Ciberseguridad Industria 4-0 - V3

Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos y canales según IEC 62443
Septiembre 2018
kpmg.es
Índice
Introducción
1. La Industria 4.0
2. La ciberseguridad en la Industria 4.0
3. Arquitectura de referencia en la Industria 4.0
4. La norma IEC 62443 (ISA99)
5. Zonas, conductos y canales
6. Propuesta para definir zonas, conductos y canales en Industria 4.0
7. Conclusiones y trabajo futuro
Anexo I. Referencias
3
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos
y canales según IEC 62443 Introducción
Introducción
1. La Industria 4.0 La cuarta revolución industrial o Industria 4.0 [1] está cambiando la no sólo funcione de forma inteligente, sino que funcione de forma
forma de trabajar de las organizaciones vinculadas al sector industrial. segura. En esta extensa norma se definen los conceptos de zona,
2. La ciberseguridad en la La adopción de paradigmas tecnológicos como Cloud Computing, conducto y canal como elementos clave para que los activos
Industria 4.0 Big Data, IoT (Internet of Things), M2M (Machine To Machine), IIoT que concurren en un entorno industrial dispongan de los niveles de
(Industrial Internet of Things), etc; el despliegue de programas de seguridad adecuados.
3. Arquitectura de referencia en
mejora continua de la productividad y el diseño de programas de
la Industria 4.0
formación continua a todos los actores involucrados en la cadena de Teniendo en cuenta este escenario, la principal aportación de este
4. La norma IEC 62443 (ISA99) suministro, son tan sólo algunos de los factores que caracterizan a artículo es la de realizar una propuesta de cómo definir las zonas,
este nuevo modelo que persigue crear “fábricas inteligentes”. Para conductos y canales siguiendo las recomendaciones de la IEC 62443
alcanzar este objetivo, es necesario apoyarse en una arquitectura en una organización que decide abordar una iniciativa de Industria
de referencia y en normas que ayuden a estandarizar la forma en la 4.0 y que está preocupada por la seguridad de sus activos. Para ello
6. Propuesta para definir zonas,
que las organizaciones industriales llevan a cabo la transición de una se realiza en primer lugar una explicación de qué se entiende por
conductos y canales en
Industria 4.0 industria automatizada (ó 3.0) a una industria inteligente (ó 4.0). Industria 4.0, qué relación tiene la ciberseguridad con este nuevo
paradigma y se introduce la primera arquitectura de referencia para
7. Conclusiones y trabajo futuro La incorporación de las tecnologías, modelos y paradigmas que la Industria 4.0 (denominada RAMI 4.0). A continuación, en las
ayudan a crear fábricas autónomas y ágiles a las fábricas actuales Secciones 5 y 6 se profundiza en el alcance de la norma IEC 62443,
debe realizarse de forma segura. En este contexto, se ha propuesto para en la Sección 7 proponer qué aspectos clave deben considerarse
una primera arquitectura de referencia para la Industria 4.0, a la hora de definir zonas, conductos y canales en un contexto de
denominada RAMI 4.0 [6], en la que se identifica la norma IEC 62443 Industria 4.0.
[9] como el marco de trabajo idóneo para que la industria del futuro
© 2018 KPMG Asesores S.L., sociedad española de responsabilidad
limitada y firma miembro de la red KPMG de firmas independientes
afiliadas a KPMG International Cooperative (“KPMG International”),
sociedad suiza. Todos los derechos reservados.
4
Ciberseguridad
en Industria 4.0 La Industria 4.0
y canales según IEC 62443
Introducción
1. La Industria 4.0
2. La ciberseguridad en la
Industria 4.0
1
la Industria 4.0

