El informe aborda la aplicación de las normas ISA/IEC 62443 a los sistemas de automatización y control industrial (IACS) que incorporan funcionalidades basadas en la nube, conocidos como sistemas de Internet Industrial de las Cosas (IIoT). Un aspecto clave es la extensión de los conceptos de ISA/IEC 62443 a los IIoT IACS, incluyendo la evaluación de riesgos, la partición de zonas y conductos, y el modelo de sistema/componente. Se propone una nueva categoría denominada «operational technology as a service» (OTaaS) para la funcionalidad basada en la nube que puede afectar equipos físicos controlados, identificando al proveedor de la nube como un nuevo rol que combina aspectos de proveedor de productos, proveedor de servicios y propietario de activos. La comparación con los estándares de Cloud Security Alliance sugiere la necesidad de añadir requisitos adicionales a ISA/IEC 62443 para casos de uso de IIoT. Además, se exploran esquemas de evaluación de conformidad (por ejemplo, certificación) que podrían desarrollarse para sistemas IIoT basados en las normas actualizadas de ISA/IEC 62443. El informe incluye evaluaciones de riesgos de ejemplo para cuatro casos de uso de IIoT, ilustrando conceptos clave y sugiriendo mejoras potenciales para las normas ISA/IEC 62443 en aplicaciones de IIoT, así como la estructura de los esquemas de evaluación de conformidad. EL documento discute la aplicación de las normas de ciberseguridad ISA/IEC 62443 a los sistemas de Internet Industrial de las Cosas (IIoT), destacando cómo estas normativas pueden ser implementadas en componentes, sistemas y sistemas de automatización y control industrial (IACS) que utilizan tecnología en la nube y comunican sobre redes no confiables. El documento presenta cuatro casos de uso para sistemas IIoT, desde analíticas de datos basadas en la nube no operacionales hasta funciones de control no esenciales basadas en la nube. Se extiende la terminología de ISA/IEC 62443 para incluir definiciones específicas de IIoT para componentes, sistemas, soluciones de automatización y sistemas IACS. El enfoque está en despliegues públicos de la nube utilizando Software as a Service (SaaS) sobre redes no confiables, sin abordar completamente otros modelos de servicio en la nube o nubes privadas/híbridas. El documento evalúa cómo se pueden aplicar las normas ISA/IEC 62443 a los sistemas IIoT y explora enfoques para certificar estos sistemas basados en el programa de certificación ISASecure. Incluye una evaluación de riesgos para ejemplos de casos de uso para explorar conceptos de ISA/IEC 62443 como partición de sistemas y aplicabilidad a entornos en la nube. Se basa en una versión preliminar de ISA-62443-2-1 de septiembre de 2023 y se ofrece como aporte para programas de evaluación de conformidad basados en ISA/IEC 62443. Referencia varias normas ISA/IEC 62443 y especificaciones de certificación ISASecure relevantes para el tema. En resumen, el documento investiga y proporciona orientación sobre la aplicación de las normas industriales de ciberseguridad a las tecnologías y arquitecturas emergentes de IIoT.

La aplicación de los estándares ISA/IEC 62443 a los sistemas de automatización y control industrial (IACS) que incorporan funcionalidades en la nube plantea desafíos significativos y oportunidades de mejora. Actualmente, los roles de los proveedores de la nube no están claramente definidos dentro de ISA/IEC 62443, lo que genera dudas sobre sus responsabilidades y cómo se alinean con los roles existentes de propietario de activos, proveedor de servicios y proveedor de productos. La implementación de un modelo compartido de responsabilidades de seguridad en la nube muestra cómo estas responsabilidades cambian según el nivel de servicio (IaaS, PaaS, SaaS), integrando elementos de los roles organizativos establecidos por ISA/IEC 62443. La comparación con el Cloud Security Alliance (CSA) Cloud Control Matrix (CCM) revela que, aunque los estándares ISA/IEC 62443 cubren una parte significativa de los requisitos del CCM, pueden requerirse mejoras adicionales o la creación de un perfil específico para los proveedores de nube en sistemas IIoT. Además, se discuten mejoras potenciales para los estándares ISA/IEC 62443 con el fin de abordar de manera más efectiva los riesgos y requisitos de los sistemas IIoT que incluyen funcionalidades en la nube. La propuesta de un nuevo estándar o perfil para los proveedores de nube, bajo la categoría de «Operational Technology as a Service (OTaaS)», busca clarificar las responsabilidades y requisitos de gestión de cambios asociados con el uso de tecnologías de despliegue continuo en servicios OTaaS. Se sugiere actualizar los modelos de evaluación de conformidad y la modelización de zonas y conductos en ISA/IEC 62443 para abarcar mejor las funcionalidades basadas en la nube, incluyendo entornos multiinquilino y consideraciones geográficas. Estas recomendaciones tienen como objetivo adaptar los estándares a las características únicas de los sistemas IIoT y mejorar la seguridad en los entornos industriales modernos. Este enfoque propuesto no solo fortalecerá la aplicación de los estándares existentes en sistemas IIoT, sino que también allana el camino para futuras actualizaciones que puedan abordar de manera más integral los desafíos emergentes en la ciberseguridad industrial.

