Suscríbete
Suscríbete

Análisis de la importancia de la ciberseguridad en la industria

Por ISA España
Libre cyber security 3400657 1280
Las industrias españolas deben tomarse en serio la ciberseguridad industrial para no verse afectadas por ciberataques.
|

Hoy día, las nuevas tecnologías permiten capacidades más avanzadas en apoyo de las necesidades de las empresas. Las organizaciones están compartiendo, cada vez, más información entre los sistemas de control industrial, entorno de operación y los sistemas empresariales.


Este mayor nivel de integración proporciona importantes beneficios comerciales, entre otros, mayor visibilidad de las actividades, sistemas integrados de fabricación y producción, interfaces comunes que reducen los costos o supervisión remota de sistemas.


Image001 (3)


La seguridad es una gestión de riesgos, y la reducción del riesgo se debe equilibrar con el costo de las medidas para mitigarlo

Aunque estas relaciones pueden ser buenas para los negocios, aumenta el riesgo potencial de comprometer la seguridad de los entornos industriales. A medida que aumentan las amenazas a las empresas también lo hace la necesidad de seguridad.


¿Por qué hay que introducir ciberseguridad industrial?

No podemos permitirnos una seguridad perfecta, porque puede que esto implique que nuestro negocio no funcione. La seguridad es una gestión de riesgos y la reducción del riesgo se debe equilibrar con el costo de las medidas para mitigarlo.


Los sistemas de control industrial funcionan en entornos complejos. La comprensión detallada de estos entornos es un requisito previo esencial para garantizar su seguridad.


B04FB789FDF242A8BD41BCAB004E2C04


Tradicionalmente, la seguridad de la información (IT) se ha centrado en el logro de estos tres objetivos: Confidencialidad, Integridad y Disponibilidad; que a menudo se abrevian con el acrónimo ‘CIA’.


Una estrategia de seguridad de la tecnología de la información (IT) para los sistemas típicos empresariales puede dar la máxima prioridad a la Confidencialidad y a los controles de acceso necesarios para lograrla. La Integridad, por su parte, podría tener una segunda prioridad, siendo la Disponibilidad la más baja.


Las medidas de seguridad que se diseñarán podrán ser técnicas u organizativas

En los entornos de operación (OT), la prioridad general de estos objetivos suele ser diferente. La seguridad en estos sistemas se ocupa principalmente de mantener la Disponibilidad de todos los componentes del sistema. Por lo tanto, la Integridad es, a menudo, la segunda en importancia. Usualmente la Confidencialidad es la de menor importancia, ya que los datos son crudos en su forma y deben ser analizados dentro del contexto para tener algún valor. Sin embargo, esto no significa que los datos no tengan importancia, porque, ¿qué pasaría con la seguridad del dato (patentes, formulas secretas, etc.)?


AA1A8B7A87C24A40B61CCD214AE9DCFD


Pero, lo que debe de considerase más importante en el entorno OT, es la “Seguridad”, tanto la seguridad de la salud de las personas como del medioambiente.


Al ser los requerimientos de Seguridad distintos en un entorno u otro, es por lo que la ciberseguridad industrial debería de ‘independizarse’ de la seguridad de la información (IT), mientras que una manera de hacerlo es denominarlas de manera distinta, llamando a parte industrial como ciberseguridad OT o ciberseguridad ICS.


0AD96CAE95B14E699AB00359CC938D44


La ciberseguridad industrial es un campo que está tomando mucha importancia a nivel internacional

Hago aquí este apunte ya que creo que es importante cuando hablamos de seguridad. A mí me gusta usar las palabras inglesas ‘safety’ y ‘security’, ya que hacen una distinción que considero fundamental tener en cuenta. En castellano se utiliza la misma palabra para conceptos distintos.


Esta distinción me gusta hacerla porque en el entorno industrial para mucha gente el concepto Seguridad (Safety) está relacionado con la seguridad del proceso, donde suelen aplicarse las normas IEC-61508 y IEC-61508. 


Estas normas establecen los requisitos para sistemas de control empleados en Seguridad. Mientras que el concepto de Seguridad (Security) es un concepto que está empezando a utilizarse en el mundo industrial, y aunque las normas safety, han incluido un informe técnico, con gran valor, que referencia a Ciberseguridad, no llega a profundizar tanto como los estándares dedicados.


E3886C7DA76C4CD3B27C7271F170D594


¿Qué es la ciberseguridad industrial?

