ISA/IEC-62443 es el nombre por el que se conoce el conjunto de normas y estándares más empleado a nivel mundial para proteger sistemas de control industrial contra amenazas que vengan del mundo cíber.
La digitalización y la creciente interconexión global han alcanzado finalmente a la industria, un sector que históricamente ha mostrado resistencia a adoptar estos avances debido a su rol como infraestructura crítica y a la especificidad de sus protocolos internos de comunicación. Una vez conectados a la red global, los sistemas industriales (OT, por sus siglas en inglés Operational Technology) son también atractivos objetivos de los ciberataques, y las consecuencias de dichos ataques van mucho más allá de las cuentas de resultados de las empresas atacadas, sino que pueden tener efectos catastróficos para la seguridad de ciudadanos e infraestructuras. De todo esto se sigue la necesidad de crear ciertos estándares de seguridad para el sector, como es el ISA/IEC-62443, que trae el apellido Industrial communication networks – Network and system security.
El objetivo principal de la norma es proporcionar un marco integral para proteger los sistemas de control industrial contra amenazas cibernéticas, incluyendo malware, ataques de denegación de servicio, intrusiones no autorizadas y otros riesgos de seguridad. Esto se logra mediante la implementación de medidas de seguridad técnicas, organizativas y de gestión de riesgos.
Su nombre, quizás algo críptico para los no iniciados, lleva las siglas de los organismos impulsores: la Sociedad Internacional de Automatización (ISA) y la Comisión Electrotécnica Internacional (IEC). La ISA es una sociedad sin ánimo de lucro estadounidense fundada en 1945 con la misión de apoyar a la automatización global de la comunidad industrial a través del desarrollo de estándares y de la puesta en común de conocimiento. Por otro lado, la IEC es una organización de estándares dedicada a la electrotecnología (campo que integra a la eletromagnética, la electroacústica, las telecomunicaciones, etc), que tiene su origen en el primer Congreso Eléctrico Internacional en 1881 en París. Colabora estrechamente con otras organizaciones como la Organización Internacional de Estandarización (ISO), la Unión Internacional de Telecomunicaciones (ITU) y también con la ISA.
Principios generales y Documentos directores
Tras varios antecedentes desde el 2002, cuando se aprobó el conjunto de normas ISA99, el IEC aprobó en 2021 el IEC-62443 en calidad de ‘estándares horizontales’, lo cual significa que dichos estándares han de ser utilizados desde la base cuando otros estándares estén siendo desarrollados.
La norma ISA/IEC-62443 define principios clave para la ciberseguridad en sistemas de control industrial, destacando el concepto de responsabilidad compartida. Según este enfoque, todas las partes involucradas deben trabajar de manera coordinada para garantizar la seguridad, integridad y fiabilidad de los sistemas. También cabría mencionar la defensa en profundidad (defense in depth) para aportar redundancia, y la correcta segmentación de la red a través de los conceptos de zonas y conductos.
El sistema se divide en cuatro capas, cada una de las cuales contando con varios documentos directores:
1 General
1-1 Models and concepts
1-2 Master glossary of terms and abbreviations.
1-3 System security compliance metrics
1-4 Security life cycle and use cases.
2 Políticas y Procedimientos
2-1 Requirements for an IACS Security management system.
2-2 Operating a control system security program
·2-3 Patch Management in the IACS Environment.
·2-4 Certification of IACS supplier security policies and practices.
3 Sistema
3-1 Security technolofues for IACS
3-2 Security risk assessment and system design
3-3 System Security requirements and security levels
4 Componentes y Requerimientos
4-1 Product development requierements
4-2 Technical security requirements for IACS components.
Niveles de madurez y de seguridad
Una parte clave de la norma es la clasificación de los sistemas de control industrial según niveles de madurez y seguridad, basada en el marco CMMI (Modelo Integrado de Madurez de Capacidades, por sus siglas en inglés). Los niveles de madurez podrían estratificarse como se determina a continuación:
- Nivel de madurez 1, Inicial: los suministradores realizan el desarrollo de producto con métodos ad hoc y pobremente documentados.
- Nivel de madurez 2, Gestionado: los suministradores son capaces de llevar a cabo el desarrollo de producto siguiendo ciertas guías establecidas, con procesos repetibles y profesionales de acreditada experiencia.
- Nivel de madurez 3, Definido: los procesos están integrados en la organización de los suministradores, con la práctica de estos y la correspondiente evidencia.
- Nivel de madurez 4, Mejorando: los suministradores de producto tienen en cuenta las métricas de proceso apropiadas para llevar la cuenta del rendimiento de los procesos y pueden demostrar mejora continua en aquellas áreas.
En cuanto al nivel de seguridad, también se realiza a través de los así llamados Niveles de Seguridad, que miden la resistencia contra diferentes clases de ataques:
- Nivel de seguridad 0: no hay requerimientos ni protección requerida.
- Nivel de seguridad 1: protección contra mal uso sin mala intención o accidental.
- Nivel de seguridad 2: protección contra mal uso intencionado pero simple.
- Nivel de seguridad 3: protección contra mal uso intencionado y sofisticado, pero de recursos modestos.
- Nivel de seguridad 4: protección contra mal uso intencionado y sofisticado, con medios exclusivos, conocimiento exclusivo y alta motivación.
Certificaciones
de un sistema industrial automatizado pueden certificarse conforme a la norma IEC 62443. Debido a la complejidad de un marco normativo tan amplio y detallado, numerosas empresas y laboratorios se especializan en pruebas, inspección y asesoramiento para las organizaciones que buscan garantizar sus procesos y producción de acuerdo con la norma ISA/IEC 62443. Una recomendación de todas las organizaciones dedicadas a la protección contra los ciberataques es prestarles a estos la atención necesaria, poniendo el tiempo y el esfuerzo que le permita su tamaño y sus capacidades para adecuar sus procesos productivos al máximo nivel normativo.
Resumen
La norma ISA/IEC 62443 es un conjunto de estándares internacionales diseñados para establecer directrices y mejores prácticas en la ciberseguridad de sistemas de control industrial (ICS), altamente usado a nivel mundial.
Su objetivo principal es proporcionar orientación detallada sobre la identificación de riesgos, la implementación de controles de seguridad y la gestión de la seguridad de manera efectiva, con la finalidad de garantizar la seguridad, integridad y fiabilidad de las operaciones industriales.
InprOTech y la norma ISA/IEC 62443
En InprOTech entendemos la relevancia crítica de esta norma para la ciberseguridad industrial. Por ello, la aplicamos en nuestros proyectos de auditoría de seguridad para sistemas de control industrial, abordando las necesidades específicas de las empresas del sector y enfrentando los desafíos de garantizar la integridad, confidencialidad y disponibilidad en entornos industriales
No dudes en ponerte en contacto con nosotros aquí si estás interesado en este servicio. ¡Nuestro equipo estará encantado de ayudarte!