GLOBAL

LA SEGURIDAD CIBERNÉTICA

ALIANZA

Aplicación de ISO / IEC 27001/2 y la serie

ISA / IEC 62443 para entornos de
tecnología operativa

EL TIEMPO ES AHORA

Julio 2021

www.isa.or gramo
WW W/
. ES UN I. S AGRAMO
O GCA
RGUN
/ES 1CA
 Aplicación de ISO / IEC 27001/2 y
la serie ISA / IEC 62443 para
tecnología operativa
Ambientes
Introducción
Muchas organizaciones (especialmente las muy
grandes) han establecido políticas y
procedimientos que rigen la seguridad de TI en
su entorno de oficina; muchos de ellos se basan
en ISO / IEC 27001/2 [27001] [27002]. Algunos
han intentado abordar su infraestructura de
tecnología operativa (OT) bajo el mismo
sistema de gestión y han aprovechado muchos
puntos en común de TI / OT. Aunque sería ideal
seleccionar siempre controles e
implementaciones comunes tanto para TI como
para OT, las organizaciones se han enfrentado
a desafíos al hacerlo, como el bloqueo de la
pantalla del operador de OT que crea
condiciones inseguras, productos antivirus
incompatibles con los equipos de OT, prácticas
de parcheo que interrumpen los programas de
producción. o el tráfico de red de las copias de
seguridad de rutina que bloquean los mensajes
de control de seguridad. La serie ISA / IEC
62443 aborda de forma explícita cuestiones
como estas;
Este documento ofrece una guía para las organizaciones
familiarizadas con ISO / IEC 27001 e interesadas en
proteger la infraestructura OT de sus instalaciones
operativas según la serie ISA / IEC 62443. Describe la
relación entre la serie ISA / IEC 62443 e ISO / IEC 27001/2
y cómo ambas normas pueden usarse de manera
efectiva dentro de una organización para proteger tanto
la TI como la OT.
62443 no requiere el uso de una gestión de
seguridad de la información subyacente.
2 WWW.ISA.ORG/ISAGCA
Sistema (SGSI), sin embargo requiere que, si la
organización tiene un SGSI establecido, el programa
de seguridad en el entorno OT debe coordinarse con
él. En este documento estamos considerando el caso
de uso de un SGSI existente basado en ISO / IEC
27001/2.
Otros estándares de seguridad de la información
similares en alcance a 27001 podrían usarse de
manera efectiva junto con 62443 bajo un enfoque
similar al descrito aquí. La evaluación de tales
enfoques está fuera del alcance de este documento.
Sin embargo, se anima a los usuarios de dichos
estándares a explorar esa posibilidad.
Fondo
Alcance de ISO / IEC 27001/2
La norma ISO / IEC 27001 proporciona requisitos para
establecer, implementar, mantener y mejorar
continuamente un SGSI, así como una lista de controles
comúnmente aceptados que se utilizarán como
referencia para establecer requisitos de seguridad (ISO /
IEC 27000, el glosario e introducción a la serie 27000,
define el término control como “medida que modifica el
riesgo”). Además, ISO / IEC 27002 proporciona una guía
más detallada para las organizaciones que implementan
estos controles de seguridad de la información. Está
diseñado para que las organizaciones lo utilicen como
referencia para seleccionar controles dentro del proceso
de implementación de un SGSI conforme a ISO / IEC
27001.
IT y OT
"TI" es el término común para todo el espectro de tecnologías
para el procesamiento de la información, incluyendo
 ISO / IEC 27001/2 y la
La serie ISA / IEC 62443 aborda dos partes complementarias
de un enfoque general de ciberseguridad de TO

