IEC 62443 La serie de normas internacional IEC 62443 define los requisitos de seguridad que deben cumplir los fabricantes, integradores y operadores para evitar riesgos.
IEC 62443 – La norma para la ciberseguridad industrial
Vista general de IEC 62443 e ISO 27001
Ciberseguridad en la IT y OT
En el pasado, los ámbitos de la tecnología de la información (IT) y de la tecnología operativa (OT) se consideraban por separado y se asignaban a distintas áreas especializadas. Sin embargo, con la creciente interconexión y digitalización de los sistemas y la producción, estos ámbitos están creciendo juntos. Por tanto, la ciberseguridad ya no puede considerarse de forma aislada. Una protección eficaz y eficiente contra los ciberataques solo puede lograrse mediante un procedimiento coordinado.
La serie de normas ISO 27000 define los objetivos de protección de las IT, centrándose en la confidencialidad. Para el ámbito de OT, la disponibilidad de los sistemas es crucial, tal y como se describe en la norma IEC 62443. La serie de normas IEC 62443 tiene por objeto ofrecer orientación para el funcionamiento seguro de los sistemas de automatización industriales (sistemas ICS), desde el diseño hasta la gestión, pasando por la implementación. Para ello, describe en varias normas las reglas para los fabricantes de componentes, los integradores de sistema y los operadores: los fabricantes de componentes deben garantizar la seguridad de los productos y los fabricantes de maquinaria e instalaciones deben asegurar su interacción segura. El operador se responsabiliza finalmente de los procesos de servicio seguros. Así pues, la norma IEC 62443 complementa la norma ISO 27001. La consideración de ambas normas es crucial para una protección integral contra los ciberataques.
Estructura de la IEC 62443
Una característica especial de la norma IEC 62443 es el enfoque integral de la seguridad mediante el diseño. Esto incluye los requisitos de los procesos operativos, los sistemas y los componentes. Además, el enfoque define medidas tanto de procedimiento como técnicas.
Un concepto central de seguridad de la norma IEC 62443 es la "defensa en profundidad" (Defense in Depth). Escalonar varios mecanismos de seguridad uno tras otro dificulta la penetración de los atacantes en el sistema.
Implementación de la norma IEC 62443 como operador
Procedimiento "Nueve pasos para una instalación segura".
Una solución de automatización segura comienza con la definición de los activos que deben protegerse. Para estos activos, se realiza un análisis de amenazas y riesgos. Estos análisis constituyen la base para derivar las medidas de mitigación de riesgos y los requisitos resultantes para el sistema y los componentes utilizados.
Sin embargo, el nivel de protección de una instalación no solo se obtiene de las capacidades técnicas, sino también de los procesos vividos, así como de los conocimientos técnicos del personal. Una instalación segura precisa una monitorización y cuidado permanentes. Esto incluye un conocimiento preciso de la instalación y sus propiedades, es decir, un esquema de redes y un inventario de todos los componentes, así como una gestión de los usuarios, los derechos y los datos de acceso.
No existe una solución estándar para todas las aplicaciones. Una solución de automatización segura debe adaptarse siempre a las circunstancias individuales. Las medidas aplicadas también deben revisarse periódicamente y adaptarse al estado actual de la técnica. A modo de ayuda, hemos definido el procedimiento "Nueve pasos para una instalación segura". Este procedimiento permite a los operadores e integradores de sistema implantar la seguridad por diseño para su solución específica.
Implementación de la norma IEC 62443 en Phoenix Contact
Nuestro concepto 360°-Security completo
Concepto 360°-Security
En Phoenix Contact, comenzamos a implementar la norma IEC 62443 en 2017. Sin embargo, la protección de los sistemas o instalaciones solo puede garantizarse si están protegidos por todos los lados. Por este motivo, hemos desarrollado e implementado nuestro concepto 360°-Security: una oferta completa sin concesiones.
Nuestro enfoque de la ciberseguridad es integral. Por ello, todos los componentes de nuestro concepto 360°-Security están certificados conforme a la norma IEC 62443. Se comienza con un proceso de desarrollo seguro que garantiza que nuestros productos están equipados con sólidas funciones de seguridad desde el principio. Estas funciones de seguridad están profundamente integradas en nuestros productos para garantizar una protección completa. También ofrecemos servicios certificados destinados a mejorar continuamente la seguridad de nuestros clientes.
