Documentos de Académico
Documentos de Profesional
Documentos de Cultura
en Industria 4.0
Diseño de zonas, conductos y canales según IEC 62443
Septiembre 2018
kpmg.es
Índice
Introducción
1. La Industria 4.0
Anexo I. Referencias
3
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443 Introducción
Introducción
1. La Industria 4.0 La cuarta revolución industrial o Industria 4.0 [1] está cambiando la no sólo funcione de forma inteligente, sino que funcione de forma
forma de trabajar de las organizaciones vinculadas al sector industrial. segura. En esta extensa norma se definen los conceptos de zona,
2. La ciberseguridad en la La adopción de paradigmas tecnológicos como Cloud Computing, conducto y canal como elementos clave para que los activos
Industria 4.0 Big Data, IoT (Internet of Things), M2M (Machine To Machine), IIoT que concurren en un entorno industrial dispongan de los niveles de
(Industrial Internet of Things), etc; el despliegue de programas de seguridad adecuados.
3. Arquitectura de referencia en
mejora continua de la productividad y el diseño de programas de
la Industria 4.0
formación continua a todos los actores involucrados en la cadena de Teniendo en cuenta este escenario, la principal aportación de este
4. La norma IEC 62443 (ISA99) suministro, son tan sólo algunos de los factores que caracterizan a artículo es la de realizar una propuesta de cómo definir las zonas,
este nuevo modelo que persigue crear “fábricas inteligentes”. Para conductos y canales siguiendo las recomendaciones de la IEC 62443
5. Zonas, conductos y canales
alcanzar este objetivo, es necesario apoyarse en una arquitectura en una organización que decide abordar una iniciativa de Industria
de referencia y en normas que ayuden a estandarizar la forma en la 4.0 y que está preocupada por la seguridad de sus activos. Para ello
6. Propuesta para definir zonas,
que las organizaciones industriales llevan a cabo la transición de una se realiza en primer lugar una explicación de qué se entiende por
conductos y canales en
Industria 4.0 industria automatizada (ó 3.0) a una industria inteligente (ó 4.0). Industria 4.0, qué relación tiene la ciberseguridad con este nuevo
paradigma y se introduce la primera arquitectura de referencia para
7. Conclusiones y trabajo futuro La incorporación de las tecnologías, modelos y paradigmas que la Industria 4.0 (denominada RAMI 4.0). A continuación, en las
ayudan a crear fábricas autónomas y ágiles a las fábricas actuales Secciones 5 y 6 se profundiza en el alcance de la norma IEC 62443,
Anexo I. Referencias
debe realizarse de forma segura. En este contexto, se ha propuesto para en la Sección 7 proponer qué aspectos clave deben considerarse
una primera arquitectura de referencia para la Industria 4.0, a la hora de definir zonas, conductos y canales en un contexto de
denominada RAMI 4.0 [6], en la que se identifica la norma IEC 62443 Industria 4.0.
[9] como el marco de trabajo idóneo para que la industria del futuro
© 2018 KPMG Asesores S.L., sociedad española de responsabilidad
limitada y firma miembro de la red KPMG de firmas independientes
afiliadas a KPMG International Cooperative (“KPMG International”),
sociedad suiza. Todos los derechos reservados.
4
Ciberseguridad
en Industria 4.0 La Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
1
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
en Industria 4.0 La primera revolución tuvo lugar entre los años 1870 y 1900, cuando
se empezaron a utilizar máquinas de vapor para elaborar productos.
industrial o Industria 4.0 [2]. En otras palabras, el término Industria 4.0
hace referencia a la convergencia entre el mundo físico y el virtual,
Diseño de zonas, conductos La segunda tuvo como hito clave la introducción de la electricidad a partir del uso de una comunicación inteligente entre los seres
y canales según IEC 62443 en las cadenas de producción. Fue en 1969, cuando con la aparición humanos y las máquinas (de hecho, se habla de sistemas CPS o
del primer autómata programable (PLC), denominado Modicon 084, Cyber-Physical Systems), con la misma naturalidad que se desarrolla
se utilizó por primera vez el término de automatización industrial, en una red social.
