¿Qué es la IEC 62443?
Si bien muchos estándares de ciberseguridad disfrutan del éxito en entornos de IT empresariales, los estándares ISA / IEC 62443 se crearon específicamente para abordar problemas de seguridad exclusivos de los sistemas de control y automatización industrial (IACS) y la tecnología operativa (OT). Como tales, pueden ser un recurso extremadamente valioso para las organizaciones que buscan fortalecer las defensas y acorralar el riesgo en sistemas industriales especializados.

A diferencia del Marco de Ciberseguridad (CSF) más general del NIST o las directrices ISO 2700x, ISA / IEC 62443 (IEC 62443, para abreviar) proporciona una serie de requisitos y métodos para gestionar los desafíos de seguridad en IACS y entornos industriales. Tales desafíos incluyen:

  • La importancia relativa de la confidencialidad de los datos en las operaciones o funciones de las instalaciones.
  • Posibles peligros para el personal, el medio ambiente y la sociedad en caso de fallas ciberfísicas.
  • La mayor necesidad de controles de compensación para proteger los sistemas IACS / OT heredados.
  • La relativa dificultad de aplicar técnicas de seguridad de IT comunes sin modificaciones severas de los sistemas.
  • Perspectivas de pérdidas financieras debido a una caída de la productividad relacionada con un incidente.
  • Enfoques únicos para garantizar la confiabilidad e integridad de los sistemas en entornos industriales.

Desarrollado originalmente por el comité de estándares ISA 99 de la Sociedad Internacional de Automatización (ISA) y adoptado por la Comisión Electrotécnica Internacional (IEC), estos estándares no regulados se basan en el consenso. El organismo de estándares consulta regularmente a los expertos en seguridad de IACS para mantener una guía relevante que se aplique a todos los sectores de la industria y la infraestructura crítica.

El resultado es una familia de documentos que ilustra un modelo de defensa en profundidad a través de «zonas» y «conductos», describe cómo construir un sistema de gestión de ciberseguridad (CSMS) y ofrece instrucciones para realizar evaluaciones de riesgo en entornos IACS / OT. La IEC 62443 ayuda a las organizaciones a definir la madurez y la postura de la seguridad de IACS y ofrece criterios de selección de productos, programas y proveedores de servicios de seguridad. La guía principal de IEC 62443 también se complementa de forma rutinaria con informes técnicos que cubren situaciones y soluciones tecnológicas específicas.

Los documentos IEC 62443 están estructurados en una agrupación de cuatro capas de varios niveles.

Las cuatro agrupaciones lógicas y sus contenidos asociados incluyen:

  • General: información introductoria, vocabularios, conceptos y ejemplos de casos de uso.
  • Políticas y procedimientos: requisitos del programa, parches, guía de implementación, etc.
  • Sistema: enfoques de evaluación, niveles de requisitos de seguridad y tecnologías.
  • Componente: ciclo de vida del producto y requisitos técnicos para los componentes utilizados dentro de un sistema.

Los estándares ISA / IEC 62443 no reemplazan ni reemplazan directamente a los modelos ISA95 y Purdue. En cambio, aprovechan conceptos anteriores y dividen la seguridad y la gestión del riesgo cibernético en varias áreas. Estos cubren no solo arquitecturas de referencia de ciberseguridad, sino también orientación para procesos de seguridad, requisitos, tecnología, controles, aceptación de seguridad / pruebas de fábrica, desarrollo de productos, ciclos de vida de seguridad y un sistema de gestión de ciberseguridad (CSMS).

Los estándares 62443 van más allá de ISA95 en términos de cobertura, ciberseguridad y conceptos modernos, pero los modelos ISA95 y Purdue aún pueden tener valor para las organizaciones que tienen requisitos de seguridad específicos, por ejemplo, cuando los dispositivos de Internet industrial de las cosas (IIoT) están conectados directamente al Internet o la nube.

