Políticas y procedimientos para la mejora de la seguridad

La política de seguridad OT es el marco estratégico, los procedimientos definen la estrategia diseñada y los programas el día a día del equipo que gestiona la ciberseguridad industrial.
  

El desarrollo de políticas y procedimientos de seguridad en el ámbito transaccional (IT) es una práctica ampliamente extendida, que ahora, debe ser extrapolada al ámbito de operaciones (OT).

La política de seguridad OT es el marco estratégico que una organización despliega en este ámbito, los procedimientos se definen para materializar la estrategia diseñada y los programas (OPSEC program, o Operational Security program) para determinar cómo debe ser el día a día del equipo que gestiona todos los aspectos de la ciberseguridad industrial (seguridad perimetral, arquitectura de red, gestión de accesos lógicos y físicos, etc).

Del mismo modo, es altamente aconsejable que dichas políticas, procedimientos y programas, se desarrollen apoyándose en estándares (NIST, NERC-CIP, ISO, ISA) o mejores prácticas sectoriales que ayudarán a implantarlos con mayor facilidad y efectividad.

Podemos ayudarte a mejorar la seguridad del entorno OT de tu organización, proporcionando las siguientes tecnologías y servicios:

Ley PIC. Desarrollo de los PSO y los PPE

Dentro del marco normativo asociado a la ciberseguridad industrial, tiene especial importancia en España la Ley de Protección de Infraestructuras Críticas (Ley PIC 8/2011) complementada por el Real Decreto 704/2011.

Los dos grandes objetivos de esta norma son los de catalogar el conjunto de infraestructuras que prestan servicios esenciales a nuestra sociedad y diseñar un planeamiento que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información y las comunicaciones.

Industrial Cybersecurity by Logitek ayuda a los operadores críticos a desarrollar los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) asociados al cumplimiento de la Ley 8/2011 de Protección de Infraestructuras Críticas.

  • Desarrollando de forma integral ambos planes.
  • Acompañando al operador crítico en el desarrollo de determinados aspectos.
  • Realizando una acción formativa al operador crítico.

Lee nuestro whitepaper sobre los servicios de formación, acompañamiento y desarrollo de los PSO y los PPE de la Ley PIC.

Evaluación cuantitativa y análisis de riesgos
  • La evaluación cuantitativa del riesgo que corre un sistema permite ponderar la inversión necesaria (y eficiente) en las contramedidas. Por otro lado, el análisis que se realiza en paralelo, permite identificar, evaluar y clasificar los principales riesgos físicos y lógicos del entorno OT, que afectan a los procesos operacionales y activos productivos de la organización.
  • Basado en las metodologías estándares (MAGERIT v3, CRAMM, etc.), este servicio se desarrolla:
    • Identificando y valorando los activos que están dentro del alcance del proyecto.
    • Determinando las amenazas que puede sufrir el sistema, así como el impacto (consecuencias) y vulnerabilidades (probabilidad) existentes respecto a estos activos.
  • Calculando el riesgo basándose en estas métricas y proponiendo una serie de contramedidas.
Análisis de vulnerabilidades OT

El objetivo principal de este servicio es proporcionarte información detallada acerca del grado de vulnerabilidad de tus sistemas, procesos y redes OT con el objetivo de que puedas anticiparte a posibles amenazas externas y/o internas que puedan afectar a su disponibilidad, integridad y confidencialidad.

 

Adecuación a buenas prácticas

Este servicio está orientado a analizar y verificar el grado de alineamiento de tu organización con respecto a un determinado estándar de ciberseguridad OT que selecciones.

Entre estos estándares y/o buenas prácticas se incluyen: ISA-99/IEC 62443, NIST SP 800-82, NIST SP 800-53 rev. 3 o NRC RG 5.71.

Tras esta intervención obtendrás:

  • Un resumen ejecutivo del grado de adecuación.
  • Un informe que proporciona una visión general sobre la evaluación realizada.
  • Un informe detallado sobre la evaluación realizada.
  • Un plan con las principales acciones correctoras o contramedidas que permitan a la organización adecuarse al estándar o mejor práctica seleccionada.
Desarrollo de políticas, procedimientos y programas de seguridad
El objetivo de esta intervención es ayudarte a definir, ampliar o mejorar las políticas, procedimientos y programas o planes que guiaran la implantación de controles de seguridad, organizativos y de gestión, de acuerdo con las buenas prácticas de la ciberseguridad industrial.
Sistemas de gestión de cambios

Los sistemas de gestión de cambios permiten llevar a cabo una gestión visible, controlada y ordenada de la lógica (programas) asociada a los distintos dispositivos de campo y elementos (PLC, HMI, DCS, Robots, PC Control System, Drivers) que concurren en un entorno OT.

¿En qué contexto se vienen desarrollando la gestión de cambios en el entorno industrial?

  • Distintos usuarios realizan diferentes tipos de cambios.
  • Es necesario cumplir con ciertas normativas y los cambios deben ser visibles, controlados y ordenados. El hecho de no cumplir estas normativas y no realizar una correcta gestión de cambios puede generar riesgos.
  • Estos riesgos pueden producir efectos no deseados.

¿Qué puede aportarte un SGC?

Un acceso controlado de los usuarios a las estaciones de trabajo y a los dispositivos en los que residen los programas lógicos.

  • La integración automática con los principales fabricantes de dispositivos de campo (Siemens, Rockwell, Schneider, GE, Omron, Mitsubishi), robots (ABB, Fanuc, Kuka) y soluciones SCADA (WinCC, Citec, InTouch, System Platform).
  • Una automatización de los procesos de generación y comparación de copias de seguridad de dichos programas.
  • Una gestión integral del control de versiones de los programas lógicos.
  • Un “Audit Trail” que permita la detección, notificación y registro automático de los cambios realizados.

 

Protege tu entorno industrial

Ahora