Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Mapping entre el NIST FW y la IEC 62443 2-1

Fecha de publicación 18/07/2024
Autor
INCIBE (INCIBE)
Portada blog NIST FW

Actualmente existen gran cantidad de estándares y normativas en lo referente al sector industrial. Una gran variedad de ellas permite a las organizaciones industriales comprobar su nivel de madurez, como la IEC 62443 o mejorar el nivel de seguridad de la organización mediante la aplicación de una serie de pautas, buenas prácticas o guías, como en el caso del NIST Framework.

La aplicación e implementación de la familia de la IEC 62443, en combinación con el NIST Framework, permitirá a las organizaciones reducir, mitigar y controlar la posibilidad de sufrir un ciberataque, mediante la implementación de los controles y buenas prácticas definidas en ambos estándares.

A continuación, se presentan tanto el NIST Framework, como la IEC 62443, concretamente la IEC 62443-2-1, donde se indican los requisitos para un Sistema de Gestión de la Seguridad (CSMS) en Sistemas de Control Industrial (SCI).

NIST FRAMEWORK

El NIST Framework es una guía desarrollada por el Instituto Nacional de Estándares y Tecnología (NIST). Esta guía está diseñada para ayudar a las organizaciones a mejorar la gestión de los diferentes riesgos de ciberseguridad, ofreciendo estándares, pautas y mejores prácticas.

Esta guía tiene flexibilidad para su integración dentro de cualquier organización y se ha llegado a adaptar para aplicarse en cualquier sector industrial. Su principal enfoque es el de proporcionar a la organización la capacidad para identificar los riesgos que pueden afectar a la empresa, proteger los activos, detectar y responder a las amenazas y recuperarse de estas.

Esta guía se basa principalmente en cinco funciones clave:

  • Identificar: busca una comprensión organizativa de la gestión de los riesgos de ciberseguridad que podamos encontrar en sistemas, activos, datos y capacidades.
  • Proteger: asegura los diferentes servicios que se ofrecen.
  • Detectar: identifica que esté ocurriendo un evento de ciberseguridad.
  • Responder: reacciona a los eventos de ciberseguridad que estén ocurriendo.
  • Recuperar: mantener los planes de resiliencia y restaura cualquier capacidad o servicio que se haya visto afectado por un evento de ciberseguridad.
NIST Framework

- NIST Framework. Fuente -

IEC 62443 2-1

Este estándar forma parte de la familia de estándares de la IEC 62443. Esta normativa, utiliza la amplia definición y alcance de lo que constituye un IACS (Sistemas de Control y Automatización Industriales) descrito en la normativa IEC 62443-1-1 (documento en el que se recogen los modelos y conceptos base para el entendimiento del resto de documentos de la familia).

Los elementos de un SGCI (Sistema de Gestión de Ciberseguridad Industrial) descritos en la norma se relacionan principalmente con las políticas, los procedimientos, las prácticas y el personal, y describen lo que debe o debería incluirse en el SGCI definitivo.

Esta normativa se basa principalmente en ocho puntos clave:

  • Medidas de seguridad de la organización.
    • Organización y políticas relacionadas con la seguridad.
    • Evaluaciones y revisiones de la seguridad.
    • Seguridad del acceso físico.
  • Gestión de las configuraciones.
    • Gestión del inventario de los componentes de hardware y software del SIGC y de las comunicaciones red.
  • Seguridad de redes y las comunicaciones.
    • Segmentación del sistema.
    • Accesos inalámbricos seguros.
    • Accesos remotos seguros.
  • Seguridad de los componentes.
    • Dispositivos y soportes.
    • Protección antimalware.
    • Gestión de parches.
  • Protección de los datos.
    • Protección de los datos.
  • Control de acceso de usuarios.
    • Identificación y autenticación.
    • Autorización y control de acceso.
  • Gestión de sucesos e incidentes.
    • Gestión de sucesos e incidentes.
  • Integridad y disponibilidad del sistema.
    • Disponibilidad del sistema y funcionalidad prevista.
    • Copia de seguridad/Restauración/Archivos.

A su vez, dentro de cada uno de estos puntos, se encuentran los objetivos del control principal, una descripción, una justificación y los requerimientos necesarios para su cumplimiento.

Puntos en común entre ambas normativas

Ambas normativas presentan un esquema similar, siendo la IEC 62443 2-1 la que más profundiza en los activos que se tiene dentro del sistema industrial analizado y ofreciendo una definición de niveles dentro de este, así como unos requerimientos y diferentes niveles de madurez según el nivel de cumplimiento del control.

Los puntos en común, a alto nivel, que se pueden observar entre las dos normativas son las siguientes:

  • Identificación y evaluación de los activos que se pueden encontrar en nuestro sistema.
  • La búsqueda de protección en los activos previamente identificados.
  • La detección de los posibles incidentes de ciberseguridad dentro del sistema industrial.
  • La respuesta y recuperación frente a los incidentes encontrados y posibles incidentes que lleguen a ocurrir dentro del sistema.
  • Mejora continua de las soluciones aportadas para proteger el sistema.

Por otra parte, la siguiente tabla muestra una relación de los controles entre ambas normativas. Cabe destacar que solo se han incluido las referencias de los controles y en algunos casos, no existe un match entre ambas normativas.

tabla identificartabla protegertabla detectartabla respondertabla recuperar

- Mapping entre el NIST FW y la IEC 62443 2-1. -

Ventajas de aplicar ambas normativas simultáneamente

Las ventajas que se pueden obtener al unificar ambas normativas son:

  • Una gran precisión en la gestión de los activos, ya sea en su identificación, como en su protección y recuperación.
  • Valoración en profundidad, gracias a los niveles de madurez ofrecidos por la IEC y apoyados por la valoración que ofrece la NIST.
  • Diferenciación bien definida entre las diferentes partes que componen el sistema industrial y entre el mundo IT y OT.
  • Refuerzo de la concienciación de los trabajadores de la empresa sobre la seguridad, desde una perspectiva técnica y organizacional.
  • Reducción de los tiempos de aplicabilidad, así como un mayor alcance de conceptos y términos de ciberseguridad.

Conclusiones

Para finalizar, con este artículo se puede observar que la unión de ambas normativas puede ser la opción más correcta, aunque también se pueden aplicar individualmente sin tener una gran pérdida en el alcance de ambos estándares, lo más importante para esta decisión debe ser la idea de si se desea o no certificarse, ya que en ese caso se debería aplicar el estándar completo.

En definitiva, dependiendo del motivo para aplicar tanto la IEC 62443-2-1 como el NIST Framework, se puede utilizar el mapping entre ambos estándares o cada uno independientemente siendo estos ambos dos de los estándares o guías de buenas prácticas más utilizados.