12 diciembre, 2024

By  No comments

IEC-62443 Ciberseguridad en Sistemas de Control Industrial

Continuando integrando la Ingeniería Electrónica con la Ciberseguridad, toca el momento de detenerse en la norma IEC 62443 para la seguridad en sistemas de control industrial.


Resumen de la norma IEC 62443:

La norma IEC 62443 es un conjunto de estándares internacionales desarrollados para abordar la seguridad de los sistemas de control industrial (ICS : Industrial Control System) y los sistemas de automatización y control industrial (IACS : Industrial Automation Control System). Su objetivo principal es proteger estos sistemas críticos contra amenazas cibernéticas, ya que una vulnerabilidad en el entorno de OT (Operational Technology) puede tener un impacto severo en la operación física, como en industrias de manufactura, energía, transporte y más.

Abarca desde requisitos técnicos hasta políticas organizacionales, y se dirige tanto a los fabricantes de equipos, integradores de sistemas, operadores, y propietarios de los sistemas de automatización.

El marco se divide en varias partes:

  1. Parte 1: Conceptos generales – Introduce los conceptos claves y las definiciones del estándar.

  2. Parte 2: Políticas y procedimientos organizacionales – Enfocada en las políticas organizacionales para gestionar la ciberseguridad, como gestión de riesgos y requisitos de seguridad operativa.

  3. Parte 3: Requisitos de seguridad del sistema – Define los requisitos de seguridad técnica para los sistemas y redes.

  4. Parte 4: Requisitos de seguridad del producto o componentes – Establece los requisitos de seguridad que los fabricantes de productos/componentes deben cumplir para desarrollar productos/componentes seguros. Se divide en 12 áreas temáticas y  además definen las restricciones comunes de seguridad de componentes (CCSC)

 

Niveles de Seguridad y Sus Categorías

Inicialmente, los propietarios de activos seleccionan un Sistema bajo Consideración (SuC : System Under Consideration) y definen Niveles de Seguridad predefinidos (SL : Security Levels) para describir los niveles de seguridad objetivo deseados (SL-T : Target Levels), los niveles alcanzados (SL-As : Archieved levels) y los niveles de capacidad (SL-Cs : Capability levels) para el SuC o sus subsistemas.

Estos Niveles de Seguridad se clasifican de la siguiente manera:

  • SL 4: Protección contra la violación intencional utilizando medios sofisticados con amplios recursos, habilidades especializadas y alta motivación.

  • SL 3: Protección contra la violación intencional utilizando medios sofisticados con recursos moderados, habilidades especializadas y motivación moderada.

  • SL 2: Protección contra la violación intencional utilizando medios simples con recursos limitados, habilidades básicas y baja motivación.

  • SL 1: Protección contra violación conciente o casual.

 

Aplicación de Niveles de Seguridad en Zonas y Conductos

Los propietarios de activos pueden aplicar estos niveles en función de cómo se divide el Sistema bajo consideración en “zonas” y “conductos.”

  • Zonas (Zones): Agrupaciones lógicas o físicas de activos con requisitos de seguridad compartidos en función de factores como la criticidad y la consecuencia.

  • Conductos (Conduits): Agrupaciones de activos dedicadas exclusivamente a la comunicación, compartiendo los mismos requisitos de seguridad. Los conductos también pueden representar túneles de comunicación entre zonas.

Esta taxonomía permite a los arquitectos, ingenieros y profesionales de la seguridad describir los niveles de riesgo deseados y los mecanismos necesarios para lograr objetivos de seguridad específicos o Factores de Reducción del Riesgo Cibernético (CRRF).


 

El Sistema de Gestión de Ciberseguridad Alineado (CSMS)

Los estándares IEC 62443 ofrecen un enfoque estructurado para construir un programa de seguridad robusto adaptado a los sistemas utilizados en entornos industriales como la fabricación o los servicios públicos. Este programa, conocido como Sistema de Gestión de Ciberseguridad (CSMS ), se centra en tres áreas principales: comprender y analizar los riesgos, implementar medidas de mitigación de riesgos y monitorear y mejorar continuamente la efectividad de los sistemas.

 

Consideraciones para su cumplimiento:

Para cumplir con la norma IEC 62443, es necesario abordar diferentes áreas dentro de la organización:

  1. Clasificación y segmentación de activos

    • Identificar y clasificar los activos críticos en términos de su función, impacto en la operación y vulnerabilidades.
    • Implementar una segmentación de la red basada en zonas y conduits, asegurando que los sistemas críticos estén aislados adecuadamente.

  2. Gestión de riesgos

    • Desarrollar una estrategia de gestión de riesgos que evalúe el impacto y probabilidad de los riesgos para los sistemas de control.
    • Realizar evaluaciones periódicas de riesgos en las que se incluyan tanto amenazas internas como externas.

