Prayukth KV
Un análisis profundo de los controles IEC 62443-3-3 para operadores de OT
La norma IEC 62443 3-3 trata sobre los requisitos de seguridad del sistema y niveles de seguridad. En un contexto de OT, al abordar específicamente la protección de Sistemas de Automatización y Control Industrial (IACS), IEC 62443 3-3 ofrece un conjunto muy necesario de requisitos y medidas para fortalecer la seguridad de manera mesurada. La simplicidad en el detalle con cobertura son puntos fuertes de IEC 62443 3-3 y los operadores de OT deben aprovechar esto para lograr múltiples objetivos de seguridad.
Para ser aún más específicos, IEC 62443 3-3 va mucho más allá de las políticas de alto nivel y se enfoca en los controles detallados en toda la empresa. También detalla las capacidades técnicas que su sistema debe poseer para resistir amenazas cibernéticas complejas.
El cumplimiento se trata de demostrar con seguimientos de auditoría que estos controles están correctamente implementados y son efectivos.
Antes de continuar, no olvide revisar nuestra última publicación en el blog sobre Su lista de tareas de evaluación de riesgos basada en IEC 62443 para 2026 aquí.
Los Siete Requisitos Fundamentales (FRs)
IEC 62443-3-3 categoriza su extensa lista de requisitos de seguridad alrededor de siete Requisitos Fundamentales básicos o FRs. Estos FRs representan los principios centrales de seguridad que un IACS debe cumplir para ser considerado seguro. Cada FR se desglosa en Requisitos del Sistema específicos (SRs) y Mejoras de Requisitos (REs) para definir el detalle del control y el nivel de seguridad que respalda.
Exploremos los FRs ahora para aprender cómo podemos aprovechar IEC 62443 3-3.
FR 1: Control de Identificación y Autenticación (AC)
Esto se trata de saber quién o qué está accediendo a su sistema.
Controles Clave: Identificación y autenticación única para todos los usuarios (humanos, procesos de software y dispositivos). Esto incluye aplicar políticas de contraseñas sólidas, usar autenticación de dos factores (donde sea aplicable) y gestionar de manera segura los ciclos de vida de las cuentas.
Ejemplos de SR:
SR 1.1: Identificación y Autenticación de Usuario Humano.
SR 1.5: Gestión de Autenticadores (por ejemplo, políticas de contraseñas fuertes, almacenamiento y frecuencia de cambio).
FR 2: Control de Uso (UC)
Una vez autenticado un usuario o dispositivo, este requisito rige qué pueden hacer. Este es el principio de Mínimo Privilegio.
Controles Clave: Control de Acceso Basado en Roles (RBAC) para restringir el acceso y permisos solo a lo necesario para la función del usuario. Esto garantiza que una cuenta comprometida solo pueda afectar una parte limitada del sistema.
Ejemplos de SR:
SR 2.1: Aplicación de Autorización (asignar permisos de usuario a roles específicos y aplicarlos en todo el sistema).
SR 2.3: Control de Uso para Dispositivos Portátiles y Móviles (monitoreo y control de su conectividad y acceso a datos).
FR 3: Integridad del Sistema (SI)
La integridad es vital en un IACS; asegura que el sistema funcione correctamente y que sus datos no hayan sido manipulados.
Controles clave: Abarca proteger los componentes del IACS (hardware, software y firmware) de modificaciones no autorizadas. Esto incluye usar firmas digitales, realizar verificaciones de integridad regulares, implementar protocolos de comunicación seguros y mantener procesos de gestión de parches robustos.
Ejemplos de SR:
SR 3.3: Verificación de Funcionalidad de Seguridad (asegurando que las funciones de seguridad sean probadas y verificadas).
SR 3.4: Integridad del Software e Información (previniendo cambios no autorizados en el código y configuración).
FR 4: Confidencialidad de los Datos (DC)
Este requisito asegura que la información sensible esté protegida de divulgaciones no autorizadas. Aunque a menudo es secundario a la Disponibilidad e Integridad en OT, sigue siendo crucial para procesos propietarios y datos operativos sensibles.
