WiseSecurity provee servicios de seguridad sobre procesos industriales en cada fase del ciclo de vida de la planta. Guiamos a nuestros clientes a través de nuestra metodología de evaluación de riesgo exclusiva para la seguridad industrial que llamamos PHA (Process Hazardous Analysis). La metodología PHA es una aplicación práctica de los requisitos de evaluación de riesgo de la serie de normas IEC-61511 publicadas por el Comité ISA84.

RIESGO = F(FALLA, CONSECUANCIA)

Las vulnerabilidades en los sistemas industriales se generan en cada una de todas las etapas del ciclo de vida. Con metodologías probadas la identificción de las vulnerabilidad es clave para su mitigación. Una mitigación temprana por diseño significará el menor costo total de propiedad (TCO) y el menor riesgo.

• Diseño, Ingeniería y Compra: el diseño de los sistemas de control y sus redes industriales representa uno de los principales y más importantes causas de los elevados riesgos cibernéticos que corren los usuarios finales y que se evidencia con la falta de criterios adecuados de ingeniería (CSRS) para el diseño y compra de los nuevos sistemas que luego se propagan a las etapas siguientes.
• Configuración y Construcción: la falta de especificaciones de ciberseguridad industrial (CSRS) al inicio de un nuevo proyecto significa que necesariamente los proveedores a integradores van a omitir la gran mayoría de los aspectos mínimos necesarios. Cada planta y proceso es diferente y no deben ni pueden ser tratados de la misma forma. Aún existiendo estas especificaciones (CSRS) su cumplimiento y validación requiere de conocimientos específicos en la gestión de riesgos cibernéticos.
• Instalación, Operación y Mantenimiento: la falta de criterios en la selección de productos, tecnologías y fabricantes como la falta de monitoreo y mantenimiento adecuados, necesariamente significa que la cantidad de vulnerabilidades y los elevados riesgos por causas cibernéticas que los usuarios finales enfrentará aumentarán significativamente con el tiempo y por lo tanto el costo total de propiedad (TCO) crecerá exponencialmente.

Proveemos servicios de análisis de redes de planta y redes inteligentes de campo para la evaluación de rendimiento, detección de fallas en la configuración, detección de intrusiones e identificación de vulnerabilidades, incluyendo defectos en la instalación y sus potenciales riesgos en la industria de procesos. Analizamos protocolos de tipo serial, basados en Ethernet y propietarios de uso industrial.

Proveemos servicios intrusivos de laboratorio para la identificación de vulnerabilidades en sistemas existentes o sistemas nuevos antes de ser instalados en aplicaciones críticas. Estos servicios pueden ser desarrollados durante las etapas de FAT y SAT, o también sobre sistemas existentes (en banco de pruebas) con herramientas específicas, agresivas y muy persistentes.

Proveemos servicios de análisis y diagnóstico de los extensos programas de automatización antes o después de su incorporación en la planta, con la finalidad de buscar errores de programación, potenciales códigos maliciosos, alteración de firmware, variables sospechosas, problemas de rendimiento, puertas traseras, malas prácticas de ingeniería e inclusive cambios no autorizados en PLCs, DCSs, RTUs, y SISs, en los 5 lenguajes de programación IEC-61311 para sistemas de control.

Proveemos servicios educacionales a medida de los clientes. Desarrollamos cursos de seguridad funcional y seguridad cibernética para facilitar la implementación de políticas y nuevos procedimientos de la compañía. Estos cursos suelen ser necesarios para desarrollar campañas internas de concienciación y de formación. También desarrollamos y proveemos cursos de capacitación y certificación profesional sobre las normas internacionales desarrolladas por los comités ISA99 e ISA84.