Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA SEGURIDAD CIBERNÉTICA
ALIANZA
EL TIEMPO ES AHORA
Julio 2021
www.isa.or gramo
WW W/
. ES UN I. S AGRAMO
O GCA
RGUN
/ES 1CA
Aplicación de ISO / IEC 27001/2 y
la serie ISA / IEC 62443 para
tecnología operativa
Ambientes
Introducción Sistema (SGSI), sin embargo requiere que, si la
Muchas organizaciones (especialmente las muy organización tiene un SGSI establecido, el programa
grandes) han establecido políticas y de seguridad en el entorno OT debe coordinarse con
procedimientos que rigen la seguridad de TI en él. En este documento estamos considerando el caso
su entorno de oficina; muchos de ellos se basan de uso de un SGSI existente basado en ISO / IEC
en ISO / IEC 27001/2 [27001] [27002]. Algunos 27001/2.
han intentado abordar su infraestructura de
tecnología operativa (OT) bajo el mismo Otros estándares de seguridad de la información
sistema de gestión y han aprovechado muchos similares en alcance a 27001 podrían usarse de
puntos en común de TI / OT. Aunque sería ideal manera efectiva junto con 62443 bajo un enfoque
seleccionar siempre controles e similar al descrito aquí. La evaluación de tales
implementaciones comunes tanto para TI como enfoques está fuera del alcance de este documento.
para OT, las organizaciones se han enfrentado Sin embargo, se anima a los usuarios de dichos
a desafíos al hacerlo, como el bloqueo de la estándares a explorar esa posibilidad.
pantalla del operador de OT que crea
condiciones inseguras, productos antivirus
incompatibles con los equipos de OT, prácticas Fondo
de parcheo que interrumpen los programas de Alcance de ISO / IEC 27001/2
producción. o el tráfico de red de las copias de La norma ISO / IEC 27001 proporciona requisitos para
seguridad de rutina que bloquean los mensajes establecer, implementar, mantener y mejorar
de control de seguridad. La serie ISA / IEC continuamente un SGSI, así como una lista de controles
62443 aborda de forma explícita cuestiones comúnmente aceptados que se utilizarán como
como estas; referencia para establecer requisitos de seguridad (ISO /
IEC 27000, el glosario e introducción a la serie 27000,
define el término control como “medida que modifica el
riesgo”). Además, ISO / IEC 27002 proporciona una guía
Este documento ofrece una guía para las organizaciones más detallada para las organizaciones que implementan
familiarizadas con ISO / IEC 27001 e interesadas en estos controles de seguridad de la información. Está
proteger la infraestructura OT de sus instalaciones diseñado para que las organizaciones lo utilicen como
operativas según la serie ISA / IEC 62443. Describe la referencia para seleccionar controles dentro del proceso
relación entre la serie ISA / IEC 62443 e ISO / IEC 27001/2 de implementación de un SGSI conforme a ISO / IEC
y cómo ambas normas pueden usarse de manera 27001.
efectiva dentro de una organización para proteger tanto
la TI como la OT.
IT y OT
62443 no requiere el uso de una gestión de "TI" es el término común para todo el espectro de tecnologías
seguridad de la información subyacente. para el procesamiento de la información, incluyendo
2 WWW.ISA.ORG/ISAGCA
ISO / IEC 27001/2 y la
La serie ISA / IEC 62443 aborda dos partes complementarias
de un enfoque general de ciberseguridad de TO
Activo responsable de
62443-2-1 direcciones asegurando
propietarios
Implementación de medidas de
seguridad técnicas y procedimentales
Desarrollo y mantenimiento de
62443-2-4 direcciones
Servicio responsable de soluciones técnicas con integradas
proveedores medidas de seguridad
Figura 1. ISA / IEC 62443 aborda todas las entidades involucradas en la protección de las instalaciones operativas
Nota: El presente documento se refiere a la versión más reciente de la parte 62443-2-1, que finalmente no está
aprobada como Norma Internacional y puede estar sujeta a cambios. No se espera que estos cambios afecten la
recomendaciones de este documento.
Además, la serie ISA / IEC 62443 proporciona requisitos de proveedores para el desarrollo y soporte de productos
conformidad para todas las entidades que apoyan a los con las capacidades de seguridad adecuadas. Además,
propietarios de activos en la implementación de medidas de la serie ISA / IEC 62443 incluye documentos de
seguridad técnicas y de procedimiento para la protección de orientación para problemas específicos como la
las instalaciones operativas contra las amenazas cibernéticas. administración de parches y la partición del sistema
La Parte 62443-2-4 [62443-2-4] proporciona los requisitos de basada en riesgos en zonas y conductos.