Controles clave: Uso de técnicas criptográficas para proteger datos tanto en tránsito (durante la comunicación) como en reposo (en almacenamiento).
Ejemplos de SR:
SR 4.1: Confidencialidad de la Información (cifrado para canales de comunicación y almacenamiento).
SR 4.3: Uso de Criptografía (definiendo algoritmos aceptables y prácticas de gestión de claves).
FR 5: Flujo de Datos Restringido (RDF)
Esta es la realización técnica de la arquitectura de Zonas y Conductos, un concepto central de IEC 62443.
Controles clave: Segmentación de red para delinear el IACS en Zonas de seguridad con requisitos de seguridad consistentes, y asegurar las vías de conexión controladas (Conductos) entre ellas. Esto se logra típicamente utilizando cortafuegos, reglas de enrutamiento y VLANs, siguiendo una regla de "denegar por defecto, permitir por excepción" para el tráfico.
Ejemplos de SR:
SR 5.1: Aplicación de Zonas y Conductos.
SR 5.2: Protección de Fronteras de Zona (por ejemplo, política de cortafuegos, filtrado de tráfico).
FR 6: Respuesta Oportuna a Eventos (TRE)
Esta es la parte operativa de la seguridad: la capacidad de detectar, registrar y responder a incidentes.
Controles clave: Implementación de monitoreo continuo, registro exhaustivo de eventos (auditoría) y asegurando que los registros estén protegidos contra la manipulación y sean accesibles solo para personal autorizado. Los procedimientos efectivos de respuesta a incidentes son clave para este FR.
Ejemplos de SR:
SR 6.1: Accesibilidad al Registro de Auditoría (acceso de solo lectura para usuarios autorizados).
SR 6.2: Monitoreo Continuo (detección y registro de eventos de seguridad).
FR 7: Disponibilidad de Recursos (RA)
Esto se enfoca en la resistencia del sistema, asegurando que el IACS se mantenga operativo incluso bajo ataque. Para la infraestructura crítica, este es a menudo el FR más importante.
Controles clave: Protección contra ataques de Denegación de Servicio (DoS), implementación de gestión de recursos para prevenir el agotamiento de recursos, y asegurando capacidades robustas de respaldo y recuperación para un rápido retorno a un estado seguro.
Ejemplos de SR:
SR 7.1: Protección DoS (limitando los efectos del DoS en los recursos del sistema).
SR 7.3: Respaldo del Sistema de Control (mantenimiento de respaldos actualizados).
Niveles de Seguridad (SL-C) y cumplimiento
La complejidad de los controles requeridos depende del Nivel de Seguridad Objetivo deseado (SL-T), que se determina a través de una evaluación de riesgos (según IEC 62443-3-2).
IEC 62443-3-3 define las capacidades técnicas requeridas para que un sistema logre un Nivel de Seguridad de Capacidad (SL-C) desde SL1 (protección contra el uso indebido casual o accidental) hasta SL4 (protección contra amenazas al nivel de estados-nación con recursos extensivos).
El cumplimiento se traduce esencialmente en:
Definir el SL-T apropiado para su sistema basado en evidencia.
Implementar todos los SRs y REs específicos dentro de IEC 62443-3-3 que correspondan al SL-T deseado.
Verificar y validar que los controles implementados (el nivel de seguridad alcanzado, SL-A) cumplan o superen el SL-T.
Lograr el cumplimiento ciertamente no es un proyecto de una sola vez. Es un esfuerzo continuo que requiere monitoreo constante, auditoría, seguimiento, modelado y adaptación de sus controles al panorama cambiante de amenazas.
Por último, Shieldworkz tiene una práctica IEC 62443 con base en 5 geografías. Contamos con expertos en IEC 62443 que pueden trabajar con usted y guiarle para cumplir con los SRs y FRs de manera integral. Para obtener más información contáctenos.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Decodificando el silencio estratégico de los grupos cibernéticos iraníes
Equipo Shieldworkz
