El sistema en consideración (SUC) corresponde a un término utilizado ampliamente por el comité ISA99 para referirse a un sistema que está siendo analizado o debe ser objeto de evaluación de riesgos cibernéticos. Este término (y concepto) tiene un uso muy amplio fuera del mismo comité.

Sistema en Consideración o también llamado Solución en Consideración (SUC), en la serie de normas ISA/IEC-62443-1-2 se lo define como: colección de activos para el propósito de una evaluación de riesgos cibernéticos. Un SUC consiste en un conjunto de una o más zonas y sus conductos relacionados en la cual todos los activos de un SUC están dentro de una zona o de un conducto.

Una zona: es una colección de entidades que representan la segmentación de un sistema bajo consideración que puede ser definido de una relación funcional, lógica o física (ubicación). Una zona tiene una clara delimitación definida por su perímetro o borde.

Un conducto: es una colección o agrupamiento de Ciber-Activos que representan a un canal de comunicación, que sirve para que dos o más zonas se comuniquen entre sí.

A los efectos de poder realizar una evaluación de riesgos cibernéticos de una forma práctica, es necesario definir su alcance. Resulta conveniente a los efectos de organizar el servicio o proyecto, identificar a cada uno de los diferentes SUC.

Las plantas industriales pueden haber seguido diferentes criterios de diseño.

Hay plantas industriales que han sido concebidas con una única sala de control centralizada responsable por todos los diferentes procesos y sectores en un único sistema de control principal. Si bien aquí también suelen coexistir múltiples fabricantes, existe un sistema de control responsable por la operación, supervisión de la planta como un todo. En este caso posiblemente estemos frente a un solo SUC (a veces muy grande).

Hay plantas que tienen múltiples salas de control, y múltiples SUC, donde desde cada una de ellas se opera, supervisa y controla un sector de la planta industrial o una serie de procesos industriales. En este tipo de plantas estaremos sin lugar a duda ante más de un SUC, muy posiblemente varios. Este tipo de plantas industriales suelen tener sistemas de control de diferentes marcas y proveedores.

A los efectos de organizar el trabajo para la evaluación de riesgos cibernéticos, conviene segmentar a la planta en la menor cantidad de SUC, pero de forma tal que sea práctico para el usuario final. Segmentar en exceso suele ser contraproducente. Para definir cada SUC y la cantidad de SUC, pueden emplearse diferentes criterios. Por ejemplo: se pueden segmentar por sectores de la planta, por procesos grandes, salas de control independientes o con diferentes tecnologías, y otros.

Es razonable que muchos se pregunten ¿Por dónde comenzar? A pesar de lo que muchos creen, conviene comenzar por los SUC más complejos, más críticos, o aquellos que reúnen “presuntamente” la mayor variedad de situaciones. Estos SUC más críticos o importantes, seguramente serán los que más riesgos cibernéticos presenten para la organización. Conviene comenzar por aquí. Las lecciones aprendidas serán mucho más beneficiosas para la organización y de esta forma estará lista para mitigar los riesgos más grandes primero, dejando los sistemas de menor riesgo para el final.

Al final de cuentas se requiere analizar a la totalidad de los sistemas, estén conectados en red o completamente aislados. Hay que evaluarlos a todos. La definición o agrupación de SUC permite organizar el proyecto en partes más controlables. Cada una de estas partes (o SUC) se pueden analizar en serie, uno a continuación de otro, o bien en paralelo, por el mismo grupo de trabajo o inclusive por grupos de trabajo diferentes, tanto del lado del usuario como del lado del proveedor, indistintamente.

Importancia del SUCEs muy importante identificar bien el SUC antes de analizar los Riesgos Industriales

Una vez definido el SUC, durante su evaluación, es de suma importancia identificar bien a cada uno de los Sistemas bajo Consideración con todos los Ciber-Activos (Hardware, Firmware, Software) que hacen parte del mismo. Hacerlo mal o incompleto trasladará el error a todas las demás actividades, y se correrá el riesgo de realizar una mala evaluación de riesgos y por lo tanto tomar las decisiones incorrectas o insuficientes. La norma ISA/IEC-62443 es muy clara en cuanto a qué debe ser considerado como alcance, y a cómo identificar a cada uno de los Ciber-Activos, en sus Zonas y Conductos.

Errores Frecuentes... que las empresas suelen cometer al momento de comprender a los Sistemas

Uno de los errores más comunes, que vemos con frecuencia, parte de la base de una mala definición de alcance, limitando la evaluación a determinados tipos de Ciber-Activos. Es decir, que realiza una identificación parcial del SUC, con una lista parcial del Inventario real. Caso 1: solo se toman en consideración aquellos Ciber-Activos que se conectan a una red TCP/IP y se dejan fuera del alcance a todos los demás, inclusive aquellos que está aislados de las redes o no tienen conexión. Caso 2: Una definición incorrecta de qué se entiende cómo Ciber-Activo. Caso 3: durante la comprensión del SUC se omite levantar datos importantes.

Otro de los errores más comunes, que vemos con frecuencia, consiste en prejuzgar el riesgo cibernético. Muchas personas consideran que determinados Ciber-Activos no son importantes antes de evaluar el riesgo cibernético con la metodología adecuada. Se produce una sub-estimación del riesgo y de las capacidades que pueda llegar a tener el Ciber-Activo antes de analizarlo. Adicionalmente si un Ciber-Activo no presenta riesgo, esto debe ser documentado y justificado con la metodología correcta.

Otro error aún más común, consiste en una obsesión por encontrar vulnerabilidades tecnológicas en los Ciber-Activos. Si bien es recomendable incluir un estudio de vulnerabilidades, vemos como muchas veces las empresas de servicios concentran todos sus esfuerzos y recursos en la evaluación de vulnerabilidades. Si bien es útil, se deben realizar con cierta razonabilidad y balance con las demás actividades y tareas necesarias. Ejemplo. Las famosas pruebas de penetración en sistemas de planta resulta innecesaria y adicionalmente contraproducente.

close

LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author: Maximillian Kon WiseGroup Manager Into Cybersecurity ISA Qualified Instructor ISA Groups Member
CEO & Managing Director