Centrarse en lo básico: la lista de verificación IEC 62443

IEC 62443 se creó con el propósito de guiar el desarrollo de componentes de IACS para que sean seguros por diseño y se rijan por un sistema de gestión de seguridad centrado en OT / IACS que tenga políticas, procedimientos, revisión periódica, requisitos específicos e inculque las mejores prácticas. Sin embargo, su amplia y completa colección contiene muchos documentos y una enorme cantidad de información que puede resultar intimidante para los nuevos usuarios. Para comenzar, concéntrese en estos documentos básicos:

ISA / IEC 62443-1-1: Seguridad para sistemas de control y automatización industrial Parte 1-1: Terminología, conceptos y modelos
Define IACS como una «colección de procesos, personal, hardware y software que pueden afectar o influir en la operación segura y confiable de un proceso industrial». Este documento establece la taxonomía fundamental y los conceptos básicos para la colección de estándares en general y debe leerse antes de sumergirse en los otros componentes de los estándares.

ISA / IEC 62443-2-4: Seguridad para sistemas de control y automatización industrial – Parte 2-4: Requisitos del programa de seguridad para proveedores de servicios IACS
Especifica un conjunto completo de requisitos que cubren a los proveedores de servicios IACS que se pueden utilizar durante las actividades de integración y mantenimiento. También proporciona la base para una iniciativa IEC 62443 más amplia para desarrollar «perfiles» que aborden los matices y las realidades en diferentes entornos industriales, por ejemplo, los requisitos únicos de productores oil&gas versus los de generación y distribución de electricidad.

ISA / IEC 62443-4-2: Seguridad para sistemas de control y automatización industrial: Requisitos técnicos de seguridad para componentes IACS
Proporciona los requisitos técnicos de ciberseguridad para los componentes que componen un IACS, específicamente los dispositivos integrados, los componentes de red, los componentes del host y las aplicaciones de software. El estándar establece capacidades de seguridad que permiten que un componente mitigue amenazas para un nivel de seguridad dado sin la ayuda de contramedidas compensatorias.

ISA / IEC 62443-4-1: Requisitos del ciclo de vida del desarrollo de seguridad del producto
Especifica los requisitos del proceso para el desarrollo seguro de productos utilizados en un IACS y define un ciclo de vida de desarrollo seguro para desarrollar y mantener productos seguros. El ciclo de vida incluye la definición de los requisitos de seguridad, el diseño seguro, la implementación segura (incluidas las pautas de codificación), la verificación y validación, la gestión de defectos, la gestión de parches y el fin de la vida útil del producto.

Estos requisitos se pueden aplicar a procesos nuevos o existentes para desarrollar, mantener y retirar hardware, software o firmware. Principalmente dirigidos a desarrolladores y proveedores, los requisitos del ciclo de vida de ISA-62443-4-1 también pueden aplicarse a los integradores que manejan la creación, implementación y mantenimiento de sistemas.

ISA / IEC 62443-3-2: Evaluación de riesgos de seguridad, particiones del sistema y niveles de seguridad
Basado en el entendimiento de que la seguridad de IACS es una cuestión de gestión de riesgos. IACS personaliza el riesgo para una organización en función de la amenaza relevante, la exposición al riesgo, la probabilidad de un evento, las vulnerabilidades inherentes y las consecuencias del compromiso. Cada organización que posee y opera un IACS tiene su propia tolerancia al riesgo, y se requiere que las organizaciones proporcionen insumos utilizados para evaluar el riesgo de un IACS en particular. Basado en esas entradas, ISA / IEC 62443-3-2 puede ayudar cuando se diseña una solución al guiar la identificación / aplicación de contramedidas de seguridad para reducir ese riesgo a niveles tolerables con respecto a niveles de seguridad definidos, zonas, conductos y otros fundamentos de seguridad.

ISA / IEC 62443-3-3: Requisitos de seguridad del sistema y niveles de seguridad
Define los niveles de garantía de seguridad de los componentes de IACS. Los niveles de seguridad definen las funciones de ciberseguridad integradas en los productos que se utilizarán en entornos industriales y de infraestructura crítica; son cruciales para lograr la solidez del producto y agregar resistencia a las ciberamenazas accidentales o maliciosas.

Revisar los estándares relevantes según las necesidades y luego profundizar en los detalles específicos es un enfoque sólido para las organizaciones que están preparando un programa de seguridad orientado a IEC 62443.

Aprovechando la amplia aplicabilidad e inclusión de IEC 62443
IEC 62443 está ganando popularidad y muchos países están adoptando la colección en lo que se está convirtiendo rápidamente en un conjunto global de estándares. Estas pautas se dirigen específicamente a la seguridad de ICS/IACS/OT y cuentan con una gran cantidad de conocimientos centrados en elementos de acción como:

  • Realización de evaluaciones de riesgo cibernético de OT
  • Creación de equipos de gestión de ciberseguridad de OT
  • Parches de conducción y otros controles/capacidades de protección
  • Requisitos de encuadre tanto en soluciones como en productos
  • Considerando el ciclo de vida de la seguridad de los activos y del sistema
  • Aislar, segmentar y asegurar zonas y conductos de red
  • Derivación de procesos y gobernanza
  • Crear roles y responsabilidades apropiados para usuarios o recursos.
  • Evaluación de los factores de reducción del riesgo cibernético (CRRF)

Los estándares proporcionan un conocimiento excelente y centralizado para complementar la orientación existente, crear nuevos programas netos y definir conversaciones de seguridad. También ofrecen un recurso llave en mano que se puede utilizar sin modificaciones para un programa de OT fundamental. Los estándares IEC 62443 se actualizan, modifican y amplían periódicamente y todos son bienvenidos a unirse a la comunidad o formar parte de sus diversos subcomités.

Las organizaciones que buscan abordar la ciberseguridad de la manera ISA o «engineering-centric» pueden hacer un buen uso de las normas IEC 62443, en su totalidad o en parte, en función de sus necesidades actuales y futuras. Los proveedores, propietarios de productos, profesionales de TI, ingenieros, analistas de gestión de riesgos y profesionales de seguridad encontrarán un valor sustancial en IEC 62443, aunque solo sea como una fuente de información secundaria.

Examen de zonas, conductos y niveles de seguridad IEC 62443
Además de la guía de seguridad general específica de ICS, IEC 62443 se basa en conceptos básicos de identificación de sistemas bajo consideración (SuC), niveles de seguridad (SL) y las llamadas «zonas» y «conductos». Es esta taxonomía la que ayuda a los profesionales de seguridad de ICS/OT a evaluar, diseñar e implementar arquitecturas y soluciones de ciberseguridad, así como a gestionar los riesgos relacionados con la cibernética a través de las aportaciones de los estudios tradicionales FMEA, HAZOP y LOPA.

Para comenzar, los propietarios de activos seleccionan un sistema en consideración (SuC) y usan SL predefinidos para describir los niveles de seguridad objetivo deseados (SL-Ts), los niveles logrados (SL-As) y los niveles de capacidad (SL-C) para el SuC o para subsistemas.

Se asignan cuatro niveles para evaluar los vectores SL-A, SL-C y SL-T:

  • SL 4: Protección contra violaciones intencionadas utilizando medios sofisticados con recursos extendidos, habilidades específicas de IACS y alta motivación.
  • SL 3: Protección contra violaciones intencionadas utilizando medios sofisticados con recursos moderados, habilidades específicas de IACS y motivación moderada.
  • SL 2: Protección contra violaciones intencionadas utilizando medios simples con escasos recursos, habilidades genéricas y baja motivación.
  • SL 1: Protección contra violaciones casuales o coincidentes

Los propietarios de activos pueden aplicar estos niveles de varias formas asumiendo que el SuC también se separó en «zonas» y «conductos» que se definen como:

  • Zonas: una agrupación de activos lógicos o físicos que comparten requisitos de seguridad comunes en función de factores como la criticidad y las consecuencias.
  • Conductos: agrupaciones de activos dedicados exclusivamente a las comunicaciones y que comparten los mismos requisitos de seguridad. Los conductos también se pueden utilizar para describir túneles que se comunican entre zonas.

Esta taxonomía permite a los arquitectos, ingenieros y profesionales de la seguridad describir los niveles de riesgo deseados y los mecanismos necesarios para lograr objetivos de seguridad específicos o factores de reducción del riesgo cibernético (CRRF).

