Bienvenido

Bienvenido a WisePlant – A WiseGroup Company  -|-   SpanishEnglishPortugueseGermanItalianFrenchRomanianPolishRussian

No Session

*** Usted no ha iniciado sesión en el SecureCloud ***

ERP-CRM

[CRM]

ADM

[Q] [S]

Sales

[VTS]

Communications

[COM]

Support

[TKT]

Marketing

[SEO]

Logut

Abordaje de Ciberseguridad Insuficiente!

Abordar la solución a la Ciberseguridad con la propuesta tradicional de IT de seguridad de la información es insuficiente para los sistemas de control, y está lejos de satisfacer las necesidades de las plantas industriales, y mucho más lejos de mitigar el riesgo cibernético en la cantidad mínima necesaria.

Este acercamiento se limita a visualizar a los sistemas industriales como redes de comunicaciones (basadas en Ethernet). La solución se fundamenta en la escucha de tráfico sobre una porción de las redes industriales con la finalidad de identificar Ciber-Activos conectados y su comportamiento. Se identifican interfaces de comunicaciones, direcciones IP, MAC Address y con ello se consigue, en muchos casos, identificar marca, modelo y otros datos relativos al Ciber-Activo. Esta información es utilizada para la elaboración de múltiples informes y reportes, indicadores, vulnerabilidades, detección de intrusiones, anomalías, y una serie de abundantes recomendaciones, entre otras funcionalidades.

Problema #1

Indentificación Incorrecta de los Ciber-Activos Industriales

Los Ciber-Activos Industriales como por ejemplo un Servidor, una estación de operación, u otros, suelen tener más de una interfaz de comunicaciones, y muchas veces redundantes. Identificar y contar la cantidad de interfaces de comunicaciones existentes en una o más redes, no es lo mismo que identificar correctamente y contar la cantidad de Ciber-Activos. Especialmente porque los Ciber-Activos industriales suelen tener varias interfaces de comunicaciones, conectadas a distintas redes.

Problema #2

Todos los conductos son Importantes

Los Ciber-Activos Industriales como por ejemplo un PLC suele tener fácilmente 10 interfaces de comunicaciones o más. Algunas de ellas basadas en Ethernet y su mayoría basadas en protocolos tradicionales industriales. Para la Ciberseguridad todos los Ciber-Activos son importantes y todos los conductos, no solamente aquellos basados en Ethernet.

Problema #3

¿Y los Ciber-Activos que están descontados o alejados?

¿Qué sucede con aquellos Ciber-Activos que están fuera del alcance del dispositivo de escucha de red y de captura de tráfico? ¿Qué sucede con aquellos Ciber-Activos que no están conectados en redes LAN? ¿Y con aquellos que están aislados del resto de la planta? ¿A caso estos Ciber-Activos no presentan riesgos a la Ciberseguridad Industrial? Aunque un Ciber-Activo no se encuentre conectado a ningún tipo de red industrial, sigue presentando riesgos para la organización, y más aún cuando estos están conectados a procesos industriales (mundo físico).

Problema #4

Mirando con un solo ojo

Las soluciones de seguridad de IT están utilizando a la captura de tráfico como la solución maestra para la Ciberseguridad Industrial. En los cursos oficiales de ISA (IC32, IC33, IC34, e IC37) enseñamos diversos métodos y mecanismos que son necesarios y complementarios para poder identificar y tratar adecuadamente a los sistemas industriales. Es necesaria una buena comprensión de los Ciber-Activos industriales y de las funciones que cumplen en la planta industrial para poder brindar la seguridad adecuada.

Problema #5

Fijando Prioridades Incorrectas

¿Cómo hacen con este abordaje de IT para saber qué Ciber-Activo es más importante y relevante en el ámbito industrial? ¿Cómo se hace para fijar prioridades? ¿Y las alertas? ¿Y para elaborar un plan de respuesta? Claramente, la falta de contexto del mundo físico hace que el abordaje sea completamente insuficiente y no distribuye las prioridades de forma adecuada, generado alertas cuando en realidad no lo son. Uno de los principios fundamentales en los sistemas industriales consiste en definir alertas, notificaciones, de forma correcta.

