Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Antecedentes
La seguridad en las redes industriales viene muy marcada por los diferentes niveles de
la pirámide de automatización (ISA-95), como ya se describió en artículos previos. Esta
normativa creó la base para el estándar IEC-62443, evolución de la ISA99, en concreto
el IEC-62443-3-2 “Standard addresses security risk assessment and system design for
IACS”, donde se introducen los conceptos de "zonas" y "conductos" para una
segmentación segura de las redes industriales aplicando la defensa en profundidad.
Las zonas de seguridad se definen en el estándar como “agrupaciones de activos físicos
o lógicos que comparten requisitos comunes de seguridad, las cuales tienen la frontera
(física o lógica) claramente definida”. Las conexiones entre estas zonas se denominan
conductos y deben incluir medidas de seguridad para controlar el acceso a las mismas,
resistir ataques de denegación de servicio, evitar la propagación de cualquier otro tipo
de ataque, hacer de escudo para otros sistemas de la red y proteger la integridad y la
confidencialidad de las comunicaciones.
Una zona de seguridad requiere de un nivel objetivo de seguridad (SLT), que se basa en
factores de criticidad e impacto. El equipamiento de la zona de seguridad deberá tener
un nivel de prestación de seguridad (SLC) que deberá ser igual al SLT. Si no lo son, es
necesario incluir tecnologías de seguridad y/o políticas/procedimientos para compensar
el desfase.
Así, por ejemplo, si tenemos un sistema que incluye varios equipos de supervisión
basados en Windows XP/server 2003 (p. ej. HMI, histórico, etc.), así como múltiples
PLC para realizar funciones de control local, rápidamente nos daremos cuenta de que, si
los incluimos en la misma zona, el SLT debería ser el mismo para todos. Esto no es
lógico y supondría ineficiencias en la inversión de seguridad. En este caso, la mejor
solución pasa por definir dos zonas distintas, una para los PLC y otra para los equipos
Windows, interconectadas mediante un “conducto” y enfocarse en asegurar cada una de
estas zonas por separado, así como el conducto en sí mismo. El aseguramiento del
conducto mediante un cortafuegos, por ejemplo, ya eleva el SLC de cada zona.
Los campos que definen las zonas o los conductos no están estandarizados, pero en
algunas normativas o buenas prácticas, se pueden encontrar alguno de los más
representativos, como los que se han enumerado, aun así estos campos deben
personalizarse dependiendo del entorno industrial particular.
El documento final debe ser algo vivo, basado en la experiencia propia y en el sistema
objetivo del análisis en cuestión. Por ejemplo, en una infraestructura en concreto, los
dispositivos identificados dentro de una zona pueden pertenecer a diferentes “áreas de la
empresa” (área de sistemas, área de telecomunicaciones, fabricantes, ingenieros de la
operación, etc.). Disponer de esta información puede ser relevante cuando se define
dicha zona, por lo que, para esta casuística en concreto, se pueden crear una serie de
campos específicos para contemplar esta información relevante para el sistema objeto
de estudio.