Industria 4.0

5
Ciberseguridad Desde finales del siglo XVIII la evolución y crecimiento de la

industria se ha enmarcado principalmente en cuatro revoluciones.
y alineadas con los objetivos tácticos y estratégicos definidos,
es entonces cuando se empieza a hablar de la cuarta revolución
en Industria 4.0 La primera revolución tuvo lugar entre los años 1870 y 1900, cuando
se empezaron a utilizar máquinas de vapor para elaborar productos.
industrial o Industria 4.0 [2]. En otras palabras, el término Industria 4.0
hace referencia a la convergencia entre el mundo físico y el virtual,
Diseño de zonas, conductos La segunda tuvo como hito clave la introducción de la electricidad a partir del uso de una comunicación inteligente entre los seres
y canales según IEC 62443 en las cadenas de producción. Fue en 1969, cuando con la aparición humanos y las máquinas (de hecho, se habla de sistemas CPS o
del primer autómata programable (PLC), denominado Modicon 084, Cyber-Physical Systems), con la misma naturalidad que se desarrolla
se utilizó por primera vez el término de automatización industrial, en una red social.
Introducción iniciándose así la tercera revolución industrial. Desde ese momento
hasta nuestros días, la irrupción y adopción de las tecnologías de Esta cuarta revolución industrial [5] debe proporcionar ventajas
1. La Industria 4.0
la información y la comunicación en el ámbito industrial ha sido a todos los actores involucrados en el sector, como clientes,
2. La ciberseguridad en la constante. proveedores, fabricantes, y, en resumen, a la sociedad. Entre las más
Industria 4.0 importantes destacan:
Actualmente, paradigmas tecnológicos como Cloud Computing,
3. Arquitectura de referencia en Computación Ubicua, BYOD (Bring Your Own Device) o IoT (Internet —Asegurar
— tiempos de entrega.
la Industria 4.0 of Things) están revolucionando la forma de entender la tecnología y
—Realizar
— pedidos más personalizados y lotes de menor tamaño.
la forma en que las personas interactúan con ella. Estos paradigmas,
aunque lentamente, van llegando también al ámbito industrial [4] —Agilizar
— los procesos de ingeniería y de aprovisionamiento a
5. Zonas, conductos y canales acuñándose términos como Wireless Sensor Networks, IIoT, M2M, etc. proveedores.
6. Propuesta para definir zonas, Cuando la industria empieza a utilizarlos para facilitar la visibilidad —Acceder
— a información en tiempo real de toda la cadena de
conductos y canales en integral de la cadena de suministro (integración horizontal) y para suministro para facilitar la toma de decisiones.
Industria 4.0
convertir datos de producción y proceso extraídos de dispositivos de
campo en información que facilite la toma de decisiones (integración —Incrementar
— la productividad de los procesos de producción.
vertical); cuando incorpora de forma natural iniciativas para la mejora
—Crear
— nuevas formas de desarrollo de negocio para las PYMES
de la productividad de los procesos y cuando toma conciencia del
(Business To Business) e incrementar el bienestar de las
inestimable activo que supone tener personas formadas, motivadas
personas.

6
Ciberseguridad Resumiendo, la Industria 4.0 quiere convertir los entornos industriales

en “Smart Places” en los que se fabriquen “Smart Products”
De estos ocho aspectos, en este artículo se profundiza en el cuarto,
“Creación de programas específicos de Safety y Security” y en
en Industria 4.0 basándose en la integración de sistemas (digital, horizontal y vertical)

en la optimización de procesos industriales y en el desarrollo
particular en la vertiente de “Security”, es decir en las implicaciones
e importancia que tiene la ciberseguridad en un contexto en el que
Diseño de zonas, conductos profesional y personal de las personas [3]. existen sistemas que interactúan entre sí sin mediación humana,
y canales según IEC 62443 en el que la irrupción de nuevos paradigmas tecnológicos en los
Se han establecido ocho áreas de acción prioritarias con el objetivo entornos industriales se hace masiva y en el que las personas
de agrupar acciones específicas que dinamicen la adopción de la requieren de acceso ubicuo a sistemas de tiempo real distribuidos
Introducción Industria 4.0: (PLCs, HMI, SCADA, MES, BI Industrial) e información de producción
y proceso, con el objetivo de ser más eficientes y productivos.
1. La Industria 4.0 1
Diseño de una arquitectura de referencia basada en
estándares abiertos.
Industria 4.0
2
Utilización de modelos de planificación y simulación para
gestionar entornos complejos.
la Industria 4.0
3
Despliegue de una infraestructura de comunicaciones de
4. La norma IEC 62443 (ISA99) banda ancha.

4
Creación de programas específicos de “Safety” y “Security”.
5
Rediseño de la organización del trabajo.
Industria 4.0
6
Creación de programas de formación y capacitación continua
7. Conclusiones y trabajo futuro de las personas en conceptos relacionados con la Industria 4.0.
7
Creación de un marco regulatorio que aúne tecnología y ley.
8
Gestión eficiente de recursos.

7
Ciberseguridad
en Industria 4.0 La ciberseguridad en
la Industria 4.0
Introducción
1. La Industria 4.0
Industria 4.0
2
la Industria 4.0

Industria 4.0

8
Ciberseguridad La Industria 4.0 [2] distingue los programas orientados a velar

por la seguridad física de las personas (Safety) de los programas
Desarrollar estrategias, arquitecturas y estándares de
en Industria 4.0 desarrollados para incrementar la seguridad lógica de los entornos

industriales, es decir, lo que tradicionalmente se conoce como
“Safety” y “Security” integradas.
Diseño de zonas, conductos ciberseguridad. Identificar unívocamente y de forma segura productos,

