Logitek patrocinador Bronze del Centro de Ciberseguridad Industrial (CCI) y miembro de la Red Nacional de Laboratorios Industriales (RNLI), iniciativa auspiciada por INCIBE, ha recibido el Trofeo al Servicio en Seguridad TIC del año 2016, que otorga la revista redseguridad por su servicio de “Auditoría y Análisis de Vulnerabilidades de entornos OT (Operation Technology) basado en MAASERISv2.1: “Metodología para el Análisis, Auditoría de Seguridad y Evaluación del Riesgo Operativo de Redes Industriales y Sistemas SCADA”.

Dentro del proceso de mejora continua de la ciberseguridad industrial aparece siempre como primer paso o etapa la necesidad de  analizar e identificar  los principales activos y vulnerabilidades asociados a los entornos OT (Operation Technology) y llevar a cabo una gestión y evaluación integral del riesgo operativo.

Para realizar este análisis y evaluación, es necesario contar con metodologías específicas que tengan en cuenta la idiosincrasia particular de estos entornos de operación.

Logitek proporciona este nuevo servicio de auditoría y análisis de vulnerabilidades asociados a los entornos OT basándose en una metodología desarrollada internamente que se denomina MAASERISv2.1 (Metodología para el Análisis, Auditoría de seguridad  y Evaluación de Riesgo operativo de redes Industriales y sistemas SCADA).

Esta metodología es un conjunto de procesos, herramientas y entregables que permiten:

  • Analizar el estado actual de una red industrial desde el punto de vista de la seguridad, haciendo especial hincapié en la evaluación de la disponibilidad.
  • Facilitar un profundo análisis de las principales vulnerabilidades asociadas al entorno OT.
  • Proporcionar una evaluación cuantitativa del riesgo operativo.
  • Utilizar la información recogida para la correcta definición de zonas, conductos y canales y la determinación de sus niveles objetivo de seguridad, según la norma IEC 62443/ISA99.
  • Servir como documentación complementaria y útil para el desarrollo de los PSO (Plan de Seguridad del Operador) y los PPE (Plan de Protección Específico) que la ley PIC (Protección de Infraestructuras Críticas) exige en España.

¿Por qué es innovador este servicio?

  1. Porque se apoya en una metodología que cubre el espacio existente entre las metodologías de análisis y gestión del riesgo estratégico y las mejores prácticas específicas de análisis de vulnerabilidades de un tipo de activo o grupo de activos.
  2. Porque ayuda a superar los retos más importantes que se tienen que afrontar a la hora de realizar este tipo de intervenciones en entornos tan críticos y específicos como los vinculados a los sectores industriales y/o infraestructuras. Entre estos retos se encuentran:
  • Realizar el análisis sin afectar a la disponibilidad de la red industrial evaluada ni al correcto funcionamiento de los procesos industriales (normalmente en funcionamiento mientras se realizan las pruebas y tests necesarios).
  • Incorporar al análisis todos los activos y agrupaciones de activos existentes en el entorno OT evaluado independientemente del fabricante, versión o grado de obsolescencia.
  • Obtener información suficiente acerca de los dispositivos OT involucrados en el análisis con las configuraciones actuales de la red industrial y con herramientas comúnmente utilizadas. En muchos casos ha sido necesario desarrollar herramientas específicas para tecnologías y protocolos típicos en entornos OT y que además no sean intrusivas.
  • Centrar el análisis en el riesgo operativo, es decir, en aquel vinculado al funcionamiento del entorno OT, dejando para otras auditorías y análisis el entorno IT y el riesgo estratégico.
  • Conseguir la colaboración de los equipos de producción y sistemas durante el proceso de auditoría, normalmente muy alejados de este tipo de análisis.

3. Porque su utilidad se está validando ya en numerosos proyectos en clientes de diferentes sectores en todo el territorio nacional.

4. Porque la metodología ha sido avalada por la comunidad científica al publicarse en las I Jornadas Nacionales de Investigación en Ciberseguridad el siguiente artículo “Metodología para el Análisis, Auditoría de Seguridad y Evaluación del Riesgo Operativo de Redes Industriales y Sistemas SCADA (MAASERISv2.1) – Autores: Fernando Sevillano y Marta Beltran Pardo” presentado el miércoles 16 de septiembre de 2015 dentro de la sesión “Ciberseguridad e Industria”.

MAASERIS define tres áreas de análisis; establece un ciclo de desarrollo de análisis y auditoría e incluye una serie de entregables y dossieres.

Para más información sobre el servicio, puede contactar a través de este formulario.

Shares
Share This