Bienvenido

Bienvenido a WisePlant – A WiseGroup Company  -|-   SpanishEnglishPortuguese

No Session

*** Usted no ha iniciado sesión en el SecureCloud ***

Diseño y Desarrollo de Pruebas de Aceptación de CiberSeguridad en Sistemas Industriales (CAT)

Consiste en el diseño y desarrollo de las pruebas de aceptación de Ciber Seguridad en sistemas Industriales (CAT). Los Ciber-Activos de los IACS deben someterse a Pruebas de Aceptación de Seguridad Cibernética (CAT) después de realizada la FAT y/o SAT.

Descripción General

Este servicio consiste en el diseño y desarrollo de pruebas de aceptación de CiberSeguridad en sistemas Industriales (CAT). WiseSecurity ofrece el desarrollo y prueba de los procedimientos para las Pruebas de Aceptación de Seguridad Cibernética. WiseSecurity cree que los IACS deben someterse a Pruebas de Aceptación de Seguridad Cibernética (CAT) después de FAT y/o SAT.

Racionalidad del servicio

Un elemento crítico faltante en las prácticas actuales de pruebas de aceptación de los IACS, como las Pruebas de Aceptación de Fábrica (FAT) o las Pruebas de Aceptación del Sitio (SAT), es la ciberseguridad. De hecho, muchas organizaciones han informado que la ciberseguridad de su IACS se vio comprometida como resultado de la FAT o SAT. Esto no es sorprendente ya que el objetivo de FAT/SAT es verificar la funcionalidad del sistema, no la ciberseguridad. Como tal, las políticas, procedimientos y controles de seguridad cibernética a menudo se omiten para acelerar la finalización de las pruebas.

Verificación de las especificaciones de diseño

El servicio CAT debe incluir la verificación de que el sistema cumple con la Especificación de requisitos de ciberseguridad de IACS (CSRS). Por ejemplo, la configuración de seguridad requerida se configuró correctamente y los componentes de seguridad necesarios (por ejemplo, firewalls) se instalaron y configuraron correctamente. Se deberá varificar que cada zona y conducto cumplen con los niveles de seguridad especificados (SL-T, definidos en la serie de normas ISA/IEC-62443). La CSRS será la fuente principal para la elaboración de los procedimientos CAT. Cada una de las pruebas a realizar durante la CAT serán clasificadas. Las no conformidades serán catalogadas de acuerdo con criterios definidos en el procedimiento.

Pruebas de robustez o de penetración

El servicio CAT debe incluir pruebas de robustez de seguridad cibernética, a veces denominadas pruebas de penetración, que están diseñadas para descubrir e identificar las debilidades o vulnerabilidades de un sistema. Este tipo de prueba no se debe realizar en un sistema de producción, pero se puede realizar de manera segura antes de que el sistema esté operativo.

IMPORTANTE: Este tipo de pruebas seguramente identificarán vulnerabilidades nuevas aun no descubiertas sobre los sistemas de control IACS y dispositivos de redes nuevos. Estos descubrimientos serán documentadas y reportados siguiendo alguna de las guías y marcos legales que se mencionan a continuación.

Aceptación del CAT y correcciones de No-Conformidades

Todas las No-Conformidades serán clasificadas en función de la severidad y de la complejidad para su remediación. Algunas NO-Conformidades serán inaceptables y requerirán que el proveedor mitigue o corrija dicho incumplimiento y este debe ser vuelto a verificar una vez que estos incumplimientos hayan sido corregidos.

  • Rechazo o No Aceptación: El sistema no puede ser despachado a la planta hasta que los cambios y correcciones específicas hayan sido realizadas.
  • Aceptación Parcial: el sistema ha sido aceptado parcialmente y puede ser despachado a planta con las No-Conformidades encontradas. Típicamente se acuerda con el proveedor su remediación y/o corrección antes de la Puesta en Marcha de la planta.
  • Aceptación Total: el sistema cumple con todas las pruebas de CAT satisfactoriamente.

Leyes, guías y recomendaciones

Para la realización de este servicio incorporamos y utilizamos las siguientes guías y recomendaciones tanto para asegurar la utilización de métodos y técnicas de vanguardia y homologadas, sino también para realizar estos servicios dentro de un marco legal adecuado.

  • ANSI/ISA99/IEC-62443-2-4: Certification of IACS Supplier Security Policies and Practices
  • ISA Secure SSA (System Security Assurance)
  • ICS-CERT (Industrial Control Systems Cyber Emergency Response Team)
%d bloggers like this: