Segunda Edición de la IEC 62443-3-2

Segunda Edición de la IEC 62443-3-2

A propósito de la reciente publicación de la segunda edición de la norma IEC 62443-3-2: Security risk assessment for system design, queremos comentarles un poco de que se trata esta parte de la IEC 62443.

Cada Sistema Automatizado de Control Industrial (IACS) maneja diferentes riesgos, amenazas, probabilidades de ocurrencia, vulnerabilidades y consecuencias; por lo que, cada caso puede ser diferente, incluso dentro de una misma organización.

No existe una receta simple para asegurar los sistemas de control y la IEC 62443-3-2 no pretende serlo.

Esta parte de la IEC 62443, brinda a nuestras organizaciones una guía para evaluar el riesgo de un IACS específico y nos permite identificar contramedidas de seguridad para reducir el riesgo cibernético de los sistemas de control, hasta lograr niveles tolerables en la organización. Los requisitos indicados nos ayudan a:

·        Definir el Sistema Bajo Consideración (SuC).

·        Dividir el SuC en Zonas y Conductos.

·        Evaluar los riesgos de cada Zona y Conducto.

·        Establecer los niveles de seguridad de cada Zona y Conducto.

·        Documentar los requisitos de seguridad del SuC.

Para cumplir con estos requisitos, en CSF hemos desarrollado distintos estudios bajo la guía de la IEC 62443 y otras mejores prácticas, que describimos a continuación:

1. HRA: Evaluación de Riesgo Cibernético de Alto Nivel (High Level Risk Assessment)

Utilizado para identificar los riesgos asociados a los tipos de activos cibernéticos de los IACS. Este análisis brinda al usuario una primera impresión de los riesgos a los que se expone cuando alguno de sus activos cibernéticos se encuentra comprometido.

Se formula una lista de los tipos de activos cibernéticos por cada área de proceso o servicio y para cada uno de los tipos de activos cibernéticos, se identifican las amenazas y se determina el peor escenario sobre el proceso o el sistema bajo estudio (SuC). En función a la criticidad de la consecuencia, es posible asignar un nivel de seguridad objetivo inicial (SL-T) para cada tipo de activo cibernético que sirve de base para realizar la segmentación de las redes de control. Para cada amenaza identificada, se emiten recomendaciones que ayuden a minimizar la afectación y, principalmente, deben estar direccionadas a generar un plan de repuesta en caso de un ataque cibernético.

2. ZCD: Definición de Zonas y Canales (Zone and Conduit Definition)

Permite agrupar los activos cibernéticos pertenecientes al IACS en zonas con requisitos de seguridad en común y definir los canales que conectan dos o más zonas, con la finalidad de optimizar los recursos de protección de los activos cibernéticos.

La agrupación de equipos en zonas se realiza en función del inventario de los de activos cibernéticos del IACS, considerando criterios como: función que desempeñan, tipo de conexión física, manejo de conexión desde redes no confiables, nivel de seguridad objetivo SL-T del equipo y facilidad de propagación de las amenazas.

Los conductos son definidos según la necesidad operativa y de seguridad de las zonas interconectadas. Se deben tomar en cuenta las funciones de los activos cibernéticos del conducto, así como el tipo de conexión que demanden las zonas y la posibilidad de ser un medio de conexión con equipos remotos.

Luego de la definición de cada zona o conducto, se realiza la documentación de las características de cada uno de ellos, que son utilizadas como base para el diseño de los IACS bajo el ciclo de vida de la seguridad cibernética.

3. DRA: Evaluación Detallada de Riesgos Cibernéticos (Detailed Cyber Security Risk Assessment)

Tiene la intención de identificar los riesgos específicos asociados a cada activo cibernético de los IACS, para luego identificar contramedidas que ayuden a alcanzar niveles de riesgo tolerables por la organización.

Para esto, se identifican escenarios peligrosos basados en los vectores de amenaza aplicables a cada uno de los activos cibernéticos que componen las zonas y conductos del SuC. Se estima la frecuencia de ocurrencia de los escenarios peligrosos y se identifican las consecuencias y su severidad, para luego determinar el riesgo sin tomar en cuenta alguna contramedida aplicable. Finalmente, se identifican las contramedidas que disminuyen la frecuencia de ocurrencia y se determina el riesgo tomando en cuenta las contramedidas identificadas.

4. CSVA: Evaluación de Vulnerabilidades de Seguridad Cibernética (Cyber Security Vulnerability Assessment)

Aunque esta evaluación no se encuentra descrita explícitamente en la IEC 62443-3-2, es importante mencionarla cuando hablamos de reducción de riesgo. A diferencia de otros estudios que se basan en las consecuencias que resultan de las amenazas cibernéticas sobre los IACS, ésta se centra en las vulnerabilidades, debido a las deficiencias de la gestión de la seguridad cibernética en los IACS.

Es un estudio que se realiza con la finalidad detectar las brechas existentes entre lo implementado en una organización y los requisitos de la norma IEC 62443-2-1: Security program requirements for IACS asset owners. Se revisan las políticas actuales del Programa de Seguridad Cibernética del IACS, con el fin de detectar debilidades y generar recomendaciones orientadas a la mejora de la seguridad cibernética.

Si la organización no cuenta con un Programa de Seguridad Cibernética enmarcado en la IEC 62443, este es un buen punto de partida.

Tenemos muchas herramientas a nuestra disposición y las amenazas crecen día a día, por lo que es el momento de revisar nuestros sistemas de control y políticas de protección.

 

Juan D. Martinez N.

