site-logo
site-logo
site-logo

Navegando por el Cumplimiento de Medios Extraíbles: NERC CIP e IEC 62443 para Entornos OT/ICS

Navegando por el Cumplimiento de Medios Extraíbles: NERC CIP e IEC 62443 para Entornos OT/ICS

Navegando por el Cumplimiento de Medios Extraíbles: NERC CIP e IEC 62443 para Entornos OT/ICS

Navegando el cumplimiento de soportes físicos extraíbles
Logo de Shieldworkz

Equipo Shieldworkz

Navegando por el cumplimiento de la regulación de medios extraíbles: Qué exigen realmente NERC CIP e IEC 62443, y qué está en juego si se equivoca

Hay una clase específica de amenaza cibernética que mantiene despiertos a los profesionales experimentados en seguridad de OT por la noche; no es el ataque sofisticado de un estado-nación, ni el exploit de día cero, sino la humilde unidad USB. Un técnico de mantenimiento que conecta una unidad flash personal. Un proveedor que conecta una computadora portátil para actualizar el firmware. Un ingeniero con buenas intenciones que extrae datos para un informe fuera de línea.

Cada una de estas acciones, ejecutada sin un programa de cumplimiento de medios extraíbles obligatorio, puede introducir malware, exfiltrar datos operativos confidenciales o crear un punto de apoyo para ataques dirigidos a sus activos industriales más críticos: sus PLC, sus sistemas SCADA, sus sistemas de control distribuido y los procesos físicos que gestionan.

Para las organizaciones que operan dentro de entornos industriales regulados, esto no es simplemente una preocupación de seguridad. Es una obligación de cumplimiento con consecuencias legales y financieras medibles. Los estándares NERC CIP en el sector energético, y el marco de trabajo reconocido internacionalmente IEC 62443 en entornos industriales más amplios, contienen requisitos claros y aplicables sobre el uso de medios extraíbles, autorización, escaneo de malware y documentación.

Comprender lo que realmente exigen estos marcos de trabajo, más allá de una lectura superficial, es donde la mayoría de las organizaciones encuentran sus brechas de cumplimiento. Este blog proporciona un desglose detallado y práctico de cómo se ve el cumplimiento, cuáles son los riesgos en el mundo real y cómo las organizaciones con visión de futuro están construyendo programas de medios extraíbles listos para auditorías hoy en día.

Por qué los líderes de seguridad de OT deben priorizar esto ahora

El incidente de la planta de tratamiento de agua de Oldsmar en Florida de 2021, donde un atacante intentó aumentar los niveles de hidróxido de sodio a concentraciones peligrosas, recordó a la comunidad global de infraestructura crítica algo importante: la superficie de ataque para los sistemas industriales es mucho más amplia que los firewalls y los perímetros de red.

Lo que a menudo no aparece en los titulares es que las investigaciones forenses posteriores al incidente en casos comparables identifican regularmente a los medios extraíbles como un vector primario o un factor contribuyente en el movimiento lateral de amenazas dentro de entornos de OT. El ataque TRISIS/TRITON a una instalación petroquímica del Medio Oriente, el malware Industroyer que derribó secciones de la red eléctrica de Ucrania en 2016 y numerosas campañas de ransomware enfocadas en la manufactura han compartido un hilo común: la fase inicial de penetración o propagación explotó endpoints donde los controles de medios físicos estaban ausentes o eran ineficaces.

Estadísticas clave de la industria: Amenazas de medios extraíbles en entornos de OT

• Las amenazas basadas en USB dirigidas a entornos industriales aumentaron en más del 50% entre 2019 y 2023, según múltiples informes de seguridad de la industria

• Aproximadamente el 52% de los ataques a los sistemas de control industrial involucran alguna forma de medio extraíble como mecanismo de entrega o método de movimiento lateral

• Los sectores de energía y servicios públicos representan la mayor proporción de incidentes de seguridad de OT relacionados con medios extraíbles a nivel mundial

