ISA/IEC-62443 es el nombre por el que se conoce el conjunto de normas y estándares más empleado a nivel mundial para proteger sistemas de control industrial contra amenazas que vengan del mundo cíber.
El largo y continuo proceso de digitalización e interconexión mundial ha acabado llegando a la industria, sector tradicionalmente reacio a integrar dichos avances por su papel de infraestructura crítica y por la particularidad de los protocolos internos de transmisión de información. Una vez conectados a la red global, los sistemas industriales (OT, por sus siglas en inglés Operational Technology) son también atractivos objetivos de los ciberataques, y las consecuencias de dichos ataques van mucho más allá de las cuentas de resultados de las empresas atacadas sino que pueden tener efectos catastróficos para la seguridad de ciudadanos e infraestructuras. De todo esto se sigue la necesidad de crear ciertos estándares de seguridad para el sector, como es el ISA/IEC-62443, que trae el apellido Industrial communication networks – Network and system security.
El objetivo principal de la norma es proporcionar un marco integral para proteger los sistemas de control industrial contra amenazas cibernéticas, incluyendo malware, ataques de denegación de servicio, intrusiones no autorizadas y otros riesgos de seguridad. Esto se logra mediante la implementación de medidas de seguridad técnicas, organizativas y de gestión de riesgos.
Su nombre, quizás algo críptico para los no iniciados, lleva las siglas de los organismos impulsores: la Sociedad Internacional de Automatización (ISA) y la Comisión Electrotécnica Internacional (IEC). La ISA es una sociedad sin ánimo de lucro estadounidense fundada en 1945 con la misión de apoyar a la automatización global de la comunidad industrial a través del desarrollo de estándares y de la puesta en común de conocimiento. Por otro lado, la IEC es una organización de estándares dedicada a la electrotecnología (campo que integra a la eletromagnética, la electroacústica, las telecomunicaciones, etc), que tiene su origen en el primer Congreso Eléctrico Internacional en 1881 en París. Colabora estrechamente con otras organizaciones como la Organización Internacional de Estandarización (ISO), la Unión Internacional de Telecomunicaciones (ITU) y también con la ISA.
Principios generales y Documentos directores
Tras varios antecedentes desde el 2002, cuando se aprobó el conjunto de normas ISA99, el IEC aprobó en 2021 el IEC-62443 en calidad de ‘estándares horizontales’, lo cual significa que dichos estándares han de ser utilizados desde la base cuando otros estándares estén siendo desarrollados.
La norma ISA/IEC-62443 establece una serie de principios fundamentales para la ciberseguridad en sistemas de control industrial, uno de los más reseñables es el concepto de responsabilidad compartida, bajo el cual todas las partes deben estar alineadas para asegurar la seguridad, integridad, fiabilidad de los sistemas. También cabría mencionar la defensa en profundidad (defense in depth) para aportar redundancia, y la correcta segmentación de la red a través de los conceptos de zonas y conductos.
El sistema se divide en cuatro capas, cada una de las cuales contando con varios documentos directores:
1 General
1-1 Models and concepts
1-2 Master glossary of terms and abbreviations.
1-3 System security compliance metrics
1-4 Security life cycle and use cases.
2 Políticas y Procedimientos
2-1 Requirements for an IACS Security management system.
2-2 Operating a control system security program
·2-3 Patch Management in the IACS Environment.
·2-4 Certification of IACS supplier security policies and practices.
3 Sistema
3-1 Security technolofues for IACS
3-2 Security risk assessment and system design
3-3 System Security requirements and security levels
4 Componentes y Requerimientos
4-1 Product development requierements
4-2 Technical security requirements for IACS components.
Niveles de madurez y de seguridad
Una parte importante de la norma es la clasificación de los sistemas de control industrial por niveles de madurez y de seguridad basados en el marco CMMI (Integración de Modelos de Madurez de Capacidades, en sus siglas en inglés). Los niveles de madurez podrían estratificarse como se determina a continuación:
- Nivel de madurez 1, Inicial: los suministradores realizan el desarrollo de producto con métodos ad hoc y pobremente documentados.
- Nivel de madurez 2, Gestionado: los suministradores son capaces de llevar a cabo el desarrollo de producto siguiendo ciertas guías establecidas, con procesos repetibles y profesionales de acreditada experiencia.
- Nivel de madurez 3, Definido: los procesos están integrados en la organización del suministradores, con la práctica de los mismos y la correspondente evidencia.
- Nivel de madurez 4, Mejorando: los suministradores de producto tienen en cuenta las métricas de proceso apropiadas para llevar la cuenta del rendimiento de los procesos y pueden demostrar mejora continua en aquellas areas.
En cuanto al nivel de seguridad, también se realiza a través de los así llamados Niveles de Seguridad, que miden la resistencia contra diferentes clases de ataques:
- Nivel de seguridad 0: no hay requerimientos ni protección requerida.
- Nivel de seguridad 1: protección contra mal uso sin mala intención o accidental.
- Nivel de seguridad 2: protección contra mal uso intencionado pero simple.
- Nivel de seguridad 3: protección ºcontra mal uso intencionado y sofisticado pero de recursos modestos.
- Nivel de seguridad 4: protección contra mal uso intencionado y sofisticado, con medios excluivos, conocimiento exclusivo y alta motivación.
Certificaciones
Tanto los componentes de un sistema industrial automatizado se puede certificar según el IEC 62443. Dada la complejidad inherente de un sistema de normas tan general y tan detallado como este, existen multitud de compañías y laboratorios dedicados al testeo, inspección y acompañamiento a las empresas que deseen asegurar sus procesos y producción según la norma ISA/IEC 62443. Una recomendación de todas las organizaciones dedicadas a la protección contra los ciberataques es prestarle a estos la atención necesaria, poniendo el tiempo y el esfuerzo que le permita su tamaño y sus capacidades para adecuar sus procesos productivos al máximo nivel normativo.
Resumen
La norma ISA/IEC 62443 es un marco integral de ciberseguridad diseñado específicamente para proteger los sistemas de control industrial contra amenazas cibernéticas altamente usado en industria a nivel mundial. Proporciona orientación detallada sobre la identificación de riesgos, la implementación de controles de seguridad y la gestión de la seguridad de manera efectiva, ayudando a las organizaciones a proteger sus activos críticos y garantizar la continuidad de sus operaciones industriales.
