Aseguramiento de Sistemas de Controles Industrial con la norma ISA/IEC-62443

ICS Security Standard IEC-62443

En los últimos años, las redes de control de procesos industriales, junto con los sistemas de control de supervisión y adquisición de datos (SCADA), se han ido integrando cada vez más con tecnologías web como Ethernet y TCP/IP. Las consecuencias de esta integración han hecho que estos sistemas sean cada vez más vulnerables a los numerosos tipos de ciberamenazas a disposición de los hackers malintencionados. Phishing, malware y ransomware, fuerza bruta o ataques de hombre en medio, desafortunadamente la mayoría de los sistemas de automatización industrial y control son vulnerables a estos ataques debido a su creciente número de vectores de ataque potenciales. La Internet de las Cosas (IoT) ha transformado la manera en que muchas industrias diferentes abordan los sistemas de automatización y control y hay un gran número de soluciones de seguridad diferentes disponibles para diferentes arquitecturas de seguridad. Sin embargo, la creciente amenaza que representan los ciberataques y los hackers malintencionados ha hecho que los usuarios finales pidan que se utilicen marcos de equipos “seguridad por diseño” que les permitan crear los entornos más seguros posibles para sus sistemas de control y automatización industrial.

Aquí es donde entran en juego los estándares de ciberseguridad. En 2002, la Sociedad Internacional de Automatización creó y distribuyó el documento de ciberseguridad ISA-99 a los sectores de la automatización industrial con el fin de informarles de cómo protegerse de las amenazas de la ciberseguridad de la época. En su estado actual, la norma ISA/IEC-62443 está compuesta por una serie de normas, informes y otra documentación que definen los procedimientos necesarios para que los operadores de redes puedan implementar sistemas de control y automatización industrial seguros. Uno de los mayores puntos fuertes de la norma ISA/IEC-62443 es que ha sido escrita para cubrir múltiples sectores industriales en su ámbito de aplicación y también puede utilizarse dentro de sistemas de control similares en mercados adyacentes. Por ello, se ha convertido en la norma de referencia reconocida e incorporada por múltiples países y organizaciones.

Esquema de los Objetivos de la Serie IEC-62443

Entonces, ¿qué pretende hacer la norma ISA/IEC-62443? Al igual que el documento original ISA-99 de 2002, el objetivo de la norma ISA/IEC-62443 es mejorar la seguridad, integridad, confidencialidad y disponibilidad de los sistemas, dispositivos y componentes que componen los sistemas de automatización y control industrial. También tiene por objeto proporcionar criterios para la adquisición y aplicación de sistemas de automatización y control industrial y, de conformidad con los requisitos de la norma ISA/IEC-62443, se espera que se mejore la seguridad electrónica, al tiempo que se ayuda a identificar y abordar las vulnerabilidades. Otro objetivo de la norma es reducir el riesgo de que los datos confidenciales se vean comprometidos, así como reducir el riesgo de degradación del hardware o software o el fallo de los sistemas o procesos de control. Los principales proveedores de equipos, como Schneider Electric, Honeywell, Siemens y Yokogawa, han optado por respaldar el estándar ISA/IEC-62443 como estándar básico que podría impulsar mejoras en la seguridad de los dispositivos y añadir funciones a sus propias tecnologías para cumplir con el estándar ISA/IEC-62443.

El estándar en sí está organizado en cuatro elementos: General, Políticas y Procedimientos, Sistema y Componente. Estos grupos se corresponden con su enfoque general y el público al que se dirigen.

General

The general group contains the standard elements that are commonly found throughout the entire series such as descriptions of an industrial automation and control system security lifecycle and use cases illustrating their applications.

Pólizas y Procedimientos

El grupo de políticas y procedimientos se centra en los procedimientos de seguridad de los sistemas de control y automatización industrial, como la ciberseguridad y la gestión de parches, así como en los requisitos de los proveedores de sistemas de control y automatización industrial. Tanto el grupo general como el de políticas y procedimientos están dirigidos principalmente a los propietarios de activos.

Sistema

El grupo de sistemas se explica por sí mismo en el sentido de que cubre los requisitos de seguridad cibernética a nivel de sistema. Estos incluyen aspectos como las tecnologías ambientales, la evaluación de riesgos y el diseño de sistemas. El grupo de sistemas se dirige principalmente a los integradores de sistemas.

Componente

El último grupo de componentes cubre los detalles y requisitos específicos para el diseño y desarrollo de productos de sistemas de control y automatización industrial, cubriendo temas como los requisitos derivados aplicables al desarrollo de productos. El grupo de componentes se dirige principalmente a los abastecedores.

El estándar ISA/IEC-62443 busca mejorar la operación, producción y gestión de los sistemas de automatización y control industrial, y se están dando pasos positivos con su creciente adopción por parte de empresas y organizaciones de diversas industrias. Esta adopción por parte de los administradores de redes, proveedores de componentes e integradores de sistemas es una prueba de que normas como la ISA/IEC-62443 son muy necesarias en un mundo que actualmente está adoptando la innovación y el avance tecnológico rápido y desestabilizador.


Related Posts