Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

El proceso de certificación en IEC62443-3-3

Fecha de publicación 14/09/2023
Autor
INCIBE (INCIBE)
Proceso de certificación en IEC62443-3-3

En un mundo cada vez más conectado, la seguridad cibernética es un tema de importancia crítica. Ante la necesidad de proteger las infraestructuras de las empresas y sus procesos de producción, la ciberseguridad industrial está siendo reclamada cada vez más  por empresas, como requisito para formar parte de su red de proveedores. 

A la hora de buscar soluciones para asegurar los activos industriales, se pueden plantear de varias formas. Por un lado, siendo más prácticos o inmediatos lo que permitirá solucionar un problema determinado. Por el otro lado, siendo más extensos, lo que provoca que se tenga que seguir un procedimiento concreto para añadir la ciberseguridad como parte del proceso.

El cumplimento de estándares de seguridad cibernética aúna, de cierto modo, los dos enfoques mencionados, garantizando que la ciberseguridad sea parte integral del ciclo de vida de la empresa, y asegurando que las medidas necesarias, se implementen para afrontar las posibles carencias detectadas en el proceso de implantación.

Entre los estándares de ciberseguridad existentes, la IEC 62443-3-3 es una norma internacional que aborda específicamente la seguridad de los sistemas de control industrial. Esta norma proporciona un enfoque integral para identificar y mitigar los riesgos de seguridad cibernética en los sistemas de control industrial, con el fin de garantizar su integridad, disponibilidad y confidencialidad. A continuación, se explorará el proceso de certificación de la IEC 62443-3-3 y cómo puede ayudar a proteger los sistemas de control industrial contra los ciberataques y otras amenazas de seguridad cibernética.

Familia de normas IEC 62443

La familia de normas que componen la IEC 62443 puede parecer abrumadora en un principio, pero si se pone el foco en el ámbito de aplicación de interés para la empresa, resultará más sencillo identificar la sección de la familia que aportará mayor beneficio a la ciberseguridad de los activos o sistemas. La familia IEC62443 se divide de la siguiente manera:

esquema

- Estructura de la IEC62443 organizada por ámbitos de aplicación. Fuente. -

Como se puede apreciar en la imagen, existen cuatro grandes ámbitos de aplicación para la IEC 62443, siendo los dos primeros más genéricos. En el caso de la mayoría de las empresas, el foco de interés estará centrado en securizar sistemas (plantas de fabricación o líneas de producción) o componentes (producto final con aplicaciones industriales).

Certificación IEC 62443-3-3

Para poder entender mejor los requisitos que plantea la norma y las necesidades a las que se deberá atender a lo largo del proceso de certificación, es necesario establecer un contexto.

La norma IEC62443-3-3 establece dos grandes áreas de requisitos, los documentales o procedimentales, (que delega en la IEC 62443-4-1) y los de seguridad, que se deberán cumplir con implementaciones técnicas.

Niveles de madurez y niveles de seguridad.

El inicio de este proceso de certificación de la IEC 62443-3-3 pasa por definir los objetivos de nivel de madurez del ciclo de vida de diseño seguro (ML por sus siglas en inglés) y el nivel de seguridad del sistema a proteger (SL por sus siglas en inglés).

Los distintos niveles de madurez y seguridad se explican a continuación:

Los niveles de seguridad buscan prevenir el filtrado de información no autorizada y están clasificadas según las casuísticas que presentan estas filtraciones:

  • SL 1 – mediante exposición casual.
  • SL 2 – por una entidad en búsqueda activa, con pocos recursos, habilidades genéricas y baja motivación.
  • SL 3 – por una entidad en búsqueda activa, utilizando métodos sofisticados con recursos moderados, habilidades específicas de IACS y motivación moderada.
  • SL 4 – por una entidad en búsqueda activa, utilizando métodos sofisticados con recursos extensos habilidades específicas de IACS y motivación alta.

    Por otra parte, también presentan diferentes niveles de madurez:

  • ML 1 – La organización ejecuta los procesos de diseño de producto de manera ad-hoc y sin documentar.
  • ML 2 – La organización tiene la capacidad de gestionar el diseño de producto siguiendo unas políticas escritas.
  • ML 3 – La organización es capaz de ejecutar sus procesos de manera repetible en toda la organización. Los procesos se han empleado repetidamente y existen evidencias que lo respaldan.
  • ML 4 – Utilizando métricas adecuadas a los procesos, la organización es capaz de controlar la eficacia de los procesos y el desempeño de los productos y demostrar la mejora continua en estas áreas.

Si bien el nivel de seguridad objetivo se puede establecer de manera que responda a las necesidades de seguridad de la empresa, el proceso de certificación exige que el nivel de madurez del sistema documental sea como mínimo un ML2, es decir, que existan procesos documentados para los distintos ámbitos del ciclo de diseño seguro.

Alcance de certificación.

Una vez establecido el nivel de seguridad objetivo que se quiere alcanzar, es necesario concretar cuál es el sistema objetivo que se quiere securizar y, por lo tanto, certificar. Aunque parece una tarea sencilla, la definición del alcance acarrea varios quebraderos de cabeza, y es una de las tareas que más afectará al proceso, puesto que determinará cuales son los dispositivos y procesos que se consideran parte del sistema. Estos deberán cumplir los requisitos establecidos por los estándares.  

