Integrar controles de seguridad de última generación en entornos industriales que dependen de la tecnología operativa (OT) puede suponer todo un reto. Las redes OT suelen estar aisladas y carecer de conectividad por diseño. Muchos dispositivos industriales dependen del legado software para funcionar correctamente, y es habitual que los sistemas industriales dependan de redes planas con poca o ninguna segmentación.
Afortunadamente, los profesionales de la ciberseguridad y los expertos en la materia de todo el mundo han colaborado en la elaboración de directrices para proteger los entornos de OT, publicadas en la norma IEC 62443 de normas.
PKI desempeña un papel fundamental en la modernización de los entornos industriales. Menos tecnologías aportan funciones de seguridad más eficaces y adaptables, desde la autenticación hasta el control de acceso. Siga leyendo para saber cómo la PKI y la norma IEC 62443 pueden ampliar su seguridad.
¿Qué hace la norma IEC 62443?
La norma IEC 62443 orienta sobre la implantación y el mantenimiento de sistemas de automatización y control industrial (IACS) seguros. Dado que las necesidades y los requisitos pueden variar enormemente de un entorno OT a otro, la norma IEC 62443 prescribe cuatro niveles de seguridad diferentes para adaptarse a las necesidades de cualquier organización, independientemente de su sofisticación o madurez.
- Nivel de seguridad 1: Protección contra infracciones casuales o accidentales
- Nivel de seguridad 2: Defensa contra violaciones intencionadas con medios sencillos
- Nivel de seguridad 3: Protección contra amenazas sofisticadas
- Nivel de seguridad 4: Defensa contra APT y amenazas a nivel de Estado-nación
Muchas organizaciones y entornos dependerán de las directrices de nivel 2 y 3 para proteger sus sistemas, pero es importante recordar que cada nivel de seguridad puede aplicarse parcialmente cuando sea necesario. Los responsables de OT querrán realizar un análisis de riesgos exhaustivo antes de crear un plan para aplicar el 62443 en su entorno.
La norma IEC 62443 no recomienda productos específicos para proteger los SIGC, pero sí sugiere prácticas básicas de seguridad, que van desde conceptos como la autenticación de usuarios y el control de acceso físico hasta sistemas avanzados de supervisión y auditorías periódicas. En lugar de adherirse exclusivamente a un nivel de seguridad, se anima a las organizaciones a tomar prestada la orientación de cada nivel cuando mejor se adapte a sus necesidades de seguridad.
Papel de PKI en IEC 62443
La criptografía de clave pública -es decir, el uso de pares de claves asimétricas, certificados y firmas digitales- ofrece una solución universal para muchas de las sugerencias de la norma IEC 62443, especialmente en áreas como:
- Autenticación de usuarios
- Control de acceso
- Software validación
- Comunicaciones cifradas
Por ejemplo, la parte 4-2 de la norma IEC 62443 (que se centra en fortificar cada elemento del SIGC contra las ciberamenazas) hace hincapié en mecanismos de autenticación sólidos tanto para los dispositivos como para los usuarios. También hace hincapié en la necesidad de que las comunicaciones sean confidenciales y en la integridad de los datos, dos principios de seguridad que la PKI es perfecta para conseguir.
Por ejemplo, firma de código verifica la autenticidad de software, el firmware y las actualizaciones. Dado que muchos dispositivos IACS pueden estar ejecutando software no soportados, se aconseja a las organizaciones minimizar el software en el entorno y sólo permitir paquetes autorizados.
PKI también puede utilizarse para asignar y verificar las identidades de los dispositivos e intermediar la autorización entre ellos, eliminando la necesidad de un control de acceso basado en credenciales. Además, la emisión, renovación y revocación de los certificados que habilitan estas funciones es muy sencilla con la solución PKI adecuada.
Ya se trate de autenticar dispositivos, controlar el acceso a recursos entre ellos, firmar actualizaciones autorizadas o cifrar datos con suites de cifrado de última generación, una solución PKI robut puede tener un impacto tremendo en su postura de seguridad OT.
