Los Estándares de Seguridad Informática, ¿Cuál Aplica a la Industria? Y su Estado Actual

Miguel Angel Arriola Sancén
ARPO Sinergia Tecnológica S. de R.L. de C.V. Ciudad de México, México
miguel.arriola@arpo.com.mx

Revista InTech México Automatización
Edición Enero – Marzo 2018

Descargue aquí.

[wpdm_package id=’3092′]

RESUMEN:

La seguridad en los sistemas informáticos es un elemento cada vez más crítico, considerando que actualmente se está efectuando una interconexión global de todo tipo de sistemas informáticos. Esto obliga a hacer un esfuerzo internacional para establecer los lineamientos recomendados con la finalidad de mantener la información, datos y sistemas protegidos de acciones accidentales y/o intencionales que pongan en riesgo los activos productivos industriales, las personas y el medio ambiente.

Este artículo proporciona una descripción general del esfuerzo que lleva casi dos décadas en lo que respecta al desarrollo normativo de la parte industrial y que aún se encuentran en etapa de desarrollo; debido, por una parte a los cambios tecnológicos que recaen sobre los sistemas industriales y por otra parte, a la búsqueda de mejoras en los aspectos de diseño encaminados a producir e integrar sistemas con capacidades intrínsecas para proporcionar la protección y seguridad que requerirán en el futuro dichos sistemas globales interconectados.

PALABRAS CLAVE: Estándar, Comité, Protección, Guía, Sistema, Publicado, Voto.

ANTECEDENTES

Hoy en día se convive con un manejo masivo de información, que cada día está más interconectado a todos los niveles productivos, financieros y de salud en la sociedad actual. Esto seguirá incrementándose por todas las ventajas que se ofrece a cada sector de la sociedad;  pero es muy claro también que todas estas ventajas de intercambio y manejo de información masivo no son más importantes que el mejorar el manejo de los riesgos y enfocarnos en la continuidad de los negocios contra los ataques informáticos que, en la actualidad, son cada vez más frecuentes a nivel global.

Desde la década de los 90´s, en el siglo XX, se inició el esfuerzo de usuarios y proveedores de colaborar en foros nacionales e internacionales para contribuir en el desarrollo de prácticas, políticas y capacidades necesarias para proteger y asegurar la información; ya que su manejo manual estaba siendo rápidamente llevado a un manejo informático utilizando equipos de cómputo. Por lo que, inicialmente, estos esfuerzos se basaron en el trabajo del Consorcio Stanford [6] para la investigación sobre políticas y seguridad de la información.

ESTÁNDARES ACTUALES

Existen varios estándares de seguridad informática, iniciando por el grupo de estándares ISO/IEC 27000 [7] que integran un sistema de administración de seguridad de la información (information security management system ISMS) el cual está enfocado en la seguridad de la información bajo un explícito control administrativo de la misma.

El ISO 15408 [8] es un estándar desarrollado en lo que se conoce como “Criterio Común” y que permite que muchas diferentes aplicaciones de software puedan ser integradas y probadas en una forma o manera segura.

El RFC 2196 [9] es memorándum publicado por el Internet Engineering Task Force para el desarrollo de políticas y procedimientos de seguridad para sistemas de información conectados a Internet; proporciona una amplia y general visión de la seguridad de la información incluyendo la seguridad de la red, respuesta a incidentes o las políticas de seguridad. El documento es muy práctico y centrado en el día a día de las operaciones.

Para el campo industrial, se inició en el año 2007, con el grupo de trabajo de la International Society for Automation (ISA), el estándar ISA-99 denominado Security for Industrial Automation and Control Systems con la publicación del estándar ANSI/ISA-99.00.01-2007 Security for Industrial Automation and Control Systems: Concepts, Terminology and Models, en conjunto con el reporte técnico ANSI/ISA-TR99.00.01-2007, Security Technologies for Manufacturing and Control Systems. A principios de 2009, fue aprobado por ANSI el estándar ANSI/ISA-99.02.01-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program. Y finalmente en el año 2010, se cambió por el estándar ISA/IEC 62443 para alinear la numeración de la documentación del estándar con los estándares correspondientes de la International Electrotechnical Commission (IEC).

ESTÁNDAR ISA/IEC 62443

El comité de este estándar tiene una serie de grupos de trabajo activos, cada uno sobre un aspecto específico de la seguridad de los sistemas de control y automatización industriales (IACS). Las áreas abordadas incluyen el manejo y administración de ajustes de seguridad, sistemas inalámbricos, la convergencia de la seguridad y protección y los requisitos técnicos a nivel de componentes y sistema. Varias partes del estándar están a nivel planeación y desarrollo.