software, hardware, tecnologías de la comunicación y servicios

relacionados [Gartner-ITG]. La “tecnología operativa” o “OT” es
Tabla de contenido
hardware y software que detecta o provoca un cambio físico, a
través del monitoreo y / o control directo de equipos, activos, Introducción ................................................. ............................ 2
procesos y eventos industriales [Gartner-ITG]. Cada vez más,
Fondo ................................................. ............................. 2
los productos y sistemas de TI se utilizan en las
infraestructuras de OT y, recientemente, el advenimiento de Alcance de ISO / IEC 27001/2 .......................................... .............. 2
IoT (Internet de las cosas) e Internet de las cosas industrial ha
desdibujado aún más la distinción de TI / OT. Sin embargo, la IT y OT ............................................... ................................... 2
principal diferencia es que los entornos OT en general deben
Alcance de la serie ISA / IEC 62443 .......................................... 3
cumplir con estrictas restricciones de integridad, disponibilidad
y rendimiento debido al hecho de que la operación fuera de las ISO / IEC 27001/2 y la serie ISA / IEC 62443 abordan dos partes
restricciones puede afectar la salud, la seguridad o el medio complementarias de un enfoque general de ciberseguridad de
ambiente. OT ........................... .................................................. ..... 4

ISO / IEC 27001/2 aborda el establecimiento de un sistema de

Alcance de la serie ISA / IEC 62443
gestión de seguridad de la información para la infraestructura de TI
El alcance de la serie de normas ISA / IEC 62443 es la seguridad
de una organización ............................ ............... 5
de los “Sistemas de control y automatización industrial (IACS)”
utilizados en las infraestructuras OT. Esto incluye sistemas de La serie ISA / IEC 62443 aborda las necesidades específicas
control utilizados en plantas e instalaciones de fabricación y requeridas para la ciberseguridad en entornos OT ... 5
procesamiento, operaciones geográficamente dispersas como
ISO / IEC 27001/2 e ISA / IEC 62443 deben
servicios públicos (es decir, electricidad, gas y agua), tuberías e
combinarse para proteger la infraestructura OT de
instalaciones de producción y distribución de petróleo. La serie instalaciones operativas ................................................ ................... 6
ISA / IEC 62443 también ha ganado aceptación fuera de su
alcance original, por ejemplo, en la automatización de edificios, Ampliar y adaptar SGSI para la infraestructura OT ................. 6
sistemas médicos y en otras industrias y aplicaciones como las
Considere todos los controles de seguridad de ISA / IEC 27001/2 al
redes de transporte, que utilizan activos automatizados o
aplicar los requisitos 62443-2-1 para la infraestructura OT ... 7
controlados o monitoreados de forma remota.
La serie ISA / IEC 62443 aporta valor añadido al
apoyando un enfoque holístico .............................................. .8
La Figura 1 ofrece una descripción general del alcance de algunos
documentos básicos de la serie ISA / IEC 62443. La Parte 62443-2-1
Próximos pasos ................................................ ................................ 9
[62443-2-1] está dirigida a organizaciones que son responsables de las
Referencias ................................................. ............................ 10
instalaciones de IACS, que incluye propietarios y operadores
(denominados "propietarios de activos" en la serie) y proporciona
requisitos para los programas de seguridad de IACS para propietarios
de activos.
WWW.ISA.ORG/ISAGCA 3
 ISA / IEC 62443
Establecimiento de
programas de seguridad

Activo responsable de
62443-2-1 direcciones asegurando
propietarios

Implementación de medidas de
seguridad técnicas y procedimentales

Desarrollo y mantenimiento de
62443-2-4 direcciones
Servicio responsable de soluciones técnicas con integradas
proveedores medidas de seguridad

62443-4-1 Producto Desarrollo de capacidades de seguridad en

62443-3-3 responsable de
direcciones productos y soporte con pautas de
proveedores
62443-4-2 seguridad y actualizaciones de seguridad.

Figura 1. ISA / IEC 62443 aborda todas las entidades involucradas en la protección de las instalaciones operativas

Nota: El presente documento se refiere a la versión más reciente de la parte 62443-2-1, que finalmente no está
aprobada como Norma Internacional y puede estar sujeta a cambios. No se espera que estos cambios afecten la
recomendaciones de este documento.