Industria 4.0
La Industria 4.0 representa la transformación digital del sector industrial. Tiene el noble objetivo de crear una red interconectada de dispositivos y sistemas con datos en tiempo real y análisis avanzados. Esta transformación promete mejorar la eficiencia, la productividad y la velocidad de toma de decisiones.
La seguridad en la Industria 4.0 depende de la confianza y la identidad. La confianza garantiza que cada interacción dentro de la red implique a entidades autenticadas y autorizadas, mientras que la identidad proporciona los medios para establecer, verificar y mantener estas relaciones de confianza.
La aplicación de estos controles conlleva serie de retos debido a la compatibilidad entre sistemas heredados y entornos muy variables. Cada configuración industrial tiene requisitos y limitaciones únicos, lo que complica el despliegue de medidas de seguridad estandarizadas.
Complejidad técnica
Conseguir una cobertura organizativa completa requiere la experiencia de arquitectos de seguridad experimentados. Los profesionales deben considerar todos los ángulos potenciales y poseer un profundo conocimiento de la tecnología y los procesos operativos específicos en uso.
Cada instalación industrial es única, lo que hace poco realista la aplicación de medidas de seguridad estandarizadas. El reto consiste en diseñar un marco de seguridad que sea a la vez completo y adaptable a las diversas operaciones industriales.
Gestión de volúmenes de certificados
La introducción de PKI en organizaciones dirigidas por OT traerá consigo un nuevo conjunto de retos de gestión, como la gestión de certificados.
La implantación uniforme de la gestión de certificados es difícil debido a la diversidad de dispositivos, a menudo obsoletos. Los certificados sin rastrear pueden causar interrupciones y añadir complejidad. Sea cual sea la herramienta que elija, debe centralizar la gestión de certificados en un centro universal que ofrezca una seguridad y coherencia más fiables.
Además, las soluciones PKIaaS pueden no ser compatibles con todos los dispositivos y sistemas de OT. Para garantizar la compatibilidad, las organizaciones necesitan enfoques personalizados y una amplia colaboración entre proveedores para lograr una integración y un funcionamiento perfectos.
Experiencia en PKI
Gestionar eficazmente la PKI requiere algo más que conocimientos operativos; exige una visión global, un diseño estratégico y una planificación a largo plazo.
Las asociaciones y los servicios pueden ayudar a salvar la brecha de conocimientos, ya que los expertos en PKI son caros y difíciles de encontrar. Los socios estratégicos pueden ayudarle a crear una hoja de ruta y su equipo interno puede seguir el manual. También puede delegar toda la gestión de PKI a un servicio PKI gestionado.
Sentar las bases de la ciberseguridad de los ICS
Llevar la PKI al mundo industrial establece una capa fundacional de confianza y seguridad. A medida que las organizaciones tratan de aplicar el marco de la norma IEC 62443-4-2, la adopción de un enfoque gradual resulta práctica y necesaria para una implantación eficaz.
He aquí un resumen de cada fase:
- Sistemas y usuarios de alto riesgo: Comience por identificar y proteger los sistemas y usuarios de mayor riesgo dentro del entorno de los sistemas de control industrial (ICS). Al proteger primero las partes más vulnerables de la red, se reduce significativamente el riesgo general de ciberamenazas.
- Aplicar un enfoque gradual: Empiece por evaluar las medidas de seguridad actuales e identificar las carencias. A continuación, implante soluciones PKI adaptadas a las necesidades específicas. Esta estrategia de mejora incremental facilita la gestión y la adaptación a los nuevos retos a medida que surgen. A medida que se completa cada fase, la organización puede basarse en sus éxitos.
- Integrar PKI y alinearse con IEC 62443-4-2: Alinearse con las mejores prácticas de IEC 62443-4-2 ayuda a las organizaciones a cumplir los requisitos normativos y garantiza que las medidas de ciberseguridad estén actualizadas con los estándares del sector.
Sentar las bases de la ciberseguridad de ICS con PKI es una empresa importante. Si está listo para saber cómo Keyfactor puede ayudarle a navegar por la automatización PKI y alinear sus operaciones ICS con IEC 62443, póngase en contacto: nuestro equipo está listo para ayudarle.