procesos y dispositivos.
Como se mencionaba anteriormente si partimos de la idea de que la
Industria 4.0 crea fábricas inteligentes formadas por CPS conectados
Establecer una estrategia de migración de la industria
Introducción por distintos medios (alámbricos e inalámbricos) y que son accesibles 3.0 a la 4.0.
1. La Industria 4.0
ubicuamente, los programas específicos de ciberseguridad deben
velar por asegurar los siguientes aspectos básicos: disponibilidad,
Diseñar aplicaciones seguras y amigables (fáciles
2. La ciberseguridad en la integridad, confidencialidad y control de acceso. Dicho esto, tanto los
de usar).
Industria 4.0 programas de seguridad física como lógica deben estar alineados y
deben ser entendidos y aceptados por todas las personas.
3. Arquitectura de referencia en Evaluar riesgos y costes de inactividad originados por
la Industria 4.0 La literatura [6] identifica hasta ocho iniciativas específicas que brechas de seguridad.
ayudan a incrementar la seguridad de las “Smart Factories”. No
es un objetivo de este trabajo explicar exhaustivamente cada una de Proteger diseños y propiedad intelectual de plagios y
5. Zonas, conductos y canales ellas, sin embargo, es interesante mencionarlas ya que son aspectos robos.
clave que deben tenerse en cuenta a la hora de diseñar programas
específicos de ciberseguridad vinculados a la Industria 4.0.
Crear programas de protección de datos personales.
Industria 4.0

Realizar acciones de concienciación y formación en
Anexo I. Referencias seguridad: procesos, productos y tecnologías.

9
Ciberseguridad
en Industria 4.0
Introducción
1. La Industria 4.0
Industria 4.0
la Industria 4.0

Industria 4.0
FIGURA 1: Elementos y capas en RAMI 4.0 [4]

10
Ciberseguridad
en Industria 4.0 Arquitectura de
referencia en la
Introducción
1. La Industria 4.0
Industria 4.0
Industria 4.0
3
la Industria 4.0

Industria 4.0

11
Ciberseguridad Teniendo en cuenta el contexto descrito en las dos secciones

anteriores, se infiere que la migración de la Industria 3.0 a 4.0
responsable en Alemania a nivel nacional de la creación, diseño y
mantenimiento de especificaciones y estándares asociados a las áreas
en Industria 4.0 no es tarea fácil, y que el diseño de programas específicos de

ciberseguridad industrial en este contexto requiere de una serie de
de ingeniería eléctrica y sistemas de información (es en Alemania
donde surge el concepto de Industria 4.0). En [4] se introduce el
Diseño de zonas, conductos guías y estándares que faciliten su desarrollo. Es necesario, por tanto, concepto de RAMI 4.0 (Reference Architectural Model Industrie
y canales según IEC 62443 crear una arquitectura de referencia que sea ilustrativa y sencilla de 4.0). Como puede observarse en la Figura 1 este modelo combina
entender y localice y consolide las normas y estándares específicos los elementos cruciales de la Industria 4.0 en un modelo de capas
ya desarrollados para la gestión y optimización de los entornos tridimensional: la primera dimensión propone una jerarquía funcional
Introducción industriales. La primera arquitectura de referencia en la Industria 4.0 para todos los componentes de una Industria 4.0 desde el producto
1. La Industria 4.0
es la que ha propuesto DKE [3], una organización sin ánimo de lucro (workpieces) hasta el mundo conectado.
Industria 4.0 ISA-62443-1-1 ISA-TR62443-1-2 ISA-62443-1-3 ISA-TR62443-1-4
General Terminology, concepts and Master glossary of terms and System security compliance IACS security lifecycle and
3. Arquitectura de referencia en models abbreviations metrics use-case
la Industria 4.0
4. La norma IEC 62443 (ISA99) Policies & ISA-62443-2-1 ISA-TR62443-2-2 ISA-TR62443-2-3 ISA-62443-2-4
Implementation guidance for
procedures Requirements for an IACS Patch management in the IACS Installation and maintenance
an IACS security management
security management system environment requirements for IACS suppliers
5. Zonas, conductos y canales system

ISA-TR62443-3-1 ISA-62443-3-2 ISA-62443-3-3
conductos y canales en System Security levels for zones and System security requirements
Industria 4.0 Security technologies for IACS
conduits and security levels

ISA-62443-4-1 ISA-62443-4-2
Anexo I. Referencias Component Product development Technical security requirements
requirements for IACS components
FIGURA 2: Documentos IEC 62443 [9]

12
Ciberseguridad Este enfoque está basado en las normas IEC 62264 e IEC 61512;
pero añade una segunda dimensión que propone un modelo de datos
Por otro lado, el IEC Strategic Group 8 ha realizado un esfuerzo
de consolidación normativo, identificado, para cada una de las
en Industria 4.0 consistente durante todo el ciclo de vida y toda la cadena de valor del
producto (basado en la norma IEC 62890) y una tercera dimensión
dimensiones descritas, las normas y estándares que pueden aplicarse
en un contexto de Industria 4.0. La principal norma que propone
Diseño de zonas, conductos que propone un modelo de capas que permita integrar fácilmente DKE para diseñar y desplegar programas de ciberseguridad industrial
y canales según IEC 62443 tecnologías apropiadas. es la IEC 62443 cuyo objetivo, alcance, estructura y principales
aportaciones se discuten en la siguiente sección.
Introducción
1. La Industria 4.0
Industria 4.0
la Industria 4.0