Si bien existen similitudes con las capas ISA 95, la superposición es principalmente un homenaje al predecesor de IEC 62443. Lo que importa es que las normas IEC 62443 demuestran una guía sólida que los propietarios de activos pueden utilizar como base para construir un programa OT / IACS integral y para estandarizar su taxonomía de seguridad, elementos de diseño y requisitos.

El Sistema de Gestión de Ciberseguridad (CSMS) alineado con IEC 62443
De acuerdo con un lenguaje similar al de ISO 27001, las normas IEC 62443 establecen un proceso integral para crear un programa de seguridad OT/IACS/ICS, también conocido como sistema de gestión de ciberseguridad o CSMS. Un CSMS se clasifica en tres áreas: análisis de riesgo; abordar el riesgo; y seguimiento y mejora del propio CSMS.

Dentro de cada uno de los niveles superiores residen elementos para definir: los fundamentos del negocio; identificación de riesgo; clasificación y valoración; política, organización y sensibilización; contramedidas; implementación de programa; conformidad y revisión del desempeño.

Por ejemplo, un extracto de los requisitos destilados del CSMS IEC 62443-4-2 bajo análisis de riesgo enumera numerosas áreas de requisitos y valores asociados con la medición de la conformidad de una organización con ellos. IEC 62443 no define los valores de conformidad per se, pero la mayoría de las organizaciones tienden a usar una clasificación CMMI, o alguna otra alternativa menos formal como COMPLETAMENTE, PARCIALMENTE, MINIMA, NINGUNA y N/A.

En general, hay aproximadamente 127 requisitos en el documento estándar IEC 62443 CSMS, y no todos deben cumplirse de inmediato. Algunas de las áreas de requisitos se basan en gran medida en la redacción de políticas, por ejemplo, o requieren esfuerzos de implementación avanzados y compromiso organizacional. Otros ejemplos dirigidos a usuarios de CSMS IEC 62443 más maduros incluyen:

  • 2.3.12 Realizar evaluaciones de riesgos a lo largo del ciclo de vida del IACS.
  • 3.2.3.2 Establecer la(s) organización(es) de seguridad.
  • 3.2.5.3 Desarrollar e implementar planes de continuidad del negocio.
  • 3.3.2.4 Abordar las responsabilidades de seguridad.
  • 3.4.3.1 Definir y probar funciones y capacidades de seguridad.

La seguridad es tanto un sprint como un maratón. Las organizaciones necesitan presupuesto, compromiso, recursos, mapas de ruta e iniciativas estratégicas para lograr un nivel apropiado de madurez y la postura de seguridad deseada. El CSMS IEC 62443 cubre la mayoría de las áreas fundamentales que van desde la evaluación de riesgos, recursos, políticas, procedimientos, tecnología y el monitoreo y evolución del CSMS.

Guía de evaluación de riesgos con IEC 62443
Las evaluaciones de IEC 62443 siguen un proceso bien definido una vez que se determina el SuC. Seguir el proceso descrito en ISA-62443-3-2, o crear una versión modelada a partir de él pero específica para la organización o el cliente, ofrece una forma eficaz de descubrir, derivar riesgos y determinar recomendaciones o paquetes de trabajo para controlar los niveles de riesgo.

Suponiendo que haya evaluadores competentes, el proceso IEC 62443 para realizar una evaluación de riesgos de seguridad (SRA) de OT está bien pensado, puede aprovechar evaluaciones pasadas (por ejemplo, evaluaciones de brechas, revisiones de madurez cibernética, PHAZOP, revisiones de LOPA, etc.) y puede realizarse de forma coherente y repetida. Puede ser de alto nivel (ver proceso azul) o detallado (ver proceso naranja), o una combinación de los dos.

Uso de IEC 62443 para asegurar los ciclos de vida del desarrollo de productos
Las normas IEC 62443 proporcionan un conjunto de requisitos prescriptivos de alto nivel.nts y procesos para ciclos de vida seguros de desarrollo de productos (SDLC) adecuados para entornos IACS / ICS / OT. Sin embargo, son menos detalladas que, por ejemplo, una publicación especial (SP) del NIST que enumera una serie de capacidades técnicas y mejores prácticas para la gestión de usuarios o cifrado.