Además, la serie ISA / IEC 62443 proporciona requisitos de
conformidad para todas las entidades que apoyan a los
propietarios de activos en la implementación de medidas de
seguridad técnicas y de procedimiento para la protección de
las instalaciones operativas contra las amenazas cibernéticas.
La Parte 62443-2-4 [62443-2-4] proporciona los requisitos de
seguridad para los proveedores de servicios de integración y
mantenimiento que apoyan a los propietarios de activos en el
desarrollo y
Operación de soluciones técnicas específicas de OT.
Las partes 62443-3-3 [62443-3-3] y 62443-4-2
[62443-4-2] definen los requisitos para las capacidades
de seguridad de los sistemas y componentes,
respectivamente. La parte 62443-4-1 [62443-4-1]
incluye los requisitos del ciclo de vida del producto.
proveedores para el desarrollo y soporte de productos
con las capacidades de seguridad adecuadas. Además,
la serie ISA / IEC 62443 incluye documentos de
orientación para problemas específicos como la
administración de parches y la partición del sistema
basada en riesgos en zonas y conductos.
ISO / IEC 27001/2 y la serie ISA /
IEC 62443 abordan dos partes
complementarias de un enfoque
general de ciberseguridad de OT
Las normas ISO / IEC 27001/2 se han utilizado ampliamente
durante muchos años como base para organizar

Seguridad de la información de
una organización

ISO / IEC 27001/2 direcciones esa infraestructura

(Entorno de oficina)

Infraestructura OT de las instalaciones

direcciones ISA / IEC 62443
operativas (entorno OT)
serie

Figura 2. Alcance de ISO / IEC 27001/2 e ISA / IEC 62443

4 WWW.ISA.ORG/ISAGCA
 ISO / IEC 27001/2

Gestion de seguridad Controles de seguridad

(ISO / IEC 27001 cláusulas 4 a 10) (ISO / IEC 27001 Anexo A e ISO / IEC 27002)

5.1 Compromiso de liderazgo 6.2.2 Teletrabajo

6.2 Objetivos de seguridad de la 8.1.1 Inventario de activos

información y planificación para
lograrlos
10.1.1 Política sobre el uso de controles criptográficos

5.3 Roles, responsabilidades y

9.1.1 Política de control de acceso
autoridades organizacionales

11.2.9 Política de escritorio despejado y pantalla despejada

7. Recursos / Competencia /
Conciencia / Comunicación /
12.3.1 Copia de seguridad de la información
Información documentada