Industria 4.0

13
Ciberseguridad
en Industria 4.0 La norma IEC 62443
(ISA99)
Introducción
1. La Industria 4.0
Industria 4.0
4
la Industria 4.0

Industria 4.0

14
Ciberseguridad La norma IEC 62443 [9] es un conjunto de estándares que se basa en

los conceptos definidos por la norma ISA99 [8], en la que a su vez se
en Industria 4.0 proponen una serie de documentos que establecen mejores prácticas
y recomendaciones para incrementar la seguridad de los sistemas
Diseño de zonas, conductos de control industrial frente a amenazas cibernéticas (principalmente).
y canales según IEC 62443 En la norma ISA99 se definen cuatro documentos específicos y dos
informes técnicos.
Introducción Cabe destacar que es en el documento ANSI/ISA99.00.01 - Part 1:

Terminology, Concepts and Models de la ISA99 en el que se definen
1. La Industria 4.0
los conceptos de zona, conducto y canal, en los que se profundizará
más adelante. Con el propósito de alinear la nomenclatura de la
Industria 4.0 ISA99 a la propuesta por la IEC, en el año 2010, la ISA99 pasa a ser
denominada ANSI/ISA-62443 o bien IEC 62443.
la Industria 4.0 Como puede observarse en la Figura 2, esta norma se ha dividido
en cuatro capas. La primera, denominada General incluye cuatro
documentos. En ellos se proponen los conceptos básicos y contexto
sobre el que se desarrollan las siguientes capas de la norma. La
segunda, denominada Policies & Procedures incluye también cuatro
6. Propuesta para definir zonas, documentos. Como su nombre indica, se centra en la definición
conductos y canales en de políticas y procedimientos. La tercera capa es la de System, y
Industria 4.0
se compone de tres documentos. Se centra en proponer mejores
7. Conclusiones y trabajo futuro prácticas para el despliegue seguro de sistemas en entornos
industriales. Por último, la cuarta capa, denominada Component
Anexo I. Referencias incluye dos documentos y aborda los requerimientos que deben
cumplir los fabricantes de dispositivos industriales para que sean
considerados Secured.

15
Ciberseguridad
en Industria 4.0 Zonas, conductos
y canales
Introducción
1. La Industria 4.0
Industria 4.0
5
la Industria 4.0

Industria 4.0

16
Ciberseguridad
en Industria 4.0
Diseño de zonas, conductos Dentro del documento IEC 62443-1-1 Models and Concepts (que
y canales según IEC 62443 A Las zonas
prácticamente replica la especificación ANSI/ISA99.00.01 - Part 1:
Terminology, Concepts and Models) se introducen los conceptos de
—
—Una zona (o zona de seguridad) es una agrupación de activos
zona, conducto y canal [6]. En entornos tan complejos y extensos
Introducción (dispositivos, datos, aplicaciones) físicos o lógicos que comparten
como son los industriales, no sería lógico implementar medidas
unos mismos requisitos de seguridad.
1. La Industria 4.0 de prevención, detección, respuesta y recuperación, y además
desarrollar controles específicos, de la misma manera para todos —
—Una zona lleva implícito un borde (o límites) que determina los
2. La ciberseguridad en la los sistemas y/o áreas de proceso. Es por ello, que este documento activos incluidos (y obviamente los excluidos).
Industria 4.0
propone un método para crear áreas que tengan unos mismos
requerimientos de seguridad y, por otro lado, propone mecanismos —
—Una zona puede ser trusted o untrusted (de confianza o no).
la Industria 4.0 para que la comunicación entre estas diferentes áreas se realice de
—
—Una zona puede contener activos independientes y/o subzonas
forma segura.
4. La norma IEC 62443 (ISA99) (hijas) que hereden los requisitos de seguridad de la zona madre.
Algo que tiene mucho que ver con las tradicionales segmentación y
5. Zonas, conductos y canales Si un activo tiene diferentes niveles de seguridad, este puede
fortificación de redes y sistemas [7].
incluirse en la zona con mayor nivel de seguridad o crear una zona
En un contexto de Industria 4.0, siguiendo las recomendaciones específica para su acceso por parte de los diferentes roles.
de la RAMI 4.0, parece razonable utilizar la normativa IEC 62443 y
Industria 4.0
en particular las propuestas que se recogen en el documento IEC
7. Conclusiones y trabajo futuro 62443-1-1 Models and Concepts. Profundizando ya en los conceptos
de zona, conducto y canal, la IEC 62443, los define de la siguiente
manera:

17
Ciberseguridad
en Industria 4.0
B Los conductos
Introducción — conducto (o conducto de seguridad) es un tipo de zona de