Introducción iniciándose así la tercera revolución industrial. Desde ese momento
hasta nuestros días, la irrupción y adopción de las tecnologías de Esta cuarta revolución industrial [5] debe proporcionar ventajas
1. La Industria 4.0
la información y la comunicación en el ámbito industrial ha sido a todos los actores involucrados en el sector, como clientes,
2. La ciberseguridad en la constante. proveedores, fabricantes, y, en resumen, a la sociedad. Entre las más
Industria 4.0 importantes destacan:
Actualmente, paradigmas tecnológicos como Cloud Computing,
3. Arquitectura de referencia en Computación Ubicua, BYOD (Bring Your Own Device) o IoT (Internet —Asegurar
— tiempos de entrega.
la Industria 4.0 of Things) están revolucionando la forma de entender la tecnología y
—Realizar
— pedidos más personalizados y lotes de menor tamaño.
la forma en que las personas interactúan con ella. Estos paradigmas,
4. La norma IEC 62443 (ISA99)
aunque lentamente, van llegando también al ámbito industrial [4] —Agilizar
— los procesos de ingeniería y de aprovisionamiento a
5. Zonas, conductos y canales acuñándose términos como Wireless Sensor Networks, IIoT, M2M, etc. proveedores.
6. Propuesta para definir zonas, Cuando la industria empieza a utilizarlos para facilitar la visibilidad —Acceder
— a información en tiempo real de toda la cadena de
conductos y canales en integral de la cadena de suministro (integración horizontal) y para suministro para facilitar la toma de decisiones.
Industria 4.0
convertir datos de producción y proceso extraídos de dispositivos de
campo en información que facilite la toma de decisiones (integración —Incrementar
— la productividad de los procesos de producción.
7. Conclusiones y trabajo futuro
vertical); cuando incorpora de forma natural iniciativas para la mejora
Anexo I. Referencias
—Crear
— nuevas formas de desarrollo de negocio para las PYMES
de la productividad de los procesos y cuando toma conciencia del
(Business To Business) e incrementar el bienestar de las
inestimable activo que supone tener personas formadas, motivadas
personas.
Anexo I. Referencias
7
Creación de un marco regulatorio que aúne tecnología y ley.
8
Gestión eficiente de recursos.
Ciberseguridad
en Industria 4.0 La ciberseguridad en
Diseño de zonas, conductos
y canales según IEC 62443
la Industria 4.0
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
2
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
FIGURA 1: Elementos y capas en RAMI 4.0 [4]
Ciberseguridad
en Industria 4.0 Arquitectura de
Diseño de zonas, conductos
y canales según IEC 62443
referencia en la
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
Industria 4.0
3
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
2. La ciberseguridad en la
Industria 4.0 ISA-62443-1-1 ISA-TR62443-1-2 ISA-62443-1-3 ISA-TR62443-1-4
General Terminology, concepts and Master glossary of terms and System security compliance IACS security lifecycle and
3. Arquitectura de referencia en models abbreviations metrics use-case
la Industria 4.0
4. La norma IEC 62443 (ISA99) Policies & ISA-62443-2-1 ISA-TR62443-2-2 ISA-TR62443-2-3 ISA-62443-2-4
Implementation guidance for
procedures Requirements for an IACS Patch management in the IACS Installation and maintenance
an IACS security management
security management system environment requirements for IACS suppliers
5. Zonas, conductos y canales system
Ciberseguridad Este enfoque está basado en las normas IEC 62264 e IEC 61512;
pero añade una segunda dimensión que propone un modelo de datos
Por otro lado, el IEC Strategic Group 8 ha realizado un esfuerzo
de consolidación normativo, identificado, para cada una de las
en Industria 4.0 consistente durante todo el ciclo de vida y toda la cadena de valor del
producto (basado en la norma IEC 62890) y una tercera dimensión
dimensiones descritas, las normas y estándares que pueden aplicarse
en un contexto de Industria 4.0. La principal norma que propone
Diseño de zonas, conductos que propone un modelo de capas que permita integrar fácilmente DKE para diseñar y desplegar programas de ciberseguridad industrial
y canales según IEC 62443 tecnologías apropiadas. es la IEC 62443 cuyo objetivo, alcance, estructura y principales
aportaciones se discuten en la siguiente sección.
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
Ciberseguridad
en Industria 4.0 La norma IEC 62443
Diseño de zonas, conductos
y canales según IEC 62443
(ISA99)
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
4
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
en Industria 4.0 proponen una serie de documentos que establecen mejores prácticas
y recomendaciones para incrementar la seguridad de los sistemas
Diseño de zonas, conductos de control industrial frente a amenazas cibernéticas (principalmente).
y canales según IEC 62443 En la norma ISA99 se definen cuatro documentos específicos y dos
informes técnicos.
