Serie de normativas de Security IEC 62443

La serie de normas internacionales IEC 62443 "Redes de comunicación industrial. Seguridad de la TI para redes y sistemas" trata sobre la seguridad de la TI en la automatización. El abanico de temas va desde el análisis de riesgos y los requisitos para el funcionamiento seguro hasta el desarrollo seguro de productos (Security by Design). Esto convierte la IEC 62443 en la mejor guía de la actualidad para la implementación eficiente de la Industrial Security por parte de operadores de instalaciones y fabricantes de equipos.
En ella se contemplan cinco ámbitos: los requisitos básicos de Industrial Security, el principio de zonas y canales de comunicación (Zones and conduits), los niveles de seguridad (Security), el ciclo de vida de la Security y el análisis del riesgo.

Somos expertos en seguridad. Para nosotros es importante que nuestros productos no solo ofrezcan seguridad, sino también protección. Por este motivo hemos encargado al TÜV Süd un examen a fondo de nuestros procesos de desarrollo sobre la base de la norma IEC 62443-4-1. En ella se define un desarrollo seguro de productos, el proceso "Security Development Lifecycle" (proceso SDL). Este enfoque considera las posibles características de Security desde que se proyecta un producto nuevo. La finalidad es asegurar que todos los riesgos de Security de un producto se puedan detectar con ayuda de un modelo de amenazas y subsanar durante el proceso de desarrollo del propio producto.

Resultado de la auditoría: El desarrollo de Pilz ha cumplido los requisitos de la norma y satisface así los criterios del proceso SDL. Con ello podemos afirmar ahora con seguridad que los desarrollos de Pilz no solo ofrecen seguridad, sino también protección.
Según TÜV Süd, Pilz se toma muy en serio el desarrollo de productos seguros de acuerdo con la norma IEC 62443-4-1 y crea una base sólida para posteriores certificaciones de productos.

Entre los requisitos básicos (Foundational requirements) de protección (Security) figuran:

• Identificación y autenticación
• Seguimiento de uso
• Integridad del sistema
• Confidencialidad de los datos
• Flujo de datos limitado
• Reacción oportuna a eventos
• Disponibilidad de recursos

Para cada uno de estos requisitos básicos se han definido requisitos de sistema adicionales que pueden servir de base para la implementación de medidas de Security.

Los "Security Level" definen el nivel de seguridad que desean alcanzar los operadores de instalaciones o fabricantes a través del uso de medidas de seguridad. Una estimación de riesgos previa proporciona la información necesaria. Durante la evaluación se define el producto que hay que proteger y la probabilidad de que sea atacado. El nivel de seguridad (SL) se elige en función de este resultado. El SL-2, o protección contra "perjuicio y manipulación intencionada con medios sencillos, pocos recursos, aptitudes normales y sin una motivación especial", debería entenderse hoy como el estándar mínimo. A fin de mantener este estándar, la empresa ha de tener un determinado grado de madurez en el campo de la Security. Por muy eficaz que sea un cortafuegos, no servirá de nada si los trabajadores de la empresa siguen dejando las contraseñas escritas en notas adhesivas tipo "post-it" pegadas a la pantalla del PC o descuidan la ejecución de actualizaciones. Cuantos más recursos dedique una empresa al tema Security, mejor será su nivel de protección general. Lo importante es, por tanto, disponer de un concepto holístico de Security. De esta manera, la Application Firewall SecurityBridge puede contribuir a obtener un nivel de seguridad elevado formando parte de un concepto general.

Resumen de los Security Level (niveles de seguridad):
Security Level 1: protección contra uso indebido sencillo o no intencionado
Security Level 2: protección contra uso indebido intencionado perpetrado con medios sencillos.
Security Level 3: protección contra uso indebido intencionado perpetrado con medios avanzados
Security Level 4: protección contra uso indebido intencionado perpetrado con medios avanzados y recursos numerosos

El proceso de desarrollo de la Security es una extensión del proceso de desarrollo general del producto. Uno de los aspectos básicos de cualquier proceso de desarrollo de la protección (Security) conforme a la normativa (según IEC 62443-4-1 Secure product development lifecycle requirements) es la realización de una estimación de riesgos. Identifica los peligros y riesgos procedentes del "ciberespacio" que amenazan un producto y las medidas que deben aplicarse para minimizarlos.

La evaluación de riesgos de Security deben comprender siempre los siguientes 6 pasos:

1. Identificar activos: ¿qué es lo que quiero proteger?
2. Analizar amenazas: ¿a qué riesgos está expuesto el bien que se quiere proteger?
3. Determinar objetivos de protección relevantes: ¿cuáles son los objetivos que quiero alcanzar?
4. Analizar y evaluar riesgos: ¿cuál es la probabilidad de que se materialice el riesgo?
5. Seleccionar e implementar medidas de protección: ¿cómo puedo proteger el bien contra posibles riesgos?
6. Gestión de la resiliencia: ¿qué hacer después de un ataque? ¿Cómo puedo reforzar la Security en la empresa?

La protección (Security) es un "moving target", es decir, un objetivo que va cambiando a lo largo del ciclo de vida de un producto. Los atacantes desarrollan métodos cada vez más eficaces para superar las medidas defensivas. Esto obliga a mejorar continuamente las medidas contra las ciberamenazas. La responsabilidad en este sentido recae en primera línea sobre los operadores de instalaciones. Una estrategia de Security eficaz puede prolongar la vida útil de las instalaciones. Los fabricantes de máquinas y de componentes han de mantener informadas a las empresas usuarias sobre cualquier nuevo problema de seguridad. Deberán ofrecer actualizaciones del software de sus equipos para que los clientes pueden subsanar las posibles vulnerabilidades. Si en el proceso participan también integradores de sistemas, actuarán como intermediarios entre fabricantes y empresas usuarias. Es esencial que todos los implicados colaboren estrechamente a lo largo del ciclo de vida completo de los productos. Es el único modo de garantizar una protección eficaz.