¿A quién va dirigido?
A cualquier organización industrial, incluidas las pequeñas y medianas empresas (PYMES), que deseen prevenir que una amenaza afecte a la continuidad de su negocio.
¿Qué es?
IEC 62443 es un conjunto de estándares que recogen buenas prácticas y recomendaciones para incrementar la seguridad de los sistemas de control industrial frente a amenazas en el ámbito de la ciberseguridad.
¿Objetivos?
Elevar el nivel de protección de los sistemas de control industrial frente a las amenazas en el ámbito de la ciberseguridad.
Beneficios del cumplimiento de la norma IEC 62443
- Ventaja competitiva a la hora de ofrecer servicios ya que cada vez es más habitual que los clientes exijan que sus proveedores implemente controles de seguridad. En ciertos casos se desestima la contratación de proveedores entendiendo que pueden suponer un riesgo para la ciberseguridad del cliente al ser cada vez más habitual los ataques a la cadena de suministro.
- Determinar los riesgos y poder realizar una gestión adecuada de los mismos para evitar que una amenaza afecte a la continuidad del negocio.
- Controlar los costes derivados de la implantación de medidas de seguridad y ser más eficientes a la hora de hacerlo.
Categorías
- General: Contemplar los conceptos fundamentales, modelos de referencia y terminología. (IEC 62443-1-1, IEC TR 62443-1-2, IEC 62443-1-3, IEC TR 62443-1-4)
- Políticas y procedimientos: Elaboración de un programa de gestión de ciberseguridad y políticas de seguridad. (IEC 62443-2-1, IEC TR62443-2-2, IEC TR 62443-2-3, IEC 62443-2-4)
- Sistema: Planificación e implantación de tecnologías y requisitos para lograr un nivel de seguridad predeterminado. (IEC TR62443-3-1, IEC 62443-3-2, IEC 62443-3-3)
- Componentes: Identificación de requisitos técnicos de ciberseguridad en el ciclo de vida de desarrollo de productos. (IEC 62443-4-1, IEC 62443-4-2)
Pasos para la securización industrial según la norma IEC 62443
1.Identificar las zonas, conductos y canales
Zona: una zona es una agrupación de activos (dispositivos, datos, aplicaciones) físicos o lógicos que comparten unos mismos requisitos de seguridad.
Conducto: un conducto de seguridad es un tipo de zona de seguridad que agrupa activos asociados a la electrónica de red (switches, routers, firewalls, cables, hubs, repetidores, etc.).
Canal: un canal es la forma lógica de comunicar diferentes zonas y se asocia físicamente con un conducto. Un canal puede ser trusted, que permite ampliar una zona de seguridad lógica, o untrusted.
2.Identificar el nivel de protección deseado de cada zona y conducto
La IEC 62443 indica que se debe decidir para cada zona el nivel de protección para cada uno de los requisitos fundamentales de protección.
Los diferentes niveles indican la resistencia contra diferentes clases de atacantes, la norma define los siguientes:
|
Nivel de seguridad |
Habilidades |
Motivaciones |
Medios |
Recursos |
|---|---|---|---|---|
|
SL1 |
Sin conocimientos |
Errores |
No intencionados |
Individual |
|
SL2 |
genéricas |
Baja |
Simples |
Bajos |
|
SL3 |
ICS |
Moderada |
Ataques sofisticados |
Moderados |
|
SL4 |
ICS |
Alta |
Campañas sofisticadas |
Altos |
3.Evaluar el nivel de protección actual
Para cada una de las zonas y/o conductos se evaluará el nivel de seguridad en función de los requisitos de sistema y de mejora establecidos previamente.
4.Aplicar las medidas necesarias para que el nivel de seguridad deseado sea mayor o igual que el nivel de protección actual.
¿Dónde recibir asesoramiento sobre el IEC 62443 o contratar la adecuación de nuestra organización al mismo?
Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.
El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.
