Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Aplicación de la norma ISA/IEC 62443: Media práctica de periféricos y Media extraíbles para sistemas de tecnología operativa

Por OPSWAT
Última actualización:
Comparte esta publicación

Las tecnologías de los sistemas Industrial y control Industrial (IACS o ICS) son esenciales para las infraestructuras críticas y los entornos de tecnología operativa (OT). Estos sistemas están formados por múltiples componentes que se comunican entre sí a través de protocolos de red, lo que los hace vulnerables a los ciberataques. Incluso las zonas aisladas físicamente dentro de los IACS siguen siendo vulnerables a los ataques de malware a través de dispositivos periféricos y soportes extraíbles. 

La serie de normas de ciberseguridad ISA/IEC 62443 constituye un marco común para operadores, integradores de sistemas y fabricantes de componentes de redes IACS y OT. Estas normas incluyen conjuntos de requisitos, instrucciones, controles y buenas prácticas para garantizar la seguridad de las operaciones, el desarrollo, el mantenimiento y la fabricación de componentes de los sistemas IACS. 

Historia y evolución de la norma ISA/IEC 62443 

Las normas ISA/IEC 62443 fueron elaboradas en 2002 por la Sociedad Internacional de Automatización (ISA) con la denominación ISA 99, con el objetivo de establecer normas para proteger los sistemas y las operaciones de las infraestructuras críticas de Estados Unidos frente a los ciberataques. Posteriormente, se remitieron a la Comisión Electrotécnica Internacional (IEC) para su reconocimiento a nivel mundial, pasando a constituir la serie de normas ISA/IEC 62443. 

En noviembre de 2021, la norma ISA/IEC 62443 fue designada por la IEC como norma horizontal, lo que la convierte en un referente ampliamente reconocido en materia de ciberseguridad en todos los sectores que utilizan, mantienen o desarrollan sistemas de control industrial (IACS). En la actualidad, la serie ISA/IEC 62443 cuenta con un extenso contenido y un amplio alcance, con más de 800 páginas. 

¿A quién va dirigida la norma ISA/IEC 62443? 

En la norma ISA/IEC 62443 se definen tres funciones principales en función del contexto, con el objetivo de identificar a las partes interesadas que pueden beneficiarse de ellas:

  • Propietarios de activos: organizaciones que poseen y gestionan sistemas de control industrial automatizados (IACS). 
  • Integradores de sistemas: organizaciones o consultoras que ofrecen servicios como integración de sistemas, mantenimiento u otros servicios relacionados con los sistemas de control industrial (IACS). 
  • Fabricantes de productos: organizaciones que ofrecen productos para cumplir los requisitos de seguridad, suministran componentes de productos o prestan asistencia durante todo el ciclo de vida. 

Componentes de la norma ISA/IEC 62443

La serie de normas ISA/IEC 62443 se divide en cuatro partes principales: General, Políticas y procedimientos, Sistema y Componentes. Cada parte está dirigida a una función principal diferente y contiene instrucciones y directrices que abarcan un aspecto o una fase específicos de la seguridad de los sistemas de control industrial (ICS). 

Las cuatro partes de la serie ISA/IEC 62443 

General 62443-1 

La primera parte ofrece una visión general e introduce los conceptos básicos, los requisitos, la terminología y las directrices para el diseño y la implementación de la ciberseguridad en los sistemas de control industrial (IACS). 

Comienza con la sección 62443-1-1, en la que se definen la terminología básica, los conceptos y los modelos de referencia utilizados en toda la serie de normas. A continuación, la sección 62443-1-2 incluye un glosario de términos y abreviaturas utilizados en toda la serie, y la sección 62443-1-3 aborda las métricas de seguridad para evaluar y medir la seguridad de los sistemas. Por último, la sección 62443-1-4 ofrece directrices que deben seguirse para abordar la ciberseguridad en el conjunto de los sistemas. 

Normas y procedimientos 62443-2

Centrada en la gobernanza y la gestión de riesgos, la segunda parte ofrece orientación sobre cómo crear, mantener y gestionar programas de ciberseguridad. 

La sección 62443-2-1 describe el proceso de creación, implementación y mantenimiento de un sistema de gestión de la ciberseguridad para los sistemas de control industrial (IACS), mientras que la sección 62443-2-2 ofrece directrices de implementación detalladas que deben seguir las organizaciones a la hora de establecer programas de seguridad para los IACS. A continuación, la sección 62443-2-3 proporciona las mejores prácticas para la gestión de parches de software y firmware con el fin de mantener la seguridad del sistema y, por último, la sección 62443-2-4 enumera los requisitos de ciberseguridad y las mejores prácticas para los proveedores de servicios que trabajan en entornos industriales.

Sistema 62443-3

En esta sección se ofrecen orientaciones sobre el diseño y la implementación de sistemas seguros y se abordan los requisitos de ciberseguridad para los sistemas de control industrial (IACS). Abarca la evaluación de riesgos, los requisitos y estrategias de seguridad de los sistemas, así como los niveles de seguridad de los sistemas.  