A pesar de esa deficiencia, IEC 62443-3-3 define los requisitos fundamentales de seguridad (FR) e incluye procesos para la autenticación de usuarios, aplicación de roles y responsabilidades, administración de cambios, cifrado, segmentación de red, registros de auditoría y respaldo y recuperación del sistema. El uso de IEC 62443-4-2 como CSMS ofrece otra lista completa de sub-requisitos, todos los cuales están agrupados por las siete áreas FR de IEC 62443-3-3.

Sin embargo, durante el desarrollo del producto, alcanzar un objetivo de nivel de seguridad específico (SLT) implica cumplir y diseñar para un conjunto específico de requisitos.

Sin embargo, crear un producto seguro exige más que simplemente marcar una casilla de verificación. Los proveedores de productos deben tomar medidas sobre los conjuntos de requisitos deseados, así como implementar un ciclo de vida de desarrollo de múltiples fases.

La mayor parte del ciclo de vida de un producto se dedica a las fases de diseño, desarrollo, verificación, lanzamiento, implementación y respuesta. Hay una buena razón para ello.

Los productos industriales se desarrollan como la mayoría de los demás productos tecnológicos. Sin embargo, la mayor parte de la vida útil de un producto industrial no se gasta en desarrollo, sino en mantenimiento, actualización y corrección de errores. El período posterior a la publicación está mal contabilizado en términos de seguimiento de costos o esfuerzos, pero sigue siendo crítico para mantener sistemas robustos, duraderos y seguros por diseño.

Muchos proveedores y OEM piensan en un producto como un esfuerzo único para crear productos de acuerdo con los requisitos definidos por ventas o implementaciones. Esta mentalidad, y el mito de que la seguridad agrega costos, da como resultado productos inseguros por diseño. De hecho, la seguridad no cuesta más y no agrega necesariamente tiempo o complejidad a la implementación y el uso. La mayoría de las vulnerabilidades en los dispositivos o aplicaciones ICS/OT son el resultado de una ingeniería deficiente, la falta de pruebas completas y el mantenimiento mediocre de los componentes.

Las normas IEC 62443 describen procesos y requisitos para diseñar y desarrollar productos de forma segura, definir requisitos básicos de seguridad, detallar mejores prácticas de codificación y describir implementaciones conscientes de los riesgos. Las organizaciones que ya realizan o implementan funciones SDLC pueden usar IEC 62443 para aumentar las prácticas actuales.

Aprovechamiento de IEC 62443 en la selección y adquisición de productos
Como la mayoría de los estándares y frameworks, IEC 62443 ofrece orientación para mejorar los procesos existentes para el alcance de proyectos de tecnología, la selección de proveedores y la adquisición.

Por ejemplo, una organización que desee crear una celda de máquina para un nuevo proceso con un nivel mínimo de seguridad (por ejemplo, SLT-1) para evitar problemas accidentales puede hacer referencia a los requisitos en ISA-62443-3-3 y otros documentos hermanos para desarrollar criterios de preselección y lograr su objetivo. Los estándares también se pueden usar para dictar cómo las pruebas de aceptación en fábrica y en el sitio incluyen la verificación de seguridad antes de la transferencia.

Si bien existen numerosos requisitos para cada nivel de seguridad, un individuo o equipo informado puede crear un subconjunto de requisitos y asignar el estándar a un conjunto mínimo de pautas viables para su reutilización en toda la organización.

Cumplir y validar los requisitos antes de las fases de diseño reduce la carga de seguridad y reduce el costo total de propiedad (TCO) durante la vida útil del sistema.

Combinando IEC 62443 con otros frameworks y estándares
Los estándares IEC 62443 son totalmente compatibles y, en su mayoría, se asignan directamente con otras guías conocidas, como NIST CSF. Sin embargo, puede haber diferencias sustanciales en el lenguaje y la aplicación que requieran el uso de superposiciones específicas de OT y la adaptación de variaciones de TI para administrar las excepciones en un entorno convergente de OT/IT. Obtener lo mejor de ambos mundos requiere que las organizaciones sean un poco creativas.

En la empresa, por ejemplo, el estándar común ISA27001 es altamente prescriptivo como sistema de seguridad y está orientado a procesos e IT. Mientras tanto, el NIST CSF y su suplemento OT (NIST-SP800-82) pueden convertirse en OT aceptables en sus cinco áreas funcionales. Cualquier estándar que funcione para la organización es mejor que ningún estándar o dirección, y que se puede hacer que funcionen para OT dependiendo de la audiencia, la cultura empresarial, las estrategias de ingeniería y la industria.

Reconociendo las limitaciones ciber-físicas de IEC 62443
IEC 62443 es un excelente compañero para la seguridad de los sistemas ciberfísicos, pero no están diseñados para reemplazar ISA84/SIL o HAZOPS. Cuando algunos de los estándares SIL e ISA relevantes carecen de un lenguaje u orientación específicos para sistemas electrónicos/en red/computarizados, IEC 62443 es un complemento ideal.

Sin embargo, IEC 62443 no se puede utilizar en lugar de extensos estándares de seguridad y confiabilidad o de un estudio HAZOP adecuado. Todos deben usarse juntos para identificar los riesgos y el impacto potencial para garantizar que la organización se mantenga en funcionamiento y evite un evento negativo de salud, seguridad y medio ambiente (HSE).

Comenzando con la IEC 62443
Al principio, la IEC 62443 debe verse menos como un reemplazo de los esquemas de seguridad actuales y más como una forma de identificar brechas, necesidades y posibles mejoras en los programas existentes. También es útil para tener en cuenta el impacto de la digitalización en la seguridad en los procesos y protocolos mecánicos tradicionales que cubren áreas como la recuperación ante desastres.

Un enfoque podría incluir:

  • Identificar brechas de seguridad y revisar los hallazgos de evaluaciones de riesgos anteriores
  • Priorizar áreas problemáticas por costo, esfuerzos, relevancia y reducción de riesgo potencial
  • Determinar los requisitos de IEC 62443 correctos o los paquetes de trabajo necesarios
  • Completar paquetes de trabajo relevantes y verificar que estén operativos

Desde otra perspectiva, las organizaciones que ya están aprovechando el marco de estilo NIST CSF en su lugar podrían usar los estándares IEC 62443 para:

  • Establecer un programa de seguridad asignable de IT a OT, asegurando que se utilice la terminología correcta y que se cubran las preocupaciones de ICS
  • Definir los requisitos de seguridad para la adquisición de nuevos productos y sus pruebas de aceptación en fábrica/sitio.
  • Validar las políticas y los procesos actuales para una seguridad OT suficiente y relevancia del dominio
  • Proporcionar orientación al seleccionar firewalls y crear regímenes de administración de parches para sistemas OT/ICS
  • Crear un proceso de evaluación y gestión de riesgos OT/IACS

Hay muchas formas de mapear/implementar los estándares de manera conveniente, pero también de establecer el lenguaje de seguridad requerido para hablar entre las comunidades dentro de su organización, o en general.

Certificaciones específicas de IEC 62443 y material de origen
Al igual que con otras normas como ISO 27001, las personas y las organizaciones pueden aprovechar las certificaciones creadas específicamente para IEC 62443, que incluyen:

Las personas pueden tomar uno o todos los cuatro exámenes de ISA para obtener la certificación de los conceptos básicos de la colección de estándares que cubren los fundamentos, la evaluación de riesgos, el diseño y el mantenimiento. Completar los cuatro le otorga al receptor una designación de Experto en Ciberseguridad ISA / IEC
Los proveedores pueden certificar sus productos como compatibles con IEC 62443 para varios niveles de seguridad.
Los propietarios de activos pueden certificar sus sitios o sistemas con respecto a las normas IEC 62443
Más información sobre todas las opciones de certificación IEC 62443 está disponible en el sitio web de ISA; los estándares también son gratuitos para su visualización en línea para los miembros de la ISA.

×