Mito sobre el nivel de Ciberseguridad Industrial
He escuchado comentarios de gerentes empresas del sector industrial que se jactan de tener un factor de protección del un 98% contra ataques cibernéticos, “tenemos el mejor firewall del mercado instalado”, dicen.
Algunos encargados del departamento de mantenimiento me preguntan cuanto les costará estar seguros de ciberamenazas y evitar paros de línea o robo de información sobre sus procesos. Es posible que tú tengas otras preguntas referente al tema de:
¿qué tan segura está mi red industrial y qué tan segura debe estar?
Debido a la anterior pregunta es que dedico este artículo para explicarte sobre el objetivo de nivel de ciberseguridad que tu red industrial debe tener.
Nivel de Ciberseguridad basado en la norma ISA-99 / IEC-62443
Antes de empezar a comprar el mejor firewall del mercado, te debes hacer la siguiente pregunta, ¿qué nivel de protección necesito contra posibles fallas o ataques en mi red industrial?
La norma internacional ISA-99 / IEC-62443 en su apartado 62443-3-3(3.3) establece 5 niveles de seguridad para tu red industrial. Los niveles inician desde SL-0 (el nivel mínimo de seguridad) hasta el nivel SL-4 (nivel máximo de seguridad). A continuación te presento la tabla de los diferentes niveles de ciberseguridad que la norma ISA-99 / IEC-62443 establece.
Tabla 2.2.3 Niveles de Seguridad
| Nivel de seguridad | Descripción |
| SL 0 | Sin requerimiento de seguridad o no necesarias |
| SL 1 | Protección contra violaciones casuales o por coincidencia |
| SL 2 | Protección contra violaciones intencionales usando herramientas con pocos recursos, conocimientos genéricos y poca motivación |
| SL 3 | Protección contra violaciones intencionales usando herramientas sofisticadas con recursos moderados, cuya motivación es moderada hacia sistemas IACS |
| SL 4 | Protección contra violaciones intencionales usando herramientas sofisticadas con recursos extendidos, cuya motivación es alta hacia sistemas IACS |
*Referencia 62443-3-3(3.3)
Como podrás haber apreciado, los niveles de seguridad no están basados en un porcentaje de cobertura, como los SLA o calidad de servicio lo manejan. Los niveles de seguridad se basan en cuatro principios fundamentales:
Tipo de violación. Esta puede ser ocasional, no intencionada, por coincidencia, intencionada.
Tipo de herramientas. Se refiere generalmente al software que ayuda al atacante, y puede ser de pocos recursos, con recursos moderados o con recursos extendidos. Es lo que el atacante tendrá que invertir en tiempo y dinero.
Tipo de motivación. Como su nombre lo dice, es el grado de entusiasmo que el atacante tenga para lograr su objetivo, generalmente es económico en el caso de ramsonware, pero también puede ser bajo encargo de una empresa de competencia. Este puede ser de poca, moderada hasta alta motivación
Objetivo. Puede ser hacia la red industrial perse o podría estar dirigidos a sistemas IACS o SCADA. En el segundo caso el atacante busca hacerse cargo de los equipos, obtener información o modificar los procesos para ocasionar estragos en los procesos o producción.
¿Cómo elegir el nivel de ciberseguridad adecuado?
No es pregunta fácil, pero lo que recomiendo es que tomes las siguientes consideraciones para elegir el SL adecuado para tu empresa.
Demanda de terceros.- Puede que uno de tus clientes o el gobierno de tu país te exija que tus procesos tengan un cierto nivel de ciberseguridad basado en norma internacional industrial. Sé de varias empresas manufactureras del sector automotriz que exigen a sus proveedores conocidos como Tier-1, que cuenten con un plan de ciberseguridad industrial, ¿es este tu caso?
Tiempo y recursos internos.-Diseñar e implementar un plan de ciberseguridad industrial puede tomar entre 6 y 12 meses, dependiendo de los recursos que la empresa dedique tanto internos como externos. Avanzar de un SL-0 a un SL-4 en un solo intento es posible aunque no recomendable, los cambios que se deben hacer, su mayoría en procesos, generalmente no son adoptados por el personal al inicio, además que, de no estar bien diseñados pueden crear demoras y paros en producción. Te recomiendo que avances un nivel a la vez, o tal vez 2 a la vez si así te lo exigen, siempre y cuando tengas los suficientes recursos humanos y económicos.
Presupuesto.- Es un tema importante pero no tan esencial como algunas personas creen. Un plan de ciberseguridad industrial es eso mismo, un plan, un programa de procesos diseñado con el objetivo de proporcionar a la empresa un nivel de ciberseguridad contra ataques. El plan determinará si es necesario cambiar o renovar algunos equipos, y la pauta lo marcará el nivel de seguridad que hayan establecido como objetivo. De acuerdo con mi experiencia, la compra del equipo representa entre un 15% y 45% del total del programa. Dentro del presupuesto deberás considerar los recursos humanos internos y externos, así como la consultoría que seguramente te ayudará bastante con tu plan.
Resumen.
- Realizar un análisis qué nivel de ciberseguridad tienes actualmente.
- Determina donde quieres estar en términos de ciberseguridad.
- Inicia tu plan y realiza una auditoría para garantizar que goces de dicho nivel de ciberseguridad industrial.
¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?
Contáctanos para cualquier duda o ayuda que requieras.
Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn
ISA99 / IEC62443
