site-logo
site-logo
site-logo
NIST SP 800-30

Manual de Normativas

La lista de verificación esencial de evaluación de riesgos IEC 62443
para sistemas ciberfísicos 

Una forma práctica de medir la situación real de su seguridad de seguridad de OT

La mayoría de los directores de planta y líderes de seguridad OT ya conocen la versión de libro de texto de la norma IEC 62443. Lo que es más difícil de encontrar es una herramienta de trabajo que convierta esa norma en algo que realmente se pueda utilizar un martes por la mañana cuando un auditor, un miembro de la junta directiva o una aseguradora pregunten: "¿Qué tan expuestos estamos realmente?" 

Esa es la brecha que este checklist está diseñado para cerrar. No es un resumen de la norma. Es un instrumento de evaluación estructurado, sección por sección, que refleja el flujo de trabajo de Riesgo de Zonas y Conductos (ZCR) de la norma IEC 62443-3-2, desde la definición del alcance hasta el cierre de brechas del nivel de seguridad, para que pueda recorrer su propio entorno ciberfísico y terminar con una imagen documentada y defendible de su postura actual. 

Por qué esta lista de verificación es importante justo ahora

Los entornos industriales han cambiado más rápido de lo que lo han hecho la mayoría de los programas de seguridad. Las plantas de producción que solían operar en relativo aislamiento ahora se encuentran en redes que se conectan con historiadores en la nube, puertas de enlace de acceso remoto para proveedores, sensores IIoT y sistemas de TI corporativos que nunca fueron diseñados pensando en la seguridad del sistema de control. Cada una de esas conexiones es un conducto potencial de acceso para un atacante, y cada PLC heredado u HMI no monitoreado que se encuentra de forma silenciosa en la red es un candidato para verse comprometido.

Los organismos reguladores también se han puesto al día con esta realidad. La Directiva NIS2 de la UE, los mandatos específicos de cada sector y las empresas aseguradoras solicitan cada vez más a las organizaciones que demuestren por escrito que comprenden sus zonas, sus conductos y la brecha existente entre los niveles de seguridad objetivo y los reales. La respuesta "tenemos un firewall" ya no es válida en esa conversación. Una evaluación de riesgos documentada y alineada con la norma IEC 62443 sí lo es.

También existe una razón más silenciosa por la que esto es importante: los sistemas ciberfísicos fallan de manera diferente a los sistemas de TI. Una base de datos comprometida es una filtración de datos. Un PLC comprometido puede significar un recipiente de presión funcionando más allá de sus límites, un interbloqueo de seguridad que no se activa o una línea de producción que se detiene sin previo aviso. En este mundo, la evaluación de riesgos no es una casilla de verificación de cumplimiento normativo, es la base que determina si su plan de respuesta a incidentes se enfrentará a un tiempo de inactividad o a algo mucho peor.

Por qué su equipo de seguridad necesita descargar esta lista de verificación ahora 

Muchos equipos de TO realizan evaluaciones de riesgos detalladas en su mente, en hojas de cálculo dispersas o en diagramas de red desactualizados que nadie ha tocado desde la última interrupción importante. Eso funciona bien... hasta que deja de hacerlo.

Esta lista de verificación le brinda un punto de referencia constante a través de doce secciones de evaluación, que cubren gobernanza y alcance, inventario de activos, segmentación de zonas y conductos, puntuación de riesgos inicial y detallada, los siete Requisitos Fundamentales de la norma IEC 62443-3-3, exposición de la cadena de suministro, gestión de parches, preparación ante incidentes y gobernanza continua. Cada elemento se vincula con una cláusula específica de la norma, de modo que cuando se prepare para una auditoría, informe a la dirección o justifique el presupuesto para una nueva plataforma de monitoreo, no tendrá que empezar desde cero.

También es genuinamente útil como herramienta de alineación interna. Los equipos de ingeniería de TO, seguridad de TI, seguridad de procesos y gestión de riesgos rara vez hablan el mismo idioma en su día a día. Recorrer una lista de verificación compartida obliga a que esas conversaciones se lleven a cabo con un vocabulario común, lo que suele revelar brechas que nadie había notado cuando cada equipo analizaba el entorno desde su propio silo.

Puntos clave de aprendizaje que se llevará

Completar esta lista de verificación le brinda claridad sobre algunos de los aspectos más importantes para el riesgo ciberfísico:

Una vista realista de dónde difiere su Target de Nivel de Seguridad (SL-T) de su Capacidad de Nivel de Seguridad (SL-C) real, zona por zona

Visibilidad de cuáles activos, en especial los componentes heredados y al final de su vida útil, conllevan un riesgo desproporcionado en relación con su criticidad

Un mapa más claro de cada cruce de límites de IT/OT, ruta de acceso remoto de proveedores y conexión IIoT que podría servir como un conducto de ataque

Una evaluación honesta de qué tan preparado está realmente su plan de respuesta a incidentes cuando un ciberataque amenaza con desencadenar un evento de seguridad física

Una base para priorizar el gasto en tratamiento de riesgos según la gravedad de las consecuencias, en lugar de conjeturas

Nada de esto reemplaza una evaluación de riesgos formal realizada por un tercero. Lo que hace es brindar a su equipo una línea base interna creíble, la cual permite que cualquier colaboración formal posterior sea más rápida, económica y enfocada en las brechas que realmente importan.

Cómo apoya Shieldworkz en el siguiente paso

Shieldworkz trabaja exclusivamente en ciberseguridad de OT, ICS e IIoT, lo que significa que nuestros equipos de consultoría y evaluación pasan su tiempo dentro de las mismas capas del Modelo de Purdue, PLCs, arquitecturas SCADA y diagramas de zonas y conductos que esta lista de verificación le pide evaluar. Ayudamos a las organizaciones a pasar de una lista de verificación autoevaluada a una evaluación de riesgos IEC 62443 completamente validada, a diseñar Especificaciones de Requisitos de Ciberseguridad para cerrar brechas y a desarrollar la capacidad de monitoreo continuo y respuesta a incidentes que los auditores y reguladores esperan ver documentada.

Ya sea que se esté preparando para una revisión de cumplimiento de NIS2, respondiendo a una pregunta a nivel de junta directiva sobre el riesgo industrial o simplemente tratando de obtener una lectura honesta sobre la exposición de su planta antes de que algo fuerce la conversación, nuestro equipo ha hecho esto en sectores de infraestructura crítica en todo el mundo y puede ayudarle a interpretar lo que esta lista de verificación descubre.

Descargue la lista de verificación y programe su consulta gratuita 

Complete el formulario para descargar la Lista de verificación completa de evaluación de riesgos IEC 62443 para sistemas ciberfísicos, y reserve una consulta gratuita con nuestros especialistas en seguridad de TO para revisar sus resultados y analizar cómo sería una evaluación de riesgos personalizada para su entorno. 

¡Descarga tu copia hoy mismo!

Obtenga gratis nuestra Lista de verificación esencial de evaluación de riesgos IEC 62443 para sistemas ciberfísicos y asegúrese de cubrir cada control crítico en su red industrial