seguridad para los proveedores de servicios de integración y
mantenimiento que apoyan a los propietarios de activos en el
desarrollo y ISO / IEC 27001/2 y la serie ISA /
Operación de soluciones técnicas específicas de OT. IEC 62443 abordan dos partes
Las partes 62443-3-3 [62443-3-3] y 62443-4-2 complementarias de un enfoque
[62443-4-2] definen los requisitos para las capacidades general de ciberseguridad de OT
de seguridad de los sistemas y componentes,
respectivamente. La parte 62443-4-1 [62443-4-1] Las normas ISO / IEC 27001/2 se han utilizado ampliamente
incluye los requisitos del ciclo de vida del producto. durante muchos años como base para organizar
Seguridad de la información de
una organización
la seguridad de la información de las organizaciones. a tener en cuenta en una estrategia de seguridad integral. En
Los procesos y la estructura de gestión general de las un enfoque basado en el riesgo, una organización puede, en
organizaciones responsables de los entornos de OT última instancia, seleccionar controles de la lista
pueden integrarse con un SGSI basado en estos proporcionada por ISO / IEC 27001/2 o de otros conjuntos de
estándares, como se describirá aquí. La serie ISA / IEC control, o se pueden diseñar nuevos controles para satisfacer
62443 aborda las necesidades específicas de las necesidades específicas según corresponda. La distinción
infraestructuras OT y complementa el SGSI. La entre los requisitos del SGSI y los controles de seguridad de la
infraestructura de TO de las instalaciones operativas información que se encuentran en ISO / IEC 27001/2 se ilustra
puede integrarse en la infraestructura de TI de la con algunos ejemplos que se muestran en la Figura 3.
organización responsable o estar organizada de forma
autónoma. En ambas situaciones, ISO / IEC 27001/2 y la
serie ISA / IEC 62443 se pueden utilizar para abordar
partes complementarias de un enfoque general de La serie ISA / IEC 62443 aborda las
ciberseguridad para entornos OT. necesidades específicas requeridas
para la ciberseguridad en entornos
OT
ISO / IEC 27001/2 aborda el Las infraestructuras de OT de las instalaciones operativas
establecimiento de un sistema de deben cumplir requisitos específicos de integridad,
gestión de seguridad de la rendimiento y disponibilidad para garantizar la continuidad
información para la infraestructura operativa. La pérdida de la continuidad operativa puede
de TI de una organización. manifestarse, por ejemplo, como una explosión, un apagón o
ISO / IEC 27001/2 especifica requisitos genéricos que el uso de una fórmula o dosis incorrecta de un medicamento
están destinados a ser aplicables a todas las que salva vidas. Muchas instalaciones operativas implementan
organizaciones, independientemente de su tipo, sistemas de seguridad dedicados para prevenir condiciones
tamaño o naturaleza. Los requisitos para establecer, operativas que tendrían consecuencias para la salud, la
implementar, mantener y mejorar continuamente un seguridad y el medio ambiente. Los requisitos de seguridad en
SGSI se describen en las cláusulas 4 a 10 de ISA / IEC 62443 están diseñados para no prevenir o interrumpir
ISO / IEC 27001. No es aceptable excluir el funcionamiento seguro. Además, las funciones de seguridad
cualquiera de los requisitos especificados en dedicadas requieren protecciones únicas y, por lo tanto, están
estas cláusulas cuando una organización declara sujetas a requisitos de seguridad únicos en la norma.
conformidad con esta norma. Además, ISO / IEC
27001/2 incluye un conjunto de controles que Como ejemplos, los desafíos mencionados anteriormente, a
abordan temas de seguridad que requiere menudo enfrentados al extender la seguridad de TI existente
WWW.ISA.ORG/ISAGCA 5
Control de seguridad ISO / IEC 27001/2 Consideración de OT Referencia ISA / IEC 62443
El bloqueo de la pantalla del operador OT ISA / IEC 62443-2-1 USUARIO 1.18puede requerir excluir el bloqueo de
11.2.9 Escritorio despejado y pantalla despejada
puede crear condiciones inseguras pantalla del operador OT
Los productos antivirus a menudo son ISA / IEC 62443-2-1 COMP 2.3 Requiere probar el software de
12.2.1 Controles contra malware incompatibles con los activos OT protección de malware para su compatibilidad con IACS.
Tráfico de red desde copias de seguridad de ISA / IEC 62443-3-3 SR 5.1 RE (1) Requiere segmentar
12.3.1 Copia de seguridad de la información rutina que bloquean los mensajes de control de físicamente las redes de sistemas de control críticos de las
seguridad redes de sistemas de control no críticos.
las implementaciones de control a OT, son direccionadas por propietarios de activos para sus infraestructuras OT; en
62443 como se muestra en la Figura 4. consecuencia, esta parte de ISA / IEC 62443 debe estar
vinculada a ISO / IEC 27001/2. Los otros documentos de
La serie ISA / IEC 62443 incluye requisitos que abordan la serie ISA / IEC 62443 tienen el propósito de brindar
varios temas de seguridad para ser manejados en un apoyo a los propietarios de activos y tienen sus raíces
programa de seguridad integral, de la misma manera en los requisitos de 62443-2-1.