Figura 3. Ejemplos de requisitos y controles de seguridad del SGSI

la seguridad de la información de las organizaciones.
Los procesos y la estructura de gestión general de las
organizaciones responsables de los entornos de OT
pueden integrarse con un SGSI basado en estos
estándares, como se describirá aquí. La serie ISA / IEC
62443 aborda las necesidades específicas de las
infraestructuras OT y complementa el SGSI. La
infraestructura de TO de las instalaciones operativas
puede integrarse en la infraestructura de TI de la
organización responsable o estar organizada de forma
autónoma. En ambas situaciones, ISO / IEC 27001/2 y la
serie ISA / IEC 62443 se pueden utilizar para abordar
partes complementarias de un enfoque general de
ciberseguridad para entornos OT.
ISO / IEC 27001/2 aborda el
establecimiento de un sistema de
gestión de seguridad de la
información para la infraestructura
de TI de una organización.
ISO / IEC 27001/2 especifica requisitos genéricos que
están destinados a ser aplicables a todas las
organizaciones, independientemente de su tipo,
tamaño o naturaleza. Los requisitos para establecer,
implementar, mantener y mejorar continuamente un
SGSI se describen en las cláusulas 4 a 10 de
ISO / IEC 27001. No es aceptable excluir
cualquiera de los requisitos especificados en
estas cláusulas cuando una organización declara
conformidad con esta norma. Además, ISO / IEC
27001/2 incluye un conjunto de controles que
abordan temas de seguridad que requiere
a tener en cuenta en una estrategia de seguridad integral. En
un enfoque basado en el riesgo, una organización puede, en
última instancia, seleccionar controles de la lista
proporcionada por ISO / IEC 27001/2 o de otros conjuntos de
control, o se pueden diseñar nuevos controles para satisfacer
necesidades específicas según corresponda. La distinción
entre los requisitos del SGSI y los controles de seguridad de la
información que se encuentran en ISO / IEC 27001/2 se ilustra
con algunos ejemplos que se muestran en la Figura 3.
La serie ISA / IEC 62443 aborda las
necesidades específicas requeridas
para la ciberseguridad en entornos
OT
Las infraestructuras de OT de las instalaciones operativas
deben cumplir requisitos específicos de integridad,
rendimiento y disponibilidad para garantizar la continuidad
operativa. La pérdida de la continuidad operativa puede
manifestarse, por ejemplo, como una explosión, un apagón o
el uso de una fórmula o dosis incorrecta de un medicamento
que salva vidas. Muchas instalaciones operativas implementan
sistemas de seguridad dedicados para prevenir condiciones
operativas que tendrían consecuencias para la salud, la
seguridad y el medio ambiente. Los requisitos de seguridad en
ISA / IEC 62443 están diseñados para no prevenir o interrumpir
el funcionamiento seguro. Además, las funciones de seguridad
dedicadas requieren protecciones únicas y, por lo tanto, están
sujetas a requisitos de seguridad únicos en la norma.
Como ejemplos, los desafíos mencionados anteriormente, a
menudo enfrentados al extender la seguridad de TI existente

