Becolve Digital
Seleccionar página

Estándares de ciberseguridad. Qué son y para qué sirven.

Te contamos sobre estándares de ciberseguridad, qué son y para qué sirven y por qué son de gran ayuda en OT.

Becolve Digital
Portada del blog

¿Qué es un estándar?

La normalización o estandarización tiene como objeto la elaboración de una serie de especificaciones técnicas – NORMAS – que son utilizadas de modo voluntario. La legislación (Artículo 8 de la Ley 21/1992 de Industria) define norma como “la especificación técnica de aplicación repetitiva o continuada cuya observancia no es obligatoria, establecida con participación de todas las partes interesadas, que aprueba un Organismo reconocido, a nivel nacional o internacional, por su actividad normativa.”

 

¿Quién los hace?

Las normas y contenidos de los estándares en general -y los de ciberseguridad en concreto- son aprobados por organismos reconocidos a través de comités técnicos que se encargan de definir y justificar qué normas incluir en las diferentes versiones de los estándares. A medida que transcurre el tiempo y las amenazas y tecnologías evolucionan, estos comités se encargan de revisar los estándares para adaptarlos a la realidad actual.

Para citar algunos ejemplos de organismos reconocidos:

  • UNE – La Asociación Española de Normalización es el único organismo de normalización en España, designado por el Ministerio de Economía, Industria y Competitividad ante la Comisión Europea
  • ISA – International Society of Automation.
  • IEC – International Electrotechnical Commision.
  • SO – International Organization for Standardization.
  • NIST – National Institute of Standards and Technology.
  • UAE National Electronic Secutiry Authority.
  • API – American Petroleum Institute.
  • AWWA – American Water Works Association.
  • NERC – North american Electri Reliability Counci

entre otras…

entidades ciberseguridad

 

Los grupos de trabajo de estos organismos se encargan de estudiar, analizar, plantear, revisar, definir y decidir los diferentes aspectos de los estándares que crean y que nos pueden ayudar a ser competitivos, a cumplir con regulaciones y obligaciones de nuestro sector y/o ayudarnos a definir el diseño de la arquitectura de nuestros sistemas.

 

¿Por qué nos ayuda en OT?

La evolución de la industria y del tipo de tecnologías que emplea para sus procesos nos lleva al concepto de “Industria 4.0” donde nos encontramos actualmente. Este concepto se caracteriza por la incorporación masiva de la tecnología de la información (TI) a toda la cadena de valor de los procesos relacionados con la industria manufacturera e infraestructuras críticas.

La idea subyacente es que la integración de esta tecnología se traducirá en la optimización de los procesos de investigación, desarrollo, diseño, producción, logística y la prestación de servicios asociados:

  • Posibilitar la recopilación de datos sobre el uso real de los productos en los clientes y obtener una información valiosa que puede realimentar a los procesos de desarrollo de nuevos productos más adaptados a las necesidades reales.
  • Optimizar los procesos eliminando tiempos muertos, intervenciones manuales lentas, añadir flexibilidad a los procesos de fabricación, en definitiva, permitir una transición de fabricar grandes lotes de productos iguales a la fabricación de productos individuales y personalizados a un precio competitivo.

La transición a la Industria 4.0 es un reto complejo. Para empezar, hay que centrarse en aquellos aspectos tecnológicos que son fundamentales para el éxito de su implantación, además que la integración de las nuevas tecnologías no son solo ventajas sino que incorporan otros factores de riesgo a considerar, por ejemplo, la ciberseguridad.

La utilización masiva de TI en los procesos industriales reportará enormes ventajas, pero trae consigo la necesidad de garantizar la protección de la información y privacidad. El uso de Cloud Computing, modelos de desarrollo colaborativo, IoT, nuevas formas de pago y otras nuevas tecnologías hacen que parte de la información vital de la empresa se encuentre en manos de terceros. Garantizar la confidencialidad, integridad y disponibilidad en un mundo hiperconectado es un reto en sí mismo.

Aquí es justo donde los estándares de ciberseguridad nos pueden ayudar. Estos retos ya han sido enfrentados en otros sectores donde ya han incorporado TI y existen estándares internacionales que ayudan a empezar con buen pié:

  • ISO/IEC 27000: Gestión de la seguridad de la información (SGSI).
  • ISO/IEC 27032: Directrices para la ciberseguridad.
  • ISO/IEC 27033: Seguridad de la redes.
  • ISO/IEC 27034: Seguridad de las aplicaciones.
  • ISO/IEC 27035: Gestión de incidentes de seguridad de TI.
  • ISO/IEC 27036: Gestión de la seguridad de la información en relaciones con terceros.
  • ISA/IEC 62443-1-1: Redes de comunicaciones industriales: seguridad de la red y del sistema.
  • ISA/IEC 62443-2-1: Establecimiento de un programa de gestión de ciberseguridad para IACS (sistemas de control y automatización).
  • ISA/IEC 62443-2-3: Gestión de parches en entorno IACS.
  • ISA/IEC 62443-2-4: Requisitos del programa de seguridad para los proveedores de servicios IACS.
  • ISA/IEC 62443-3-1: Tecnologías de seguridad para IACS.
  • ISA/IEC 62443-3-2: Evaluación del riesgo de seguridad y diseño de sistema.
  • ISA/IEC 62443-3-3: Requisitos de seguridad para IACS.
  • IEC 61158: Comunicaciones industriales. Especificaciones para buses de campo y redes de tiempo real.
  • IEC 61784-3: Seguridad funcional de buses de campo.
  • ISO 10219-1: Requisitos de seguridad para robots industriales.
  • ISO 20218-2: Requisitos de seguridad para la integración de robots industriales.

Existe mucha documentación donde se detalla de forma pormenorizada QUÉ hay que hacer para lograr unos niveles de ciberseguridad aceptables o de cómo mejorar nuestro nivel de madurez en ciberseguridad.

Lo que queda en vuestra mano es definir el COMO :). En el siguiente enlace te proponemos una serie de actividades para saber cómo empezar:

¿Cómo empezar?

Artículos relacionados