• Más del 70% de las organizaciones en industrias intensivas en activos carecen de una política de control de dispositivos USB formalmente documentada y obligatoria

• Las infracciones de NERC CIP relacionadas con medios extraíbles y activos cibernéticos transitorios han dado lugar a algunas de las sanciones regulatorias individuales más grandes en los últimos años

Para los CISO, gerentes de planta e ingenieros de ICS que deben mantener tanto la continuidad operativa como el cumplimiento regulatorio, la pregunta ya no es si los medios extraíbles representan un riesgo significativo. La pregunta es si sus controles actuales se mantendrían firmes bajo una auditoría de NERC CIP o una revisión de conformidad de IEC 62443, y cuáles serían las consecuencias si no lo hicieran.

NERC CIP y medios extraíbles: Lo que el estándar realmente exige

Los estándares de Protección de Infraestructura Crítica de la Corporación de Confiabilidad Eléctrica de América del Norte se desarrollaron específicamente para proteger el Sistema Eléctrico de Potencia de las amenazas de ciberseguridad. Para los operadores de instalaciones de generación, sistemas de transmisión y activos de distribución que cumplen con los umbrales de clasificación del Sistema Cibernético del BES, el cumplimiento es obligatorio, no opcional.

Dentro del marco NERC CIP, los medios extraíbles y los activos cibernéticos transitorios se rigen principalmente por CIP-003-8 y CIP-010-4, con obligaciones de apoyo bajo CIP-004-7 y CIP-007-6.

CIP-003-8: Controles de seguridad del Sistema Cibernético del BES de bajo impacto

Para organizaciones con activos de bajo impacto, la sección 3 del anexo 1 de CIP-003-8 exige controles específicos sobre activos cibernéticos transitorios y medios extraíbles. Esto incluye métodos documentados para proteger contra el uso de medios extraíbles no autorizados, controles de autorización y políticas que rigen los medios físicos cuando se conectan a Sistemas Cibernéticos del BES de bajo impacto.

Muchas organizaciones subestiman el alcance aquí. CIP-003-8 se aplica no solo a activos de alto y mediano impacto, sino que extiende obligaciones significativas a sistemas clasificados de bajo impacto, que a menudo incluyen subestaciones, puntos de control distribuidos y activos de campo que son notoriamente difíciles de monitorear.

CIP-010-4: Gestión de cambios de configuración y gestión de vulnerabilidades

CIP-010-4 es posiblemente la norma técnicamente más exigente en el contexto del cumplimiento de medios extraíbles. Requiere que antes de conectar cualquier activo cibernético transitorio o medio extraíble a un Sistema Cibernético del BES, la entidad responsable debe tener un proceso autorizado que incluya el escaneo de malware utilizando antivirus u otro método.

El estándar no exige una tecnología de escaneo específica, pero sí requiere que el método utilizado se documente, se aplique de manera consistente y produzca un registro verificable. Si se realiza un escaneo pero no se registra con suficiente detalle para demostrar el estado del activo en el momento de la conexión, el control se considera insuficiente para fines de auditoría.

CIP-004-7: Personal y capacitación

El cumplimiento de las políticas de medios extraíbles no es puramente una cuestión técnica. CIP-004-7 requiere que todo el personal con acceso cibernético o físico autorizado a los Sistemas Cibernéticos del BES reciba capacitación en concientización sobre ciberseguridad y capacitación basada en roles, que debe incluir explícitamente políticas sobre activos cibernéticos transitorios y uso de medios extraíbles.

Esto significa que una organización con controles técnicamente sólidos pero con documentación de capacitación inadecuada sigue sin cumplir. Los registros de capacitación deben estar actualizados, ser apropiados para el rol y entregarse de manera demostrable antes de que el personal obtenga acceso.

IEC 62443 y medios extraíbles: El estándar de seguridad industrial que va más allá

La serie IEC 62443 es el marco reconocido mundialmente para asegurar los Sistemas de Automatización y Control Industrial. A diferencia de NERC CIP, que es específico del sector de las empresas de servicios eléctricos de América del Norte, IEC 62443 se aplica en la manufactura, el petróleo y el gas, el tratamiento de aguas, el procesamiento químico y cualquier entorno que opere sistemas de automatización industrial.

