Equipo Shieldworkz
Hoy compartimos una guía para profesionales sobre cómo combinar los dos marcos de seguridad de OT más autorizados del mundo en un programa que realmente se sostenga en el terreno.
La mayoría de los programas de ciberseguridad industrial (OT) no fallan debido a malas elecciones tecnológicas, sino porque a menudo se construyen sobre marcos de TI heredados que nunca fueron diseñados para entornos en los que un setpoint mal configurado puede costarle la vida a alguien. Este artículo es una guía práctica escrita para las personas que recorren las plantas, discuten con los proveedores de DCS sobre actualizaciones de firmware y tienen que explicar a la gerencia de operaciones por qué un control de seguridad que tiene perfecto sentido en un centro de datos de TI causará un disparo espurio en una estación compresora. |
Antes de seguir adelante, no olvide consultar nuestra publicación anterior en el blog sobre la nueva caja de herramientas de seguridad para la cadena de suministro de TIC de la UE, aquí.
¿Por qué contar con dos marcos de referencia y por qué utilizarlos juntos?
Un error común y comprensible es elegir un solo marco de referencia y construir un programa exclusivamente a su alrededor. Los gestores de programas a menudo se preguntan: ¿Es suficiente la norma IEC 62443 por sí sola? ¿Basta con la NIST SP 800-82? La respuesta a ambas preguntas es: no del todo, y aquí explicamos por qué.
IEC 62443 es un estándar de ingeniería desarrollado por la ISA y adoptado por la CEI con una profunda participación de ingenieros de sistemas de control, profesionales de seguridad de procesos y proveedores de OT. Su ADN principal se encuentra en el nivel de planta, abarcando zonas y conductos, niveles de seguridad, requisitos de componentes y la cadena de suministro de proveedores de servicios. Le indica qué propiedades de seguridad deben tener sus sistemas y, lo que es más importante, en qué grado.
El estándar NIST SP 800-82, con su última Revisión 3 (publicada en septiembre de 2023), es esencialmente un documento de orientación. Es descriptivo en lugar de prescriptivo e indica qué debe considerar y cómo debe pensar la seguridad de ICS/OT. Se alinea con el Marco de Ciberseguridad de NIST (CSF 2.0), proporcionando niveles de implementación, perfiles y una taxonomía integral de amenazas, vulnerabilidades y arquitecturas de OT.
| Serie IEC 62443 | NIST SP 800-82 Rev.3 |
Tipo | Estándar de ingeniería: Prescriptivo | Documento de orientación: Descriptivo |
Certificación | Certificable (ISA/IEC) | No certificable; alineado con el cumplimiento |
Uso principal | Define SL1–SL4, FR1–FR7, modelo de Zona/Conducto, requisitos de la cadena de suministro para componentes, sistemas y proveedores de servicios (SPs) | Se alinea con NIST CSF 2.0. Proporciona orientación de arquitectura, modelo de amenazas y catálogo de contramedidas |
Ideal para | Rigor de ingeniería y arquitectura de seguridad de OT objetivo | Estructura de gestión de programas y gobernanza superpuesta |
Utilizado por | Petróleo y gas, energía, manufactura; alcance internacional | Gobierno federal de EE. UU., infraestructura crítica, organizaciones alineadas con NIST CSF |
⚠ VERIFICACIÓN DE LA REALIDAD EN EL CAMPO En sectores como petróleo y gas, generación de energía y tratamiento de agua, reguladores y auditores esperan cada vez más que las organizaciones demuestren alineación tanto con IEC 62443 (para el rigor de los controles técnicos) como con NIST CSF/SP 800-82 (para la gobernanza del programa). Construir sobre ambos desde el principio evita costosas reestructuraciones arquitectónicas más adelante. |
02 Comprensión detallada de cada marco de referencia
IEC 62443: La serie de estándares que necesita dominar a la perfección
IEC 62443 no es una norma única, sino una familia de estándares organizada en cuatro series. Los profesionales que la tratan como un solo documento cometen errores críticos de implementación. A continuación, se detalla qué cubre cada serie y por qué es importante a nivel operativo:
Estándar | Título (Abreviado) | Relevancia operativa |
IEC 62443-1-1 | Terminología, conceptos y modelos | Define Zona, Conducto, SL-T, SL-A, SL-C, IACS, CSMS. Si su equipo no está de acuerdo con estas definiciones, su programa se fragmentará. Así que no olvide leer esto primero. |