WWW.ISA.ORG/ISAGCA 5
 Control de seguridad ISO / IEC 27001/2 Consideración de OT
El bloqueo de la pantalla del operador OT
11.2.9 Escritorio despejado y pantalla despejada
puede crear condiciones inseguras
Los productos antivirus a menudo son
12.2.1 Controles contra malware incompatibles con los activos OT
Tráfico de red desde copias de seguridad de
12.3.1 Copia de seguridad de la información rutina que bloquean los mensajes de control de
seguridad
12.6.1 Gestión de vulnerabilidades Las prácticas de parcheo pueden interrumpir
técnicas el programa de producción
Figura 4. Consideraciones de TO con respecto a algunas implementaciones de control de seguridad de TI
las implementaciones de control a OT, son direccionadas por
62443 como se muestra en la Figura 4.
La serie ISA / IEC 62443 incluye requisitos que abordan
varios temas de seguridad para ser manejados en un
programa de seguridad integral, de la misma manera
que ISO / IEC 27001/2 incluye una lista de controles que
abordan estos aspectos de seguridad. Los requisitos de
ISA / IEC 62443 abordan necesidades específicas en el
entorno OT y complementan la lista de controles de
ISO / IEC 27001/2 agregando detalles críticos relevantes
para ese entorno.
ISO / IEC 27001/2 e ISA / IEC 62443
deben combinarse para proteger la
infraestructura OT de las
instalaciones operativas.
La discusión anterior muestra cómo ISA / IEC 62443
aumenta ISO / IEC 27001/2 al incorporar aspectos
específicos exclusivos del entorno OT. Sin embargo,
ISA / IEC 62443 no incluye todos los elementos
necesarios para asegurar OT. En particular, ISO / IEC
27001/2 proporciona requisitos y controles / pautas de
SGSI que son completamente comunes a TI y OT y no
se encuentran en ISA / IEC 62443. Por lo tanto, se
recomienda un método para aplicar ambos estándares
a la infraestructura de OT, y uno tal método se describe
aquí.
El concepto reconoce que 62443-2-1 está
abordando el programa de seguridad de
6 WWW.ISA.ORG/ISAGCA
Referencia ISA / IEC 62443
ISA / IEC 62443-2-1 USUARIO 1.18puede requerir excluir el bloqueo de
pantalla del operador OT
ISA / IEC 62443-2-1 COMP 2.3 Requiere probar el software de
protección de malware para su compatibilidad con IACS.
ISA / IEC 62443-3-3 SR 5.1 RE (1) Requiere segmentar
físicamente las redes de sistemas de control críticos de las
redes de sistemas de control no críticos.
ISA / IEC 62443-2-3 sección 5 parte f Requiere la aplicación de
parches de prueba y planificación para garantizar la continuidad
operativa
propietarios de activos para sus infraestructuras OT; en
consecuencia, esta parte de ISA / IEC 62443 debe estar
vinculada a ISO / IEC 27001/2. Los otros documentos de
la serie ISA / IEC 62443 tienen el propósito de brindar
apoyo a los propietarios de activos y tienen sus raíces
en los requisitos de 62443-2-1.
Amplíe y adapte ISMS para la
infraestructura OT
Aunque la serie ISA / IEC 62443 no define los
requisitos para establecer, implementar,
mantener y mejorar continuamente un SGSI, el
primer requisito de 62443-2-1 requiere que los
programas de seguridad de IACS se coordinen
con cualquier SGSI establecido. Se recomienda
que las organizaciones establezcan un SGSI
basado en ISO / IEC 27001/2, o utilicen un sistema
de gestión de seguridad ya definido que cumpla
con las cláusulas 4 a 10 de ISO / IEC 27001 para la
infraestructura OT. Debe asegurarse que la
estructura y la implementación sean propicias y
flexibles para la inclusión del entorno de TO en su
alcance sin causar impactos negativos en el SGSI.
Por ejemplo, esto requerirá claridad sobre la
asignación de responsabilidades de gestión de
TI / OT, responsabilidades para las interfaces del
sistema de TI / OT,
Considere todos los controles de seguridad de
ISA / IEC 27001/2 al aplicar los requisitos
62443-2-1 para infraestructura OT
Una forma práctica de organizar el conjunto combinado
de controles de seguridad ISO / IEC 27001/2 y requisitos
62443-2-1 para gestionar la coordinación de la selección y
el cumplimiento de los controles es aprovechar la
estructura ya presente en 62443-2-1. Los requisitos están
estructurados en elementos del programa de seguridad
(SPE), que son agrupaciones lógicas de requisitos que
cubren un tema específico. Todos los temas de seguridad
deben abordarse en un programa de seguridad integral.
Ejemplos de SPE son la gestión de la configuración, la
seguridad de la red y las comunicaciones, la seguridad de
los componentes, el control de acceso de los usuarios y la
protección de los datos. Además, algunas SPE se
subdividen donde diferentes aspectos de seguridad
incluidos en una misma SPE deben ser abordados
mediante medidas específicas. El enfoque propuesto
recomienda agregar a cada SPE / sub-SPE los controles de
seguridad relacionados de ISO / IEC 27001/2,
Aunque la mayoría de los controles ISO / IEC 27001/2
están relacionados con uno o varios temas tratados por
las SPE, algunos son de naturaleza general, como el
contacto con las autoridades, los términos y condiciones
de empleo y la notificación de debilidades de seguridad.
Estos son los “Controles de seguridad generales” de la
Figura 5. Deben considerarse en el enfoque basado en el
riesgo del propietario del activo y adaptarse al entorno de
TO de la misma manera que el
El SGSI está adaptado.
Cabe señalar que considerar la combinación de los
controles ISO / IEC 27001/2 y los requisitos 62443-2-1
no significa que deban aplicarse todos. Los requisitos
relevantes deben seleccionarse como resultado de un
análisis de riesgo por parte del propietario del activo
de acuerdo con sus necesidades específicas y
condiciones de aplicación.
Los beneficios de agregar en cada SPE y sub-SPE los
controles de seguridad relacionados de ISO / IEC
27001/2 se pueden ilustrar con el ejemplo del sub-
SPE NET 3: acceso remoto seguro, que forma parte
de SPE 3: seguridad de redes y comunicaciones
(Figura 6). Al especificar el programa de seguridad, el
propietario del activo puede considerar en un enfoque
basado en el riesgo todos los aspectos relevantes,
basándose en la combinación de requisitos sobre este
tema de ambos estándares.
Los activos de OT en las instalaciones operativas a menudo son
mantenidos por proveedores de servicios externos desde
ubicaciones fuera de las instalaciones operativas. Permitir el
acceso remoto a la infraestructura de OT debe estar
estrictamente controlado. En consecuencia, 62443-2-1 NET 3
requiere que los propietarios de activos:
• asegurarse de que solo se permitan
aplicaciones remotas autorizadas,
• asegurarse de que las conexiones remotas
interactivas autorizadas estén documentadas,
incluidos el propósito, las circunstancias, las
tecnologías de encriptación y autenticación, el tiempo
y la ubicación e identidad del dispositivo cliente
• remoto, y asegurarse de que el acceso remoto
finalice después de un período de inactividad.

ISO / IEC 27001/2

Seguridad ISO / IEC 27001 Anexo A e ISO / IEC 27002
Gestión direcciones Información
(ISO / IEC27001 General SGSI de seguridad de un
Controles de seguridad que abordan
cláusulas seguridad organización
temas de seguridad de las SPEs / sub SPEs
4 a 10) control S

esa infraestructura
adaptarse al entorno de OT incluir controles de seguridad relacionados en cada SPE / sub-SPE (Entorno de oficina)

SPE 1 SPE 2 ... SPE 8

General Requisitos de seguridad ISA / IEC 62443-2-1

Seguridad
seguridad Y direcciones Infraestructura OT de
Gestión Controles de seguridad relacionados de ISO / IEC 27001/2
control S Seguridad instalaciones operativas
Programa de
(Entorno OT)

Programa de seguridad OT organizado en elementos de programa de seguridad (SPE) y sub-SPEs

ISO / IEC 27001/2 e ISA / IEC 62443-2-1

Figura 5. Combinación de controles ISO / IEC 27001/2 y requisitos 62443-2-1 para OT Secur w roityraPwgramowmetro.sisa.org/ISAGCA
WWW.ISA.ORG/ISAGCA 7
 ISO / IEC 27001/2: requisitos para el SGSI del propietario del activo
6.1.1 Teletrabajo • Controles genéricos sobre la protección de la información y las
14.1.2 Protección de los servicios de aplicaciones en redes públicas aplicaciones relacionadas con el teletrabajo desde ubicaciones externas

14.1.3 Protección de las transacciones de servicios de aplicaciones > Detallado en ISA / IEC 62443-2-1 con consideraciones de OT
13.2.1 Políticas y procedimientos de transferencia de información • Controles adicionales no abordados en ISA / IEC 62443-2-1
13.2.2 Acuerdos sobre transferencia de información > Para ser considerado por propietarios de activos al especificar programas de
13.2.4 Acuerdos de confidencialidad o no divulgación seguridad

ISA / IEC 62443-2-1: Requisitos NET 3 para el programa de seguridad del propietario del activo

NET 3.1 Aplicaciones de acceso remoto • Permitir solo autorizado remoto aplicaciones

• Documento autorizado acceso remoto interactivo conexiones:

NET 3.2 Conexiones de acceso remoto Propósito / Circunstancias / Cifrado / Autenticación,
Duración / ubicación e identidad del dispositivo remoto

NET 3.3 Terminación del acceso remoto • Terminar después de un período de inactividad

Figura 6. NET 3 - Acceso remoto seguro: Combinando controles ISO / IEC 27001/2 y requisitos 62443-2-1