Proceso de desarrollo certificado según la norma IEC 62443-4-1
Ya en el año 2018 introdujimos el proceso de desarrollo seguro certificado conforme a la norma IEC 62443-4-1 para nuestros componentes. Este proceso se basa en principios de ciberseguridad probados y de defensa en profundidad.
Desde entonces, la comunicación transparente y abierta sobre posibles lagunas de seguridad ha sido un factor importante. Por ello, el Product Security Incident Response Team (PSIRT) publica informes sobre posibles vulnerabilidades y proporciona actualizaciones periódicas de seguridad para nuestros productos.
Productos certificados según IEC 62443-4-2
Los productos seguros se han desarrollado de acuerdo con el proceso de desarrollo de la norma IEC 62443-4-1 y cumplen los requisitos de seguridad funcional de la norma IEC 62443-4-2.
En 2021, PLCnext Control se convirtió en el primer sistema de control del mundo certificado conforme al conjunto de propiedades IEC 62443-4-1 ML3 /4-2 SL2. Actualmente, se están desarrollando o certificando otros productos seguros. Más información sobre nuestros productos seguros:
Servicios certificados según la norma IEC 62443-2-4
Servicios certificados según la norma IEC 62443-2-4
Para desarrollar, asesorar, instalar y mantener soluciones de seguridad eficaces junto con los integradores de sistema y operadores, los equipos implicados deben tener amplios conocimientos de ciberseguridad y ser capaces de demostrarlos. Así se garantiza que todas las medidas de seguridad cumplan las normas más estrictas y se apliquen con eficacia.
En Phoenix Contact, los equipos pertinentes, incluidos los de las empresas nacionales seleccionadas, están certificados de acuerdo con la norma internacional IEC 62443-2-4. Este certificado confirma que nuestros equipos cuentan con las competencias y los procesos necesarios para integrar y utilizar de forma segura sistemas de automatización industrial. Esta cualificación nos permite ofrecer a nuestros clientes de todo el mundo soluciones fiables y seguras que cumplen los requisitos de ciberseguridad actuales.
Soluciones certificadas según IEC 62443-3-3
No existe una solución general para implementar las normas. Es más, las normas deben implementarse según las necesidades y circunstancias personales. En Phoenix Contact, desarrollamos varias plantillas (blueprints) para diferentes mercados y soluciones con el fin de explicar e implementar mejor los requisitos relacionados con los procesos, así como los requisitos funcionales del sistema.
El blueprint "Remote-Monitoring and -Control“, además de mostrar la estrategia de protección en varios niveles (concepto de defensa en profundidad), también muestra, entre otros, la segmentación en zonas y conductos, el control de flujos de datos, un cifrado de comunicación de extremo a extremo, un endurecimiento de los componentes, la concienciación de los empleados y los procesos de gestión de parches y riesgos.
Esta solución se ha certificado según la norma IEC 62443-3-3.
Nuestro blueprint Remote-Monitoring and -Control certificado por TÜV Süd según IEC 62443-3-3
La ciberseguridad se convierte en un requisito legal
IEC 62443: Factor de éxito para las directivas de ciberseguridad
Con la nueva Ley de Ciberresiliencia (CRA en inglés), la nueva Directiva NIS 2 y el nuevo Reglamento de Máquinas, la aplicación de medidas de ciberseguridad en Europa será jurídicamente vinculante. Y ya no solo para infraestructuras críticas.
Para cumplir los elevados requisitos de las nuevas directivas de seguridad, resulta útil guiarse por las normas internacionales. Una de ellas es la norma de seguridad IEC 62443. Por ejemplo, la norma IEC 62443 ya cubre muchos de los requisitos estipulados por la CRA. Tanto para el proceso de desarrollo seguro como para los requisitos técnicos de productos y sistemas. Por tanto, la norma IEC 62443 es una candidata prometedora para una futura norma armonizada de la CRA.
La norma IEC 62443 también ofrece un amplio soporte para el cumplimiento de la nueva Directiva de seguridad NIS 2 o el nuevo Reglamento de Máquinas.
LinkedIn: Industrial Communication and Cyber Security ¡Forme parte de nuestra comunidad ahora!
Las redes de comunicación industriales nos permiten transmitir datos de forma fiable desde el campo hasta el nivel del sistema de control y la nube. En nuestra página de LinkedIn Industrial Communication and Cyber Security encontrará información interesante sobre la disponibilidad de la red, la ciberseguridad, el mantenimiento remoto y mucho más. ¡Pase a formar parte de nuestra comunidad!