Los Estándares de Seguridad

Informática, ¿Cuál Aplica a la

Industria? Y su Estado Actual
Posted on 26/02/2018 by Samuel Moya
Miguel Angel Arriola Sancén
ARPO Sinergia Tecnológica S. de R.L. de C.V. Ciudad de México, México
miguel.arriola@arpo.com.mx

Revista InTech México Automatización

Edición Enero – Marzo 2018

RESUMEN:
La seguridad en los sistemas informáticos es un elemento cada vez más crítico,
considerando que actualmente se está efectuando una interconexión global de
todo tipo de sistemas informáticos. Esto obliga a hacer un esfuerzo
internacional para establecer los lineamientos recomendados con la finalidad
de mantener la información, datos y sistemas protegidos de acciones
accidentales y/o intencionales que pongan en riesgo los activos productivos
industriales, las personas y el medio ambiente.

Este artículo proporciona una descripción general del esfuerzo que lleva casi
dos décadas en lo que respecta al desarrollo normativo de la parte industrial y
que aún se encuentran en etapa de desarrollo; debido, por una parte a los
cambios tecnológicos que recaen sobre los sistemas industriales y por otra
parte, a la búsqueda de mejoras en los aspectos de diseño encaminados a
producir e integrar sistemas con capacidades intrínsecas para proporcionar la
protección y seguridad que requerirán en el futuro dichos sistemas globales
interconectados.

PALABRAS CLAVE: Estándar, Comité, Protección, Guía, Sistema, Publicado,

Voto.

ANTECEDENTES
Hoy en día se convive con un manejo masivo de información, que cada día
está más interconectado a todos los niveles productivos, financieros y de salud
en la sociedad actual. Esto seguirá incrementándose por todas las ventajas que
se ofrece a cada sector de la sociedad; pero es muy claro también que todas
estas ventajas de intercambio y manejo de información masivo no son más
importantes que el mejorar el manejo de los riesgos y enfocarnos en la
continuidad de los negocios contra los ataques informáticos que, en la
actualidad, son cada vez más frecuentes a nivel global.
Desde la década de los 90´s, en el siglo XX, se inició el esfuerzo de usuarios y
proveedores de colaborar en foros nacionales e internacionales para contribuir
en el desarrollo de prácticas, políticas y capacidades necesarias para proteger
y asegurar la información; ya que su manejo manual estaba siendo
rápidamente llevado a un manejo informático utilizando equipos de cómputo.
Por lo que, inicialmente, estos esfuerzos se basaron en el trabajo del Consorcio
Stanford [6] para la investigación sobre políticas y seguridad de la información.

ESTÁNDARES ACTUALES
Existen varios estándares de seguridad informática, iniciando por el grupo de
estándares ISO/IEC 27000 [7] que integran un sistema de administración de
seguridad de la información (information security management system ISMS) el
cual está enfocado en la seguridad de la información bajo un explícito control
administrativo de la misma.

El ISO 15408 [8] es un estándar desarrollado en lo que se conoce como

“Criterio Común” y que permite que muchas diferentes aplicaciones de software
puedan ser integradas y probadas en una forma o manera segura.

El RFC 2196 [9] es memorándum publicado por el Internet Engineering Task

Force para el desarrollo de políticas y procedimientos de seguridad para
sistemas de información conectados a Internet; proporciona una amplia y
general visión de la seguridad de la información incluyendo la seguridad de la
red, respuesta a incidentes o las políticas de seguridad. El documento es muy
práctico y centrado en el día a día de las operaciones.