La sección 62443-3-1 analiza las tecnologías de seguridad existentes y emergentes relevantes para los sistemas de control industrial (IACS). A continuación, la sección 62443-3-2 presenta una metodología para evaluar y gestionar los riesgos de ciberseguridad durante el diseño del sistema. Por último, la sección 62443-3-3 establece requisitos detallados de seguridad del sistema y los clasifica en cuatro niveles de seguridad (SL1-SL4).

Componente 62443-4 

La cuarta y última parte de la serie describe el ciclo de vida del desarrollo de productos. Se centra en la seguridad de los componentes individuales de los sistemas de control industrial (IACS), como los sistemas SCADA (control de supervisión y adquisición de datos), los controladores lógicos programables (PLC) y los sensores. 

Consta de dos secciones. La sección 62443-4-1 describe los procesos del ciclo de vida del desarrollo de un producto, incluyendo el diseño, el desarrollo y el mantenimiento de los componentes de los sistemas de control industrial automatizados (IACS), mientras que la sección 62443-4-2 especifica los requisitos técnicos de seguridad y las capacidades necesarias para cada uno de los componentes de los IACS dentro del sistema. 

Diagrama que ilustra los cuatro componentes principales de la norma ISA/IEC 62443 y sus funciones en la seguridad de las tecnologías operativas

Requisitos básicos

Los siete requisitos fundamentales (FR) se definen en la primera parte de la serie (IEC 62443-1-1). Estos FR constituyen la piedra angular de la norma ISA/IEC 62443, en la que se basan todas las partes posteriores de la serie, incluidas las partes centradas en los requisitos de seguridad para los sistemas IACS (3-3) y los componentes (4-2). 

  1. Control de identificación y autenticación 
  2. Control de uso 
  3. Integridad del sistema 
  4. Confidencialidad de los datos 
  5. Flujo de datos restringido 
  6. Respuesta rápida ante los acontecimientos  
  7. Disponibilidad de recursos 

Ventajas y aplicaciones de la norma ISA/IEC 62443

Estas normas se han adoptado en diversos sectores, entre ellos el manufacturero, el de infraestructuras críticas, el petrolero y gasístico, el sanitario y el de tratamiento de aguas residuales. La forma en que una organización puede aplicar la serie ISA/IEC 62443 depende de la función que desempeñe dentro de un sector concreto, ya sea en la explotación, el mantenimiento, la integración o la fabricación de componentes para sistemas de control industrial (IACS).

Para los propietarios de activos

Los propietarios de activos que establezcan protocolos de seguridad y gestionen sistemas de control industrial (IACS) pueden consultar la sección 2 de la norma ISA/IEC 62443 para definir los requisitos que deben cumplir los integradores de sistemas. Estas directrices pueden ayudarles a determinar qué características de seguridad necesitan específicamente en un producto.

Para integradores de sistemas

Dado que prestan servicios de integración, mantenimiento y otros servicios similares relacionados con los sistemas de control industrial (ICS), los integradores de sistemas utilizan principalmente las normas 62443-3 para evaluar el nivel de seguridad de los propietarios de activos y tramitar sus requisitos. Asimismo, las normas 62443-3-3 se utilizan para evaluar la seguridad de los componentes fabricados por los fabricantes de productos y para determinar si estos incluyen las características exigidas por los propietarios de activos.

Para fabricantes de productos

Los fabricantes de productos establecen y mantienen un ciclo de vida de desarrollo de la seguridad (SDL), ofrecen productos que cumplen con el nivel de seguridad requerido, suministran componentes y prestan asistencia durante todo el ciclo de vida. Los fabricantes de productos son empresas que producen componentes de hardware y software para sistemas de control industrial (IACS). Los fabricantes de productos pueden utilizar la norma 62443-4 como referencia clara para determinar qué capacidades y características de seguridad deben incluir en sus productos.

Importancia de la norma ISA/IEC 62443-3-3 para la protección de infraestructuras críticas

Las normas 62443-3-3 establecen requisitos técnicos de seguridad fundamentales y niveles de seguridad que deben utilizarse como referencia para determinar el nivel de seguridad que debe alcanzarse. Los integradores de sistemas utilizan esta sección para cumplir con las normas de los sistemas que desarrollan.

Requisitos clave de seguridad

Defensa en profundidad

Una técnica que requiere múltiples capas de medidas de seguridad para prevenir o ralentizar un ciberataque. Por ejemplo, estas capas de seguridad pueden incluir controles físicos, análisis periódicos, la protección de las transferencias de archivos y el uso de cortafuegos.

Zonas y conductos

Basándose en el modelo Purdue, también conocido como Arquitectura de Referencia Empresarial de Purdue (PERA), la serie ISA/IEC 62443 define una zona como una unidad funcional o física, mientras que un conducto es un conjunto de canales de comunicación entre zonas. 