La ciberseguridad industrial es un campo que está tomando mucha importancia a nivel internacional y hay muchas regulaciones/estándares como CFATS, AGA, FERC, FISMA, NERC CIP, NIST, ISA, IEC estos estándares son documentos voluntarios impulsado bajo un consenso y suelen ser solicitados en los contratos nuevos, siendo el NITS-framework el más solicitado. 


Sin embargo, de un tiempo a esta parte el estándar ISA99/IEC-62443 está tomando fuerza en el mundo industrial ya que está siendo desarrollado por expertos en el mundo industrial ISA99 e IEC-52443 consultado con ISO/IEC2700x.


Image014


ISA99/IEC-62443 aplica a cada uno de los implicados en el entorno industrial, desde el propietario de la planta, indicando como debería ser un programa de ciberseguridad, hasta el proveedor de los componentes que se suministran, mostrando las características técnicas que deberían tener los componentes suministrados en base a criterios de diseño.


La ciberseguridad industrial es algo más que la tecnología que se utiliza en los sistemas de control. También incluye a la gente y a los procesos necesarios para su implementación. Si la gente no está suficientemente entrenada, si el riesgo y las contramedidas tecnológicas y los procedimientos necesarios no están desarrollados durante el ciclo de vida de una planta, seremos vulnerables. En función de estas premisas se debe desarrollar la ciberseguridad industrial.


Las amenazas externas no deben ser la única preocupación. Las personas con conocimiento de causa, con intenciones maliciosas o incluso un acto inocente no intencionado pueden suponer un grave riesgo para la seguridad. La modificación o prueba de los sistemas operativos ha llevado a efectos no deseados en las operaciones del sistema.


¿Qué es lo que nos encontramos hoy en día?

Muchos CEOS, CIOS, CISOS siguen viendo la ciberseguridad industrial como un problema, porque ‘si funciona, para que tocarlo y sin el apoyo de la gerencia no se asignan recursos. También porque no hay entendimiento entre la gente de planta y la gente de IT cada uno habla su ‘idioma’. 


La gente de IT suele estar a cargo de la parte industrial y suelen pedir cumplir con ciertos estándares que, muchas veces, no aplican al mundo industrial.


Conclusión

Dado que esta estructura será nueva, este nuevo equipo deberá comenzar, de forma reducida, con un responsable que deberá reportar directamente al CIO.


La ciberseguridad industrial no debe recaer solamente sobre el propietario del activo, debe ser una responsabilidad compartida con suministrador de los sistemas, así como de los suministradores de los componentes, siempre teniendo en cuenta que no es un proceso circular que no finaliza hasta el desmantelamiento del sistema, con lo que la coordinación entre todos los implicados deber ser fundamental para llegar a buen puerto.


Las industrias españolas deben tomarse en serio la ciberseguridad industrial para no verse afectadas por ciberataques, que los hay, y casi todas las semanas algo aparece en prensa, ya que el día que las aseguradoras empiecen a requerir cumplimento específicos para los entornos industriales, al igual que están haciendo en el mundo IT, puede ser tarde.


¿Cómo se debería realizar la ciberseguridad industrial?


El primer paso, después de que las organizaciones se den cuenta de que tienen que aplicar ciberseguridad industrial en su negocio, debería ser definir una organización industrial con las diferentes funciones y responsabilidades que deberán encajar en la estructura de la organización existente.


Este equipo debería empezar por definir el ciclo de vida para la implantación de los procesos relativos a ciberseguridad de Sistemas de Control Industrial.


La ciberseguridad industrial es algo más que la tecnología que se utiliza en los sistemas de control, también incluye a la gente y a los procesos necesarios en su implementación

Debe ser un proceso circular, no es un ciclo lineal. En función de la fase en la que se esté, se realizarán unas acciones u otras. Debe ser secuencial y continuo, en el momento en que se inicie independientemente de la fase en la que se encuentre el proyecto. 


El ciclo se divide en tres fases:


1. Evaluación

2. Diseño e Implementación

3. Fase mantenimiento


Fase de Evaluación. Se deberá identificar el sistema que se evaluará, se identificarán activo, arquitecturas y se realizará una evaluación de riesgos.


Fase de Diseño e Implementación. El enfoque de esta fase es el diseño de un esquema de protección que incluye medidas técnicas y organizativas que tengan el potencial de cumplir con el riesgo definido como aceptable. Las medidas de seguridad que se diseñarán podrán ser técnicas u organizativas. Una vez realizado el diseño se pasará a su implementación y después a su verificación y validación tanto en fábrica como en campo.


