Seguridad (también) Industrial
Durante los últimos años, en el desarrollo de los diferentes aspectos que comprende la seguridad de la información y la gestión de riesgos en los entornos clásicos IT, hemos asistido a muchos procesos de convergencia: tecnologías, modelos de riesgos, metodologías, herramientas o métricas, entre otros.
La convergencia aporta ventajas como la integración de la gestión, la automatización (reduciendo los tiempos de respuesta al negocio), la visibilidad transversal y completa de los elementos convergentes, la escalabilidad a la par que la eficiencia en el uso de recursos y, finalmente, la mejor trazabilidad en la gestión y operación.
En los entornos industriales, en los que la seguridad de la información se introdujo más tarde que en los entornos IT tradicionales, muchas organizaciones se plantean el dilema de si la gestión de riesgos en ambos entornos, IT y OT, pueden converger en un único modelo, o bien deben mantenerse dos modelos paralelos y completamente separados.
Converger no debe confundirse con homogeneizar; converger supone tratar de la misma forma a los iguales a la par que de forma distinta a los diferentes.
En Izertis trabajamos a partir de un modelo de convergencia para el gobierno de la seguridad, la gestión de riesgos y el cumplimiento que permite el desarrollo más eficiente de esas funciones en ambos entornos.
Marcos de referencia para diseñar e implementar un modelo de gestión de seguridad IT
El marco de referencia más utilizado para diseñar e implementar un modelo de gestión de seguridad IT es la norma ISO 27001. Esta norma específica los requisitos para la implementación de un sistema de gestión de la seguridad de la información (SGSI o ISMS, en sus siglas en inglés), que incluye la identificación de los activos de información, la evaluación de riesgos, la implementación de medidas de seguridad, la monitorización y la mejora continua.
Su última versión fue publicada en octubre de 2022 y, aunque incorpora novedades, en general, estas se dirigen a facilitar su integración con otros sistemas de gestión, manteniendo su estructura y forma sin variaciones sustanciales.
De la misma familia es la norma ISO 27002, una guía completa que incluye una amplia variedad de objetivos y medias de seguridad (“controles”) para ayudar a las organizaciones a proteger su información. En la reciente actualización de 2022, la norma se divide en 4 secciones, cada una de las cuales se centra en un área específica de la gestión de la seguridad de la información:
- Controles organizativos (37)
- Controles relativos al personal (8)
- Controles físicos (14)
- Controles tecnológicos (34)
Las normas ISO 27001 y 27002 están estrechamente relacionadas y se complementan entre sí. La norma ISO 27001 establece los criterios y requisitos para la implementación de un sistema de gestión de la seguridad de la información (ISMS) y su certificación, mientras que la norma ISO 27002 proporciona una guía completa de buenas prácticas y recomendaciones para la gestión de la seguridad de la información que facilitarán el cumplimiento de los requisitos establecidos en la norma ISO 27001. Las dos normas trabajan juntas para proporcionar a las organizaciones un marco integral y completo de gestión de la seguridad de la información.
ISO 27001 y 27002 trabajan juntas para proporcionar a las organizaciones un marco integral y completo de gestión de la seguridad de la información
En cuanto a la gestión de la seguridad OT, la principal referencia es el estándar internacional de seguridad para sistemas y aplicaciones industriales UNE/IEC 62443, que incluye la gestión de identidades, accesos, cifrado, monitorización y contingencia.
La estructura de la norma es jerárquica en cuanto a requerimientos y se compone de tres tipos de requisitos: Los requisitos fundamentales (RF), los requisitos de sistemas (RS) y los requisitos de mejora (RM). Cada requisito fundamental contiene diferentes requisitos de sistemas y estos, a su vez, requisitos de mejora. Se pretende con todo ello, cubrir todas las situaciones que se producen durante el ciclo de vida de un sistema.
Los grupos de requisitos fundamentales incluidos son los siguientes:
- Identificación y Control de Autentificación (ICA).
- Control de Uso (CU).
- Integridad de Sistema (IS).
- Confidencialidad de los Datos (CD).
- Restricción del Flujo de Datos (RFD).
- Tiempo de Respuesta ante Eventos (TRE).
- Disponibilidad de Recursos (DR).
Como queda de manifiesto, las normas ISO 27001 y 27002 superan el ámbito puramente tecnológico (sólo el 36% de los controles de esta última corresponden a ese segmento) y proporcionan una sólida base sobre la que desarrollar un sistema de gestión de la seguridad de la información (SGSI).
La norma IEC 62443, por el contrario, está enfocada al ámbito específico de las tecnologías operacionales, a cómo identificar los activos, agruparlos y definir las medidas técnicas de seguridad necesarias para su protección.
Convergencia ISO 27002 - IEC 62443
La norma ISO 27002 y la norma IEC 62443 son similares desde varios puntos de vista y persiguen aportar su contribución a, esencialmente, el mismo propósito: preservar la seguridad, la confidencialidad y la disponibilidad de los servicios o del negocio. Ambas normas incluyen conceptos similares como la importancia de la gestión de seguridad de la información, la necesidad de políticas y procedimientos de seguridad, y la importancia de la evaluación y mejora continua. Además, incluyen la importancia de la identificación y evaluación de riesgos, la implementación de medidas de seguridad apropiadas para mitigar esos riesgos y la necesidad de pruebas y auditorías para garantizar la efectividad de las medidas de seguridad implementadas.
Por último, hoy en día no puede ignorarse que entre ambos entornos hay una zona de solapamiento que cada vez tiene mayor extensión y relevancia: la de aquellos sistemas IT que controlan, monitorizan o dan soporte a elementos OT y que son imprescindibles para el correcto (u óptimo) funcionamiento de los elementos de supervisión, control y proceso OT.
La integración de la gestión de la seguridad en entornos industriales con sistemas de gestión de la seguridad basados en la norma ISO 27001 supone garantizar que todos los aspectos de la seguridad se aborden de manera sistemática y sistematizada. La norma ISO 27001 establece un marco para la gestión de la seguridad que puede ser aplicado a cualquier tipo de organización, incluyendo entornos industriales.
Por otro lado, la norma IEC 62443 proporciona una guía para la implementación de controles de seguridad en sistemas industriales, incluyendo la identificación de riesgos y la implementación de medidas de seguridad adecuadas. La integración de los controles definidos por la norma IEC 62443 en el sistema de gestión de la seguridad basado en la norma ISO 27001 asegurará una gestión adecuada y efectiva de la seguridad en entornos industriales.
En resumen, la integración de la gestión de la seguridad en entornos industriales con los sistemas de gestión de la seguridad basados en la norma ISO 27001 y la integración de los controles definidos por la norma IEC 62443 en el sistema de gestión son esenciales para garantizar una protección adecuada y efectiva de la seguridad en entornos industriales.