Somos conscientes de la fuerte conexión entre la ciberseguridad industrial y la seguridad de procesos. También creemos que no se puede lograr procesos seguros sin incluir a la ciberseguridad. Las múltiples disciplinas de riesgos industriales están vinculadas y con el avance de la tecnología y de las amenazas cibernéticas, las plantas, las personas y el medioambiente no están lo suficientemente protegidos si los sistemas no son tolerantes a las vulnerabilidades remanentes y persistentes amenazas.
Como un proveedor de soluciones para todo el ciclo de vida de los procesos, nuestra misión es de ayudar para asegurar que la ciberseguridad esté diseñada correctamente en los sistemas de control nuevo o existente y se pueda mantener correctamente en el tiempo de forma sostenible.
En la actualidad muchas organizaciones y profesionales confunden a la evaluación de riesgos cibernéticos industriales con la identificación y análisis de vulnerabilidades. Si bien están relacionadas éstas son bien diferentes.
Proveemos servicios de ciberseguridad sobre sistemas industriales (IACS) en cada fase del ciclo de vida de seguridad en los proyectos de automatización. Guiamos a nuestros clientes a través de nuestra metodología de evaluación de riesgo exclusiva para la ciberseguridad industrial e infraestructuras críticas que llamamos Cyber-PHA. La metodología Cyber-PHA es una aplicación práctica de los requisitos de evaluación de riesgo de la serie de normas ISA/IEC-62443 publicadas por el Comité ISA99.
RIESGO = F(VULNERABILIDAD, CONSECUENCIA)
WiseSecurity provee servicios de seguridad sobre procesos industriales en cada fase del ciclo de vida de la planta. Guiamos a nuestros clientes a través de nuestra metodología de evaluación de riesgo exclusiva para la seguridad industrial que llamamos PHA (Process Hazardous Analysis). La metodología PHA es una aplicación práctica de los requisitos de evaluación de riesgo de la serie de normas IEC-61511 publicadas por el Comité ISA84.
RIESGO = F(FALLA, CONSECUANCIA)
Las vulnerabilidades en los sistemas industriales se generan en cada una de todas las etapas del ciclo de vida. Con metodologías probadas la identificción de las vulnerabilidad es clave para su mitigación. Una mitigación temprana por diseño significará el menor costo total de propiedad (TCO) y el menor riesgo.
- Diseño, Ingeniería y Compra: el diseño de los sistemas de control y sus redes industriales representa uno de los principales y más importantes causas de los elevados riesgos cibernéticos que corren los usuarios finales y que se evidencia con la falta de criterios adecuados de ingeniería (CSRS) para el diseño y compra de los nuevos sistemas que luego se propagan a las etapas siguientes.
- Configuración y Construcción: la falta de especificaciones de ciberseguridad industrial (CSRS) al inicio de un nuevo proyecto significa que necesariamente los proveedores a integradores van a omitir la gran mayoría de los aspectos mínimos necesarios. Cada planta y proceso es diferente y no deben ni pueden ser tratados de la misma forma. Aún existiendo estas especificaciones (CSRS) su cumplimiento y validación requiere de conocimientos específicos en la gestión de riesgos cibernéticos.
- Instalación, Operación y Mantenimiento: la falta de criterios en la selección de productos, tecnologías y fabricantes como la falta de monitoreo y mantenimiento adecuados, necesariamente significa que la cantidad de vulnerabilidades y los elevados riesgos por causas cibernéticas que los usuarios finales enfrentará aumentarán significativamente con el tiempo y por lo tanto el costo total de propiedad (TCO) crecerá exponencialmente.
Proveemos servicios de análisis de redes de planta y redes inteligentes de campo para la evaluación de rendimiento, detección de fallas en la configuración, detección de intrusiones e identificación de vulnerabilidades, incluyendo defectos en la instalación y sus potenciales riesgos en la industria de procesos. Analizamos protocolos de tipo serial, basados en Ethernet y propietarios de uso industrial.
Proveemos servicios intrusivos de laboratorio para la identificación de vulnerabilidades en sistemas existentes o sistemas nuevos antes de ser instalados en aplicaciones críticas. Estos servicios pueden ser desarrollados durante las etapas de FAT y SAT, o también sobre sistemas existentes (en banco de pruebas) con herramientas específicas, agresivas y muy persistentes.
Proveemos servicios de análisis y diagnóstico de los extensos programas de automatización antes o después de su incorporación en la planta, con la finalidad de buscar errores de programación, potenciales códigos maliciosos, alteración de firmware, variables sospechosas, problemas de rendimiento, puertas traseras, malas prácticas de ingeniería e inclusive cambios no autorizados en PLCs, DCSs, RTUs, y SISs, en los 5 lenguajes de programación IEC-61311 para sistemas de control.
Proveemos servicios educacionales a medida de los clientes. Desarrollamos cursos de seguridad funcional y seguridad cibernética para facilitar la implementación de políticas y nuevos procedimientos de la compañía. Estos cursos suelen ser necesarios para desarrollar campañas internas de concienciación y de formación. También desarrollamos y proveemos cursos de capacitación y certificación profesional sobre las normas internacionales desarrolladas por los comités ISA99 e ISA84.
Cumplimiento
Desde WiseSecurity tenemos la capacidad para proveer servicios y soluciones de seguridad que permitan a nuestros clientes e integradores certificados cumplir con las siguientes normas, estándares, regulaciones, políticas y requerimientos de seguridad.
