaboración del trabajo, como del lector, quién aprenderá las bases y fundamentos clave para su crecimiento en el sector. • La calidad de vida: Dado que una mejora en la seguridad de los sistemas OT implica una mitigación de riesgos y conlleva una menor probabilidad de sufrir por un incidente. • La tranquilidad: Por el hecho de que estar en manos de profesionales permite a las personas confiar en que las infraestructuras OT estarán debidamente protegidas. Ciberseguridad de la tecnología operacional (OT) y el futuro de los vehículos eléctricos (EV). 49 Referencias [1] “Los retos de la ciberseguridad industrial – TÉCNICA INDUSTRIAL.” https://www.tecnicaindustrial.es/los-retos-de-la-ciberseguridad-industrial/ [2] “¿Qué pasó el 11 de septiembre de 2001 en EEUU?” https://www.lavanguardia.com/vida/junior- report/20210910/7709198/11-s-dia-mundo-paralizo.html [3] “What is Anonymous? The group went from 4chan to cyberattacks on Russia.” https://www.cnbc.com/2022/03/25/what-is-anonymous-the-group-went-from-4chan-to- cyberattacks-on-russia.html [4] “What Is Stuxnet? | McAfee.” https://www.mcafee.com/enterprise/en-us/security- awareness/ransomware/what-is-stuxnet.html [5] J. I. Carlos Rey De España, “Ley PIC - Ley de Protección de las Infraestructuras Críticas”. [6] “Redes OT: qué son y cómo se protegen con Ciberseguridad.” https://www.digitizeme.blog/digitizeme-latam/redes-ot-qu%C3%A9-son-y-c%C3%B3mo-se- protegen-con-ciberseguridad [7] “Las revoluciones industriales,” Instituto Geográfico Nacional. Accessed: Apr. 18, 2022. [Online]. Available: https://www.ign.es/espmap/figuras_industria_bach/pdf/Industria_Fig_01_texto.pdf [8] “¿Qué es la Industria 4.0? | Deloitte España.” https://www2.deloitte.com/es/es/pages/manufacturing/articles/que-es-la-industria-4.0.html [9] “¿Qué es la Industria 5.0 y cuál es su objetivo? - Oasys.” https://oasys-sw.com/que-es-la- industria-5-0-y-cual-es-su-objetivo/ [10] “Assignatures | Facultat d’Informàtica de Barcelona.” https://www.fib.upc.edu/ca/estudis/graus/grau-en-enginyeria-informatica/pla- destudis/assignatures [11] “¿Qué es la ciberseguridad?” https://latam.kaspersky.com/resource-center/definitions/what-is- cyber-security [12] “What’s the Difference Between OT, ICS, SCADA and DCS? - Insight from Securicon.” https://www.securicon.com/whats-the-difference-between-ot-ics-scada-and-dcs/ [13] “Electronic Control Units (ECU) Selection Guide: Types, Features, Applications | Engineering360.” https://www.globalspec.com/learnmore/specialized_industrial_products/transportation_produc ts/automotive_equipment_products/electronic_control_units_ecu [14] “OT Cybersecurity Concerns Are Increasing Across the Globe.” https://www.tripwire.com/state- of-security/ics-security/ot-cybersecurity-concerns-are-increasing-across-the-globe/ [15] “Gartner Predicts By 2025 Cyber Attackers Will Have Weaponized Operational Technology Environments to Successfully Harm or Kill Humans.” https://www.gartner.com/en/newsroom/press-releases/2021-07-21-gartner-predicts-by-2025- cyber-attackers-will-have-we [16] A. Ginter, “Secure Operations Technology,” 2018. 50 [17] A. P. Fournaris, K. Lampropoulos, and E. Marín Tordera, Eds., “Information and Operational Technology Security Systems,” vol. 11398, 2019, doi: 10.1007/978-3-030-12085-6. [18] E. D. Knapp and J. T. Langill, “Industrial network security: Securing critical infrastructure networks for smart grid, SCADA, and other industrial control systems,” Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems, Second Edition, pp. 1–439, Jan. 2014, doi: 10.1016/B978-0-12-420114-9.00018-6. [19] “SCADA Systems and Cyber Security for Critical Infrastructures | Request PDF.” https://www.researchgate.net/publication/330740574_SCADA_Systems_and_Cyber_Security_f or_Critical_Infrastructures [20] E. B. Clint, et al, “Hacking Exposed Industrial Control Systems,” 2017. [21] E. Colbert and A. Kott, “Cyber-security of SCADA and Other Industrial Control Systems,” vol. 66, pp. 1–368, 2016, doi: 10.1007/978-3-319-32125-7. [22] Z. Ismail, J. Leneutre, and A. Fourati, “Security of Industrial Control Systems and Cyber Physical Systems,” Wos-Cps, vol. 9588, pp. 157–167, 2016, Accessed: Apr. 19, 2022. [Online]. Available: http://link.springer.com/10.1007/978-3-319-40385-4 [23] R. Radvanovsky and J. Brodsky, “Handbook of SCADA / Control Systems Security,” 2013, Accessed: Apr. 19, 2022. [Online]. Available: http://www.copyright.com/ [24] “9 Ejemplos de Metodología de un Proyecto, Simplificados.” https://thedigitalprojectmanager.com/es/metodologias-gestion-proyectos-simplificadas/ [25] “Lean vs Kanban.” https://hygger.io/blog/lean-vs-kanban/ [26] “Microsoft PowerPoint Slide Presentation Software | Microsoft 365.” https://www.microsoft.com/en-us/microsoft-365/powerpoint?SilentAuth=1&wa=wsignin1.0 [27] “Aplicación de listas de tareas pendientes y administración de tareas | Microsoft To Do.” https://www.microsoft.com/es-es/microsoft-365/microsoft-to-do-list-app?rtc=1 [28] “Plantilla document TFE (portada + memòria) — Escola Tècnica Superior d’Enginyeria Industrial de Barcelona. ETSEIB — UPC. Universitat Politècnica de Catalunya.” https://etseib.upc.edu/ca/estudis/documents-destudis/tfe/tfg_tfm_plantilla.doc/view [29] “Microsoft Word - Word Processing Software | Microsoft 365.” https://www.microsoft.com/en- ww/microsoft-365/word [30] “Download Mendeley Reference Manager For Desktop Windows | Mendeley.” https://www.mendeley.com/download-reference-manager/windows [31] “Mendeley Cite | Mendeley.” https://www.mendeley.com/reference-management/mendeley- cite [32] AEC Consultoras, “La Relación Calidad-Precio En El Sector Ti Y Consultoría, Al Amparo De Lo Establecido En La Ley 9/2017 De Contratos Del Sector Público,” Dec. 2018. https://aecconsultoras.com/wp-content/uploads/2019/01/la-relacion-calidad-precio-en-el- sector-ti-y-consultoria.pdf [33] “¿Cuánto se paga al mes por los suministros básicos? | Rastreator.” https://www.rastreator.com/tarifas-energia/guias/factura-mes-suministros-basicos
Compartir