Si bien este abordaje resuelve algunos aspectos de las redes industriales, podríamos continuar con una extensa lista, explicando las variadas razones por la cual el abordaje de escucha de tráfico es completamente insuficiente y está lejos de atender las necesidades de los sistemas industriales. Vemos como muchas empresas están gastando muchísimo dinero sin realmente mitigar riesgo cibernético industrial.

Problema #6

¿Y la evaluación de Riesgos?

¿Estas soluciones basadas en las escuchas de tráfico, se utilizan para calcular el riesgo cibernético? ¿Cómo lo calculan? ¿Y si lo calculan, este cálculo se utiliza para tomar decisiones?, ¿Y estas decisiones … serán las correctas? Ciertamente no lo son y las decisiones son con certeza, en su gran mayoría, incorrectas o insuficientes.

Read More

¿Cómo definir correctamente zonas y conductos?

Habitualmente vemos como muchos profesionales tienen un concepto equivocado respecto de las Zonas y los Conductos, la forma en la cual estos deben ser definidos y las implicancias desde el punto de vista de la seguridad cibernética industrial.

Una buena comprensión de las Zonas y Conductos resulta de fundamental importancia para evitar caer en errores al momento de la evaluación de riesgos, el diseño, la implementación y su mantenimiento.

El concepto de Zonas y Conductos fue introducido por el comité ISA99 en la serie de normas ISA/IEC-62443, un buen tiempo antes de que las primeras versiones de la norma fueran publicadas en el año 2007.

En la actualidad vemos como muchas otras organizaciones están haciendo un uso diferente de estos mismos términos incrementando la confusión de los usuarios y de las comunidades de profesionales.

Zona. Consiste en el agrupamiento de Ciber-Activos que comparten los mismos requerimientos de seguridad cibernética.

Conducto. Consiste en el agrupamiento de Ciber-Activos dedicados exclusivamente a las comunicaciones y que comparten los mismos requerimientos de seguridad cibernética.

Al momento de modelar las Zonas y Conductos hay una serie de reglas importantes que los profesionales deben tener en consideración. A continuación, compartimos algunas reglas prácticas que van a ser de utilidad:

  1. Una Zona puede tener Sub-Zonas.
  2. Un Conducto no puede tener Sub-Conductos.
  3. Una Zona pueden tener más de un Conducto. Los Ciber-Activos (HOST) dentro de una Zona utilizan uno o más Conductos para comunicarse.
  4. Un conducto no puede atravesar a más de una Zona.
  5. Un conducto puede ser utilizado para que dos o más Zonas se comuniquen entre si.

Veamos estas definiciones en los siguientes gráficos sencillos de comprender. Ejemplos de Correcto. Ejemplos de Incorrecto. Ejemplos de Conductos.

Los Ciber-Activos industriales tiene la particularidad muy especial de que se conectan a más de un conducto. Y muchas veces a varios conductos a la vez. Un PLC fácilmente puede conectarse a 10 o más conductos. Es importante considerar que muchas de las redes industriales son del tipo redundantes.

Algunos tipos de conductos más habituales. La industria de los sistemas industriales posee cientos de protocolos en diferentes medios, por no decir miles de protocolos de todo tipo, naturaleza y función. Muchos de ellos determinísticos, entre otras cualidades técnicas que no viene al caso mencionar aquí.

  • Red de Planta basada en Ethernet con variados protocolos industriales incluyendo OPC.
  • Red de Control del sistema de Control Distribuido. Ejemplo. Yokogawa Centum VNet/IP.
  • Red de Campo Industrial: Ejemplo: Profibus DP, DNP3, y muchos otros.
  • Red de Campo Industrial: Foundation Fieldbus, HART7, y otras.
  • Red Inalámbrica: ISA100, Wireless HART, y otras.
  • Un simple cable serial RS232/422/485 para comunicar dos equipos entre sí.

La ISA/IEC-62443 sugiere una serie de criterios mínimos o elementales para realizar una primera segmentación de Zonas y Conductos inicial, antes de efectuar un estudio de riesgos cibernéticos detallado, también llamado Cyber-PHA (Cyber Pocess Hazardous Analysis), Cyber-HAZOP, o Cyber-LOPA. Muchas personas creen que esta es la última palabra, la recomendación y suficiente, pero es incorrecto. De hecho, está muy lejos de ser lo correcto.

Una vez que se ha realizado la evaluación de riesgos detallada se tendrá una segmentación de Zonas y Conductos óptima, en conjunto con una, muchas veces extensa, lista de recomendaciones y contramedidas. La simple segmentación en si misma es necesaria pero no suficiente. Una serie de recomendaciones debe acompañar la segmentación óptima. Cada Zona o Conducto (Nodo) tendrá un SL-T – nivel de seguridad requerido (Secutity Level Target), y un SL-A – nivel de seguridad actual (Security Level Achieved), todo esto sin entrar en muchos detalles técnicos.

Segmentación InicialAnte de realizar la Evaluación de Riesgos Detallada (Cyber-PHA)

La ISA/IEC-62443 sugiere una serie de criterios mínimos o elementales para realizar una primera segmentación de Zonas y Conductos inicial, antes de efectuar un estudio de riesgos cibernéticos detallado, también llamado Cyber-PHA (Cyber Pocess Hazardous Analysis), Cyber-HAZOP, o Cyber-LOPA. Muchas personas creen que esta es la última palabra, la recomendación y suficiente, pero es incorrecto. De hecho, está muy lejos de ser lo correcto.

Segmentación ÓptimaLuego de realizar la Evaluación de Riesgos Detallada (Cyber-PHA)

Una vez que se ha realizado la evaluación de riesgos detallada se tendrá una segmentación de Zonas y Conductos óptima, en conjunto con una, muchas veces extensa, lista de recomendaciones y contramedidas. La simple segmentación en si misma es necesaria pero no suficiente. Una serie de recomendaciones debe acompañar la segmentación óptima. Cada Zona o Conducto (Nodo) tendrá un SL-T – nivel de seguridad requerido (Secutity Level Target), y un SL-A – nivel de seguridad actual (Security Level Achieved), todo esto sin entrar en muchos detalles técnicos.

Read More

Cumpla con todos los requerimientos de la fase de Assessment de la ISA/IEC-62443 sin herramientas adicionales

Zones & Conduits Manager consiste en una solución diseñada y pensada desde cero para satisfacer todos los requerimientos de la serie de normas ISA/IEC-62443, con el agregado de otras regulaciones, tales como, NIST, NERC, C2M2, y muchas otras. El sistema ZCM ha sido exclusivamente concebido para los ambientes industriales más críticos con sus tecnologías tradicionales.

ZCM ha sido diseñado por un grupo de expertos de Argentina y Estados Unidos y es producido en Estados Unidos de América (Patente Pendiente). El ZCM acumula una gran experiencia y conocimientos en sistemas de control, procesos industriales con más de 20 años de experiencia en el diseño e implementación de sistemas y proyectos de ingeniería de gran tamaño, expertos en Ciberseguridad Industrial, seguridad de procesos, seguridad de personas, y múltiples disciplinas de riesgo industrial en una gran diversidad de industrias.

A diferencia de las otras soluciones existentes del mercado basadas en un acercamiento exclusivamente de seguridad de la información de IT, ZCM permite cumplir con los requerimientos del dominio de la seguridad física, donde los incidentes cibernéticos pueden ocasionar daños a las personas y muertes, daños severos al medioambiente irreversibles en el mediano y largo plazo, pérdida de equipamiento industrial, y todos los múltiples receptores de riesgos.

La Ciberseguridad Industrial debe ser implementada de una forma integral y consistente con las demás disciplinas de riesgo industrial, afirma Maximillian Kon, CEO de WisePlant. No se puede mejorar una disciplina de riesgo en detrimento de las otras. En el ámbito industrial, la demanda por la disponibilidad, integridad y la bajísima tolerancia al riesgo son innegociables y desconocidas en el ámbito de la seguridad de la información. El ZCM permite identificar, modelar e interpretar a todos los Ciber-Activos Industriales, desde los instrumentos de campos hasta los servidores de red de planta, conectados o no a cualquier tipo de red industrial, de la forma en la cual han sido concebidos por los ingenieros.

El ZCM permite a los industriales calcular el riesgo cibernético industrial utilizando la matriz de riesgos corporativa de la planta, en vez de utilizar una muy cuestionable calificación de vulnerabilidades tecnológicas. El sistema ZCM además de monitorear los Ciber-Activos Industriales en tiempo real, permite a los industriales gestionar el riesgo cibernético industrial de una forma consistente con las demás disciplinas, determinando los niveles de seguridad (SL-T) definidos por la ISA/IEC-62443 para cada Zona y Conducto, entre muchas otras funcionalidades que son exclusivas de ZCM.

El sistema ZCM Server viene con tres módulos de Software, cada uno permite atender las necesidades específicas de cada una de las fases del ciclo de vida de la CiberSeguridad Industrial. Estos módulos son ASSESS, IMPLEMENT, y MAINTAIN. El primer módulo de software ASSESS es obligatorio y se suministra con el sistema base.

¿Le gustaría conocer más del Zones & Conduits Manager?

Cumpla con los requerimientos de la ISA/IEC-62443 y de otras regulaciones con facilidad, rapidez y efectividad!

Para conocer más de ZCM visite el siguiente enlace con acceso a las hojas de datos y folletos del sistema. Adicionalmente nuestros especialistas estará disponibles para responder a sus inquietudes, agendar una demostración u otras necesidades.

Read More

WBS para la implementación de ISA/IEC-62443-2-1 en Usuarios Finales

ISA/IEC-62443 indica qué hacer pero no te dice cómo hacerlo. A través de las consultas que recibimos por asesoramiento vemos muchas veces que tanto los usuarios finales como los proveedores de servicios se hallan muy confundidos sobre el tema tan importante como la seguridad cibernética industrial.

También hemos visto muchas veces a través de varios procesos de licitación a los que nos han invitado, afirmando que la empresa está implementando la ISA/IEC-62443 y una vez que pasamos a las especificaciones y a la lectura de los requisitos, los documentos recibidos no tienen nada que ver con ISA/IEC-62443. Vemos como muchas veces han tomado un poco de todo creando una especie de Frankenstein generando más confusión entre los proveedores y luego muy difícil de evaluar y comparar propuestas.

La ciberseguridad industrial es un cambio cultural, y es un gran viaje donde la empresa pasará por un proceso de madurez, así como sus proveedores de soluciones y de servicios. Se debe establecer un programa apropiado con políticas y procedimientos antes de hacer cualquier cosa. Saltar directamente a la realización de una evaluación de riesgos situará a la empresa en una situación difícil. Las raíces necesitan ser correctamente asentadas, y sin esto el árbol en crecimiento finalmente caerá por su propio peso contra el viento más pequeño.

En este gran tema las suposiciones equivocadas, la falta de los conceptos correctos, la falta de capacitación oficial Certificada ISA, la falta de conocimiento real sobre los sistemas de control, el asesoramiento incorrecto sin experiencia previa, y aquellos procesos tomados prestados de los estándares de seguridad de la información, más probablemente situarán a la empresa en el camino equivocado para resolver el problema en el dominio físico. Por eso, la compañía se dará cuenta de que está en el camino equivocado una vez que sea demasiado tarde.

Muchas veces el dominio físico de una empresa está dividido en sub dominios en los cuales las políticas son diferentes, no habiendo una política general de la empresa.  Resulta fundamental el rol de los proveedores de servicios en su interacción con los sistemas de control, muchas veces la falta de conocimiento de las políticas del cliente lleva a “romper las reglas” en las instancias de manejo de equipamiento sensible de una instalación crítica.

[wpdm_package id=’7648′]

Read More
Click to listen highlighted text!