La evaluación de riesgos en sistemas IIoT que incorporan funcionalidades en la nube, bajo los estándares ISA/IEC 62443, se destaca por su enfoque detallado y sistemático. Se describen cuatro casos de uso que ilustran diversas aplicaciones: desde análisis de datos en la nube para mantenimiento predictivo hasta control automático no esencial desde la nube. Todos estos escenarios involucran el uso de servicios como Software as a Service (SaaS) en una nube pública, con comunicación a través de redes no confiables como Internet. Se enfatiza la necesidad de una partición clara de funciones esenciales en zonas de seguridad y control, separadas de las redes públicas para garantizar la integridad y seguridad del sistema. El proceso de evaluación de riesgos se basa en identificar el sistema bajo consideración, realizar una evaluación inicial de riesgos cibernéticos, y dividir el sistema en zonas y conduits que cumplen con las recomendaciones de la norma ISA/IEC 62443-3-2. Cada zona y conduit se evalúa detalladamente para identificar amenazas, vulnerabilidades y las posibles consecuencias de brechas de seguridad, incluyendo accesos no autorizados, ataques de denegación de servicio y errores humanos. Este proceso utiliza escalas predefinidas para la severidad del impacto y la probabilidad de compromiso, proporcionando un marco robusto para la gestión de riesgos cibernéticos en entornos IIoT. La integración de estos estándares no solo fortalece la seguridad de los sistemas industriales modernos, sino que también promueve la adopción segura de tecnologías emergentes en la nube para aplicaciones críticas. La aplicación de los estándares ISA/IEC 62443 para sistemas IIoT se caracteriza por un enfoque meticuloso y estructurado en la evaluación y gestión de riesgos cibernéticos. Estos estándares establecen niveles de seguridad objetivo (SL-T 4) para la mayoría de las zonas y casos de uso, lo cual es fundamental para mitigar eficazmente los riesgos identificados. Esto se logra mediante un proceso que considera diferentes componentes del sistema, tipos de amenazas y las potenciales consecuencias de las brechas de seguridad. La metodología proporciona un marco estructurado para evaluar y abordar los riesgos cibernéticos en entornos complejos de IIoT industrial. El proceso incluye la revisión de requisitos de seguridad individuales según ISA/IEC 62443-3-3, que guía la implementación de medidas específicas como Control de Identificación y Autenticación, Control de Uso, y la Integridad del Sistema. Estos requisitos se aplican a zonas críticas como Seguridad, Control, Edge y Nube, adaptándose según el riesgo evaluado en cada caso de uso específico. Además, se establece una clara correlación entre los controles definidos por la Cloud Security Alliance (CSA) en su Cloud Control Matrix (CCM) y los estándares ISA/IEC 62443, lo que facilita la comprensión de cómo el cumplimiento con un estándar puede contribuir al cumplimiento con el otro, así como identificar áreas donde pueden ser necesarias medidas adicionales. Este enfoque integral no solo fortalece la seguridad de los sistemas industriales modernos, sino que también promueve la integración segura de tecnologías emergentes en la nube para aplicaciones críticas de IIoT.

Para leer más ingrese a: