Cyber SafePS: Una solución que identifica los riesgos de ciberseguridad en planta
Ciberseguridad para garantizar la seguridad de las plantas de proceso
Las plantas de procesos cuentan con sistemas de control industrial (ICS) integrados en los distintos niveles de digitalización de la empresa. Pero ningún sistema es invulnerable. Un mal funcionamiento de la tecnología puede provocar daños en los activos, consecuencias medioambientales, pérdidas financieras e incluso lesiones o la pérdida de vidas humanas.
La digitalización, los sistemas de control automático y otras herramientas tecnológicas avanzadas se utilizan para optimizar los procesos industriales; todas las plantas de proceso tienen sistemas de control industrial (ICS) integrados en los distintos niveles de la digitalización de la empresa, desde dispositivos de campo (instrumentos, actuadores, etc.) hasta PLC como controladores lógicos complejos. Estos sistemas pueden utilizarse incluso para supervisar y controlar a distancia los puestos de trabajo, adquiriendo y transmitiendo datos sin necesidad de que el personal se desplace largas distancias. Los dispositivos que componen un ICS pueden abrir y cerrar válvulas e interruptores, recopilar datos de sistemas de sensores y supervisar el entorno local; dentro de una planta. Un ICS puede controlar de forma centralizada las distintas fases de producción, recopilar y compartir datos para un acceso rápido, y encontrar y notificar fallos minimizando su impacto global.
Sin embargo, ningún sistema es invulnerable. La escala de las consecuencias puede ser enorme y también puede ser el resultado de una actividad delictiva dirigida a las vulnerabilidades de estos sistemas cibernéticos automatizados y centralizados. El alcance de los daños que pueden producirse cuando las organizaciones no establecen ciberprotecciones sólidas y resistentes puede ser mucho mayor que el establecido en el diseño original. Estos daños pueden ser financieros, de contaminación tanto al aire o al agua, de peligro a la salud y seguridad de los empleados, etc. Dichos efectos pueden llegar a ser de muy largo alcance.
Dados los riesgos y sus consecuencias, las organizaciones deben comprender que las amenazas cibernéticas son tan potentes y reales como todos los demás riesgos de seguridad "tradicionales", y que los ciberataques pueden manipular las medidas de seguridad convencionales que se han implantado en el proceso. Las alarmas se pueden desactivar, los controles se pueden manipular y las señales en las que confían los trabajadores para garantizar la seguridad son vulnerables a la manipulación mediante ciberataques. La prevención de las consecuencias de un ciberataque está contemplada en la norma IEC62443 para plantas de proceso y en la IEC61511 para sistemas de seguridad.
Importancia de la ciberseguridad y la protección
La ciberseguridad tiende a centrarse en la protección de ordenadores, redes informáticas y autopistas de datos; sin embargo, los ICS son igual de vulnerables a los ciberataques y las consecuencias pueden ser mucho más devastadoras que la violación de datos personales que suele verse. Simplemente poner las cosas fuera del alcance es una parte importante de los resultados de cualquier trabajo de evaluación de riesgos cibernéticos.
Por lo tanto, las organizaciones necesitan barreras que sean realmente independientes y barreras para proteger la transmisión de datos.
- ¿Has identificado las áreas vulnerables a los ciberataques?
- ¿Has identificado los accidentes graves que podría causar un ciberataque?
- ¿Dispones de salvaguardas claramente definidas que requieran controles (ciberseguridad) para impedir el acceso remoto?
- ¿Dónde están tus barreras independientes?
- ¿Puedes responder con confianza a las preguntas de HSE?
¿Qué norma elegir?
Las dos normas principales que cubren el tema de la ciberseguridad son:
- Normas ISO para la seguridad de los sistemas informáticos.
- Las normas IEC (norma europea IEC62443) para la seguridad de plantas de proceso.