Para el campo industrial, se inició en el año 2007, con el grupo de trabajo de la

International Society for Automation (ISA), el estándar ISA-99 denominado
Security for Industrial Automation and Control Systems con la publicación del
estándar ANSI/ISA-99.00.01-2007 Security for Industrial Automation and
Control Systems: Concepts, Terminology and Models, en conjunto con el
reporte técnico ANSI/ISA-TR99.00.01-2007, Security Technologies for
Manufacturing and Control Systems. A principios de 2009, fue aprobado por
ANSI el estándar ANSI/ISA-99.02.01-2009, Security for Industrial Automation
and Control Systems: Establishing an Industrial Automation and Control
Systems Security Program. Y finalmente en el año 2010, se cambió por el
estándar ISA/IEC 62443 para alinear la numeración de la documentación del
estándar con los estándares correspondientes de la International
Electrotechnical Commission (IEC).

ESTÁNDAR ISA/IEC 62443

El comité de este estándar tiene una serie de grupos de trabajo activos, cada
uno sobre un aspecto específico de la seguridad de los sistemas de control y
automatización industriales (IACS). Las áreas abordadas incluyen el manejo y
administración de ajustes de seguridad, sistemas inalámbricos, la convergencia
de la seguridad y protección y los requisitos técnicos a nivel de componentes y
sistema. Varias partes del estándar están a nivel planeación y desarrollo.
 Este estándar está organizado en 4 categorías:

 General. Esta categoría incluye información básica o común, tales como

conceptos, modelos y terminología; también incluye los trabajos que describen
las métricas de seguridad y los ciclos de vida de la seguridad para los sistemas
de control y automatización industriales.
 Políticas y procedimientos. Esta categoría incluye documentos que están
enfocados a los propietarios de activos y se abordan diversos aspectos para la
creación y el mantenimiento de un eficaz programa de protección de los
sistemas de control y automatización industriales.
 Sistema. Esta categoría incluye documentos que describen las guías de diseño
de los sistemas y los requisitos para la integración segura de los sistemas de
control. El modelo de diseño de zona/conducto es la estrategia central
empleada en estos documentos para aislar y proteger los activos.
 Componente. Esta categoría incluye documentos que describen las
especificaciones de desarrollo de productos y los requerimientos técnicos de
los productos del sistema de control. Esta información esta principalmente
dirigida a los fabricantes de productos de automatización y control, pero puede
ser usada por los integradores y propietarios de los activos industriales para
ayudar en la adquisición de productos seguros y confiables para limitar los
riesgos de ataques informáticos.

En la figura 1 se muestra la organización en niveles del conjunto total de

documentos que integran el estándar ISA/IEC 62443 Industrial Automation and
Control Systems (IACS) Security [10].
Figura 1. Estructura Documental ISA/IEC 62443.
El estándar ISA-62443-1-1 (IEC/TS 62443-1-1) [11] (formalmente referida como
“ISA-99 Parte 1”) fue originalmente publicada como estándar ANSI/ISA-
99.00.01-2007. Actualmente se tiene la publicación de una especificación
técnica de IEC en su comité técnico TC65 como IEC/TS 62443-1-1:2009 la cual
define la terminología, conceptos y modelos para los IACSA. En este momento,
el comité ISA-99 está revisando está publicación para alinearla con otros
documentos en la serie de la IEC y clarificando el contenido normativo. Este
documento está siendo manejado por el grupo de trabajo WG3 del comité ISA-
99.

El estándar ISA-TR62443-1-2 (IEC/TR 62443-1-2) [12] es un glosario maestro

de términos usado por el comité y usuarios del estándar. Aunque este
documento es aún un trabajo preliminar, su contenido está disponible en el
comité ISA-99 Wiki. . Este documento también es manejado por el grupo de
trabajo WG3 del comité ISA-99.

El estándar ISA-62443-1-3 (IEC 62443-1-3) [23] Identifica un conjunto de

indicadores y métricas de cumplimiento de seguridad de los sistemas de control
y automatización industrial (IACS). Este documento, en este momento, se
encuentra en proceso de desarrollo y se tiene una publicación preliminar de
octubre de 2015 para fines de comentarios. Este documento está siendo
manejado por el grupo de trabajo WG12 del comité ISA-99.
El estándar ISA-TR62443-1-4 (IEC/TR 62443-1-4) [22] define el ciclo de vida de
seguridad de los IASC y su caso de uso. Este trabajo se ha propuesto como
parte de la serie desde enero de 2013 pero su desarrollo todavía no ha
comenzado; aún no se tiene un grupo formal de trabajo para este producto del
estándar.

