Brasil | español

Serie de normas de Security IEC 62443

La serie de normas internacionales IEC 62443 "Redes de comunicación industrial. Seguridad de la TI para redes y sistemas" trata sobre la seguridad de la TI en la automatización. El abanico de temas va desde el análisis de riesgos y los requisitos para el funcionamiento seguro hasta el desarrollo seguro de productos (Security by Design). Esto convierte la IEC 62443 en la mejor guía de la actualidad para la implementación eficiente de la Security por parte de operadores de instalaciones y fabricantes de equipos.
En ella se contemplan cinco ámbitos: los requisitos básicos de la Security, el principio de zonas y canales de comunicación (Zones and conduits), los Security Level, el ciclo de vida de la Security y el análisis de riesgos.

Serie de normas de Security IEC 62443

Resumen de las principales partes de las normas:

Para fabricantes de componentes Para integradores de sistemas Para empresas usuarias
62443-4-1 Proceso de desarrollo 62443-2-4 Directivas y procedimientos 62443-2-4 Directivas y procedimientos
62443-4-2 Funciones Security para componentes 62443-3-2 Funciones Security para sistemas de automatización y de control 62443-2-1 Funcionamiento y servicio
62443-3-3 Funciones Security para el sistema de automatización y de control completo

62443-3-3 Funciones Security para el sistema de automatización y de control completo

 

 

Requisitos básicos de Security

Requisitos de Security

Entre los requisitos básicos (Foundational requirements) de la Security figuran:

  • Identificación y autenticación
  • Seguimiento de uso
  • Integridad del sistema
  • Confidencialidad de los datos
  • Flujo de datos limitado
  • Reacción oportuna a eventos
  • Disponibilidad de recursos

Para cada uno de estos requisitos básicos se han definido requisitos de sistema adicionales que pueden servir de base para la implementación de medidas de Security.

Security Level

Security Level

Los Security Level definen el nivel de seguridad que desean alcanzar los operadores de instalaciones o fabricantes a través del uso de medidas de seguridad. Una estimación de riesgos previa proporciona la información necesaria. Durante la evaluación se define el producto que hay que proteger y la probabilidad de que sea atacado. El nivel de seguridad (SL) se elige en función de este resultado. El SL-2, o protección contra "perjuicio y manipulación intencionada con medios sencillos, pocos recursos, aptitudes normales y sin una motivación especial", debería entenderse hoy como el estándar mínimo. A fin de mantener este estándar, la empresa ha de tener un determinado grado de madurez en el campo de la Security. Por muy eficaz que sea un cortafuegos, no servirá de nada si los trabajadores de la empresa siguen dejando las contraseñas escritas en notas adhesivas tipo "post-it" pegadas a la pantalla del PC o descuidan la ejecución de actualizaciones. Cuantos más recursos dedique una empresa al tema Security, mejor será su nivel de protección general. Lo importante es, por tanto, disponer de un concepto holístico de Security. De esta manera, la Application Firewall SecurityBridge puede contribuir a obtener un nivel de seguridad elevado formando parte de un concepto general.

Resumen de los Security Level (niveles de seguridad):
Security Level 1: protección contra uso indebido sencillo o no intencionado
Security Level 2: protección contra uso indebido intencionado perpetrado con medios sencillos.
Security Level 3: protección contra uso indebido intencionado perpetrado con medios avanzados
Security Level 4: protección contra uso indebido intencionado perpetrado con medios avanzados y recursos numerosos

Estimación de riesgos Security

El proceso de desarrollo de la Security es una extensión del proceso de desarrollo general del producto. Uno de los aspectos básicos de cualquier proceso de desarrollo de la Security conforme a la normativa (según IEC 62443-4-1 Secure product development lifecycle requirements) es la realización de una estimación de riesgos. Identifica los peligros y riesgos procedentes del "ciberespacio" que amenazan un producto y las medidas que deben aplicarse para minimizarlos.

La estimación de riesgos de Security debe comprender siempre los 6 pasos siguientes:

  1. Identificar activos: ¿qué es lo que quiero proteger?
  2. Analizar amenazas: ¿a qué riesgos está expuesto el bien que se quiere proteger?
  3. Determinar objetivos de protección relevantes: ¿cuáles son los objetivos que quiero alcanzar?
  4. Analizar y evaluar riesgos: ¿cuál es la probabilidad de que se materialice el riesgo?
  5. Seleccionar e implementar medidas de protección: ¿cómo puedo proteger el bien contra posibles riesgos?
  6. Gestión de la resiliencia: ¿qué hacer después de un ataque? ¿Cómo puedo reforzar la Security en la empresa?
Estimación de riesgos Security

Security del ciclo de vida

Security del ciclo de vida

La Security es un "moving target", es decir, un objetivo que va cambiando a lo largo del ciclo de vida de un producto. Los atacantes desarrollan métodos cada vez más eficaces para superar las medidas defensivas. Esto obliga a mejorar continuamente las medidas contra las ciberamenazas. La responsabilidad en este sentido recae en primera línea sobre los operadores de instalaciones. Una estrategia de Security eficaz puede prolongar la vida útil de las instalaciones. Los fabricantes de máquinas y de componentes han de mantener informadas a las empresas usuarias sobre cualquier nuevo problema de seguridad. Deberán ofrecer actualizaciones del software de sus equipos para que los clientes pueden subsanar las posibles vulnerabilidades. Si en el proceso participan también integradores de sistemas, actuarán como intermediarios entre fabricantes y empresas usuarias. Es esencial que todos los implicados colaboren estrechamente a lo largo del ciclo de vida completo de los productos. Es el único modo de garantizar una protección eficaz.

Más sobre Security 4.0

Sede central

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Alemania

Teléfono: +49 711 3409-0
Correo-e: pilz.gmbh@pilz.de

Asistencia técnica

Teléfono: +49 711 3409 444
Correo-e: support@pilz.com