—Un
seguridad que agrupa activos vinculados tradicionalmente a la
1. La Industria 4.0 electrónica de red (switches, routers, firewalls, cables, hubs,
repetidores, etc.). Es decir, habitualmente se equipara un conducto
con la red que une los diferentes activos de una zona o que permite
Industria 4.0
comunicar/intercambiar información entre diferentes zonas de
3. Arquitectura de referencia en seguridad.
la Industria 4.0
— conducto puede ser una agrupación física o lógica de
—Un
4. La norma IEC 62443 (ISA99) dispositivos y elementos de red. Un conducto puede ser trusted o
untrusted (de confianza o no). Normalmente, los de confianza son
los que no cruzan las barreras de las zonas. Los de no confianza
6. Propuesta para definir zonas, son los que comunican diferentes zonas con distintos requisitos de
conductos y canales en seguridad (aunque lo que se deberá procurar es que este conducto
Industria 4.0 sea de confianza).
7. Conclusiones y trabajo futuro — conducto no puede tener subzonas ni puede estar formado por
—Un
subconductos, ahora bien, una subzona puede contener diferentes
subconductos.

18
Ciberseguridad C Los canales
en Industria 4.0 — canal es la forma lógica de comunicar diferentes zonas, por lo

—Un
tanto, se asocia físicamente con un conducto.
— canal puede ser trusted o untrusted. Un canal trusted permite
—Un
ampliar una zona de seguridad lógica. Es decir, permitiría incluir
activos externos que están fuera de la zona de seguridad cumpliendo
Introducción
con los requisitos de seguridad de la zona. Un canal untrusted, por
1. La Industria 4.0 el contrario, implica que antes de comunicar dos zonas, es necesario
realizar una validación de seguridad.
Industria 4.0
Real Time Management as a Service; Analytics; Simulación, MES, Impresión 3D Aplicación
la Industria 4.0

Protocolos
Protocolos SIMLess; Profinet; OPC UA; MQTT
6. Propuesta para definir zonas, Concentradores y

conductos y canales en electrónica de red
Industria 4.0 CPS; Servidores acceso remoto; HMI / realidad aumentada

Sensores, actuadores y
Anexo I. Referencias procesadores
Wireless Sensor Network; RFID; M2M
FIGURA 3: Tecnologías asociadas a la Industria 4.0

19
Ciberseguridad
en Industria 4.0 Propuesta para
definir zonas,
Introducción
1. La Industria 4.0 conductos y

canales en
Industria 4.0
6
la Industria 4.0

Industria 4.0
Industria 4.0

20
Ciberseguridad
en Industria 4.0
Dentro del documento IEC 62443-1-1 Models and Concepts (que

Introducción
1 Atributos de seguridad
prácticamente replica la especificación ANSI/ISA99.00.01 - Part 1:
1. La Industria 4.0
Terminology, Concepts and Models) se introducen los conceptos de
zona, conducto y canal [6]. 2 Activos físicos y lógicos
Industria 4.0 Aunque el documento desarrollado por la IEC propone un marco de
trabajo muy útil, una organización que decida adoptar el paradigma 3 Tecnologías autorizadas
3. Arquitectura de referencia en Industria 4.0 preocupándose a la vez por la ciberseguridad presenta
la Industria 4.0 necesidades específicas que la norma no recoge. No es objeto de

este artículo realizar un recorrido minucioso por la norma IEC 6244, 4 Evaluación de amenazas y vulnerabilidades
pero sí, a partir de las recomendaciones definidas por ésta, proponer
5. Zonas, conductos y canales un marco de trabajo que permita diseñar y desplegar de forma más
eficiente programas específicos que incrementen la seguridad de las 5 Requerimientos de acceso y control
“industrias conectadas”.
Industria 4.0
En este contexto para definir una zona en una Industria 4.0 se deben 6 Procedimientos de control y mejora continua
7. Conclusiones y trabajo futuro considerar las siguientes dimensiones:

21
Ciberseguridad 1 Atributos de seguridad
en Industria 4.0 Cada una de las zonas tiene un documento de control en el que se
Nivel de seguridad 0 o requiere especificaciones o
N
protecciones de seguridad.
Diseño de zonas, conductos describe su alcance, el nivel de seguridad objetivo, los riesgos, las
políticas y controles, las actividades permitidas, la documentación Nivel de seguridad 1 equiere de protección contra
R
esencial, etc. incidentes no intencionados.
Introducción De todos estos atributos el más importante es sin duda el de nivel Nivel de seguridad 2 equiere de protección contra
R
de seguridad. incidentes intencionados,
1. La Industria 4.0
perpetrados con medios sencillos,
La IEC 62443 define el concepto de nivel de seguridad, como una
2. La ciberseguridad en la pocos recursos, conocimientos
forma cualitativa/cuantitativa de medir el estado de una zona y las
Industria 4.0 básicos y baja motivación.
necesidades específicas que requiere desde el punto de vista de la
3. Arquitectura de referencia en seguridad. Nivel de seguridad 3 equiere de protección contra
R
la Industria 4.0
incidentes intencionados,
Para ello define tres tipos de nivel de seguridad, que son el
perpetrados con medios
4. La norma IEC 62443 (ISA99) Target Security Level o SL-T (nivel de seguridad que permite el
avanzados, recursos suficientes,
funcionamiento correcto y seguro de los activos de una zona); el
5. Zonas, conductos y canales conocimientos medios y motivación
Achieved Security Level o SL-A (nivel punto de partida) y el Capability
media.
6. Propuesta para definir zonas, Security Level o SL-C (nivel nativo de seguridad, sin añadidos ni
conductos y canales en activos adicionales, si está correctamente configurado e integrado). Nivel de seguridad 4 equiere de protección contra
R
Industria 4.0
incidentes intencionados,
Además, establece cinco niveles de seguridad, del 0 al 4, siendo
7. Conclusiones y trabajo futuro perpetrados con medios muy
el 4 el nivel que requiere más medios de protección para una
avanzados, grandes recursos,
determinada zona.
Anexo I. Referencias conocimientos avanzados y
Siguiendo la norma se definen de la siguiente manera: motivación alta.

22
Ciberseguridad Por último, propone la forma de medir los tipos de nivel de seguridad
(SL-T, SL-A y SL-C), utilizando una representación vectorial. En este
La asignación cualitativa de los diferentes niveles de seguridad, se
convertirá en cuantitativa, cuantos más datos se tengan disponibles
en Industria 4.0 vector se especifica:
— tipo de nivel de seguridad que se está evaluando.

—El
y cuanto más profundo haya sido el análisis de amenazas,
vulnerabilidades y riesgos llevado a cabo. La IEC 62443, en su
Diseño de zonas, conductos documento IEC 62443-2-1 Requirements for an IACS Security
y canales según IEC 62443 Management System propone un excelente marco para la realización
— zona, el conducto o el sistema.
—La
de un análisis de riesgos en entornos industriales.
— asignación numérica del 0 al 4 que se asigna a lo que la IEC
—La
Introducción
62443 define como requerimientos esenciales (Foundational
1. La Industria 4.0 Requirements). Estos requerimientos son:
2. La ciberseguridad en la - Esquemas de identificación, autenticación y autorización (IA).

Industria 4.0
- Esquemas de auditabilidad o control del uso de sistemas (AU).
3. Arquitectura de referencia en - Integridad del sistema (IS).

la Industria 4.0
- Confidencialidad de los datos (CD).
4. La norma IEC 62443 (ISA99) - Restricciones en la transmisión de datos (RD).
5. Zonas, conductos y canales - Tiempo de respuesta a eventos (RE) y Disponibilidad de recursos

(DR).
conductos y canales en De manera que, para una zona en particular, la representación de un
Industria 4.0 tipo de nivel de seguridad sería la siguiente: SL-T/A/C (Zona, conducto,
sistema) {IA AU IS CD RD RE DR}.
Anexo I. Referencias Por ejemplo, en una zona que coincida con una zona desmilitarizada o
DMZ, este podría ser el nivel de seguridad objetivo: SL-T (DMZ) {3 3 2
1 3 1 2}.

23
Ciberseguridad
en Industria 4.0 Historian Cloud

y canales según IEC 62443 L3
ZONA 1 (Z1)
ACTIVOS
L2
1 CONDUCTO INTERNO (Z1_CI1)
1 CANAL INTERNO (Z1_CI1_CAI1)
Introducción
1. La Industria 4.0
ZONA 2 (Z2)
ACTIVOS
Historian MES
2. La ciberseguridad en la 1 CONDUCTO INTERNO (Z2_CI1)
1 CANAL INTERNO (Z2_CI1_CAI1)
Industria 4.0
la Industria 4.0
L2 L3
HMI
SCADA
SUBZONA 3.2
5. Zonas, conductos y canales (SZ_3.2)
ZONA 3 (Z3)
ACTIVOS
6. Propuesta para definir zonas, Acceso remoto 3 SUBZONAS
1 CONDUCTO INTERNO (Z3_CI1)
conductos y canales en SUBZONA 3.3 (SZ_3.3) 1 CANAL INTERNO (Z3_CI1_CAI1)
Industria 4.0 PLC
7. Conclusiones y trabajo futuro PLC Almacenamiento
Anexo I. Referencias Envasado

Fabricación
SUBZONA 3.1 (SZ_3.1)
FIGURA 4: Zonas y topología después del proyecto Industria 4.0 e IEC