Los requisitos anteriores son específicos de OT y
detallan los controles administrativos recomendados de
ISO / IEC 27001/2 que abordan el teletrabajo desde
ubicaciones externas. Como ejemplo, la Figura 6
muestra una lista no exhaustiva de controles relevantes
para este tema. ISO / IEC 27001/2 requiere la protección
de la información a la que se accede, procesa o
almacena en sitios de teletrabajo, asegurando los
servicios de aplicaciones en redes públicas y protección
de las transacciones de servicios de aplicaciones.
62443-2-1 NETO 3.1, NETO
3.2 y NET 3.3 agregan requisitos específicos que se
aplican a estos controles para incorporar
consideraciones de OT. Por otro lado, ISO / IEC 27001/2
aborda aspectos que no se abordan en 62443-2-1 pero
que posiblemente sean relevantes para ser
considerados para los programas de seguridad.
en entornos OT, como se muestra en la Figura 6:
• políticas y procedimientos de transferencia de información,
• acuerdos sobre transferencia de información, y
• acuerdos de confidencialidad o no divulgación.
Un esquema de protección integral para asegurar el
acceso remoto a la infraestructura OT de las instalaciones
operativas considerará todos los aspectos abordados por
ambos estándares.
La serie ISA / IEC 62443 aporta
valor añadido al respaldar un
enfoque holístico
Los propietarios de activos confían en el diseño de
soluciones técnicas adecuadas con medidas de seguridad
integradas y en las capacidades de seguridad de

ISO / IEC 27001/2

son los Activo para asegurar el Seguridad de información
------------------------------------- base para propietarios implementación de de una organización
ISA / IEC 62443-2-1

esa infraestructura
(Entorno de oficina)
Servicio
ISA / IEC 62443-2-4 proveedores

Técnico y Para el
Infraestructura OT de
ISA / IEC 62443-4-1 seguridad procesal proteccion DE instalaciones operativas
Producto medidas (Entorno OT)
ISA / IEC 62443-3-3
proveedores
ISA / IEC 62443-4-2

