Bienvenido

Bienvenido a WisePlant – A WiseGroup Company  -|-   SpanishEnglishPortuguese

No Session

*** Usted no ha iniciado sesión en el SecureCloud ***

Desarrollo de Especificaciones con Requerimientos de CiberSeguridad Industrial (CSRS)

Consiste en el desarrollo de la Especificaciones de  Requerimientos de Ciber Seguridad Industrial (CSRS) de forma consistente con el Nivel de Seguridad establecido para cada Zona y Conducto. Por cada Ciber-Activos – sea cual sea su función – se requiere que las áreas de ingeniería responsables por el diseño funcional de los sistemas industriales incorporen requerimientos específicos de seguridad cibernética.

Descripción General

Este servicio consiste en el Desarrollo de Especificaciones con Requerimientos de CiberSeguridad Industrial (CSRS) para Sistemas Nuevos y/o Sistemas Existentes. La creciente complejidad, variedad de tecnologías, diversidad de proveedores, incremento de vulnerabilidades y amenazas cibernéticas a los sistemas industriales; requiere que las áreas de ingeniería responsables por el diseño funcional de los sistemas industriales incorporen requerimientos específicos que atiendan los nuevos desafíos de la seguridad cibernética, desde las etapas tempranas de los proyectos antes de que los nuevos sistemas sean construidos.

Beneficio para los usuarios finales

Los usuarios finales se aseguran que los nuevos sistemas cumplan con requerimientos específicos de seguridad cibernética desde el primer momento, evitando incurrir en gastos innecesarios con posterioridad, evitando riesgos inaceptables, y evitando la adquisición de tecnología obsoleta o con vulnerabilidades inaceptables, operar sistemas seguros desde la puesta en marcha, alcanzar la máxima seguridad de su planta, minimizar situaciones de conflicto con proveedores y evitar demoras en los nuevos proyectos.

“La complejidad de las tecnologías y la gran cantidad de requerimientos que tienen los sistemas de control modernos, máxime con la CiberSeguridad, requiere de un equipo de profesionales que tengan dominio de múltiples disciplinas. En la actualidad desestimar a la CiberSeguridad podrá ocasionar a las empresas una gran pérdida económica, interrupción de un proyecto y hasta un incidente.”

Beneficio para los proveedores

Una vez que los requerimientos y necesidades de seguridad cibernética de los clientes están claramente definidos resulta mucho más fácil, cotizar, diseñar, construir y probar los sistemas evitando conflictos con posterioridad y requerimientos inesperados. Estos sirven para seleccionar tecnologías, equipos de hardware y productos de software adecuados, diseñar sistemas asegurando el cumplimiento con los nuevos requerimientos, evitar demoras innecesarias en los proyectos, disminuir los riesgos de los proyectos por cuestiones de compatibilidad tecnología con las nuevas políticas de seguridad de los clientes, y que la ciberseguridad no sea un problema para la obtención de la recepción definitiva del sistema.

“Aun si los clientes no lo solicitan los proveedores de soluciones y sistemas deben incorporar dentro de sus procesos de ingeniería a la CiberSeguridad Industrial y adecuar estos procesos de ingeniería para cumplir con los requerimientos de la serie de normas ANSI/ISA99/IEC-62443.”

Seguridad por diseño

Únicamente con el endurecimiento de los sistemas industriales y de sus redes de comunicaciones no es suficiente para satisfacer los nuevos requerimientos de seguridad de los ambientes industriales. Para ello se requiere de la seguridad por diseño, según definida en la serie de normas ANSI/ISA99/IEC-62443.

La seguridad por diseño incluye un mínimo de: políticas y procedimientos aplicables, requerimientos regulatorios, certificaciones, criterios para la aceptación de ingeniería (básica, detalle y construcción), segmentación óptima en Zonas & Conductos basada en el análisis de riesgos detallados (Cyber-HAZOP) – y no de forma arbitraria -, definir el Nivel de Seguridad (SL-T) para cada Zona y Conducto, determinar el Factor de Reducción de Riesgo Cibernético (CSRF), emplear arquitecturas y tipos de redes homologadas, seleccionar protocolos seguros, incorporar criterios específicos para el desarrollo de la lógica de control, operación, incorporar criterios específicos para las alarmas, utilizar tecnologías homologadas y aceptadas que cumplen con los Niveles de Seguridad (SL-T) necesarios; criterios de ingeniería y tecnologías homologadas para el control de acceso, control de uso, acceso remoto, enlaces VPN; definir y cumplir requerimientos funcionales y criterios de ingeniería para el diseño e instalación de firewalls industriales; criterios empleados para la Evaluación de Riesgos Cibernéticos en sistemas que no estén certificados (ISA Secure), definir y utilizar requerimientos específicos para la detección de intrusiones, detección de anomalías servicios de alertas en la planta, hacia el SIEM, SOC-OT; entre muchos otros requerimientos.

Pruebas de aceptación Cyber-FAT/SAT

El éxito durante las pruebas de aceptación relacionadas a la seguridad cibernética, a realizar en el sistema antes de que sea despachado para la planta, dependerá en gran medida de los requerimientos para la seguridad cibernéticas definidas en este servicio. La falta de un CSRS significará la arbitrariedad en la elaboración de los procedimientos y criterios de pruebas de seguridad cibernética y consecuentemente no se podrán establecer criterios de aceptación o rechazo acordes.

Responsabilidad por la Seguridad

La responsabilidad por la seguridad es del usuario final y no es posible trasladar a los proveedores a través del simple proceso de compras. El mejor momento para definir y establecer todos estos requerimientos es durante las etapas previas a la licitación y contratación.

%d bloggers like this: