Asegurando la Resiliencia Industrial: Implementación de normas de seguridad en el mundo OT

Actualmente, casi todos los servicios existentes en el mundo actual son soportados por las tecnologías de la información y las comunicaciones (TIC). Se prevé que en el futuro esta dependencia siga aumentando, ya que la digitalización de los procesos industriales comporta una serie de mejoras importantes ayudando así al progreso de la humanidad.

Sin embargo, estas tecnologías vienen asociadas a una serie de amenazas, rompiendo con la falsa sensación de seguridad existente en el entorno industrial de los últimos tiempos.

Así pues, el entorno OT (Tecnologías de la Operación), en los últimos años, ha visto aumentada la probabilidad de incidentes de ciberseguridad, sufriendo las mismas amenazas que han padecido los sistemas IT (Tecnologías de la Información) tradicionalmente.

Un incidente de ciberseguridad en un entorno industrial no solo puede tener impacto a nivel digital como pasa en el mundo IT, sino que también puede desencadenar impactos en el mundo físico, ya que se pueden ocasionar cambios en los procesos industriales ocasionando grandes catástrofes ya sean ambientales, interrupciones de suministros esenciales, etc.

Ciberataques recientes en entornos OT

A continuación, se mencionan los ciberataques más significativos que han impactado en ambientes OT los últimos años:

Estándares de gestión de Ciberseguridad
Existen varios estándares que abordan la seguridad cibernética de los sistemas industriales los cuales son de optativa implementación.

Éstos son altamente recomendados para todas aquellas empresas que cuenten con Tecnologías de la Operación como son los SCI (Sistemas de Control Industrial) y SCADA (Supervisory Control and Data Acquisition), que quieran proteger sus procesos.

A continuación, se desarrollan los estándares más comunes.

ISA 99/IEC 62443 Seguridad de automatización industrial y sistemas de control
Este estándar constituye un marco de referencia internacional para los sistemas OT. La IEC 62443 se enfoca en la disponibilidad y la integridad de los elementos más importantes basándose en un análisis de riesgos en todo su ciclo de vida.

La serie ISA/IEC 62443 describe un conjunto de términos y requisitos comunes que pueden utilizar los propietarios de activos, proveedores de productos y servicios para asegurar sus Sistemas de Control y equipos.

El ámbito de aplicación de ésta es la Seguridad de los Sistemas de Automatización y Control Industrial (IACS), es decir el conjunto de personal, hardware, software y políticas involucradas en la operación del proceso industrial que puedan afectar a su funcionamiento seguro y fiable.

Los beneficios obtenidos al implementar la IEC 62243 son la reducción de éxito de los ciberataques, el uso común de un conjunto de requerimientos con las partes interesadas, la seguridad durante todo el ciclo de vida y una reducción del coste sobre todo el ciclo de vida.

NIST 800-82 Guía para la Seguridad de Sistemas de Control Industrial (ICS)

La NIST es una norma norteamericana que proporciona una orientación sobre cómo proteger los Sistemas de Control Industrial (ICS), incluidos los sistemas de Control de Supervisión y Adquisición de Datos (SCADA), los Sistemas de Control Distribuido (DCS) y otras configuraciones de sistemas de control, como los Controladores Lógicos Programables (PLC), teniendo en cuenta sus requisitos únicos de rendimiento, fiabilidad y seguridad. Asimismo, proporciona una visión general de los sistemas de control industrial y de sus topologías típicas, identifica las amenazas y vulnerabilidades más comunes y proporciona contramedidas de seguridad recomendadas para mitigar los riesgos asociados.

Cualquier tipo de organización que cuente con un sistema de control industrial puede implementar la NIST 800-82 basándose en un análisis de riesgos con el objetivo de implementar las medidas de protección que más se adapten a la compañía.

La implementación de la NIST 800-82 beneficia a la organización del siguiente modo:

• Mejora de la seguridad, fiabilidad y disponibilidad de los sistemas de control.
• Mejora de la moral, la lealtad y la retención de los empleados.
• Reduce las preocupaciones de la comunidad.
• Aumenta la confianza de los inversores.
• Reduce las responsabilidades legales.
• Cumple con los requisitos reglamentarios.
• Mejorar la imagen y la reputación de la empresa.
• Ayudar con la cobertura y el coste de los seguros.
• Mejorar las relaciones con los inversores y la banca.

Una gestión de la seguridad y de la seguridad de la información sólida es fundamental para un modelo de negocio sostenible.

La mejora de la seguridad de los sistemas de control y las políticas de seguridad específicas de los sistemas de control mejoran la fiabilidad y disponibilidad de los sistemas de control. Incluyendo minimizar los impactos en el sistema de control.

ISO 27001:2022 Sistema de Gestión de Seguridad de la Información y ISO 27002:2022 Seguridad de la información y protección de la privacidad - Controles de Seguridad de la Información

La ISO 27001:2022 provee las directrices para la implantación de un Sistema de Gestión de Seguridad de la Información que conserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos.

Aunque típicamente este estándar sea conocido por ser implementado en el mundo IT puede ser implementada sin problema en el mundo OT, ya que lo que se deberá proteger en este caso son los datos necesarios para llevar a cabo el proceso industrial en cuestión. Así pues, cualquier compañía puede implementar esta normativa.

Para la implantación de esta norma se debe empezar por la ISO27001:2022 la cual nos da las directrices del sistema de gestión siguiendo una estructura típica de ISO, siendo lo más técnico relacionado con la ciberseguridad el desarrollo del análisis de riesgos.