24
Ciberseguridad
en Industria 4.0 2 Activos físicos y lógicos
La norma proporciona una relación bastante exhaustiva de los activos Por último, la utilización de herramientas no intrusivas tipo IDS
que pueden vincularse a una zona. En un contexto de Industria 4.0, (Intrusion Detection System) basado en comportamiento que mapean
Introducción
es clave realizar este análisis de forma completa incorporando al automáticamente los dispositivos existentes en una zona o el uso de
1. La Industria 4.0 análisis todos los activos y agrupaciones de activos existentes en analizadores de puertos es clave para disponer un inventario completo
la zona evaluada independientemente del fabricante, versión o grado y fácil de actualizar.
de obsolescencia. Se recomienda utilizar algún tipo de base de datos
Industria 4.0
que facilite la introducción y categorización de los diferentes activos,
así como las dependencias entre ellos.
la Industria 4.0

3 Tecnologías autorizadas
Industria 4.0 Para cada zona es necesario indicar el tipo de tecnologías que es necesario conocer qué tipo de tecnologías se están utilizando
pueden utilizarse. El objetivo de esta dimensión es tener presente actualmente en un contexto de Industria 4.0. Como puede observarse
7. Conclusiones y trabajo futuro que, teniendo en cuenta el nivel de seguridad de una zona, no se en la Figura 3, se propone partir de un modelo de capas, a las que se
podrán incluir tecnologías que lleven implícitas vulnerabilidades les vincula las tecnologías más utilizadas en la Industria 4.0.
que incrementen los riesgos asociados a dicha zona. Dicho esto,

25
Ciberseguridad 4 Evaluación de amenazas y vulnerabilidades
en Industria 4.0 Para llevar a cabo este tipo de evaluación, es esencial apoyarse
en metodologías que consideren la idiosincrasia particular de
dispositivos, sistemas y protocolos específicos y en los que el
aspecto de la disponibilidad, suele primar sobre otros como la
y canales según IEC 62443 los entornos de operación y/o industriales, en los que existen integridad o la confidencialidad.
Introducción
1. La Industria 4.0
5 Requerimientos de acceso y control
Industria 4.0
Dado que una zona tiene límites, es imprescindible disponer de un instalaciones son necesarios. Este punto será de vital importancia,
procedimiento y/o controles en los que se identifique quién/qué si se genera una zona dedicada a centralizar el acceso remoto a las
la Industria 4.0 puede traspasarlos y cómo. En un contexto de Industria 4.0, el tele- instalaciones industriales.
mantenimiento y el tele-desarrollo, así como el acceso remoto a las

conductos y canales en 6 Procedimientos de control y mejora continua
Industria 4.0
7. Conclusiones y trabajo futuro Con la periodicidad que se estipule, será necesario realizar ejercicio para los conductos. Dado que un conducto no es más que
actualizaciones de los niveles de riesgo, activos, nuevas amenazas un tipo de zona, todo lo propuesto para las zonas sería aplicable para
y vulnerabilidades, ediciones de las políticas y procedimientos. En la correcta definición y evaluación de los niveles de seguridad de los
un contexto de Industria 4.0, cambiante y flexible, este aspecto es conductos. Aunque habría que añadir algunos aspectos específicos
clave y deberán construirse los mecanismos adecuados para que esta relativos a la seguridad de redes y comunicaciones como se apreciará
actualización se realice de forma natural. La norma realiza este mismo en la sección siguiente.
26
Ciberseguridad
en Industria 4.0 Conclusiones y
trabajo futuro
Introducción
1. La Industria 4.0
Industria 4.0
7
la Industria 4.0

Industria 4.0

27
Ciberseguridad
en Industria 4.0
Introducción
En este artículo se proponen unas recomendaciones y guías Se han identificado las tecnologías más comunes vinculadas a la
1. La Industria 4.0
que permiten definir las zonas, conductos y canales, siguiendo las Industria 4.0, de manera que, a la hora de diseñar zonas, conductos
2. La ciberseguridad en la recomendaciones de la IEC 62443, en una organización que decide y canales, se tengan en cuenta sus funcionalidades y características
Industria 4.0 abordar una iniciativa de Industria 4.0 y que está preocupada por la específicas. Con un caso de aplicación real se ha demostrado cómo
ciberseguridad de sus activos. siguiendo todas estas recomendaciones una fábrica ha incorporado
3. Arquitectura de referencia en tecnologías asociadas a la Industria 4.0 y en paralelo ha puesto en
la Industria 4.0 Se ha descrito la primera arquitectura de referencia para la Industria marcha las mejores prácticas propuestas por la IEC 62443 para que
4.0 (RAMI 4.0) y se ha constatado la idoneidad de la recomendación el despliegue de estas tecnologías se haga de forma segura. A partir
que se realiza en esta arquitectura al señalar la norma IEC 62443 de esta investigación se abren nuevas líneas de trabajo entre las que
5. Zonas, conductos y canales como la más adecuada para desplegar programas de ciberseguridad destacan entre otras, la adaptación de la metodología de evaluación
en un contexto de Industria 4.0. de riesgos propuesta por la IEC 62443 en un contexto de Industria
4.0 o la utilización del marco de trabajo propuesto en este artículo, a
conductos y canales en Se han clarificado alguno de los conceptos más importantes que
Industria 4.0 otro tipo de industria como pudieran ser la industria del automóvil o la
se describen en la norma y se han propuesto recomendaciones
aeroespacial, sectores vinculados tradicionalmente a la Industria 4.0.
específicas para el caso de aplicación de una organización embarcada
en programas de Industria 4.0.