Seguridad Cibernética Industrial e Infraestructuras Críticas
- ISA/IEC-62443 Series
- ISA TR84.00.09
- NIST SP800-82
- NIST Cybersecurity Framework
Seguridad de Procesos Industriales, Calderas, Quemadores y Turbomaquinaria
- ISA84/IEC-61508/IEC-61511
- NFPA 85, 86 y 87/API-RP556/CSA-B149.3
- API-670
Seguridad Intrínseca en Zonas Clasificadas o Áreas Explosivas
- ATEX basado en Estándares IEC-79
- IECEx basado en el sistema ATEX
- UL/FM/CSA
Catálogo de ServiciosServicios especializados para Infraestructuras Críticas Industriales
Los siguientes servicios fueron diseñados y desarrollados exclusivamente para ser aplicados en infraestructuras críticas industriales. Estos servicios cumplen con los requerimientos de normas internacionales y han sido diseñados para ser ejecutados de forma individual o de forma integral como parte de un proyecto mayor.
- Programa Completo de Ciberseguridad Industrial e Infraestructuras Críticas.
GOBIERNO Y MEJORA CONTINUAPolíticas, procedimientos, madurez, auditoria, cumplimiento, mejora continua.
Los siguientes son servicios básicos mínimos necesarios para cumplir con los requerimientos de implementar un programa de Ciberseguridad Industrial según la serie de normas ISA/IEC-62443 en plantas industriales nuevas o existentes.
-
Racionalidad del Negocio (BURA)
$440.00 – $8,800.00 -
Políticas y Procedimientos (POPR)
$440.00 – $8,800.00 -
Auditoria y Cumplimiento (AUCO)
$440.00 – $8,800.00 -
Capacitación y Concientización (TRPR)
$440.00 – $8,800.00
FASE: EVALUACIÓNSeguridad de Procesos y CiberSeguridad
Los siguientes son servicios básicos mínimos necesarios para cumplir con los requerimientos de implementar un programa de Ciberseguridad Industrial según la serie de normas ISA/IEC-62443 en plantas industriales nuevas o existentes.
-
Identificación del Sistema Bajo Consideración (SuC)
$440.00 – $8,800.00 -
Análisis de Brechas de Seguridad (GAP)
$440.00 – $8,800.00 -
Análisis de Riesgos Cibernéticos de Alto Nivel (HLRA)
$440.00 – $8,800.00 -
Análisis de Riesgos Cibernéticos Detallado (Cyber-PHA)
$440.00 – $8,800.00
FASE: DISEÑO E IMPLEMENTACIÓNDiseño, Implementación y Construcción de la Ciberseguridad
Los siguientes son servicios básicos mínimos necesarios para cumplir con los requerimientos de implementar un programa de Ciberseguridad Industrial según la serie de normas ISA/IEC-62443 en plantas industriales nuevas o existentes.
-
Diseño Conceptual de Zonas y Conductos (CDZC)
-
Desarrollo de Especificaciones con Requerimientos de CiberSeguridad Industrial (CSRS)
-
Diseño y Desarrollo de Firewall en Redes Industriales (IFDI)
-
Endurecimiento de Sistemas y Redes Industriales (HARD)
-
Diseño e Implementación de Control de Acceso y Acceso Remoto (ACRA)
-
Diseño y Desarrollo de Pruebas de Aceptación de CiberSeguridad en Sistemas Industriales (CAT)
FASE: OPERACIÓN Y MANTENIMIENTOOperación, mantenimiento, auditoria y cumplimiento
Los siguientes son servicios básicos mínimos necesarios para cumplir con los requerimientos de implementar un programa de Ciberseguridad Industrial según la serie de normas ISA/IEC-62443 en plantas industriales nuevas o existentes.
-
Diseño e Implementación de Sistemas de Monitoreo de Redes Industriales (OTMO)
-
Diseño e Implementación del Centro de Seguridad de Operaciones para IACS/OT (SOCOT)
-
Gestión de Cambio de Ingeniería en Sistemas Industriales (MOCP)
-
Gestión y Realización de Actualizaciones en Sistemas y Redes Industriales (PMDS)
$560.00 – $2,800.00 -
Diseño y Servicio de Programas para Respaldo y Recupero de Sistemas Industriales (BURS)
-
Auditorias Periodicas de CyberSeguridad y Cumplimiento (PCSA)
COMPLEMENTARIOSCiberseguridad Industrial e Infraestructuras Críticas
Los siguientes son algunos servicios complementarios que pueden ser utilizados para profundizar en la identificación de vulnerabilidades en sistemas y redes industriales y aplicaciones típicas encontradas en infraestructuras críticas de IT/OT. Dependiendo de los métodos y de las técnicas empleadas, estos servicios pueden llegar a ser intrusivos y destructivos (Pruebas de Penetración).
Los siguientes son algunos servicios complementarios que pueden ser utilizados para diseñar soluciones en ambientes industriales peligrosos, infraestructuras críticas y activos críticos, tales como salas de control, edificios, plantas industriales y otros predios.
Folletos
Inglés
Español
Portugués
Eventos anteriores destacadosWebinars, Congresos y Conferencias
Ud. debe ser un usuario registrado para poder ver las grabaciones de los siguientes eventos.