Por otro lado, existe el anexo o ISO 27002:2022, donde se desarrollan una serie de controles de seguridad a implementar. Algunas veces algunos de estos no van a ser de aplicación en la compañía por su naturaleza, consecuentemente existe la necesidad de crear un SoA o análisis de aplicabilidad, donde se tendrán en cuenta todos los controles y se argumentaran los que no aplican.

La implantación de un Sistema de Gestión de Seguridad de la Información beneficia a la compañía de la siguiente forma:

• Reduce la vulnerabilidad ante las amenazas de ciberataques.
• Responde a la evolución de los riesgos de seguridad.
• Garantiza que activos de información permanezcan intactos, confidenciales y disponibles cuando sea necesario.
• Proporciona un marco gestionado de forma centralizada que protege la información.
• Prepara a las personas, los procesos y la tecnología de la organización para hacer frente a los riesgos tecnológicos y otras amenazas.
• Protege la información en todas sus formas, incluidos los datos en papel, en la nube y digitales.
• Ahorra dinero aumentando la eficiencia y reduce los gastos en tecnología de defensa ineficaz.

ISO 22301:2019 Sistema de Gestión de Continuidad de Negocio

La ISO 22301:2019 igual que la ISO 27001:2022 se acostumbra a relacionar con los sistemas IT, pero también es posible implementarla en entornos OT.

Así pues, la ISO 22301:2019 otorga los requisitos para implementar y mantener un Sistema de Gestión de Continuidad de Negocio adaptado a la cantidad y tipo de impacto que la organización puede aceptar o no después de un evento disruptivo.

Esta norma cuenta con una estructura de ISO centrando su parte más operativa en la realización de un análisis de impacto, análisis de riesgos y el desarrollo de documentación de continuidad. Esta documentación consta de:

• Procedimientos de Continuidad: Son procedimientos transversales que brindan una estructura de gestión de respuesta a incidentes y la gestión de las comunicaciones siempre que se materialice un incidente sea cual sea su origen e impacto.
• Planes de continuidad: Deben desprenderse de una estrategia de continuidad y proporcionar orientación e información para apoyar a los equipos a la hora de resolver un incidente disruptivo para tal de recuperar los procesos específicos del alcance.

La implementación de un Sistema de Gestión de Continuidad de Negocio prepara a la organización para enfrentarse a eventos disruptivos siendo capaces de seguir operando durante estos. De este modo, al conseguirlo la organización:

• Desde un punto de vista de negocio: Apoya sus objetivos estratégicos, crea ventaja competitiva, protege y realza su credibilidad y reputación y contribuye a la resiliencia organizacional.
• Desde una perspectiva financiera: Reduce la exposición legal y financiera, así como también los costos directos e indirectos de los eventos disruptivos.
• Desde la perspectiva de las partes interesadas: Protege la vida, la propiedad y el medio ambiente, considera las expectativas de las partes interesadas y proporciona confianza en la capacidad de la organización para tener éxito.
• Desde el punto de vista de procesos internos: Mejora su capacidad de permanecer efectivos durante un incidente, demuestra un control proactivo de los riesgos efectivo y eficiente y trata las vulnerabilidades operativas.

La importancia de implementar estándares de seguridad

La aplicación de estándares de seguridad en entornos OT es esencial para proteger activos críticos, reducir riesgos, garantizar el cumplimiento normativo, mejorar la resiliencia y prepararse para amenazas emergentes. La seguridad en estos entornos es un proceso continuo que debe adaptarse a medida que evolucionan las amenazas y la tecnología.

Mejor forma de implementar requisitos legales y estándares de ciberseguridad en el entorno OT

Implementar estándares de ciberseguridad en entornos OT es vital para proteger sistemas industriales y garantizar su funcionamiento. Contar con una empresa de ciberseguridad especializada presenta ventajas clave:

• Experiencia específica: Los expertos en seguridad comprenden riesgos y aplican medidas adaptadas.
• Conocimiento actualizado: Las empresas especializadas están constantemente actualizando las soluciones ante amenazas.
• Enfoque multidisciplinario: Abordan convergencia TI/OT para soluciones efectivas.
• Soluciones personalizadas: Adaptan las medidas a la infraestructura y necesidades de cada compañía.
• Mitigación de riesgos: Evalúan amenazas y priorizan medidas cruciales.
• Cumplimiento normativo: Garantizan regulaciones industriales y legales.
• Respuesta ante incidentes: Dan respuesta rápida y restauración tras ataques.

En resumen, empresa especializada en ciberseguridad asegura cumplimiento legal, protección robusta y soluciones adaptadas en entornos OT.

Referencias

• ISO 22301:2019, Security and resilience — Business continuity management systems — Requirements, https://www.iso.org/standard/75106.html
• ISO/IEC 27001 Standard – Information Security Management Systems. (2023). ISO. https://www.iso.org/standard/27001
• Phelps, K. (s/f). Download the new guide to the ISA/IEC 62443 cybersecurity Standards. Isa.org. Recuperado el 29 de agosto de 2023, de https://gca.isa.org/blog/download-the-new-guide-to-the-isa/iec-62443-cybersecurity-standards
• Sobre, G., De, C., En, S., & Ot, S. (s/f). Ismsforum.es. Recuperado el 29 de agosto de 2023, de https://www.ismsforum.es/ficheros/descargas/maquetaguiaotv101621955967.pdf

---

Autor: Marina Talló - ISO 27001 L.A., ISO 22301 L.A., CDPP
Dpto. de Consultoría