que ISO / IEC 27001/2 incluye una lista de controles que
abordan estos aspectos de seguridad. Los requisitos de
ISA / IEC 62443 abordan necesidades específicas en el Amplíe y adapte ISMS para la
entorno OT y complementan la lista de controles de infraestructura OT
ISO / IEC 27001/2 agregando detalles críticos relevantes Aunque la serie ISA / IEC 62443 no define los
para ese entorno. requisitos para establecer, implementar,
mantener y mejorar continuamente un SGSI, el
primer requisito de 62443-2-1 requiere que los
programas de seguridad de IACS se coordinen
ISO / IEC 27001/2 e ISA / IEC 62443 con cualquier SGSI establecido. Se recomienda
deben combinarse para proteger la que las organizaciones establezcan un SGSI
infraestructura OT de las basado en ISO / IEC 27001/2, o utilicen un sistema
instalaciones operativas. de gestión de seguridad ya definido que cumpla
La discusión anterior muestra cómo ISA / IEC 62443 con las cláusulas 4 a 10 de ISO / IEC 27001 para la
aumenta ISO / IEC 27001/2 al incorporar aspectos infraestructura OT. Debe asegurarse que la
específicos exclusivos del entorno OT. Sin embargo, estructura y la implementación sean propicias y
ISA / IEC 62443 no incluye todos los elementos flexibles para la inclusión del entorno de TO en su
necesarios para asegurar OT. En particular, ISO / IEC alcance sin causar impactos negativos en el SGSI.
27001/2 proporciona requisitos y controles / pautas de Por ejemplo, esto requerirá claridad sobre la
SGSI que son completamente comunes a TI y OT y no asignación de responsabilidades de gestión de
se encuentran en ISA / IEC 62443. Por lo tanto, se TI / OT, responsabilidades para las interfaces del
recomienda un método para aplicar ambos estándares sistema de TI / OT,
a la infraestructura de OT, y uno tal método se describe
aquí.
esa infraestructura
adaptarse al entorno de OT incluir controles de seguridad relacionados en cada SPE / sub-SPE (Entorno de oficina)
Figura 5. Combinación de controles ISO / IEC 27001/2 y requisitos 62443-2-1 para OT Secur w roityraPwgramowmetro.sisa.org/ISAGCA
WWW.ISA.ORG/ISAGCA 7
ISO / IEC 27001/2: requisitos para el SGSI del propietario del activo
6.1.1 Teletrabajo • Controles genéricos sobre la protección de la información y las
14.1.2 Protección de los servicios de aplicaciones en redes públicas aplicaciones relacionadas con el teletrabajo desde ubicaciones externas
14.1.3 Protección de las transacciones de servicios de aplicaciones > Detallado en ISA / IEC 62443-2-1 con consideraciones de OT
13.2.1 Políticas y procedimientos de transferencia de información • Controles adicionales no abordados en ISA / IEC 62443-2-1
13.2.2 Acuerdos sobre transferencia de información > Para ser considerado por propietarios de activos al especificar programas de
13.2.4 Acuerdos de confidencialidad o no divulgación seguridad
ISA / IEC 62443-2-1: Requisitos NET 3 para el programa de seguridad del propietario del activo
NET 3.1 Aplicaciones de acceso remoto • Permitir solo autorizado remoto aplicaciones
NET 3.3 Terminación del acceso remoto • Terminar después de un período de inactividad
Figura 6. NET 3 - Acceso remoto seguro: Combinando controles ISO / IEC 27001/2 y requisitos 62443-2-1
Los requisitos anteriores son específicos de OT y en entornos OT, como se muestra en la Figura 6:
detallan los controles administrativos recomendados de • políticas y procedimientos de transferencia de información,
ISO / IEC 27001/2 que abordan el teletrabajo desde • acuerdos sobre transferencia de información, y
ubicaciones externas. Como ejemplo, la Figura 6 • acuerdos de confidencialidad o no divulgación.
muestra una lista no exhaustiva de controles relevantes
para este tema. ISO / IEC 27001/2 requiere la protección Un esquema de protección integral para asegurar el
de la información a la que se accede, procesa o acceso remoto a la infraestructura OT de las instalaciones
almacena en sitios de teletrabajo, asegurando los operativas considerará todos los aspectos abordados por
servicios de aplicaciones en redes públicas y protección ambos estándares.
de las transacciones de servicios de aplicaciones.