Ciberseguridad
en Industria 4.0 Zonas, conductos
Diseño de zonas, conductos
y canales según IEC 62443
y canales
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
5
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos Dentro del documento IEC 62443-1-1 Models and Concepts (que
y canales según IEC 62443 A Las zonas
prácticamente replica la especificación ANSI/ISA99.00.01 - Part 1:
Terminology, Concepts and Models) se introducen los conceptos de
—
—Una zona (o zona de seguridad) es una agrupación de activos
zona, conducto y canal [6]. En entornos tan complejos y extensos
Introducción (dispositivos, datos, aplicaciones) físicos o lógicos que comparten
como son los industriales, no sería lógico implementar medidas
unos mismos requisitos de seguridad.
1. La Industria 4.0 de prevención, detección, respuesta y recuperación, y además
desarrollar controles específicos, de la misma manera para todos —
—Una zona lleva implícito un borde (o límites) que determina los
2. La ciberseguridad en la los sistemas y/o áreas de proceso. Es por ello, que este documento activos incluidos (y obviamente los excluidos).
Industria 4.0
propone un método para crear áreas que tengan unos mismos
requerimientos de seguridad y, por otro lado, propone mecanismos —
—Una zona puede ser trusted o untrusted (de confianza o no).
3. Arquitectura de referencia en
la Industria 4.0 para que la comunicación entre estas diferentes áreas se realice de
—
—Una zona puede contener activos independientes y/o subzonas
forma segura.
4. La norma IEC 62443 (ISA99) (hijas) que hereden los requisitos de seguridad de la zona madre.
Algo que tiene mucho que ver con las tradicionales segmentación y
5. Zonas, conductos y canales Si un activo tiene diferentes niveles de seguridad, este puede
fortificación de redes y sistemas [7].
incluirse en la zona con mayor nivel de seguridad o crear una zona
6. Propuesta para definir zonas,
En un contexto de Industria 4.0, siguiendo las recomendaciones específica para su acceso por parte de los diferentes roles.
conductos y canales en
de la RAMI 4.0, parece razonable utilizar la normativa IEC 62443 y
Industria 4.0
en particular las propuestas que se recogen en el documento IEC
7. Conclusiones y trabajo futuro 62443-1-1 Models and Concepts. Profundizando ya en los conceptos
de zona, conducto y canal, la IEC 62443, los define de la siguiente
Anexo I. Referencias
manera:
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443
B Los conductos
7. Conclusiones y trabajo futuro — conducto no puede tener subzonas ni puede estar formado por
—Un
subconductos, ahora bien, una subzona puede contener diferentes
Anexo I. Referencias
subconductos.
Ciberseguridad
en Industria 4.0 Propuesta para
Diseño de zonas, conductos
y canales según IEC 62443
definir zonas,
Introducción
6
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443
Anexo I. Referencias
en Industria 4.0 Cada una de las zonas tiene un documento de control en el que se
Nivel de seguridad 0 o requiere especificaciones o
N
protecciones de seguridad.
Diseño de zonas, conductos describe su alcance, el nivel de seguridad objetivo, los riesgos, las
y canales según IEC 62443
políticas y controles, las actividades permitidas, la documentación Nivel de seguridad 1 equiere de protección contra
R
esencial, etc. incidentes no intencionados.
Introducción De todos estos atributos el más importante es sin duda el de nivel Nivel de seguridad 2 equiere de protección contra
R
de seguridad. incidentes intencionados,
1. La Industria 4.0
perpetrados con medios sencillos,
La IEC 62443 define el concepto de nivel de seguridad, como una
2. La ciberseguridad en la pocos recursos, conocimientos
forma cualitativa/cuantitativa de medir el estado de una zona y las
Industria 4.0 básicos y baja motivación.
necesidades específicas que requiere desde el punto de vista de la
3. Arquitectura de referencia en seguridad. Nivel de seguridad 3 equiere de protección contra
R
la Industria 4.0
incidentes intencionados,
Para ello define tres tipos de nivel de seguridad, que son el
perpetrados con medios
4. La norma IEC 62443 (ISA99) Target Security Level o SL-T (nivel de seguridad que permite el
avanzados, recursos suficientes,
funcionamiento correcto y seguro de los activos de una zona); el
5. Zonas, conductos y canales conocimientos medios y motivación
Achieved Security Level o SL-A (nivel punto de partida) y el Capability
media.