Figura 7. Junto con ISO / IEC 27001/2, la serie ISA / IEC 62443 proporciona la base para una protección integral de las
instalaciones operativas.
8 WWW.ISA.ORG/ISAGCA
productos utilizados en estas soluciones. Como se muestra
en la Figura 1, la serie ISA / IEC 62443 proporciona un valor
agregado significativo al abordar todas las demás entidades
que apoyan a los propietarios de activos en la aplicación de
un enfoque de defensa en profundidad para la protección de
las instalaciones operativas contra las amenazas
cibernéticas. La Figura 7 ilustra las relaciones entre ISO / IEC
27001/2 y la serie ISA / IEC 62443, así como las entidades
organizativas asociadas, para producir un programa integral
de ciberseguridad para la protección de las instalaciones
operativas contra las ciberamenazas.
ISO / IEC 27001/2 incluye cinco controles (clase
A.15) específicamente sobre proveedores, y una serie de
menciones a proveedores como guía para otros controles. La
serie ISA / IEC 62443 admite la implementación de estos
controles al proporcionar partes específicas del estándar que
deben cumplir los proveedores de OT en roles específicos. Esto
le da al propietario del activo una base para imponer requisitos
de ciberseguridad a los proveedores de OT y potencialmente
requerir la certificación de terceros para las partes relevantes
del estándar 62443 para sus proveedores de OT o para la
compra de productos. Por ejemplo, 62443-4-1 incluye requisitos
sobre los proveedores de productos para reducir y administrar
vulnerabilidades como el modelado de amenazas, la aplicación
de principios de diseño seguro, la eliminación de
vulnerabilidades de codificación siguiendo las pautas de
codificación, la búsqueda y eliminación de vulnerabilidades a
través de pruebas como pruebas de fuzz, pruebas de
penetración análisis binario, proporcionar pautas de seguridad
para los usuarios y abordar las vulnerabilidades descubiertas en
el campo con un proceso de actualizaciones de seguridad.
Además, la serie ISA / IEC 62443 incluye requisitos para las
capacidades de seguridad técnica de los productos utilizados en
las infraestructuras OT y define los niveles de seguridad (SL)
para diferenciar el nivel de protección que se puede alcanzar
potencialmente acorde con los riesgos de ciberseguridad
tolerables de los propietarios de activos.
ISO / IEC 27001/2 y las series ISA / IEC 62443 se
complementan entre sí para implementar una estrategia
integral, basada en riesgos y de defensa en profundidad
para la protección de las instalaciones operativas, incluida la
contribución de todas las entidades:
• Los requisitos y controles combinados de ISO / IEC
27001/2 y 62443-2-1 son la base para que los
propietarios de activos establezcan programas de
seguridad y garanticen el diseño y la
implementación de medidas de seguridad técnicas
y de procedimiento.
• Los requisitos de IEC / ISA 62443-2-4 son la base para que
los proveedores de servicios apoyen a los propietarios de
activos mediante el diseño y mantenimiento de soluciones
técnicas que brinden las capacidades de seguridad
requeridas.
• Los requisitos de IEC / ISA 62443-4-1 son la base para que
los proveedores de productos apoyen a los propietarios
de activos y proveedores de servicios empleando
procesos de desarrollo seguros y proporcionando pautas
y soporte para integrar y mantener la seguridad de los
productos utilizados en las infraestructuras OT. Los
requisitos de IEC / ISA 62443-3-3 y 62443-4-2 son la base
• para proporcionar las capacidades de seguridad del
producto necesarias para la implementación de
esquemas de protección por parte de los propietarios de
activos y proveedores de servicios.
Próximos pasos
Para implementar el enfoque descrito, se requiere un
mapeo del conjunto de controles ISO / IEC 27001/2
relacionados bajo cada SPE o sub-SPE de 62443-2-1. Una
organización puede utilizar este enfoque que se basa en
62443-2-1 SPE, o cualquier otro enfoque que considere
conveniente para fusionar los controles ISO / IEC
27001/2 con los requisitos 62443-2-1. Se podría
desarrollar un mapeo de referencia para este propósito
como un recurso de uso común; La Alianza Global de
Ciberseguridad de ISA (ISAGCA) está considerando
desarrollar dicha referencia. Las organizaciones podrían
utilizar este mapeo de referencia como punto de partida
para el desarrollo de sus programas de seguridad OT y
ajustarlo a sus necesidades específicas según sea
necesario. explotación exitosa de una vulnerabilidad.
WWW.ISA.ORG/ISAGCA 9
 Referencias
[27001] ISO / IEC 27001 Segunda edición 2013-10-01 - Tecnología de la información - Técnicas de
seguridad - Sistemas de gestión de seguridad de la información - Requisitos ISO / IEC 27002
[27002] Segunda edición 2013-10-01 - Tecnología de la información - Técnicas de seguridad - Código de
prácticas para controles de seguridad de la información
[Gartner-ITG] Gartner: Glosario de TI, consultado el 22 de marzo de 2021
http://www.gartner.com/it-glossary
[62443-2-1] IEC CDV 62443-2-1 ED2: 2019-08-23 - Seguridad para sistemas de control y
automatización industrial - Parte 2-1: requisitos del programa de seguridad para IACS
[62443-2-4] ISA / IEC 62443-2-4: 2017 - Seguridad para sistemas de control y automatización industrial - Parte 2-4:
Requisitos del programa de seguridad para proveedores de servicios IACS
[62443-3-3] ISA / IEC 62443-3-3: 2013 - Redes de comunicaciones industriales - Seguridad de redes y
sistemas - Parte 3-3: Requisitos de seguridad del sistema y niveles de seguridad ISA /
[62443-4-1] IEC-62443-4-1: 2018 - Seguridad para sistemas de control y automatización industrial - Parte
4-1: Requisitos del ciclo de vida del desarrollo de productos seguros
[62443-4-2] ISA / IEC-62443-4-2: 2019 - Seguridad para sistemas de control y automatización industrial -
Parte 4-1: Requisitos técnicos de seguridad para componentes IACS

10 WWW.ISA.ORG/ISAGCA