62443-2-1 NETO 3.1, NETO
3.2 y NET 3.3 agregan requisitos específicos que se La serie ISA / IEC 62443 aporta
aplican a estos controles para incorporar valor añadido al respaldar un
consideraciones de OT. Por otro lado, ISO / IEC 27001/2 enfoque holístico
aborda aspectos que no se abordan en 62443-2-1 pero Los propietarios de activos confían en el diseño de
que posiblemente sean relevantes para ser soluciones técnicas adecuadas con medidas de seguridad
considerados para los programas de seguridad. integradas y en las capacidades de seguridad de
esa infraestructura
(Entorno de oficina)
Servicio
ISA / IEC 62443-2-4 proveedores
Técnico y Para el
Infraestructura OT de
ISA / IEC 62443-4-1 seguridad procesal proteccion DE instalaciones operativas
Producto medidas (Entorno OT)
ISA / IEC 62443-3-3
proveedores
ISA / IEC 62443-4-2
Figura 7. Junto con ISO / IEC 27001/2, la serie ISA / IEC 62443 proporciona la base para una protección integral de las
instalaciones operativas.
8 WWW.ISA.ORG/ISAGCA
productos utilizados en estas soluciones. Como se muestra • Los requisitos de IEC / ISA 62443-2-4 son la base para que
en la Figura 1, la serie ISA / IEC 62443 proporciona un valor los proveedores de servicios apoyen a los propietarios de
agregado significativo al abordar todas las demás entidades activos mediante el diseño y mantenimiento de soluciones
que apoyan a los propietarios de activos en la aplicación de técnicas que brinden las capacidades de seguridad
un enfoque de defensa en profundidad para la protección de requeridas.
las instalaciones operativas contra las amenazas • Los requisitos de IEC / ISA 62443-4-1 son la base para que
cibernéticas. La Figura 7 ilustra las relaciones entre ISO / IEC los proveedores de productos apoyen a los propietarios
27001/2 y la serie ISA / IEC 62443, así como las entidades de activos y proveedores de servicios empleando
organizativas asociadas, para producir un programa integral procesos de desarrollo seguros y proporcionando pautas
de ciberseguridad para la protección de las instalaciones y soporte para integrar y mantener la seguridad de los
operativas contra las ciberamenazas. productos utilizados en las infraestructuras OT. Los
requisitos de IEC / ISA 62443-3-3 y 62443-4-2 son la base
• para proporcionar las capacidades de seguridad del
ISO / IEC 27001/2 incluye cinco controles (clase producto necesarias para la implementación de
A.15) específicamente sobre proveedores, y una serie de esquemas de protección por parte de los propietarios de
menciones a proveedores como guía para otros controles. La activos y proveedores de servicios.
serie ISA / IEC 62443 admite la implementación de estos
controles al proporcionar partes específicas del estándar que
deben cumplir los proveedores de OT en roles específicos. Esto
le da al propietario del activo una base para imponer requisitos Próximos pasos
de ciberseguridad a los proveedores de OT y potencialmente Para implementar el enfoque descrito, se requiere un
requerir la certificación de terceros para las partes relevantes mapeo del conjunto de controles ISO / IEC 27001/2
del estándar 62443 para sus proveedores de OT o para la relacionados bajo cada SPE o sub-SPE de 62443-2-1. Una
compra de productos. Por ejemplo, 62443-4-1 incluye requisitos organización puede utilizar este enfoque que se basa en
sobre los proveedores de productos para reducir y administrar 62443-2-1 SPE, o cualquier otro enfoque que considere
vulnerabilidades como el modelado de amenazas, la aplicación conveniente para fusionar los controles ISO / IEC
de principios de diseño seguro, la eliminación de 27001/2 con los requisitos 62443-2-1. Se podría
vulnerabilidades de codificación siguiendo las pautas de desarrollar un mapeo de referencia para este propósito
codificación, la búsqueda y eliminación de vulnerabilidades a como un recurso de uso común; La Alianza Global de
través de pruebas como pruebas de fuzz, pruebas de Ciberseguridad de ISA (ISAGCA) está considerando
penetración análisis binario, proporcionar pautas de seguridad desarrollar dicha referencia. Las organizaciones podrían
para los usuarios y abordar las vulnerabilidades descubiertas en utilizar este mapeo de referencia como punto de partida
el campo con un proceso de actualizaciones de seguridad. para el desarrollo de sus programas de seguridad OT y
Además, la serie ISA / IEC 62443 incluye requisitos para las ajustarlo a sus necesidades específicas según sea
capacidades de seguridad técnica de los productos utilizados en necesario. explotación exitosa de una vulnerabilidad.
las infraestructuras OT y define los niveles de seguridad (SL)
para diferenciar el nivel de protección que se puede alcanzar
potencialmente acorde con los riesgos de ciberseguridad
tolerables de los propietarios de activos.
10 WWW.ISA.ORG/ISAGCA