6. Propuesta para definir zonas, Security Level o SL-C (nivel nativo de seguridad, sin añadidos ni
conductos y canales en activos adicionales, si está correctamente configurado e integrado). Nivel de seguridad 4 equiere de protección contra
R
Industria 4.0
incidentes intencionados,
Además, establece cinco niveles de seguridad, del 0 al 4, siendo
7. Conclusiones y trabajo futuro perpetrados con medios muy
el 4 el nivel que requiere más medios de protección para una
avanzados, grandes recursos,
determinada zona.
Anexo I. Referencias conocimientos avanzados y
Siguiendo la norma se definen de la siguiente manera: motivación alta.
Ciberseguridad Por último, propone la forma de medir los tipos de nivel de seguridad
(SL-T, SL-A y SL-C), utilizando una representación vectorial. En este
La asignación cualitativa de los diferentes niveles de seguridad, se
convertirá en cuantitativa, cuantos más datos se tengan disponibles
Anexo I. Referencias Por ejemplo, en una zona que coincida con una zona desmilitarizada o
DMZ, este podría ser el nivel de seguridad objetivo: SL-T (DMZ) {3 3 2
1 3 1 2}.
Ciberseguridad
en Industria 4.0 Historian Cloud
1. La Industria 4.0
ZONA 2 (Z2)
ACTIVOS
Historian MES
2. La ciberseguridad en la 1 CONDUCTO INTERNO (Z2_CI1)
1 CANAL INTERNO (Z2_CI1_CAI1)
Industria 4.0
3. Arquitectura de referencia en
la Industria 4.0
L2 L3
HMI
SCADA
4. La norma IEC 62443 (ISA99)
SUBZONA 3.2
5. Zonas, conductos y canales (SZ_3.2)
ZONA 3 (Z3)
ACTIVOS
6. Propuesta para definir zonas, Acceso remoto 3 SUBZONAS
1 CONDUCTO INTERNO (Z3_CI1)
conductos y canales en SUBZONA 3.3 (SZ_3.3) 1 CANAL INTERNO (Z3_CI1_CAI1)
Industria 4.0 PLC
Ciberseguridad
en Industria 4.0 2 Activos físicos y lógicos
Diseño de zonas, conductos
y canales según IEC 62443
La norma proporciona una relación bastante exhaustiva de los activos Por último, la utilización de herramientas no intrusivas tipo IDS
que pueden vincularse a una zona. En un contexto de Industria 4.0, (Intrusion Detection System) basado en comportamiento que mapean
Introducción
es clave realizar este análisis de forma completa incorporando al automáticamente los dispositivos existentes en una zona o el uso de
1. La Industria 4.0 análisis todos los activos y agrupaciones de activos existentes en analizadores de puertos es clave para disponer un inventario completo
la zona evaluada independientemente del fabricante, versión o grado y fácil de actualizar.
2. La ciberseguridad en la
de obsolescencia. Se recomienda utilizar algún tipo de base de datos
Industria 4.0
que facilite la introducción y categorización de los diferentes activos,
3. Arquitectura de referencia en
así como las dependencias entre ellos.
la Industria 4.0
en Industria 4.0 Para llevar a cabo este tipo de evaluación, es esencial apoyarse
en metodologías que consideren la idiosincrasia particular de
dispositivos, sistemas y protocolos específicos y en los que el
aspecto de la disponibilidad, suele primar sobre otros como la
Diseño de zonas, conductos
y canales según IEC 62443 los entornos de operación y/o industriales, en los que existen integridad o la confidencialidad.
Introducción
1. La Industria 4.0
5 Requerimientos de acceso y control
2. La ciberseguridad en la
Industria 4.0
Dado que una zona tiene límites, es imprescindible disponer de un instalaciones son necesarios. Este punto será de vital importancia,
procedimiento y/o controles en los que se identifique quién/qué si se genera una zona dedicada a centralizar el acceso remoto a las
3. Arquitectura de referencia en
la Industria 4.0 puede traspasarlos y cómo. En un contexto de Industria 4.0, el tele- instalaciones industriales.
mantenimiento y el tele-desarrollo, así como el acceso remoto a las
4. La norma IEC 62443 (ISA99)
7. Conclusiones y trabajo futuro Con la periodicidad que se estipule, será necesario realizar ejercicio para los conductos. Dado que un conducto no es más que
actualizaciones de los niveles de riesgo, activos, nuevas amenazas un tipo de zona, todo lo propuesto para las zonas sería aplicable para
Anexo I. Referencias
y vulnerabilidades, ediciones de las políticas y procedimientos. En la correcta definición y evaluación de los niveles de seguridad de los
un contexto de Industria 4.0, cambiante y flexible, este aspecto es conductos. Aunque habría que añadir algunos aspectos específicos
clave y deberán construirse los mecanismos adecuados para que esta relativos a la seguridad de redes y comunicaciones como se apreciará
actualización se realice de forma natural. La norma realiza este mismo en la sección siguiente.