Este estándar está organizado en 4 categorías:

  • General. Esta categoría incluye información básica o común, tales como conceptos, modelos y terminología; también incluye los trabajos que describen las métricas de seguridad y los ciclos de vida de la seguridad para los sistemas de control y automatización industriales.
  • Políticas y procedimientos. Esta categoría incluye documentos que están enfocados a los propietarios de activos y se abordan diversos aspectos para la creación y el mantenimiento de un eficaz programa de protección de los sistemas de control y automatización industriales.
  • Sistema. Esta categoría incluye documentos que describen las guías de diseño de los sistemas y los requisitos para la integración segura de los sistemas de control. El modelo de diseño de zona/conducto es la estrategia central empleada en estos documentos para aislar y proteger los activos.
  • Componente. Esta categoría incluye documentos que describen las especificaciones de desarrollo de productos y los requerimientos técnicos de los productos del sistema de control. Esta información esta principalmente dirigida a los fabricantes de productos de automatización y control, pero puede ser usada por los integradores y propietarios de los activos industriales para ayudar en la adquisición de productos seguros y confiables para limitar los riesgos de ataques informáticos.

En la figura 1 se muestra la organización en niveles del conjunto total de documentos que integran el estándar ISA/IEC 62443 Industrial Automation and Control Systems (IACS) Security [10].

Figura 1. Estructura Documental ISA/IEC 62443.

El estándar ISA-62443-1-1 (IEC/TS 62443-1-1) [11] (formalmente referida como “ISA-99 Parte 1”) fue originalmente publicada como estándar ANSI/ISA-99.00.01-2007. Actualmente se tiene la publicación de una especificación técnica de IEC en su comité técnico TC65 como IEC/TS 62443-1-1:2009 la cual define la terminología, conceptos y modelos para los IACSA. En este momento, el comité ISA-99 está revisando está publicación para alinearla con otros documentos en la serie de la IEC y clarificando el contenido normativo. Este documento está siendo manejado por el grupo de trabajo WG3 del comité ISA-99.

El estándar ISA-TR62443-1-2 (IEC/TR 62443-1-2) [12] es un glosario maestro de términos usado por el comité y usuarios del estándar. Aunque este documento es aún un trabajo preliminar, su contenido está disponible en el comité ISA-99 Wiki. . Este documento también es manejado por el grupo de trabajo WG3 del comité ISA-99.

El estándar ISA-62443-1-3 (IEC 62443-1-3) [23] Identifica un conjunto de indicadores y métricas de cumplimiento de seguridad de los sistemas de control y automatización industrial (IACS). Este documento, en este momento, se encuentra en proceso de desarrollo y se tiene una publicación preliminar de octubre de 2015 para fines de comentarios. Este documento está siendo manejado por el grupo de trabajo WG12 del comité ISA-99.

El estándar ISA-TR62443-1-4 (IEC/TR 62443-1-4) [22] define el ciclo de vida de seguridad de los IASC y su caso de uso. Este trabajo se ha propuesto como parte de la serie desde enero de 2013 pero su desarrollo todavía no ha comenzado; aún no se tiene un grupo formal de trabajo para este producto del estándar.

El estándar ISA-62443-2-1 (IEC 62443-2-1) [14] (formalmente referenciada como “ANSI/ISA 99.0201-2009 o ISA-99 parte 2”) se enfoca en cómo establecer un programa de protección para los IACS. Este estándar es aprobado y publicado por La IEC como IEC-62443-2-1, actualmente está siendo revisado para permitir una mayor aproximación con la serie de estándares ISO 27000. Este documento está siendo manejado por el grupo de trabajo WG2 del comité ISA-99.

El estándar ISA-TR62443-2-2 (IEC/TR62443-2-2) [13] tiene el propósito de desarrollar sobre el contenido del estándar ISA-61443-2-1, con un enfoque sobre la operación de un sistema administrativo de un programa de protección de seguridad cibernético para los IACS alineándose fuertemente con los estándares de la serie ISO 27000. Este estándar está en estado de propuesta bajo comentarios y es manejado por el grupo de trabajo WG2.

El estándar ISA-TR62443-2-3 (IEC/TR62443-2-3) [15] es un reporte técnico que proporciona una guía práctica sobre la aplicación de un sistema de administración de adecuaciones dentro del ambiente de un IACS. Este tema es abordado desde la perspectiva del propietario operador así como también del proveedor de soluciones. Este estándar fue publicado como IEC-62443-2-3; 2015” Security for industrial automation and control systems – Part 2-3: Patch management in the IACS environment” y es manejado por el grupo de trabajo WG6.

