Con los ataques contra los sistemas de automatización y control industrial, que están cada vez más conectados a otros sistemas de negocio, las vulnerabilidades cibernéticas representan un importante potencial de falla de modo común.
Los sistemas de información empleados en operaciones (incluyendo los sistemas de control industriales) están a menudo sujetos a requisitos muy estrictos relacionados con la integridad de la información y el rendimiento. Necesidades funcionales de este tipo pueden conducir a la identificación de las necesidades secundarias y limitaciones en áreas tales como la seguridad cibernética.
Los retos asociados con la seguridad de los sistemas de control y los sistemas relacionados han sido temas de discusión y debate durante los últimos años. El comité ISA99 y el grupo 10 del comité técnico 65 de la IEC han desarrollado la serie de normas ANSI/IEC-62443 que proporcionan requisitos y orientación sobre todos los aspectos de la Ciberseguridad Industrial. Esta información se expresa en términos generales, lo que le permite ser aplicado a través de una amplia gama de industrias y situaciones.
El contenido de las normas y prácticas relacionadas con la seguridad cibernética puede ser bastante-arcana ya que requiere una interpretación adicional dentro de un contexto específico antes de que pueda ser aplicada de manera efectiva. Interpretación de “seguridad” en el contexto de una disciplina relacionada es esencial para comprender las implicaciones de los requisitos de seguridad. Esto es particularmente cierto en las áreas de especialización que tienen su propia terminología y los conceptos establecidos.
Una de estas disciplinas relacionadas es el desarrollo, operación y soporte de los sistemas Instrumentados de seguridad de procesos. Hay una creciente conciencia de que la seguridad funcional y la tecnología de la información están relacionados. Es importante para ambas áreas funcionales comprender las diferencias y superposiciones, así como las diferencias típicas en cómo los profesionales de TI ven sus necesidades frente a cómo los ingenieros de control de procesos ven las de ellos.
En las industrias de proceso, sistemas instrumentados de seguridad (SIS) representan una capa de protección que suele implementarse para reducir el riesgo. Otras capas pueden consistir en sistemas instrumentados de la realización de alarmas, enclavamientos, funciones permisivas o controles que utilizan dispositivos dentro del sistema de control básico de proceso (BPCS), así como los sistemas no instrumentados, tales como dispositivos de alivio, válvulas de retención, etc.
El análisis tradicional de riesgos de proceso (PHA), en el pasado, generalmente ha excluido la posibilidad de ataques cibernéticos relacionados que puedan provocar incidentes de seguridad de procesos. Dado que los ataques cibernéticos son dirigidos a los sistemas de control y automatización industrial, incluyendo los sistemas instrumentados de seguridad, alarmas y enclavamientos – las vulnerabilidades cibernéticas representan un importante potencial de falla de modo común. Como resultado de ello, es necesario en el mundo actual que se incluya a la evaluación del riesgo cibernético en el PHA tradicional.
El comité ISA84 desarrolló un informe técnico (ISA-TR84.00.09) para este fin. Se describe cómo la seguridad funcional y la seguridad cibernética deben integrarse, a partir de una nueva planta de proceso en la etapa inicial y continuando a través de todas las fases del ciclo de vida. El informe define los criterios de rendimiento para protegerse contra las amenazas de seguridad internas y externas al sistema instrumentado de seguridad, e incluye una guía específica sobre cómo implementar, operar y mantener la seguridad del sistema sin comprometer el rendimiento de los controles de seguridad, alarmas y dispositivos de bloqueo dentro del sistema de control.
La segunda edición de este informe ha sido recientemente aprobada por el comité y pronto estará disponible para su uso en la comunidad de la seguridad del procesos. A lo largo de su desarrollo, ha habido un grupo de enlace entre los comités ISA84 e ISA99, asegurando que la guía incluida en el informe es coherente con los conceptos generales y los requisitos de la serie IEC-62443.
Se anima a los ingenieros de seguridad de proceso y otras personas involucradas en esta disciplina a utilizar este informe como una referencia valiosa para ayudarles a aplicar la seguridad cibernética a sus sistemas de seguridad.
Para ver la nota publicada en Automation World visite el siguiente LINK
Get Involved & Participate!
Comments