Dentro de IEC 62443, los controles de medios extraíbles aparecen de manera más destacada en IEC 62443-3-3 (Requisitos de seguridad del sistema y niveles de seguridad) e IEC 62443-2-1 (Sistema de gestión de la seguridad), con requisitos fundamentales específicos definidos bajo el Requisito de Seguridad 1.3 (Autorización de dispositivos físicos) y SR 2.3 (Uso de dispositivos portátiles y móviles).

SR 2.3: Uso de dispositivos portátiles y móviles, el control principal

El requisito SR 2.3 exige que un sistema de control tenga la capacidad de aplicar restricciones de uso para dispositivos portátiles y móviles en función del nivel de seguridad asignado a la zona en la que se utiliza el dispositivo. En el Nivel de Seguridad 2 y superior, este requisito escala para incluir mecanismos de aplicación técnica, no solo documentación de políticas.

Esta es una distinción crítica. IEC 62443 no acepta enfoques basados únicamente en políticas en niveles de seguridad más altos. Si su planta de manufactura opera en SL2 (lo que hace la mayoría), necesita controles técnicos que eviten activamente que los medios extraíbles no autorizados se conecten a las estaciones de trabajo del sistema de control, HMI o estaciones de ingeniería, no solo un documento de procedimiento que diga que no deberían hacerlo.

Controles de medios basados en zonas según la norma IEC 62443

Uno de los aspectos operativamente más significativos del enfoque de IEC 62443 es su modelo de zonas y conductos. Los controles de medios extraíbles deben definirse, aplicarse y auditarse a nivel de zona, lo que significa que una política de USB que funcione para el entorno de TI corporativo puede ser completamente inadecuada para las zonas del modelo Purdue que albergan su red de control de procesos.

El nivel de seguridad de cada zona determina el rigor requerido de los controles de medios. Este no es un marco de trabajo de talla única, que es la razón precisa por la cual las políticas genéricas de USB centradas en TI fallan sistemáticamente en las revisiones de conformidad de IEC 62443 cuando se aplican a entornos de OT.

NERC CIP frente a IEC 62443: Requisitos de cumplimiento de medios extraíbles explicados en paralelo

Área de requisitos

Mandato de NERC CIP

Requisito de la norma IEC 62443

Autorización de medios físicos

CIP-003-8 / CIP-010-4: Se requiere aprobación documentada antes del uso de cualquier activo cibernético transitorio o medio extraíble

SR 1.3 / SR 2.3: Todos los medios portátiles deben estar autorizados, inventariados y monitoreados según el nivel de seguridad de la zona

Protocolo de escaneo de malware

Escaneo obligatorio antes de la conexión a los Sistemas Cibernéticos del BES; los resultados deben registrarse y conservarse

ISA-62443-3-3: Se requiere escaneo en el límite de la zona; los resultados deben revisarse en busca de anomalías y escalarse si se detectan amenazas

Documentación de políticas y capacitación

CIP-004-7: Todo el personal con acceso autorizado debe recibir capacitación; las políticas deben revisarse anualmente

IEC 62443-2-1: Los programas de gestión de seguridad deben definir el uso aceptable, los cronogramas de capacitación y las auditorías de políticas periódicas

Registro de incidentes y pista de auditoría

Todos los eventos de uso de medios en los Activos Cibernéticos del BES deben conservarse durante un mínimo de 90 días con capacidad de auditoría

Se debe mantener una pista de auditoría para toda la actividad de medios; se requiere trazabilidad para usuarios y activos individuales

Medios de proveedores / Terceros

Prohibición explícita de medios de proveedores no autorizados; deben seguir el mismo ciclo de aprobación que los medios internos

Controles a nivel de zona para medios de terceros; las ventanas de mantenimiento deben incluir controles de autorización de medios

Consecuencias de la aplicación de la ley

Las violaciones conllevan sanciones de NERC de hasta más de $1 M USD por violación por día; sujeto a auditoría regulatoria

La no conformidad puede afectar la certificación, impactar los seguros y activar planes de acción correctiva obligatorios

Comprender estos requisitos en paralelo es esencial para las organizaciones que operan en múltiples jurisdicciones regulatorias, o que buscan tanto el cumplimiento de NERC CIP como la conformidad con IEC 62443 como parte de un programa más amplio de madurez de seguridad.