El estándar ISA-62443-2-4 (IEC 62443-2-4) [16] especifica los requerimientos para los proveedores de servicios de los IACS respecto a las capacidades de protección que ellos puedan ofrecer a los propietarios de los activos durante las actividades de integración y mantenimiento de una solución de automatización. Este estándar ha sido publicado como IEC-62443-2-4 “Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers”. Este estándar fue desarrollado por el comité técnico TC65 de la IEC a través de su grupo de trabajo WG10, Será presentado para su aprobación por el Comité como un estándar de ISA.

El estándar ISA-TR62443-3-1 (IEC/TR 62443-3-1) [17] es un reporte técnico que fue publicado como ANSI/ISA-TR99.00.01-2007. Proporciona una evaluación actual de diversas herramientas de seguridad cibernética, medidas de mitigación y tecnologías que pueden aplicarse efectivamente a los modernos IACS que regulan y controlan numerosas industrias e infraestructuras críticas. Actualmente, este estándar ha sido publicado como IEC TR62443-3-1:2009 “Industrial communication networks – Network and system security – Part 3-1: Security technologies for industrial automation and control systems”. Este estándar es manejado por el grupo de trabajo WG1 de la ISA y quien está actualizando su contenido para reflejar las actuales tecnologías disponibles de protección cibernética que hay.

El estándar ISA-62443-3-2 (IEC 62443-3-2) [20] aborda cómo definir los niveles de aseguramiento de seguridad utilizando el concepto de zonas y conductos. Este estándar está en desarrollo y se emitió un documento preliminar para voto de aprobación por el comité votante, es manejado por el grupo de trabajo WG4 de la ISA.

El estándar ISA-62443-3-3 (IEC 62443-3-3) [21] define detalladamente los requerimientos técnicos para la seguridad cibernética de los IACS. Este estándar a sido publicado como IEC 62443-3-3:2013 “Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels”. Es manejado por el grupo de trabajo WG4 de la ISA.

El estándar ISA-62443-4-1 (IEC 62443-4-1) [18] aborda las necesidades para el desarrollo de soluciones y productos seguros de protección cibernética para los IACS. Este estándar está en desarrollo y es manejado por el grupo de trabajo WG4 de la ISA.

El estándar ISA-62443-4-2 (IEC 62443-4-2) [19] aborda detalladamente los requerimientos técnicos a nivel de componentes para los IACS. Este estándar está en desarrollo y es manejado por el grupo de trabajo WG4 de la ISA.

Como se puede ver, este conjunto de documentos está actualmente en proceso de desarrollo e integración como se muestra en la figura 2, que muestra el estado actual de cada documento destacando que un poco menos de la mitad de los documentos están publicados y la mitad de ellos están bajo revisión en su aplicación. Más de la mitad del resto están en fases de comentarios, desarrollo y planeación.

Figura 2. Estado actual del estándar ISA/IEC 62443.

GRUPOS DE TRABAJO DE LA ISA

El desarrollo de todos estos productos es el esfuerzo de más de 500 miembros de diferentes sectores como son Industrias químicas, gas petróleo y refinación, bebidas y alimentos, energía, farmacéuticas, manufacturera, proveedores de automatización, proveedores de tecnologías de la información, laboratorios gubernamentales (USA) y consultores expertos en seguridad informática. Los cuales están organizados en varios grupos de trabajo especializados en cada parte del estándar de esta forma los grupos de trabajo definidos por parte de ISA-99 son:

  • WG 1 – Tecnologías de seguridad cibernética
  • WG 2 – Programa de seguridad definición y operación
  • WG 3 – Terminología, conceptos y modelos
  • WG 4 – Requerimientos técnicos
  • WG 5 – Comité de liderazgo
  • WG 6 – Administración de adecuaciones
  • WG 7 – Seguridad y protección
  • WG 8 – Comunicación y difusión
  • WG 9 – Inalámbrico y seguridad
  • WG 11 – Seguridad en IACS para el sector nuclear
  • WG 12 – Métricas para IACS

Mientras que los grupos de trabajo por parte del Comité técnico TC65 de IEC están definidos como sigue:

  • WG 1 – Términos y definiciones
  • WG 10 – Seguridad para medición y control de procesos industriales – Seguridad en red y sistema
  • WG 12 – Diagramas DTI y herramientas de diseño computacionales
  • WG 15 – Documentos para la industria de procesos
  • WG 16 – Fabrica digital
  • WG 17 – Interfaz del sistema entre instalaciones industriales y la red inteligente
  • WG 18 – Tabla causa y efecto
  • WG 19 – Administración del ciclo de vida para sistemas y productos usados en medición, control y automatización de procesos industriales
  • WG 20 – Procesos industriales de medición, control y automatización – Marco de referencia para las necesidades de protección y seguridad

Por último, este grupo de estándares en su desarrollo tienen interrelación con otros grupos de trabajo de otros estándares como el ISA-84 de sistemas instrumentados de seguridad y el ISA 100 de sistemas inalámbricos.

