Plan de ciberseguridad industrial, Productividad, Tips

¿Cuál Framework de ciberseguridad industrial es mejor?

cual framework de ciberseguridad industrial es mejor
03 Jun

Trataremos de responder a la pregunta que todo encargado de ciberseguridad industrial se enfrenta al momento de decidir cual “framework” es mejor para diseñar tu plan de ciberseguridad.

 

    Cual sea el giro o sector de tu fábrica, proteger los ICS (Sistemas de Control Industriales) es tema fundamental para la continuidad de tus operaciones. Proteger estos sistemas de amenazas cibernéticas es esencial para asegurar la disponibilidad y integridad de las operaciones de forma segura. Diseñar tu plan de ciberseguridad industrial te llevará a decidir cual o cuales “framework” serán la guía de dicho plan, es por eso, que te mencionamos el resumen de cada uno de ellos.  

 

ISO 27000

     Al entrar a consultar la información en la página oficial de iso.org, podrás observar los títulos de las diferentes versiones 2013 y 2018 mencionando “Information Technology”. Es por eso que los encargados, administradores o directores de sistemas (TI) la elijen principalmente como estándar a cumplir para su departamento.

El estándar se basa en diferentes secciones como lo son:

  • Buenas prácticas
  • Administración de sistemas de seguridad de la información
    • Requerimientos
    • Control
    • Guía de implementación
    • Mediciones
    • Administración de riesgos

 

  Las recomendaciones que brinda son:

  • Análisis de riesgos
  • Políticas de seguridad
  • Administración de activos
  • Seguridad de recursos humanos
  • Seguridad del ambiente
  • Administración de comunicaciones y operaciones
  • Adquisición desarrollo y mantenimiento de los sistemas de información
  • Administración de la continuidad del negocio o ”Business Continuity”.
  •  

     Como pueden observar es una excelente guía general para sistemas de información, y por lo tanto es el más escogido para el departamento de IT.   Pero, podrán notar que no se mencionan los ICS en absoluto. Regresaremos a este análisis en el resumen.      

 

ISA/IEC 62443

     El estándar ISA/IEC 62443 está redactada principalmente por participantes del ambiente industrial de automatización (ISA “International Society of Automation”). El estándar tiene como título “Seguridad para sistemas de control y automatización”.   En el estándar cuenta con la colaboración de diversos fabricantes del medio industrial como son por mencionar algunos: Rockwell, Shell, Yokogahua, NIST, Siemens, ABB, Honeywell, Emerson.   El objetivo del estándar es que se establezca un plan o programa de seguridad para sistemas de control y automatización industrial.   Entre sus apartados se encuentran:

  • 62443-2-1, describe lo que se requiere para establecer un plan de ciberseguridad industrial efectivo.
  • 62443-2-4, describe los requerimientos para los proveedores de servicios
  • 62443-3-2, describe el análisis de riesgo
  • 62443-3-3, describe los requerimientos técnicos del sistema
  • 62443-4-1, describe los requerimientos para el desarrollo de ciclo de vida del sistema
  • 62443-4-2, describe los requerimientos técnicos de los componentes del sistema

     Recientemente se incrementaros nos esfuerzos y existe un ente dedicado para dar mayor fuerza a los esfuerzos de prevención, mitigación y mantenimiento de la ciberseguridad en la industria, este organismo es “ISA Global Cybersecurity Allliance”.   El estándar aborda estrategias probadas para un ambiente industrial, entre las cuales se encuentran:

  • Defensa en profundidad
  • Análisis de amenazas y riesgos
  • Programa de maduración de seguridad
  • Políticas
  • Zonas de seguridad y conduits o accesos
  • Modelo de activos
  • Procesos para políticas de parches

 

Resumen para saber cual «framework» es mejor

      Mientras ISO 27000 y otros “frameworks” de ciberseguridad pueden aplicar en cierta medida, la verdad es que no es suficiente y pudiera abarcar solo un 20% del plan requerido en un ambiente industrial.   ISA/IEC 62443 está enfocado totalmente en ciberseguridad industrial, sin embargo, no es tan detallado en algunos aspectos por la recuperación de desastre, aunque sí lo incluye como parte del estándar.  

      Mi opinión es que debes guiarte en primera instancia por el estándar ISA/IEC 62443 ya que está enfocado totalmente hacia ciberseguridad industrial, pero, si tienes la oportunidad podrías apoyarte en un pequeño porcentaje de ayuda de TI con el estándar ISO27001, sobre todo porque TI generalmente ya lleva un camino avanzado que no tendrás que recorrer ahorrando recursos y Tiempo.  

 

Si no cuentas con el soporte de TI, quédate solo con el  ISA/IEC 62443.    

 

Ahora ya sabes cual «Framework» es mejor

 

 

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

 

Contáctanos para cualquier duda o ayuda que requieras.

 

 

 

Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 

 

Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

 

 
 
 
 
 
Dudas de algún término técnico, consulta nuestra sección especializada:

 

Newer 7 pecados capitales en redes OT
Back to list
Older ROI de tu plan de ciberseguridad industrial