Tal como lo manifiestan múltiples organizaciones especializadas, la Seguridad de Procesos Industriales no está completa sin una buena Seguridad Cibernética que entienda los riesgos Industriales y mitigue sus Vulnerabilidades. Las amenazas a los sistemas de control, incluyendo a los SIS son reales. Los incidentes vienen ocurriendo todos los años y van en aumento. La IEC ha reconocido la importancia de proteger a los SIS de las amenazas correspondientes a la CiberSeguridad. Los usuarios finales deberán demostrar cumplimiento con el nuevo estándar, ya sea para instalaciones existentes como para nuevas instalaciones. La Seguridad Funcional y la CiberSeguridad ahora están alineadas e integradas, con requerimientos de Ciclo de Vida similares. Comprender dónde se encuentran las vulnerabilidades de sus sistemas industriales es clave, incluyendo en sus redes de comunicaciones.
Sin ir muy lejos, varios cambios importantes fueron introducidos en la serie de normas IEC-61511 Partes 1, 2 y 3 Segunda Edición. «Functional Safety – safety instrumented systems for the process industry sector», el año pasado. También conocidas como Serie de normas ISA84 para la Seguridad Funcional.
Algunas de las modificaciones introducidas en la Segunda Edición de la IEC-61511, incluyen:
- Análisis de riesgos digitales (Cyber) debe ser realizado en los Sistemas Instrumentados de Seguridad, para prevenir cambios por accesos no autorizados y potenciales riesgos externos.
- Auditorias regulares de Seguridad Funcional (FSA) deben ser realizadas durante la operación y mantenimiento del Ciclo de Vida del Sistema. (La vieja versión requería realizar auditorias antes de que el sistema retornara a servicio).
- Requerimientos de competencias fueron modificados con más detalles, incluyendo registros de entrenamiento regulares.
- Requerimientos de Especificaciones de Seguridad (SRS) fueron aumentados para incluir a los sistemas de E/S, rangos de medición de procesos y exactitud.
- Tiempo de Seguridad de Procesos (PST) fue modificado, y el tiempo de la función de seguridad instrumentada (SIF) debe ser documentada y mostrada menor que el PST.
- Requerimientos específicos para gestionar el bypass SIF durante la operación y mantenimiento de partes del Ciclo de Vida del SIS.
- Entre otras.
Más específicamente lo relativo a la Seguridad Cibernética encontraremos que en la Sección 8.2.4) de la IEC-61511 una evaluación de Seguridad debe ser realizada para identificar las Vulnerabilidades del SIS. Debe resultar en:
- Una descripción de los dispositivos que son alcanzados por el Análisis de Riesgos (SIS, BPCS, o cualquier otro dispositivo conectado al SIS);
- Una descripción de las amenazas identificadas que puedan ser explotadas como resultado de eventos de seguridad (incluyendo potenciales ataques al hardware, programas de software, al igual que eventos no intencionados);
- Una descripción de las potenciales consecuencias como resultado de los eventos de seguridad y la probabilidad de ocurrencia;
- Su consideración en las diferentes fases, tales como diseño, implementación, comisionado, operación y mantenimiento;
- La determinación de los Requerimientos para obtener una reducción adicional del Riesgo.
Referencias:
- Nota publicada por Control Global en el siguiente LINK
Get Involved & Participate!
Comments