Fase de Mantenimiento. Se centrarán en asegurar que las medidas de seguridad incluidas en el esquema de protección holística se lleven a cabo al operar los sistemas de control. Dado que la fase suele durar muchos años, es necesario asegurar que la eficiencia del esquema de protección holística se mantenga a lo largo del tiempo. Durante esta fase se debe comprobar periódicamente que lo diseñado e implementado cumple los requerimientos establecidos. En el caso de que se produzca una degradación y dejen de cumplirse, se debería volver a las fases anteriores para implementar medidas, tanto técnicas como procedimentales, para poder seguir manteniendo los niveles de riesgo establecidos.


No se debe de olvidar que los activos involucrados cuando sean retirados del servicio no pueden ser usados indebidamente para la violación intencional o no intencional. Se debe realizar una purga activa de toda la información sensible almacenada en los activos fuera de servicio.


Comentarios

Logo electro pantallazo 2
Nos orgullece compartir con vosotros una importante novedad para el sector eléctrico: ¡ElectroNoticias vuelve al terreno de juego! ¿Te sumas a retomar nuestro proyecto? ¡Encantados de contar contigo!
EHEC2022
EHEC2022
Hidrógeno descarbonización congresos

El hidrógeno es ya una realidad. Esa ha sido la conclusión a la que han llegado los 1100 visitantes procedentes de 40 países y los más de 200 ponentes que participaron en el Congreso Europeo del Hidrógeno.

Bequinor articulo maquinas
Bequinor articulo maquinas
Bequinor cursos

Este artículo aspira a aclarar cuáles son las obligaciones de un usuario que realiza una modificación a una máquina con marcado CE, así como las responsabilidades en que incurre.

ALL Blog article PS64 Application example Diamond mine 1
ALL Blog article PS64 Application example Diamond mine 1
Vega Instrumentos proyectos

La roca madre se tritura para extraer los diamantes. La cantidad de diamantes que contienen las dos chimeneas de la mina de Lesoto es ínfima: la extracción es de menos de dos quilates por cada 100 tn de roca.

CepilloMaquillajecosmetica123rf
CepilloMaquillajecosmetica123rf
EsPlásticos plásticos reciclado

España es el primer país de Europa en capacidad de reciclado per cápita en todos los polímeros y es el tercer país con la tasa más elevada de reciclaje de plásticos.

Mitsubishi Electric robótica
Mitsubishi Electric robótica
Mitsubishi Electric robótica industria 4.0 Ferias Automatización

Mitsubishi Electric, especializada en sistemas de automatización para máquinas de envase y embalaje y soluciones 4.0 para la fábrica inteligente, asistirá desde el 24 al 27 de mayo a Hispack.

Coscollola en exposolidos IMG 3810
Coscollola en exposolidos IMG 3810
Coscollola Engineering Ferias exposólidos

Coscollola Engineering participó en Exposólidos del 10 al 12 de mayo en lo que ha denominado como "la feria del reencuentro". Tras dos años de incertidumbre, "fue estupendo conocer a gente nueva, reunirse de nuevo con colaboradores y amigos".

Recuperadores para WEB
Recuperadores para WEB

La eficiencia energética y la calidad del aire interior han cobrado una gran relevancia en la situación en la que nos encontramos actualmente. Reducir el impacto y la huella climática se ha convertido en una prioridad.

Festo
Festo
Festo Automatización Digitalización

Uno de los contenidos más destacados del estand será Festo Automation Experience, una solución basada en inteligencia artificial (IA) y aprendizaje automático que permite obtener un alto valor añadido a partir de los datos generados por los sistemas.

Farmaforum
Farmaforum
Farmaforum farmacia congresos

Farmaforum, que se celebra los días 5 y 6 de octubre en el pabellón 14 de Ifema (Madrid), cuenta con el apoyo de numerosas asociaciones punteras en lo que a relevancia en el sector farmacéutico se refiere.


Molecor 30 aniversario
Molecor 30 aniversario
Molecor tuberías

Molecor celebra los 30 años de su sistema de PVC corrugado para redes de saneamiento Sanecor. Se trata de una tubería destinada a satisfacer las necesidades en una red de saneamiento.

Revista PQ
NÚMERO 1264 // 2022
Consulte el último número de la revista

Empresas destacadas

REVISTA