  3. Políticas y procedimientos de ciberseguridad

    • Implementar políticas que aseguren la gestión de identidades y accesos, incluyendo controles de acceso, autenticación, y mecanismos de monitoreo.
    • Definir procedimientos claros para responder ante incidentes, asegurando que los planes de contingencia estén alineados con la operación de OT.

  4. Ciberseguridad por diseño

    • Incluir principios de "seguridad por diseño" para los sistemas y productos utilizados, garantizando que los equipos y software instalados sean robustos contra ciberataques.
    • Exigir a los proveedores e integradores el cumplimiento de los requisitos técnicos de la norma IEC 62443-4 para garantizar que los componentes entregados sean seguros desde el inicio.

  5. Monitoreo continuo

    • Implementar capacidades de monitoreo continuo en las redes OT, vigilando tanto el tráfico como el comportamiento anómalo que pueda ser indicativo de un ataque.
    • Utilizar herramientas como sistemas de detección de intrusos (IDS), firewalls industriales, y sistemas de gestión de eventos de seguridad (SIEM) que estén adaptados a OT.

  6. Capacitación y concienciación

    • Capacitar a los empleados y operadores sobre la importancia de la ciberseguridad en entornos de OT y cómo sus acciones pueden afectar la seguridad.
    • Promover una cultura de seguridad que involucre a todos los actores de la organización, desde los niveles operativos hasta la alta dirección.

 

Consideraciones Claves

  • Cumplimiento Modular: La norma permite adoptar el cumplimiento por partes, lo que facilita a las organizaciones implementar gradualmente los controles según sus necesidades específicas.

  • Interacción IT-OT: Un aspecto clave es la convergencia entre las redes de tecnología de la información (IT) y la tecnología operativa (OT). Las organizaciones deben ser conscientes de las diferencias y similitudes en la seguridad de estos entornos.

  • Evaluación y certificación: Si bien no es obligatoria, muchas organizaciones optan por someterse a auditorías o certificaciones que confirmen su cumplimiento con IEC 62443, lo que aumenta la confianza en la seguridad de sus sistemas.

     

Cumplir con IEC 62443 requiere una planificación estratégica, inversiones en tecnología de ciberseguridad, un fuerte enfoque en la gestión de riesgos y una cultura de seguridad transversal dentro de la organización.


Normas que Complementan

La norma IEC 62443 es muy robusta para la ciberseguridad en entornos de OT (tecnología operativa), pero puede complementarse con otros estándares y marcos de seguridad que cubren aspectos adicionales o que aplican a diferentes ámbitos de la seguridad de la información y las redes industriales. Algunas de las principales normas y estándares que pueden complementar incluyen:

1. ISO/IEC 27001 (Seguridad de la Información)

  • Este estándar proporciona un marco para la gestión de la seguridad de la información mediante la implementación de un SGSI (Sistema de Gestión de Seguridad de la Información). Puede complementarse con IEC 62443 al ofrecer un enfoque más global sobre la protección de la información, mientras que IEC 62443 se centra en sistemas de control industriales.

  • Complemento: Ees útil para abordar las políticas organizacionales y los controles de seguridad aplicables a toda la empresa, no solo a la parte de OT.

2. NIST SP 800-82 (Seguridad de los Sistemas de Control Industrial)

  • Este estándar del NIST (National Institute of Standards and Technology) ofrece guías específicas sobre la protección de sistemas de control industrial en Estados Unidos. Proporciona recomendaciones para asegurar los ICS, incluyendo áreas como la identificación de amenazas, mitigación de vulnerabilidades y respuestas ante incidentes.

  • Complemento: Proporciona guías específicas para proteger ICS en entornos críticos, especialmente en el contexto estadounidense.

3. NERC CIP (Normas de Seguridad de Infraestructuras Críticas)

  • Las normas NERC CIP están diseñadas para proteger la infraestructura crítica del sector energético (especialmente en EE.UU. y Canadá). Se enfocan en asegurar los sistemas que gestionan la generación, transmisión y distribución de energía eléctrica.

  • Complemento: NERC CIP puede ser un complemento relevante para IEC 62443 en organizaciones del sector energético, especialmente en las áreas de monitoreo y control de la red eléctrica.

  • Consideración: Dependiendo el país pueden existir otras regulación sobre infraestructuras críticas aplicables, en caso de no contar con una es un buen punto de partida o incluso como referencia en las secciones mas flacas de la regulación local. 