FSEng TÜV SÜD TP17051350 | CSPUSA 200401 001

La Seguridad Cibernética no es una cosa de astronautas

La Seguridad Cibernética no es una cosa de astronautas

Cuando comencé a estudiar el tema de la seguridad cibernética tenía la impresión de que no tenía mucho que ver con la vida diaria. Pensaba que era algo netamente industrial y hasta un poco de rechazo le tenía.

En principio, parece algo excesivamente complejo, pero en realidad todos estamos involucrados. Al igual que la seguridad general, la seguridad cibernética es responsabilidad de todos, inclusive de los que creemos que no tenemos nada que ver con esto.

¿Quién no tuvo un profesor de matemáticas que les decía: “las matemáticas están en todo lo que hacemos y tienen que estudiarla”? En la actualidad, los ambientes cibernéticos son como las matemáticas, están en todos lados.

La mayoría de nosotros tiene acceso a una computadora en nuestros sitios de trabajo, utilizamos celulares inteligentes, manejamos correos electrónicos, etc. Los sistemas informáticos dejaron de ser de uso exclusivos de cierto círculo de personas con lentes, porta lapiceros y de alto coeficiente intelectual. Lo que hacemos en nuestras pc y celulares mediante las redes sociales, la información que compartimos o las aplicaciones que instalamos nos hace estar involucrados con la seguridad cibernética.

Ahora, ¿Cómo nos hacemos parte de la seguridad cibernética?

Es más fácil de lo que parece. Reconociendo que es un problema que nos involucra y puede afectarnos, se convierte en un tema de no dar oportunidades. Debemos crear buenos hábitos de uso de nuestros activos cibernéticos, por lo que, en esta ocasión, les compartiré 5 de los mejores hábitos que mi experiencia me ha dado para estar seguros cibernéticamente:

 

1.       Haz un buen uso de tus contraseñas.

En una encuesta del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) sobre las contraseñas más frecuentes, la más común fue "123456". Es posible que no tengas una contraseña tan vulnerable como ésta, pero te dejo algunos consejos para que mejores la gestión tus contraseñas:

 

·         No compartas tus contraseñas con otros.

·         No escribas las contraseñas en papel. Si lo haces, resguárdalo en un
 lugar seguro.

·         No uses la misma contraseña para varias cuentas.

·         Crea contraseñas con 3 o más palabras aleatorias.

·         Como opción, considera usar un administrador de contraseñas.

·         Cambia las claves que vienen por defecto en los equipos y softwares.

 

2.      Actualiza periódicamente tus activos cibernéticos.

Los sistemas operativos y softwares que utilizamos en nuestros activos cibernéticos (teléfono, tablets, laptops, etc.) pueden presentar vulnerabilidades que son utilizadas por agentes para desarrollar ataques, como instalar y ejecutar malwares. Los desarrolladores de las herramientas crean actualizaciones para solucionar las vulnerabilidades detectadas. Está en nuestras manos actualizar nuestros softwares, en especial los antivirus, así evitar dar oportunidades a los criminales cibernéticos.

 

3.      Mantente informado sobre las nuevas formas de ataque.

Los cibercriminales están en constante actualización y desarrollan nuevas técnicas para cometer ataques cibernéticos. Por ejemplo, cada día vemos nuevos tipos de ataque phishing, y estos resultan tan efectivos que en la web podemos conseguir un kit de phishing por muy poco dinero. Las campañas de este tipo de ataque van cambiando la forma de presentarse, pero el objetivo es el mismo: engañar a una persona para obtener información que puedan utilizar para sacar provecho.

 

El Departamento de Seguridad Nacional de los Estados Unidos, mediante su adjunto Cyber+Infrastructure (CISA), se encuentra en constante investigación sobre vulnerabilidades e incidentes que, responsablemente, las divulga, así como sus soluciones. Puedes visitarlos en https://www.us-cert.gov/ics.

 

4.      Cuídate de las aplicaciones que usas en tu teléfono celular o PC.

Es muy sencillo obtener aplicaciones gratuitas en internet, y en nuestro smartphone aún más. Muchas de esas aplicaciones gratuitas son creadas por atacantes para sacar provecho y tomar información de nuestros equipos. Pero, ¿Cómo evitamos este tipo de ataques? Aquí les dejo unos tips:

 

·         Descarga solo aplicaciones móviles de tiendas de
 aplicaciones conocidas.

·         Ten cuidado con el uso de aplicaciones gratuitas y lee los comentarios y
 reseñas en la aplicación.

·         Verifica cualquier solicitud de permiso durante la instalación o el uso de
 una aplicación.

·         Revisa la configuración de la aplicación y desactiva cualquiera que
 parezca innecesaria.

·         Apaga cualquier conexión inalámbrica automática.

·         Instala solo aplicaciones y software necesarios.

 

5.       Realiza copias de seguridad.

Ransomware es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos y que exige el pago de un rescate para poder acceder de nuevo a ellos. Estos tipos de ataques van en aumento, solo el año pasado (2019) aumentaron 365% con relación al 2018. Una forma de minimizar los impactos de este tipo de ataques es realizando copias de seguridad robustas, seguras y resistentes al ransomware. La clave para esto es mantener copias de seguridad fuera de línea y conectarlas al sistema solo cuando sea necesario.

 

La gestión de nuestros activos afecta la seguridad cibernética. Los equipos que utilizamos de manera personal suelen ser utilizados en nuestros puestos de trabajo o para hacer actividades laborales. Entonces, si convertimos en hábitos las buenas prácticas descritas anteriormente, estaremos colaborando de forma muy sencilla con la seguridad cibernética de nuestras instalaciones, sirviendo de barrera de contención ante posibles atacantes y generando ambientes de trabajo más seguros en nuestra industria.

Juan Martínez.  

FSCP TÜV SÜD TP17051350