Ejemplos de estándares de ciberseguridad en OT

Los estándares de ciberseguridad son herramientas utilizadas para fomentar la disponibilidad y tolerancia a fallos en redes de operación, pero también para evitar posibles incidencias de ciberseguridad, inherentes a las tecnologías de la información que cada vez más se utilizan en dichas redes.

En el pasado, la ciberresiliencia no ha sido una gran preocupación para los operadores de entornos industriales, sus preocupaciones eran:

• Seguridad física: evitar el acceso físico a las instalaciones para evitar su manipulación. Puertas, barreras, vallas y sistemas de videovigilancia han sido los mecanismos más empleados
•  “Safety” en contraposición de “security”: se ha priorizado la seguridad e integridad de las personas en posibles accidentes que a la protección lógica de las comunicaciones.
• “Seguridad por oscuridad”: las redes industriales han permanecido durante muchos años aisladas del exterior y han sido creadas por un propósito muy particular (buses de campo por ejemplo).

El protocolo TCP/IP, Ethernet e Internet lo ha cambiado todo. Han abierto el mundo industrial a redes interconectadas, han posibilitado el control y gobernanza remotos y la informática en general habilita el análisis profundo de los datos para mejorar índices de productividad / calidad de forma automática. Aquí es donde los estándares juegan un papel importante, ya que nos ayudan a plantear qué medidas debemos tomar para mantenernos seguros en estos nuevos escenarios.

Ejemplo relevante para el sector energético: ISO/IEC 27019:2017

El estándar IEC 27019:2017 proviene del IEC 27002 añadiendo una serie de controles específicos de sistemas de control eléctricos. El objetivo es extender las series ISO/IEC 27000 al dominio de los procesos de automatización en el sector de energías. Concretamente incluye:

• Control de procesos centrales y distribuidos, monitoreo y automatización de procesos, así como sistemas de información utilizados para su operación, tales como dispositivos de programación y parametrización.
• Componentes de automatización como PLC, sensores digitales y elementos actuadores.
• Otros sistemas de apoyo utilizados en el control de procesos, por ejemplo, visualización de datos, seguimiento, registro histórico, generación de informes, etc.
• Tecnologías de comunicación utilizadas en el control de procesos: redes, telemetría, aplicaciones de telecontrol y tecnología de control remoto.
• Componentes de infraestructura de medición avanzada (AMI) como contadores inteligentes
• Dispositivos de medición.
• Sistemas digitales de protección y seguridad como relés de protección, PLCs de safety, etc.
• Sistemas de gestión de la energía.
• Software y Firmware de las aplicaciones instaladas en los sistemas mencionados anteriormente.
• Cualquier local que albergue los equipos y sistemas antes mencionados.
• Sistemas de telemantenimiento para los sistemas mencionados.

Ejemplo relevante para la seguridad de información: ISO/IEC 15408-1:2009

El estándar IEC 15408 va enfocado al producto y no tanto al proceso. Establece los conceptos y principios generales para la evaluación de productos de TI. Especifica un modelo general de evaluación de las propiedades de seguridad de dichos productos, ya sean hardware, firmware o software.

El resultado de esta evaluación puede ayudar a los consumidores escoger aquellos productos que cumplan con los requisitos de seguridad necesarios para sus fines y doten de confianza en su funcionamiento.

El resultado de la evaluación suele clasificar los productos en los siguientes niveles de CC (Common Criteria):

Ejemplo relevante para la automatización industrial: ISA/IEC 62443

La ISA/IEC 62443, referente en la ciberseguridad del mundo industrial, recoge un conjunto de estándares que se focalizan en evaluar la seguridad en ICS/OT en 4 categorías:

• General: conceptos generales, modelos y terminologías donde se definen las arquitecturas de referencia en entornos OT.
• Políticas y procedimientos: establece el programa para la gestión de la ciberseguridad, gestión de parches y gestión de proveedores para mantener los niveles de protección altos a medida que pasa el tiempo y las tecnologías y amenazas cambian.
• Sistema: establecen guías para la evaluación de riesgos, requisitos de seguridad y tecnologías tenemos a nuestro alcance para incrementar el nivel de protección.
• Componentes: describe los requisitos para diseñar productos y subcomponentes de forma segura.

Conclusiones

Los estándares no son estáticos, están en continuo desarrollo y refinamiento para ir adaptándose a la realidad del momento. Nos pueden resultar muy útiles para:

• Proteger los activos productivos de nuestras empresas.
• Las recomendaciones que surgen de estos estándares pronto serán consideradas como requisitos mínimos a cumplir, para mantener los riesgos de ciberseguridad bajos.
• Los trabajos preliminares de implementación ayudan a considerar los requerimientos que se deberán integrar en un futuro en entornos ICS/OT para mantener los activos protegidos.

Te puede interesar también:

• Estándares de Ciberseguridad: Qué son y para qué sirven
• Qué incluye una evaluación de riesgos en la red OT
• Desmontando la IEC62443
• Estrategia de defensa en profundidad en ciberseguridad industrial