Fieles a nuestros valores y a nuestro papel de asesores de confianza, escuchamos atentamente a nuestros clientes para asegurarnos de que nuestro enfoque se adapta a sus necesidades. Nuestros expertos en seguridad de procesos trabajan en estrecha colaboración con los clientes para establecer el camino más adecuado a seguir a la hora de considerar la ciberseguridad en el contexto de una planta.
Esquema de la red de control
En el enfoque de seguridad de procesos (HSE), el conocimiento de los posibles Accidentes Graves causados por un ciberataque es clave.
La sección cubierta por el ICS está vinculada a la sección en la que podrían producirse Accidentes Graves.
En todos los casos es necesario conocer las salvaguardas y barreras que detienen tales ataques y que mantienen protegido el sistema. Todas estas salvaguardas y barreras se identifican entonces como Cibercríticas y se someten a la Gestión de la Ciberseguridad.
DEKRA puede ayudarte con ese primer paso e iniciarle en el camino hacia la resiliencia y la seguridad frente a ataques cibernéticos con productos que se ajusten a tus necesidades.
Sus ventajas
- Identifica los riesgos de ciberseguridad para la planta
- El informe elaborado destaca los diferentes tipos de salvaguardas, desde las vulnerables hasta las aceptablemente seguras y robustas
- Permite identificar las consecuencias, lo que a su vez permite a la organización determinar una solución sencilla y extremadamente eficaz
- Puede ayudar a determinar las medidas y sistemas de defensa adecuados
Nuestro enfoque
Los principales puntos a tener en cuenta a la hora de evaluar el riesgo de ciberataque son:
- Necesidad de establecer los Riesgos de Accidentes Graves (Major Accident Hazards).
Deben establecerse todos los riesgos de accidentes graves que podría causar un ciberataque.
- Es necesario destacar todas las salvaguardas y barreras válidas.
Es vital destacar todas las salvaguardas y barreras válidas dentro de la planta que evitarían tal devastación.
- Debe crearse una lista calendario de todas las salvaguardas independientes cibernéticas críticas.
Para cumplir con las normas, debe crearse un listado de todas las salvaguardas independientes Cibercríticas.
- Debe elaborarse un listado de todos los Riesgos de Accidentes Graves (MAH) para los que no existen salvaguardas independientes.
Se debe elaborar un listado de todos los Riesgos de Accidentes Graves para los que no existen salvaguardas independientes y para los que se debe confiar únicamente en los sistemas de protección informática.
El enfoque Cyber SafePS de DEKRA garantiza el equilibrio adecuado entre las barreras independientes y la protección de ordenadores, así como la transmisión de datos. Se trata de una evaluación de riesgos que no se limita a ser un estudio HAZOP. Como cliente, tendrás la opción de elegir si deseas evaluar el riesgo para las personas, el medio ambiente o los activos. La evaluación Cyber SafePS de DEKRA identifica todas las barreras contra los ciberataques que son verdaderamente independientes y guía a los clientes a través de la protección para:
- Las personas
- El entorno
- Los activos
Nuestros expertos evalúan los riesgos para elaborar un Informe de Evaluación Cibernética. Este informe incluirá una serie de cronogramas que garantizarán que todas las salvaguardas Cibernéticas Críticas estén identificadas y etiquetadas:
- Primera lista: enumera todos los casos que podrían provocar un accidente mortal y las barreras independientes que lo impiden.
- Segunda lista: enumera las barreras independientes que impiden los casos que podrían resultar mortales.
- Lista final: enumera los casos que podrían dar lugar a una víctima mortal pero que no cuentan con salvaguardas independientes.
Todo ello permite a los clientes disponer de la "defensa en profundidad" y la "diversidad" de protecciones exigidas por el HSE.
¿Por qué DEKRA?
- Somos expertos en los factores técnicos y organizativos que influyen en la seguridad
- Contamos con unas credenciales impecables como socio de confianza de un amplio abanico de industrias
- Estamos especializados en innovaciones de seguridad de procesos, como nuestra herramienta Cyber SafePS