IEC 62443-2-1 | CSMS. También conocido como Sistema de Gestión de Ciberseguridad | Define los requisitos organizacionales: proceso de gestión de riesgos, políticas de seguridad, capacitación en concientización, respuesta a incidentes y el ciclo de vida general del CSMS. Se mapea directamente con las funciones de Gobernar e Identificar de NIST CSF. |
IEC 62443-2-3 | Gestión de parches | Define los roles y responsabilidades entre los propietarios de activos y los proveedores para la aplicación de parches. Es crítico para industrias con ventanas de mantenimiento prolongadas (12–24 meses entre paros planificados). |
IEC 62443-2-4 | Requisitos para proveedores de servicios | Define los requisitos de seguridad para integradores y proveedores de servicios. Si utiliza proveedores de servicios de OT externos, esta norma rige lo que puede exigirles contractualmente. |
IEC 62443-3-2 | Evaluación de riesgos de seguridad para el diseño de sistemas | La metodología central de evaluación de riesgos. Define cómo establecer Zonas y Conductos, determinar el Nivel de Seguridad Objetivo (SL-T) y documentar la evaluación de riesgos de seguridad. Este es el corazón operativo de la norma. |
IEC 62443-3-3 | Requisitos de seguridad del sistema y niveles de seguridad | Define 51 requisitos de sistema organizados bajo FR1–FR7 en los niveles SL1, SL2, SL3, SL4. Este es el referente técnico con el que evalúa sus sistemas OT. |
IEC 62443-4-1 | Ciclo de vida de desarrollo seguro (SDL) | Requisitos para desarrolladores de productos. Relevante al evaluar la madurez de seguridad de los proveedores de OT y al adquirir nuevos sistemas. |
IEC 62443-4-2 | Requisitos técnicos para componentes IACS | Requisitos de SL a nivel de componente para dispositivos embebidos (PLCs, RTUs), hosts (HMI, EWS) y dispositivos de red. Utilícelo al especificar los requisitos de adquisición. |
El modelo de Nivel de Seguridad (SL) es la contribución definitoria de IEC 62443. Los niveles SL1 a SL4 no son solo clasificaciones de gravedad; definen la capacidad del actor de amenaza que sus controles deben resistir:
Nivel de seguridad | Actor de amenaza | Aplicación típica de OT |
SL 1 | Violación casual / no intencional | Servicios públicos de baja criticidad, gestión de edificios, infraestructura de red fuera del proceso |
SL 2 | Medios intencionales y simples, baja motivación | DCS de producción, SCADA estándar, servidores historizadores, RTUs de campo en sitios no críticos |
SL 3 | Herramientas sofisticadas y específicas de OT, actor motivado | Sistemas Instrumentados de Seguridad (SIS/ESD), SCADA de tuberías críticas, fraccionamiento en refinerías, sistemas DP marinos |
SL 4 | Estado-nación, recursos ampliados, zero-days específicos para OT | Infraestructura nacional crítica designada (CNI); rara vez requerida comercialmente |
NIST SP 800-82 Rev.3: Qué cambió y por qué es importante
La Revisión 3, publicada en septiembre de 2023, es una actualización sustancial con respecto a la Rev.2 (2015). Los cambios más importantes para los profesionales son:
• Alineación total con el marco NIST CSF 2.0, incluyendo la nueva función Gobernar. Esto eleva formalmente la gobernanza de ciberseguridad corporativa a toda la organización, no solo a nivel técnico.
• Mayor cobertura para arquitecturas de OT conectadas a la nube, IIoT y computación perimetral que no se contemplaban en la Rev.2, lo cual es crítico para entornos modernos de petróleo y gas y manufactura avanzada.
• Un panorama de amenazas actualizado que incorpora malware específico de ICS posterior a 2015: TRITON/TRISIS (ataque SIS), INDUSTROYER2 (red eléctrica), PIPEDREAM/INCONTROLLER (marco de ataque ICS multiplataforma).
• Arquitecturas de referencia actualizadas con diseños modernos de DMZ, defensa en profundidad para redes OT y orientación sobre la integración con SOC de OT.
Recibe semanalmente
Recursos y Noticias
Vea cómo nuestras soluciones de seguridad de OT líderes en la industria abordan los desafíos de seguridad críticos
También te puede interesar
The Ultimate Guide to Zero Trust Security for Industrial Control Systems
Team Shieldworkz
SCADA Security: Why Removable Media Is One of the Biggest Attack Vectors in OT Environments
Team Shieldworkz
Navigating Removable Media Compliance: NERC CIP & IEC 62443 for OT/ICS Environments
Team Shieldworkz
Securing the Distributed Grid: Lessons from the First Coordinated Cyberattack on Wind and Solar Infrastructure
Team Shieldworkz
How to Create a Removable Media Security Policy Template
Team Shieldworkz
The Stuxnet USB Attack: Why Removable Media is Still a Threat
Team Shieldworkz