© 2018 KPMG Asesores S.L., sociedad española de responsabilidad
limitada y firma miembro de la red KPMG de firmas independientes
afiliadas a KPMG International Cooperative (“KPMG International”),
sociedad suiza. Todos los derechos reservados.
26
Ciberseguridad
en Industria 4.0 Conclusiones y
Diseño de zonas, conductos
y canales según IEC 62443
trabajo futuro
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
7
3. Arquitectura de referencia en
la Industria 4.0
Anexo I. Referencias
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443
Introducción
En este artículo se proponen unas recomendaciones y guías Se han identificado las tecnologías más comunes vinculadas a la
1. La Industria 4.0
que permiten definir las zonas, conductos y canales, siguiendo las Industria 4.0, de manera que, a la hora de diseñar zonas, conductos
2. La ciberseguridad en la recomendaciones de la IEC 62443, en una organización que decide y canales, se tengan en cuenta sus funcionalidades y características
Industria 4.0 abordar una iniciativa de Industria 4.0 y que está preocupada por la específicas. Con un caso de aplicación real se ha demostrado cómo
ciberseguridad de sus activos. siguiendo todas estas recomendaciones una fábrica ha incorporado
3. Arquitectura de referencia en tecnologías asociadas a la Industria 4.0 y en paralelo ha puesto en
la Industria 4.0 Se ha descrito la primera arquitectura de referencia para la Industria marcha las mejores prácticas propuestas por la IEC 62443 para que
4.0 (RAMI 4.0) y se ha constatado la idoneidad de la recomendación el despliegue de estas tecnologías se haga de forma segura. A partir
4. La norma IEC 62443 (ISA99)
que se realiza en esta arquitectura al señalar la norma IEC 62443 de esta investigación se abren nuevas líneas de trabajo entre las que
5. Zonas, conductos y canales como la más adecuada para desplegar programas de ciberseguridad destacan entre otras, la adaptación de la metodología de evaluación
en un contexto de Industria 4.0. de riesgos propuesta por la IEC 62443 en un contexto de Industria
6. Propuesta para definir zonas,
4.0 o la utilización del marco de trabajo propuesto en este artículo, a
conductos y canales en Se han clarificado alguno de los conceptos más importantes que
Industria 4.0 otro tipo de industria como pudieran ser la industria del automóvil o la
se describen en la norma y se han propuesto recomendaciones
aeroespacial, sectores vinculados tradicionalmente a la Industria 4.0.
específicas para el caso de aplicación de una organización embarcada
7. Conclusiones y trabajo futuro
en programas de Industria 4.0.
Anexo I. Referencias
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443 Anexo I. Referencias
Introducción
1. La Industria 4.0
2. La ciberseguridad en la [1] D. Gorecky; M. Schmitt; M. Loskyll; D. Zühlke: “Human-machine- [5] “Recommendations for implementing the strategic initiative
Industria 4.0
interaction in the industry 4.0 era” en Industrial Informatics INDUSTRIE 4.0”. Abril 2013. http://www.acatech.de/fileadmin/
(INDIN), 2014 12th IEEE International Conference, pg. 289 – 294, user_upload/Baumstruktur_nach_Website/Acatech/root/de/
3. Arquitectura de referencia en
la Industria 4.0 2014. Materrial_fuer_Sonderseiten/Industrie_4.0/Final_report__
Industrie_4.0_accessible.pdf
4. La norma IEC 62443 (ISA99) [2] I. Garbie; “Sustainability in Manufacturing Enterprises: Concepts,
Analyses and Assessments for Industry 4.0 (Green Energy and [6] “German Standardization Roadmap, Industry 4.0, Version 2”.
5. Zonas, conductos y canales Technology)”. Springer; Edición: 1st ed. 2016. Enero 2016.
Anexo I. Referencias [4] D. Schulz: “FDI and the Industrial Internet of Things” en Emerging [8] ISA99/IEC 62443. Marzo 2016.
Technologies & Factory Automation (ETFA), 2015 IEEE 20th
Conference, pg. Pages: 1 – 8, 2015. [9] IEC 62443-1-1 Models and Concepts. Marzo 2016.
La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar que siga siéndolo en el futuro o en el momento
en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verificación de su realidad y exactitud, así como del pertinente asesoramiento profesional.
KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”), sociedad suiza.