28
Ciberseguridad
en Industria 4.0
y canales según IEC 62443 Anexo I. Referencias
Introducción
1. La Industria 4.0
2. La ciberseguridad en la [1] D. Gorecky; M. Schmitt; M. Loskyll; D. Zühlke: “Human-machine- [5] “Recommendations for implementing the strategic initiative
Industria 4.0
interaction in the industry 4.0 era” en Industrial Informatics INDUSTRIE 4.0”. Abril 2013. http://www.acatech.de/fileadmin/
(INDIN), 2014 12th IEEE International Conference, pg. 289 – 294, user_upload/Baumstruktur_nach_Website/Acatech/root/de/
la Industria 4.0 2014. Materrial_fuer_Sonderseiten/Industrie_4.0/Final_report__
Industrie_4.0_accessible.pdf
4. La norma IEC 62443 (ISA99) [2] I. Garbie; “Sustainability in Manufacturing Enterprises: Concepts,
Analyses and Assessments for Industry 4.0 (Green Energy and [6] “German Standardization Roadmap, Industry 4.0, Version 2”.
5. Zonas, conductos y canales Technology)”. Springer; Edición: 1st ed. 2016. Enero 2016.

[3] O. Sauer: “Delopments and trends in shopfloor-related ICT [7] C. Lesjak; D. Hein; J. Winter: “Hardware-security technologies
systems” en Industrial Engineering and Engineering Management for industrial IoT: TrustZone and security controller” en Industrial
Industria 4.0
(IEEM), 2014 IEEE International Conference, pg. 1352 – 1356, Electronics Society, IECON 2015 - 41st Annual Conference of the
7. Conclusiones y trabajo futuro 2014. IEEE, pg. 002589 – 002595, 2015.
Anexo I. Referencias [4] D. Schulz: “FDI and the Industrial Internet of Things” en Emerging [8] ISA99/IEC 62443. Marzo 2016.
Technologies & Factory Automation (ETFA), 2015 IEEE 20th
Conference, pg. Pages: 1 – 8, 2015. [9] IEC 62443-1-1 Models and Concepts. Marzo 2016.

Contactos
Javier Navarro
Gerente de Ciberseguridad
KPMG en España
T: + 34 93 253 29 00
M: + 34 616 330 449
E: javiernavarro@kpmg.es
La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar que siga siéndolo en el futuro o en el momento
en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verificación de su realidad y exactitud, así como del pertinente asesoramiento profesional.
KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”), sociedad suiza.

Ciberseguridad Industria 4-0 - V3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ciberseguridad Industria 4-0 - V3

Cargado por

Copyright:

Formatos disponibles

Ciberseguridad

2. La ciberseguridad en la Industria 4.0

3. Arquitectura de referencia en la Industria 4.0

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas, conductos y canales en Industria 4.0

7. Conclusiones y trabajo futuro

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

Ciberseguridad Desde finales del siglo XVIII la evolución y crecimiento de la

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

Ciberseguridad Resumiendo, la Industria 4.0 quiere convertir los entornos industriales

en Industria 4.0 basándose en la integración de sistemas (digital, horizontal y vertical)

5. Zonas, conductos y canales

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

Ciberseguridad La Industria 4.0 [2] distingue los programas orientados a velar

en Industria 4.0 desarrollados para incrementar la seguridad lógica de los entornos

Diseño de zonas, conductos ciberseguridad. Identificar unívocamente y de forma segura productos,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

Ciberseguridad Teniendo en cuenta el contexto descrito en las dos secciones

en Industria 4.0 no es tarea fácil, y que el diseño de programas específicos de

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

FIGURA 2: Documentos IEC 62443 [9]

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

Ciberseguridad La norma IEC 62443 [9] es un conjunto de estándares que se basa en

Introducción Cabe destacar que es en el documento ANSI/ISA99.00.01 - Part 1:

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

4. La norma IEC 62443 (ISA99)

5. Zonas, conductos y canales

6. Propuesta para definir zonas,

7. Conclusiones y trabajo futuro

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

© 2018 KPMG Asesores S.L., sociedad española de responsabilidad

Introducción — conducto (o conducto de seguridad) es un tipo de zona de

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas, Concentradores y

6. Propuesta para definir zonas,

2. La ciberseguridad en la - Esquemas de identificación, autenticación y autorización (IA).

3. Arquitectura de referencia en - Integridad del sistema (IS).

5. Zonas, conductos y canales - Tiempo de respuesta a eventos (RE) y Disponibilidad de recursos

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,

6. Propuesta para definir zonas,