4. ISA-99 (Predecesor de IEC 62443)

  • La norma ISA-99 es la base de la IEC 62443, ya que se transformó en esta última. Las recomendaciones y guías de ISA-99 fueron adoptadas y ampliadas en la IEC 62443.

  • Complemento: Los conceptos y directrices iniciales de ISA-99 siguen siendo útiles para entender la base de los principios de ciberseguridad en sistemas industriales.

  • Consideración: la historia muchas ocasiones hace entender el porque (o intención) de la norma actual.

5. ISO 22301 (Gestión de la Continuidad del Negocio)

  • La norma ISO 22301 se enfoca en la gestión de la continuidad del negocio, ayudando a las organizaciones a prepararse, responder y recuperarse ante interrupciones (incluidas ciberamenazas que impacten a sistemas industriales).

  • Complemento: Asegura que las operaciones críticas puedan continuar en caso de un ataque cibernético u otro incidente grave que afecte a los sistemas industriales.

6. GDPR (Reglamento General de Protección de Datos)

  • Regulación de la Unión Europea sobre la protección de los datos personales. Aunque no está directamente relacionada con la seguridad industrial, cualquier sistema de control que procese datos personales deberá tener en cuenta las normativas de privacidad.

  • Complemento: Si los sistemas de control industrial manejan datos personales, GDPR complementa a IEC 62443 en términos de privacidad y gestión de datos sensibles.

  • Consideración: Dependiendo el país pueden existir otras regulación sobre la protección de datos aplicables, en caso de no contar con una es un buen punto de partida.

7. C2M2 (Cybersecurity Capability Maturity Model)

  • El modelo C2M2, desarrollado por el Departamento de Energía de los EE. UU., ayuda a las organizaciones a evaluar sus capacidades de ciberseguridad y desarrollar un plan de mejora continua, especialmente en sectores industriales.
  • Complemento: Ayuda a medir y mejorar la madurez de los controles de ciberseguridad establecidos bajo la norma IEC 62443.

8. COBIT (Control Objectives for Information and Related Technologies)

  • Es un marco de referencia para la gestión y gobierno de TI que incluye principios de seguridad, control, y gobernanza de la tecnología, aplicable a sistemas de información en general.
  • Complemento: Se puede utilizarse en paralelo con IEC 62443 para proporcionar una estructura más amplia de gobernanza y gestión de la seguridad en una organización que utilice tanto IT como OT.

9. NIST Cybersecurity Framework (CSF)

  • Es un marco flexible que proporciona guías para la gestión de riesgos de ciberseguridad. Ofrece un conjunto de buenas prácticas organizacionales y técnicas para proteger sistemas, incluidos los entornos OT.

  • Complemento: Cubre el ciclo completo de gestión de riesgos, pero con un enfoque más amplio y adaptable a múltiples sectores.

10. ISO/IEC 15408 (Common Criteria)

  • También conocido como Common Criteria, es un estándar para la evaluación de la seguridad de productos de TI. Se utiliza para evaluar si un producto cumple con los requisitos de seguridad.

  • Complemento: Puede aplicarse a los componentes que se utilizan en un entorno OT, asegurando que los equipos y software utilizados cumplen con un nivel específico de seguridad.

Opinión

La norma IEC 62443 es esencial como marco de referencia principal para cualquier organización que opere sistemas industriales, especialmente aquellas en sectores críticos como energía, manufactura o transporte. Sin embargo, la ciberseguridad en OT no debe abordarse de manera aislada. Para obtener una protección mas abacartiva, es recomendable complementarla con otros marcos y estándares como ISO/IEC 27001 para la seguridad de la información general, NIST SP 800-82 para enfoques específicos de ICS, y normas regulatorias sectoriales como NERC CIP para energía.

Además, la convergencia entre IT y OT está incrementando, por lo que es importante que las organizaciones adopten una visión holística de la ciberseguridad, integrando las mejores prácticas de ambos mundos y considerando marcos como COBIT o el NIST Cybersecurity Framework para alinear estrategias corporativas y operativas.


Referencias

  • https://www.incibe.es/incibe-cert/blog/el-iec-62443-4-2-necesidad-securizar-los-componentes
  • https://www.isotools.us/2023/03/30/ciberseguridad-en-el-control-industrial-marco-isaiec-62443/
  • https://otcybersecurity.blog/2020/06/14/ot-cyber-security-risk/
  • https://en.wikipedia.org/wiki/IEC_62443  
  • https://verveindustrial.com/resources/blog/the-ultimate-guide-to-protecting-ot-systems-with-iec-62443/
  • https://www.hacknoid.com/normativas-ciberseguridad/nerc-cip-cumplimiento-de-la-normativa/
  • https://www.nerc.com/pa/Stand/Pages/Default.aspx

0 comments:

Publicar un comentario