Suscríbete
Suscríbete

Análisis de la importancia de la ciberseguridad en la industria

Por ISA España
Libre cyber security 3400657 1280
Las industrias españolas deben tomarse en serio la ciberseguridad industrial para no verse afectadas por ciberataques.
|

Hoy día, las nuevas tecnologías permiten capacidades más avanzadas en apoyo de las necesidades de las empresas. Las organizaciones están compartiendo, cada vez, más información entre los sistemas de control industrial, entorno de operación y los sistemas empresariales.


Este mayor nivel de integración proporciona importantes beneficios comerciales, entre otros, mayor visibilidad de las actividades, sistemas integrados de fabricación y producción, interfaces comunes que reducen los costos o supervisión remota de sistemas.


Image001 (3)


La seguridad es una gestión de riesgos, y la reducción del riesgo se debe equilibrar con el costo de las medidas para mitigarlo

Aunque estas relaciones pueden ser buenas para los negocios, aumenta el riesgo potencial de comprometer la seguridad de los entornos industriales. A medida que aumentan las amenazas a las empresas también lo hace la necesidad de seguridad.


¿Por qué hay que introducir ciberseguridad industrial?

No podemos permitirnos una seguridad perfecta, porque puede que esto implique que nuestro negocio no funcione. La seguridad es una gestión de riesgos y la reducción del riesgo se debe equilibrar con el costo de las medidas para mitigarlo.


Los sistemas de control industrial funcionan en entornos complejos. La comprensión detallada de estos entornos es un requisito previo esencial para garantizar su seguridad.


B04FB789FDF242A8BD41BCAB004E2C04


Tradicionalmente, la seguridad de la información (IT) se ha centrado en el logro de estos tres objetivos: Confidencialidad, Integridad y Disponibilidad; que a menudo se abrevian con el acrónimo ‘CIA’.


Una estrategia de seguridad de la tecnología de la información (IT) para los sistemas típicos empresariales puede dar la máxima prioridad a la Confidencialidad y a los controles de acceso necesarios para lograrla. La Integridad, por su parte, podría tener una segunda prioridad, siendo la Disponibilidad la más baja.


Las medidas de seguridad que se diseñarán podrán ser técnicas u organizativas

En los entornos de operación (OT), la prioridad general de estos objetivos suele ser diferente. La seguridad en estos sistemas se ocupa principalmente de mantener la Disponibilidad de todos los componentes del sistema. Por lo tanto, la Integridad es, a menudo, la segunda en importancia. Usualmente la Confidencialidad es la de menor importancia, ya que los datos son crudos en su forma y deben ser analizados dentro del contexto para tener algún valor. Sin embargo, esto no significa que los datos no tengan importancia, porque, ¿qué pasaría con la seguridad del dato (patentes, formulas secretas, etc.)?


AA1A8B7A87C24A40B61CCD214AE9DCFD


Pero, lo que debe de considerase más importante en el entorno OT, es la “Seguridad”, tanto la seguridad de la salud de las personas como del medioambiente.


Al ser los requerimientos de Seguridad distintos en un entorno u otro, es por lo que la ciberseguridad industrial debería de ‘independizarse’ de la seguridad de la información (IT), mientras que una manera de hacerlo es denominarlas de manera distinta, llamando a parte industrial como ciberseguridad OT o ciberseguridad ICS.


0AD96CAE95B14E699AB00359CC938D44


La ciberseguridad industrial es un campo que está tomando mucha importancia a nivel internacional

Hago aquí este apunte ya que creo que es importante cuando hablamos de seguridad. A mí me gusta usar las palabras inglesas ‘safety’ y ‘security’, ya que hacen una distinción que considero fundamental tener en cuenta. En castellano se utiliza la misma palabra para conceptos distintos.


Esta distinción me gusta hacerla porque en el entorno industrial para mucha gente el concepto Seguridad (Safety) está relacionado con la seguridad del proceso, donde suelen aplicarse las normas IEC-61508 y IEC-61508. 


Estas normas establecen los requisitos para sistemas de control empleados en Seguridad. Mientras que el concepto de Seguridad (Security) es un concepto que está empezando a utilizarse en el mundo industrial, y aunque las normas safety, han incluido un informe técnico, con gran valor, que referencia a Ciberseguridad, no llega a profundizar tanto como los estándares dedicados.


E3886C7DA76C4CD3B27C7271F170D594


¿Qué es la ciberseguridad industrial?

La ciberseguridad industrial es un campo que está tomando mucha importancia a nivel internacional y hay muchas regulaciones/estándares como CFATS, AGA, FERC, FISMA, NERC CIP, NIST, ISA, IEC estos estándares son documentos voluntarios impulsado bajo un consenso y suelen ser solicitados en los contratos nuevos, siendo el NITS-framework el más solicitado. 


Sin embargo, de un tiempo a esta parte el estándar ISA99/IEC-62443 está tomando fuerza en el mundo industrial ya que está siendo desarrollado por expertos en el mundo industrial ISA99 e IEC-52443 consultado con ISO/IEC2700x.


Image014


ISA99/IEC-62443 aplica a cada uno de los implicados en el entorno industrial, desde el propietario de la planta, indicando como debería ser un programa de ciberseguridad, hasta el proveedor de los componentes que se suministran, mostrando las características técnicas que deberían tener los componentes suministrados en base a criterios de diseño.


La ciberseguridad industrial es algo más que la tecnología que se utiliza en los sistemas de control. También incluye a la gente y a los procesos necesarios para su implementación. Si la gente no está suficientemente entrenada, si el riesgo y las contramedidas tecnológicas y los procedimientos necesarios no están desarrollados durante el ciclo de vida de una planta, seremos vulnerables. En función de estas premisas se debe desarrollar la ciberseguridad industrial.


Las amenazas externas no deben ser la única preocupación. Las personas con conocimiento de causa, con intenciones maliciosas o incluso un acto inocente no intencionado pueden suponer un grave riesgo para la seguridad. La modificación o prueba de los sistemas operativos ha llevado a efectos no deseados en las operaciones del sistema.


¿Qué es lo que nos encontramos hoy en día?

Muchos CEOS, CIOS, CISOS siguen viendo la ciberseguridad industrial como un problema, porque ‘si funciona, para que tocarlo y sin el apoyo de la gerencia no se asignan recursos. También porque no hay entendimiento entre la gente de planta y la gente de IT cada uno habla su ‘idioma’. 


La gente de IT suele estar a cargo de la parte industrial y suelen pedir cumplir con ciertos estándares que, muchas veces, no aplican al mundo industrial.


Conclusión

Dado que esta estructura será nueva, este nuevo equipo deberá comenzar, de forma reducida, con un responsable que deberá reportar directamente al CIO.


La ciberseguridad industrial no debe recaer solamente sobre el propietario del activo, debe ser una responsabilidad compartida con suministrador de los sistemas, así como de los suministradores de los componentes, siempre teniendo en cuenta que no es un proceso circular que no finaliza hasta el desmantelamiento del sistema, con lo que la coordinación entre todos los implicados deber ser fundamental para llegar a buen puerto.


Las industrias españolas deben tomarse en serio la ciberseguridad industrial para no verse afectadas por ciberataques, que los hay, y casi todas las semanas algo aparece en prensa, ya que el día que las aseguradoras empiecen a requerir cumplimento específicos para los entornos industriales, al igual que están haciendo en el mundo IT, puede ser tarde.


¿Cómo se debería realizar la ciberseguridad industrial?


El primer paso, después de que las organizaciones se den cuenta de que tienen que aplicar ciberseguridad industrial en su negocio, debería ser definir una organización industrial con las diferentes funciones y responsabilidades que deberán encajar en la estructura de la organización existente.


Este equipo debería empezar por definir el ciclo de vida para la implantación de los procesos relativos a ciberseguridad de Sistemas de Control Industrial.


La ciberseguridad industrial es algo más que la tecnología que se utiliza en los sistemas de control, también incluye a la gente y a los procesos necesarios en su implementación

Debe ser un proceso circular, no es un ciclo lineal. En función de la fase en la que se esté, se realizarán unas acciones u otras. Debe ser secuencial y continuo, en el momento en que se inicie independientemente de la fase en la que se encuentre el proyecto. 


El ciclo se divide en tres fases:


1. Evaluación

2. Diseño e Implementación

3. Fase mantenimiento


Fase de Evaluación. Se deberá identificar el sistema que se evaluará, se identificarán activo, arquitecturas y se realizará una evaluación de riesgos.


Fase de Diseño e Implementación. El enfoque de esta fase es el diseño de un esquema de protección que incluye medidas técnicas y organizativas que tengan el potencial de cumplir con el riesgo definido como aceptable. Las medidas de seguridad que se diseñarán podrán ser técnicas u organizativas. Una vez realizado el diseño se pasará a su implementación y después a su verificación y validación tanto en fábrica como en campo.


Fase de Mantenimiento. Se centrarán en asegurar que las medidas de seguridad incluidas en el esquema de protección holística se lleven a cabo al operar los sistemas de control. Dado que la fase suele durar muchos años, es necesario asegurar que la eficiencia del esquema de protección holística se mantenga a lo largo del tiempo. Durante esta fase se debe comprobar periódicamente que lo diseñado e implementado cumple los requerimientos establecidos. En el caso de que se produzca una degradación y dejen de cumplirse, se debería volver a las fases anteriores para implementar medidas, tanto técnicas como procedimentales, para poder seguir manteniendo los niveles de riesgo establecidos.


No se debe de olvidar que los activos involucrados cuando sean retirados del servicio no pueden ser usados indebidamente para la violación intencional o no intencional. Se debe realizar una purga activa de toda la información sensible almacenada en los activos fuera de servicio.


Comentarios

Eurecat Andalucía
Eurecat Andalucía
Eurecat centro tecnológico innovación

Eurecat ha abierto en Málaga TechPark Eurecat Innova, la sede que albergará la unidad conjunta de innovación y desarrollo tecnológico que ha puesto en marcha junto con la Fundación Instituto Ricardo Valle de Innovación (Innova IRV).

Aggreko nombramiento
Aggreko nombramiento
Agrekko nombramientos industria transición energética

Tras el nombramiento de un nuevo presidente para Europa, Robert Wells, Aggreko ha formalizado sus planes para 2024 y más allá con la presentación de Energising Change, su nuevo entorno de sostenibilidad que ofrece un soporte completo a la transición energética.

 

Avebiom ponencias
Avebiom ponencias
Avebiom Aebig congresos bioenergía

Avebiom, organizador del Congreso Internacional de Bioenergía 2024 junto con su partner tecnológico, Aebig, invita a investigadores, académicos, profesionales del sector a presentar sus ponencias..

Feique radiografía 0
Feique radiografía 0
Feique industria química

La evolución reciente de la producción del área química española, tras la sucesivas y recientes crisis y su impacto en los precios energéticos, registra en el periodo 2015-2023 un crecimiento...

 

Mettler Toledo visita virtual
Mettler Toledo visita virtual
Mettler Toledo pesaje industrial

Mettler Toledo ofrece una visita virtual por una planta de producción industrial de productos químicos de última generación de la mano de los expertos en pesaje de la compañía, y así obtener una visión 360...

Genebre vávulas Fire Safe
Genebre vávulas Fire Safe
Genebre válvulas control de fluidos

Cuatro válvulas bridadas de Genebre han obtenido la certificación Fire Safe por parte de la entidad TÜV Rheinland ISO 10497. En concreto son las referencias 2526A, 2528, 2528A y 2529 del apartado de...

 

PlasticsEurope economía circular
PlasticsEurope economía circular
Plastics Europe plásticos economía circular reciclaje

Plastics Europe ha publicado la nueva edición de su informe bienal 'The Circular Economy for Plastics', una versión más completa, que ofrece un análisis de la producción, transformación y gestión de...

ABB circularidad
ABB circularidad
ABB Empresas economía circular

Un nuevo informe de ABB Motion, titulado 'Circularidad, no hay tiempo que desperdiciar', revela que el 94% de las empresas industriales en España están sintiendo los efectos de la escasez de recursos...

Asepal guía
Asepal guía
Asepal guías seguridad laboral EPIs

Para maximizar la seguridad y cumplimiento normativo en el ámbito laboral, Asepal publica la guía 'Orientación técnica sobre contratación de EPI. Guía en pliegos de prescripciones técnicas'

Endesa vanadio 1
Endesa vanadio 1
Endesa almacenamiento renovables instalación solar baterías

Endesa ha puesto en servicio en la planta solar de Son Orlandis en Mallorca la mayor instalación de almacenamiento de energía renovable en baterías de flujo de vanadio en Europa. 

Revista PQ
NÚMERO 1273 // 2024
Consulte el último número de la revista

Empresas destacadas

REVISTA