El estándar ISA-62443-2-1 (IEC 62443-2-1) [14] (formalmente referenciada

como “ANSI/ISA 99.0201-2009 o ISA-99 parte 2”) se enfoca en cómo
establecer un programa de protección para los IACS. Este estándar es
aprobado y publicado por La IEC como IEC-62443-2-1, actualmente está
siendo revisado para permitir una mayor aproximación con la serie de
estándares ISO 27000. Este documento está siendo manejado por el grupo de
trabajo WG2 del comité ISA-99.

El estándar ISA-TR62443-2-2 (IEC/TR62443-2-2) [13] tiene el propósito de

desarrollar sobre el contenido del estándar ISA-61443-2-1, con un enfoque
sobre la operación de un sistema administrativo de un programa de protección
de seguridad cibernético para los IACS alineándose fuertemente con los
estándares de la serie ISO 27000. Este estándar está en estado de propuesta
bajo comentarios y es manejado por el grupo de trabajo WG2.

El estándar ISA-TR62443-2-3 (IEC/TR62443-2-3) [15] es un reporte técnico

que proporciona una guía práctica sobre la aplicación de un sistema de
administración de adecuaciones dentro del ambiente de un IACS. Este tema es
abordado desde la perspectiva del propietario operador así como también del
proveedor de soluciones. Este estándar fue publicado como IEC-62443-2-3;
2015” Security for industrial automation and control systems – Part 2-3: Patch
management in the IACS environment” y es manejado por el grupo de trabajo
WG6.

El estándar ISA-62443-2-4 (IEC 62443-2-4) [16] especifica los requerimientos

para los proveedores de servicios de los IACS respecto a las capacidades de
protección que ellos puedan ofrecer a los propietarios de los activos durante las
actividades de integración y mantenimiento de una solución de automatización.
Este estándar ha sido publicado como IEC-62443-2-4 “Security for industrial
automation and control systems – Part 2-4: Security program requirements for
IACS service providers”. Este estándar fue desarrollado por el comité técnico
TC65 de la IEC a través de su grupo de trabajo WG10, Será presentado para
su aprobación por el Comité como un estándar de ISA.

El estándar ISA-TR62443-3-1 (IEC/TR 62443-3-1) [17] es un reporte técnico

que fue publicado como ANSI/ISA-TR99.00.01-2007. Proporciona una
evaluación actual de diversas herramientas de seguridad cibernética, medidas
de mitigación y tecnologías que pueden aplicarse efectivamente a los
modernos IACS que regulan y controlan numerosas industrias e
infraestructuras críticas. Actualmente, este estándar ha sido publicado como
IEC TR62443-3-1:2009 “Industrial communication networks – Network and
system security – Part 3-1: Security technologies for industrial automation and
control systems”. Este estándar es manejado por el grupo de trabajo WG1 de la
ISA y quien está actualizando su contenido para reflejar las actuales
tecnologías disponibles de protección cibernética que hay.
El estándar ISA-62443-3-2 (IEC 62443-3-2) [20] aborda cómo definir los niveles
de aseguramiento de seguridad utilizando el concepto de zonas y conductos.
Este estándar está en desarrollo y se emitió un documento preliminar para voto
de aprobación por el comité votante, es manejado por el grupo de trabajo WG4
de la ISA.

El estándar ISA-62443-3-3 (IEC 62443-3-3) [21] define detalladamente los

requerimientos técnicos para la seguridad cibernética de los IACS. Este
estándar a sido publicado como IEC 62443-3-3:2013 “Industrial communication
networks – Network and system security – Part 3-3: System security
requirements and security levels”. Es manejado por el grupo de trabajo WG4 de
la ISA.

El estándar ISA-62443-4-1 (IEC 62443-4-1) [18] aborda las necesidades para el

desarrollo de soluciones y productos seguros de protección cibernética para los
IACS. Este estándar está en desarrollo y es manejado por el grupo de trabajo
WG4 de la ISA.

El estándar ISA-62443-4-2 (IEC 62443-4-2) [19] aborda detalladamente los

requerimientos técnicos a nivel de componentes para los IACS. Este estándar
está en desarrollo y es manejado por el grupo de trabajo WG4 de la ISA.

Como se puede ver, este conjunto de documentos está actualmente en

proceso de desarrollo e integración como se muestra en la figura 2, que
muestra el estado actual de cada documento destacando que un poco menos
de la mitad de los documentos están publicados y la mitad de ellos están bajo
revisión en su aplicación. Más de la mitad del resto están en fases de
comentarios, desarrollo y planeación.
 Figura 2. Estado actual del estándar ISA/IEC 62443.

GRUPOS DE TRABAJO DE LA ISA

El desarrollo de todos estos productos es el esfuerzo de más de 500 miembros
de diferentes sectores como son Industrias químicas, gas petróleo y refinación,
bebidas y alimentos, energía, farmacéuticas, manufacturera, proveedores de
automatización, proveedores de tecnologías de la información, laboratorios
gubernamentales (USA) y consultores expertos en seguridad informática. Los
cuales están organizados en varios grupos de trabajo especializados en cada
parte del estándar de esta forma los grupos de trabajo definidos por parte de
ISA-99 son:

 WG 1 – Tecnologías de seguridad cibernética

 WG 2 – Programa de seguridad definición y operación
 WG 3 – Terminología, conceptos y modelos
 WG 4 – Requerimientos técnicos
 WG 5 – Comité de liderazgo
 WG 6 – Administración de adecuaciones
 WG 7 – Seguridad y protección
 WG 8 – Comunicación y difusión
 WG 9 – Inalámbrico y seguridad
 WG 11 – Seguridad en IACS para el sector nuclear
 WG 12 – Métricas para IACS
 Mientras que los grupos de trabajo por parte del Comité técnico TC65 de IEC
están definidos como sigue:

 WG 1 – Términos y definiciones
 WG 10 – Seguridad para medición y control de procesos industriales –
Seguridad en red y sistema
 WG 12 – Diagramas DTI y herramientas de diseño computacionales
 WG 15 – Documentos para la industria de procesos
 WG 16 – Fabrica digital
 WG 17 – Interfaz del sistema entre instalaciones industriales y la red inteligente
 WG 18 – Tabla causa y efecto
 WG 19 – Administración del ciclo de vida para sistemas y productos usados en
medición, control y automatización de procesos industriales
 WG 20 – Procesos industriales de medición, control y automatización – Marco
de referencia para las necesidades de protección y seguridad

Por último, este grupo de estándares en su desarrollo tienen interrelación con

otros grupos de trabajo de otros estándares como el ISA-84 de sistemas
instrumentados de seguridad y el ISA 100 de sistemas inalámbricos.

CONCLUSIONES
Como se puede observar, el desarrollo de este estándar está en fase de
desarrollo y refinamiento, pero por otra parte, dadas las circunstancias de
eventos globales, es el momento de aplicarlo en los sistemas de control y
automatización industrial actuales (IACS) para ir ajustando las necesidades
interna de los sistemas presentes para limitar y proteger los activos productivos
de nuestras empresas.

Las recomendaciones que surjan en estos momentos pronto serán

consideradas niveles mínimos requeridos para permitir la interconexión para el
manejo de información y aquellas empresas que no se tenga un manejo de
riesgos informáticos aceptables serán limitadas o segregadas y tendrán que
mejorarlos para poderse interconectar al mundo cada vez más globalizado que
existirá.