Análisis GAP

Una vez definido el alcance, es esencial disponer de un informe de situación del sistema documental y de la seguridad de los sistemas en referencia a los requisitos establecidos por las normas.

Este proceso es muy importante para poder planificar y establecer las diferentes tareas y entregables, que se deberán abordar para cumplir con las necesidades impuestas por las normas, conforme a los niveles objetivos seleccionados.

El análisis GAP o análisis de brecha, es la primera tarea en la que el proceso de certificación se bifurca, estableciendo caminos separados para la sección documental (cubierta por la IEC 62443-4-1) y la sección de requisitos de seguridad (cubierta por la IEC 62443-3-3).

Una vez se tiene una imagen clara entre los requisitos establecidos por la norma y las capacidades actuales de la empresa, es necesario establecer un plan de acción para generar la documentación e implementar las medidas de seguridad necesarias.

Implementación IEC62443-4-1 y auditoría

Para poder cumplir con los requisitos de la IEC62443-4-1 no se establece una guía de documentos a realizar, pero sí se definen los contenidos, que a grandes rasgos deberán cubrir:

  • Gestión de la seguridad: procedimientos que describen y definen el desarrollo seguro, (responsabilidades, perfiles, buenas prácticas y entornos de desarrollo seguro).
  • Seguridad del producto: procedimientos que describen y definen diferentes aspectos de la seguridad (potenciales amenazas, principios de diseño seguro, implementación y verificación de medidas de seguridad)
  • Gestión del ciclo de vida: procedimientos que describen y definen la gestión y mejora continua (gestión de incidentes de seguridad, gestión de actualizaciones de seguridad, gestión de bastionado de sistemas).

Una vez se han desarrollado los documentos necesarios, se debe generar una declaración de aplicabilidad de los requisitos (SOA por sus siglas en inglés) y relacionar la documentación disponible con los requisitos a los que se atiende.

Es recomendable realizar una auditoría interna previa a la auditoría de certificación para asegurar que todos los requisitos han sido cubiertos y que se dispone de toda la documentación necesaria.

Una vez realizada la auditoría, si esta es favorable, se obtendrá el certificado que acredita que el sistema documental ha cumplido un cierto ML para el alcance establecido. En caso contrario, es necesario realizar de nuevo el proceso de certificación, centrándose en aquellos requisitos que no se han superado.

Implementación IEC62443-3-3 y auditoría.

La implementación de medidas para atender los requisitos de la IEC62443-3-3 cuenta con un enfoque más práctico y se centra en su gran mayoría en la implementación de medidas tecnológicas o cambios de configuración en los activos que componen el sistema.

Sin embargo, existen ciertos requisitos documentales:

  • Descripción del sistema (SUC por sus siglas en inglés): en este documento se deberá describir con detalle el sistema a certificar, sobre todo en lo concerniente a comunicaciones de entrada y salida con el exterior, y a sus correspondientes interfaces.
  • Análisis de riesgos: es necesario contar con un análisis de riesgos documentado del sistema y sus componentes.
  • Certificado IEC62443-4-1: como se ha mencionado con anterioridad, la IEC62443-3-3 requiere la certificación del ciclo de desarrollo seguro.

Una vez cubiertas las necesidades documentales, se deberán implementar medidas de seguridad que atiendan a los siguientes grupos de requisitos:

  • Restricciones de seguridad comunes de los sistemas de control: cubre los requisitos que garantizan que las medidas de seguridad cibernética (security) no interfieran con las medidas de seguridad física (safety).

  • Identificación y autenticación: requisitos relacionados con el acceso y autenticación de usuarios y aplicaciones.

  • Control de uso: requisitos relacionados con las medidas roles y privilegios asignados a los usuarios o aplicaciones.

  • Integridad del sistema: requisitos relacionados con medidas que garanticen la integridad de los sistemas y las comunicaciones.

  • Confidencialidad de los datos: requisitos relacionados con medidas que garanticen la confidencialidad de los datos tanto almacenados como en tránsito.

  • Restricciones del flujo de datos: requisitos relacionados con medidas que garanticen la seguridad de red y arquitecturas de red seguras. 

  • Respuesta oportuna a eventos: requisitos relacionados con medidas que garanticen gestión de eventos de seguridad y el registro de acciones de usuarios y aplicaciones.

  • Disponibilidad de recursos: requisitos relacionados con medidas que garanticen la disponibilidad de los sistemas y las comunicaciones.

De nuevo, una vez se han implementado las medidas necesarias para cumplir con los requisitos y se cuenta con la documentación apropiada, es recomendable realizar una auditoría interna previa a la auditoría de certificación.

Finalmente, una vez se ha superado el proceso de certificación, se obtendrá el certificado de sistema seguro acorde a la IEC62443-3-3 para el alcance definido, lo que garantizará que el sistema cuenta con las medidas y procesos necesarios para el nivel de seguridad establecido.


Conclusiones

El proceso de certificación asociado al estándar IEC 62443-3-3 supone un paso fundamental para proporcionar unas pautas a seguir por las organizaciones industriales que pretenden verificar sus medidas en materia de ciberseguridad. A través de este proceso, las organizaciones pueden evaluar y mejorar sus prácticas de seguridad, identificar posibles riesgos y vulnerabilidades, y establecer medidas de protección adecuadas.

En resumen, este proceso proporciona un marco sólido para evaluar y mejorar tanto la madurez como los detalles técnicos relacionados con la ciberseguridad industrial.