Inicio 

/ Blog / Zonas y conductos, protegiendo nuestra red industrial

Zonas y conductos, protegiendo nuestra red industrial

Publicado el 21/06/2018, por INCIBE

Antecedentes
La seguridad en las redes industriales viene muy marcada por los diferentes niveles de
la pirámide de automatización (ISA-95), como ya se describió en artículos previos. Esta
normativa creó la base para el estándar IEC-62443, evolución de la ISA99, en concreto
el IEC-62443-3-2 “Standard addresses security risk assessment and system design for
IACS”, donde se introducen los conceptos de "zonas" y "conductos" para una
segmentación segura de las redes industriales aplicando la defensa en profundidad.
Las zonas de seguridad se definen en el estándar como “agrupaciones de activos físicos
o lógicos que comparten requisitos comunes de seguridad, las cuales tienen la frontera
(física o lógica) claramente definida”. Las conexiones entre estas zonas se denominan
conductos y deben incluir medidas de seguridad para controlar el acceso a las mismas,
resistir ataques de denegación de servicio, evitar la propagación de cualquier otro tipo
de ataque, hacer de escudo para otros sistemas de la red y proteger la integridad y la
confidencialidad de las comunicaciones.
Una zona de seguridad requiere de un nivel objetivo de seguridad (SLT), que se basa en
factores de criticidad e impacto. El equipamiento de la zona de seguridad deberá tener
un nivel de prestación de seguridad (SLC) que deberá ser igual al SLT. Si no lo son, es
necesario incluir tecnologías de seguridad y/o políticas/procedimientos para compensar
el desfase.
Así, por ejemplo, si tenemos un sistema que incluye varios equipos de supervisión
basados en Windows XP/server 2003 (p. ej. HMI, histórico, etc.), así como múltiples
PLC para realizar funciones de control local, rápidamente nos daremos cuenta de que, si
los incluimos en la misma zona, el SLT debería ser el mismo para todos. Esto no es
lógico y supondría ineficiencias en la inversión de seguridad. En este caso, la mejor
solución pasa por definir dos zonas distintas, una para los PLC y otra para los equipos
Windows, interconectadas mediante un “conducto” y enfocarse en asegurar cada una de
estas zonas por separado, así como el conducto en sí mismo. El aseguramiento del
conducto mediante un cortafuegos, por ejemplo, ya eleva el SLC de cada zona.
 

Gestión de zonas y conductos

El principal objetivo de la separación de los diferentes elementos dentro de una red
industrial, en zonas y conductos, es crear una arquitectura de red cibersegura. Este
modelo de arquitectura de red no es único, sino que está basado en guías de buenas
prácticas, experiencias y, sobre todo, en las necesidades y limitaciones de cada caso en
particular, por lo que pueden coexistir diferentes aproximaciones de arquitecturas
seguras, incluso dentro de una misma empresa. Aun así, debemos tener en
consideración al menos un mínimo de zonas y conductos para que ésta se considere
segura, los cuales se basan en la pirámide de automatización ISA-95, segregando la red
al menos en una “zona” por cada nivel de dicha pirámide de automatización.
En la siguiente imagen, se ve reflejada una arquitectura posible (recordemos que no
tiene por ser única), la cual daría solución a una arquitectura de red segura basada en
zonas y conductos.
 
 
Las zonas y los conductos deben quedar definidos en un documento y éstos deberán
tener una serie de campos que los definan, como pueden ser los explicados en el
estándar ISA-62443-3-2, algunos de ellos son:

 Nombre o identificador único de la zona/conducto

 Límites lógicos
 Límites físicos, si aplica
 Lista de todos los puntos de acceso y de todos los activos implicados
  Lista de todos los tipos de flujos de datos / protocolos asociados con cada punto
de acceso
 Zonas y conductos conectados
 Lista de activos
 Nivel de seguridad asignado

Los campos que definen las zonas o los conductos no están estandarizados, pero en
algunas normativas o buenas prácticas, se pueden encontrar alguno de los más
representativos, como los que se han enumerado, aun así estos campos deben
personalizarse dependiendo del entorno industrial particular.
El documento final debe ser algo vivo, basado en la experiencia propia y en el sistema
objetivo del análisis en cuestión. Por ejemplo, en una infraestructura en concreto, los
dispositivos identificados dentro de una zona pueden pertenecer a diferentes “áreas de la
empresa” (área de sistemas, área de telecomunicaciones, fabricantes, ingenieros de la
operación, etc.). Disponer de esta información puede ser relevante cuando se define
dicha zona, por lo que, para esta casuística en concreto, se pueden crear una serie de
campos específicos para contemplar esta información relevante para el sistema objeto
de estudio.