Por otra parte, los trabajos preliminares de este estándar industrial permiten el
prever y considerar los requerimientos que se deben integrar en el futuro en un
sistema administrativo de protección y seguridad cibernética que nos permita
operar y mantener los activos productivos de las empresas.

REFERENCIAS
[1] ISO/IEC 27001:2013 – Information technology – Security techniques –
Information security management systems – Requirements.

[2] ISA/IEC-62443 (formerly ISA-99) Security for Industrial Automation and

Control Systems.
[3] Eric Byres; “Revealing network threats, fears”, InTech Magazine, pg. 26,
January/February 2011

[4] ISA99 committee Wiki site.

[5] IEC TC65 site

[6] National Institute of Standards and Technology; Technology Administration;

U.S. Department of Commerce., An Introduction to Computer Security: The
NIST Handbook, Special Publication 800-12.

[7] “ISO/IEC 27001:2013 – Information technology — Security techniques —

Information security management systems — Requirements”. International
Organization for Standardization. Retrieved 20 May 2017.

[8] ISO/IEC 15408-1/2/3:2005 – Information technology — Security techniques

— Evaluation criteria for IT security — Part 1: Introduction and general model
(15408-1), Part 2: Security functional requirements (15408-2), Part 3: Security
assurance requirements (15408-3), https://goo.gl/DFZmHB .

[9] Network Working Group Request for Comments: 2196 Editor B. Fraser, FYI:
8 SEI/CMU, Obsoletes: 1244, September 1997 Category:
Informational, https://tools.ietf.org/html/rfc2196

[10] The 62443 series of standards-ISA99 Committee

isa99.isa.org/Public/Information/The-62443-Series-Overview.pdf

[11] IEC TS 62443-1-1:2009 Industrial communication networks – Network and

system security – Part 1-1: Terminology, concepts and
models, https://webstore.iec.ch/publication/7029

[12] ISA-TR99.01.02, https://goo.gl/2UVhnC, https://goo.gl/A5SBth

[13] Work Products, https://goo.gl/7rv4c5

[14] IEC 62443-2-1:2010 Industrial communication networks – Network and

system security – Part 2-1: Establishing an industrial automation and control
system security program, https://webstore.iec.ch/publication/7030

[15] Project: IEC TR 62443-2-3:2015 ED1, https://goo.gl/6FJZBs

[16] Project: IEC 62443-2-4:2015 ED1, https://goo.gl/WLsuxK

[17] Project: IEC TR 62443-3-1:2009 ED1, https://goo.gl/8DdPAv

[18] Project: IEC 62443-4-1 ED1, https://goo.gl/H5z3Fh

[19] Project: IEC 62443-4-2 ED1, https://goo.gl/uR6cDm

[20] Project: IEC TS 62443-3-2 ED1, https://goo.gl/ejckHv

[21] Project: IEC 62443-3-3:2013 ED1, https://goo.gl/to8yDe

[22] Project: IEC 62443-2-2 ED1, https://goo.gl/yDp47r

[23 Project: IEC TS 62443-1-3 ED1, https://goo.gl/ta4mUo

ACERCA DEL AUTOR

Egresado del Instituto Politécnico Nacional de la ESIME

Zacatenco en la especialidad de Control. Trabajó en 1986 en la Secretaria de
Comunicaciones y Transportes en las estaciones terrenas de CONTEL para
trasmisión de telefonía y televisión a los satélites Morelos, en 1987 ingreso al
Instituto de Investigaciones Eléctricas donde colaboró en distintos proyectos de
desarrollo de sistemas de control distribuido con tecnología propia basado en
microprocesadores. En 1997 ingreso a ARPO donde hasta la fecha a
participado como ingeniero de desarrollo y gerente de proyectos de
automatización, comunicaciones y sistemas instrumentados de seguridad para
PEMEX PEP en la sonda de Campeche y en otras empresas como minera y
farmacéutica. Es miembro de la ISA desde 1986 y ha sido director del comité
de seguridad de 2013 a 2014 actualmente es presidente electo de la ISA.