Análisis de riesgos

Además de las prácticas habituales de análisis de riesgos, la norma ISA/IEC 62443-3-2 ofrece más detalles sobre las metodologías de evaluación de riesgos de seguridad para un sistema de control industrial (IACS).

Privilegio mínimo

El principio del privilegio mínimo limita el acceso de los usuarios a componentes o aplicaciones específicos de un sistema, lo que evita accesos innecesarios y reduce al mínimo la superficie de ataque en caso de un ciberataque.

Aprovechamiento de componentes seguros

La norma ISA/IEC 62443-3-3 no es un conjunto de requisitos independiente, sino que se basa también en otras partes de la serie. Se parte de la base de que se ha desarrollado un programa de seguridad de acuerdo con la norma IEC 62443-2-1 y de que los componentes seguros se implementarán de acuerdo con las normas ISA/IEC 62443-4-2 e ISA/IEC 62443-4-1 para garantizar el cumplimiento.

Niveles de seguridad

Los niveles de seguridad definidos tienen por objeto evaluar la solidez y poner de relieve cualquier factor de riesgo en los sistemas OT e IACS. En la norma 62443-3-3 se definen cuatro niveles de seguridad, que van desde el 1, como nivel mínimo, hasta el 4, como nivel máximo.

Nivel de seguridad 1

Los niveles de seguridad definidos tienen por objeto evaluar la solidez y poner de relieve cualquier factor de riesgo en los sistemas OT e IACS. En la norma 62443-3-3 se definen cuatro niveles de seguridad, que van desde el 1, como nivel mínimo, hasta el 4, como nivel máximo.

Nivel de seguridad 2

Para protegerse contra ciberataques generales que no requieren conocimientos específicos ni recursos intensivos, como los perpetrados por hackers individuales.

Nivel de seguridad 3

Abarca la protección frente a ataques intencionados que emplean técnicas sofisticadas y habilidades específicas, con un nivel de motivación moderado.

Nivel de seguridad 4

Protege contra ataques intencionados que requieren conocimientos muy sofisticados y específicos de los sistemas de control industrial (IACS), así como acceso a amplios recursos, como los ataques a sistemas de alta criticidad perpetrados por grupos de hackers organizados o por Estados enemigos.

Junto con la norma 62443-3-3, los integradores de sistemas suelen tener en cuenta las normas 62443-4-2, ya que ofrecen orientación adicional sobre cómo proteger cada componente del ciclo de vida. 

Media de periféricos y Media extraíbles

Los soportes extraíbles, como USB los discos duros externos, se utilizan a menudo como vía para transferir datos en redes de sistemas de control industrial (IACS) y de tecnología operativa (OT), a pesar de los importantes riesgos de seguridad que plantean. Se han producido ciberataques destacados causados por soportes extraíbles, como el de Stuxnet, que tuvo como objetivo la instalación nuclear de Natanz en Irán (2010), el ataque a la central nuclear de Kudankulam en la India (2019) y el ataque de Agent.BTZ, que se propagó a través de las redes del Departamento de Defensa de los Estados Unidos (2008). 

Incluir la protección de los dispositivos periféricos y los soportes extraíbles como parte de una estrategia de defensa en profundidad puede desempeñar un papel esencial a la hora de mitigar este tipo de ataques y de cumplir con las normas ISA/IEC 62443, reduciendo así el riesgo de fugas de datos e interrupciones del sistema. Por ejemplo, una solución física, como MetaDefender , puede escanear soportes extraíbles utilizando múltiples motores antimalware para garantizar su seguridad. Otras soluciones como MetaDefender , MetaDefender Media , MetaDefender y MetaDefender Managed File Transfer MFT)™ pueden desempeñar un papel fundamental a la hora de mejorar su nivel de seguridad y su estrategia de defensa en profundidad.

Diagrama que presenta estrategias de defensa en profundidad para la protección de soportes extraíbles según la norma ISA/IEC 62443

Conclusión

Las normas ISA/IEC 62443 se consideran las normas de ciberseguridad más completas que abordan los retos de ciberseguridad de los entornos de sistemas de control industrial (IACS) y de tecnología operativa (OT). Gracias a la serie de normas ISA/IEC 62443, las organizaciones pueden determinar de forma sistemática qué es lo más valioso dentro de su entorno, mejorar la visibilidad e identificar los activos que son más vulnerables a los ciberataques. 

OPSWAT soluciones integrales en materia de seguridad de dispositivos periféricos y soportes extraíbles para reforzar la protección en profundidad y reducir al mínimo la superficie de ataque. Para descubrir por qué organizaciones, gobiernos e instituciones de todo el mundo confían OPSWAT, póngase en contacto hoy mismo con uno de nuestros expertos y descubra cómo podemos ayudarle a garantizar la seguridad de sus dispositivos periféricos y soportes extraíbles. 

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.