Comprender el riesgo real: Categorías de amenazas de medios extraíbles en entornos de OT

Categoría de riesgo

Impacto industrial

Nivel de gravedad

Brecha de cumplimiento

Inserción de USB no autorizada

Vía directa para malware en entornos aislados de OT/SCADA; puede eludir por completo los controles de aislamiento (air-gap)

CRÍTICO

CIP-010-4, IEC SR 1.3

Medios de proveedores no escaneados

Los USB de mantenimiento de terceros han sido históricamente el punto de entrada para ataques destructivos a los ICS

ALTO

CIP-003-8, IEC 62443-2-1

Sin control de endpoints

Sin políticas de control de dispositivos, cualquier puerto USB se convierte en un vector de ataque abierto en PLCs y HMIs

ALTO

CIP-003-8, SR 2.3

Falta de registros de auditoría

Incapacidad para detectar, investigar o demostrar el cumplimiento durante la revisión regulatoria

MEDIO-ALTO

CIP-007-6, Requisitos de auditoría de IEC

Brechas en la política de empleados

Personal no capacitado que conecta dispositivos personales, incluso sin intención, a las estaciones de trabajo del sistema de control

MEDIO

CIP-004-7, IEC 62443-2-1

Exposición de sistemas heredados

Los PLCs y las plataformas de DCS más antiguos carecen de controles nativos de USB, lo que crea puntos ciegos en la arquitectura de protección

ALTO

Se requiere aplicación a nivel de zona

Construcción de una política de seguridad USB para OT: Lo que los tomadores de decisiones deben hacer bien

Una política de control de dispositivos USB para entornos industriales es fundamentalmente diferente de una política de medios extraíbles centrada en TI. Las realidades operativas de los entornos de OT, incluidos los sistemas heredados que no pueden aceptar agentes, los requisitos de mantenimiento que exigen el acceso ocasional a medios físicos y las arquitecturas aisladas que hacen que el escaneo basado en la nube sea poco práctico, requieren un enfoque especialmente diseñado.

Cinco pilares de un programa de cumplimiento de medios extraíbles de OT

• Autorización basada en activos: Cada dispositivo de medios extraíbles que interactúa con los sistemas de OT debe registrarse, asignarse a un usuario o función autorizados y aprobarse a través de un proceso documentado antes del primer uso. Esto no es opcional ni bajo NERC CIP ni bajo IEC 62443.

• Escaneo de malware antes de la conexión: El escaneo debe realizarse antes de la conexión, no después. Para entornos regulados, el escaneo posterior a la conexión no cumple con los requisitos de cumplimiento porque el daño potencial ocurre en el momento de la conexión si hay malware presente.

• Restricción de dispositivos en el endpoint: Los controles técnicos deben limitar qué dispositivos pueden conectarse a qué sistemas. El listado de permitidos (whitelisting) por número de serie del dispositivo, ID del proveedor o certificado criptográfico garantiza que solo los medios aprobados puedan conectarse con los activos protegidos.

• Registro y retención listos para auditorías: Cada evento de conexión, resultado de escaneo y decisión de autorización debe registrarse con suficiente detalle para reconstruir la cadena de custodia durante una auditoría de cumplimiento. Los períodos mínimos de retención según NERC CIP son de 90 días; la mejor práctica organizacional a menudo supera esto.

• Integración de capacitación y concientización: El personal que interactúa con los sistemas de OT debe recibir capacitación documentada y adecuada para su rol sobre las políticas de medios extraíbles. Esto incluye a contratistas y proveedores, una brecha de cumplimiento que suele pasarse por alto con frecuencia.