CONCLUSIONES

Como se puede observar, el desarrollo de este estándar está en fase de desarrollo y refinamiento, pero por otra parte, dadas las circunstancias de eventos globales, es el momento de aplicarlo en los sistemas de control y automatización industrial actuales (IACS) para ir ajustando las necesidades interna de los sistemas presentes para limitar y proteger los activos productivos de nuestras empresas.

Las recomendaciones que surjan en estos momentos pronto serán consideradas niveles mínimos requeridos para permitir la interconexión para el manejo de información y aquellas empresas que no se tenga un manejo de riesgos informáticos aceptables serán limitadas o segregadas y tendrán que mejorarlos para poderse interconectar al mundo cada vez más globalizado que existirá.

Por otra parte, los trabajos preliminares de este estándar industrial permiten el prever y considerar los requerimientos que se deben integrar en el futuro en un sistema administrativo de protección y seguridad cibernética que nos permita operar y mantener los activos productivos de las empresas.

REFERENCIAS

[1] ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements.

[2] ISA/IEC-62443 (formerly ISA-99) Security for Industrial Automation and Control Systems.

[3] Eric Byres; “Revealing network threats, fears”, InTech Magazine, pg. 26, January/February 2011

[4] ISA99 committee Wiki site.

[5] IEC TC65 site

[6] National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12.

[7] “ISO/IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements”. International Organization for Standardization. Retrieved 20 May 2017.

[8] ISO/IEC 15408-1/2/3:2005 – Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model (15408-1), Part 2: Security functional requirements (15408-2), Part 3: Security assurance requirements (15408-3), https://goo.gl/DFZmHB .

[9] Network Working Group Request for Comments: 2196 Editor B. Fraser, FYI: 8 SEI/CMU, Obsoletes: 1244, September 1997 Category: Informational, https://tools.ietf.org/html/rfc2196

[10] The 62443 series of standards-ISA99 Committee isa99.isa.org/Public/Information/The-62443-Series-Overview.pdf

[11] IEC TS 62443-1-1:2009 Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models, https://webstore.iec.ch/publication/7029

[12] ISA-TR99.01.02, https://goo.gl/2UVhnC, https://goo.gl/A5SBth

[13] Work Products, https://goo.gl/7rv4c5

[14] IEC 62443-2-1:2010 Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program, https://webstore.iec.ch/publication/7030

[15] Project: IEC TR 62443-2-3:2015 ED1, https://goo.gl/6FJZBs

[16] Project: IEC 62443-2-4:2015 ED1, https://goo.gl/WLsuxK

[17] Project: IEC TR 62443-3-1:2009 ED1, https://goo.gl/8DdPAv

[18] Project: IEC 62443-4-1 ED1, https://goo.gl/H5z3Fh

[19] Project: IEC 62443-4-2 ED1, https://goo.gl/uR6cDm

[20] Project: IEC TS 62443-3-2 ED1, https://goo.gl/ejckHv

[21] Project: IEC 62443-3-3:2013 ED1, https://goo.gl/to8yDe

[22] Project: IEC 62443-2-2 ED1, https://goo.gl/yDp47r

[23 Project: IEC TS 62443-1-3 ED1, https://goo.gl/ta4mUo

ACERCA DEL AUTOR

Egresado del Instituto Politécnico Nacional de la ESIME Zacatenco en la especialidad de Control. Trabajó en 1986 en la Secretaria de Comunicaciones y Transportes en las estaciones terrenas de CONTEL para trasmisión de telefonía y televisión a los satélites Morelos, en 1987 ingreso al Instituto de Investigaciones Eléctricas donde colaboró en distintos proyectos de desarrollo de sistemas de control distribuido con tecnología propia basado en microprocesadores. En 1997 ingreso a ARPO donde hasta la fecha a participado como ingeniero de desarrollo y gerente de proyectos de automatización, comunicaciones y sistemas instrumentados de seguridad para PEMEX PEP en la sonda de Campeche y en otras empresas como minera y farmacéutica. Es miembro de la ISA desde 1986 y ha sido director del comité de seguridad de 2013 a 2014 actualmente es presidente electo de la ISA.

 

0
Comparte:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This site uses Akismet to reduce spam. Learn how your comment data is processed.