El desafío de los proveedores y terceros

Uno de los riesgos de medios extraíbles más significativos y sistemáticamente subestimados en los entornos industriales son los medios introducidos por los proveedores. Las ventanas de mantenimiento, las actualizaciones de firmware y los cambios de configuración implican habitualmente que técnicos de terceros conecten sus propias computadoras portátiles, unidades USB o herramientas de diagnóstico a activos críticos.

El gusano Stuxnet, que apuntó al programa de enriquecimiento nuclear de Irán y se considera ampliamente la primera ciberarma de grado industrial, se introdujo a través de una unidad USB, que se cree que fue conectada por un contratista o participante de la cadena de suministro. La sofisticación de Stuxnet es menos importante para esta discusión que la simplicidad de su mecanismo de entrega inicial: un dispositivo físico conectado a una red aislada por una parte de confianza.

Tanto NERC CIP como IEC 62443 requieren explícitamente que los medios de terceros estén sujetos a los mismos requisitos de autorización y escaneo que los medios internos. Las organizaciones que aplican controles robustos a su propio personal pero permiten excepciones a los proveedores están creando la brecha más peligrosa en su postura de cumplimiento.

Dónde fallan más comúnmente las organizaciones industriales en las auditorías de cumplimiento

Según la experiencia operativa en entornos de energía, manufactura e infraestructura crítica, las siguientes brechas aparecen repetidamente durante las revisiones de cumplimiento y las investigaciones posteriores a incidentes:

• Procesos de autorización no documentados que se basan en aprobaciones verbales informales en lugar de decisiones registradas y rastreables

• Procedimientos de escaneo que utilizan herramientas antivirus de consumo masivo que carecen de conjuntos de firmas específicos de OT y no pueden detectar variantes de malware dirigidas a ICS

• Cobertura incompleta de los Activos Cibernéticos del BES de bajo impacto bajo NERC CIP; las organizaciones a menudo aplican controles a los activos de alto y mediano impacto, pero pasan por alto las obligaciones extendidas para los sistemas de bajo impacto

• Ausencia de aplicación técnica: políticas documentadas en papel pero sin ningún mecanismo técnico para evitar que los medios no autorizados se conecten a nivel de endpoint

• Brechas en la cobertura de proveedores y contratistas: personal de terceros que opera bajo estándares diferentes y menos rigurosos que el personal interno

• Registros de capacitación insuficientes: políticas documentadas que no se pueden vincular a registros de concientización del personal específicos para la demostración de auditorías

• Puntos ciegos de los sistemas heredados: plataformas de sistemas de control más antiguas que carecen de capacidades nativas de gestión de USB y para las cuales nunca se han implementado controles de compensación

Cómo apoya Shieldworkz a las organizaciones a lograr el cumplimiento de medios extraíbles

Shieldworkz aporta una profunda y especializada experiencia en ciberseguridad de OT e ICS para ayudar a las organizaciones industriales a crear programas de medios extraíbles que cumplan con los requisitos regulatorios, resistan el escrutinio de las auditorías y protejan operativamente los activos críticos. Nuestro enfoque es práctico, basado en la evidencia y diseñado para las realidades de los entornos industriales, no adaptado de los marcos de trabajo de TI.

Lo que Shieldworkz ofrece para su organización

• Evaluación de brechas de NERC CIP: Evaluación exhaustiva de sus controles actuales de medios extraíbles frente a los requisitos de CIP-003-8, CIP-010-4, CIP-004-7 y CIP-007-6, con una hoja de ruta de remediación estructurada

• Revisión de conformidad con la norma IEC 62443: Análisis zona por zona de su postura ante medios extraíbles frente a los requisitos de SR 1.3, SR 2.3 y los requisitos de gestión de seguridad de apoyo según IEC 62443-2-1

• Arquitectura de seguridad USB específica de OT: Guía de diseño e implementación para políticas de control de dispositivos que funcionen dentro de las limitaciones operativas de los entornos industriales, incluidos los sistemas heredados y las redes aisladas (air-gapped)

• Desarrollo del programa de escaneo de malware: Selección, configuración e integración de soluciones de escaneo con conjuntos de firmas apropiados para OT para entornos ICS y SCADA

• Gestión de medios de proveedores y contratistas: Desarrollo de programas de autorización de medios de terceros que cierren la brecha de cumplimiento más común en la seguridad industrial

• Documentación y paquetes de evidencia listos para auditorías: Creación de las políticas, procedimientos, registros de capacitación y marcos de gestión de registros necesarios para demostrar el cumplimiento durante las revisiones regulatorias

• Programas de concientización y capacitación del personal: Materiales de capacitación basados en roles desarrollados específicamente para operadores, ingenieros y personal de OT con acceso a sistemas de control industrial

• Soporte de monitoreo de cumplimiento continuo: Soporte de asesoría continuo para mantener la postura de cumplimiento a medida que los marcos de trabajo evolucionan y los entornos operativos cambian

Nuestros compromisos están diseñados para ofrecer resultados de cumplimiento medibles, no solo recomendaciones. Shieldworkz trabaja junto con sus equipos de operaciones y seguridad para garantizar que los controles implementados sean sostenibles, operativamente sólidos y defendibles bajo condiciones de auditoría.

Conclusión: El cumplimiento no es una casilla de verificación, es un imperativo operativo

El cumplimiento de la regulación de medios extraíbles según NERC CIP e IEC 62443 no es una carga administrativa que deba gestionarse con el mínimo esfuerzo. Es un elemento fundamental de la ciberseguridad industrial que se correlaciona directamente con su capacidad para proteger la integridad del proceso, evitar sanciones regulatorias y mantener la continuidad operativa frente a un panorama de amenazas que continúa apuntando a los medios físicos como uno de sus puntos de entrada más confiables.

Las organizaciones que navegan por esto con éxito no son aquellas con las pilas de tecnología más sofisticadas. Son las que han invertido en comprender sus obligaciones de cumplimiento específicas, han construido programas que cumplen con los requisitos técnicos y documentales de los marcos de trabajo aplicables, y han creado una cultura donde la gestión de medios extraíbles se trata como un control operativo crítico, no como un inconveniente.

Para las empresas de servicios públicos de energía que gestionan las obligaciones de NERC CIP, para los fabricantes que buscan la conformidad con IEC 62443 y para cada operador de infraestructura crítica cuyos activos industriales representan tanto un riesgo regulatorio como una consecuencia en el mundo físico, el momento de crear un programa de cumplimiento de medios extraíbles defendible es antes de la auditoría, y mucho antes del incidente.

Reserve una consulta gratuita con nuestros expertos en seguridad de OT

Su entorno de OT conlleva obligaciones de cumplimiento que las herramientas de seguridad de TI estándar simplemente no están equipadas para cumplir. Los riesgos de los medios extraíbles están aumentando y la ventana regulatoria para el cumplimiento no es indulgente.

Shieldworkz se especializa exclusivamente en ciberseguridad de OT e ICS, incluido el cumplimiento de medios extraíbles, el análisis de brechas de NERC CIP y la implementación del programa IEC 62443. Nuestros expertos han apoyado a empresas de servicios públicos de energía, plantas de manufactura y operadores de infraestructura crítica en la construcción de posturas de seguridad que cumplen con la normativa, son resilientes y están listas para auditorías.

Recursos adicionales:

Lista de verificación para el diagnóstico de brechas de seguridad de NERC CIP aquí
Evaluación de brechas de ciberseguridad de la Directiva NIS2 y lista de verificación de controles aquí
Lista de verificación de remediación de NERC CIP utilizando NDR de seguridad de OT aquí
Guías de remediación aquí 

Recibe semanalmente

Recursos y Noticias

Vea cómo nuestras soluciones de seguridad de OT líderes en la industria abordan los desafíos de seguridad críticos

También te puede interesar

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.