¿Qué es la norma IEC 62443?
La norma IEC 62443 tiene por objeto asegurar los sistemas de control y automatización industrial (IACS). Ofrece un enfoque sistemático y práctico que cubre todos los aspectos de la ciberseguridad de los sistemas industriales.
La norma IEC 62443 consta de cuatro partes, que se dirigen a cuatro niveles diferentes de IACS:
- General
- Política
- Sistema
- Componentes
La siguiente imagen ilustra cómo encajan las diferentes partes entre sí:
Acerca de la Norma IEC 62443
La IEC 62443 se centra en la tecnología operativa (OT) y este vínculo es similar al de la ISO 27001 en relación con la tecnología de la información (IT). Sin embargo, también existen importantes diferencias. Dentro de las TI, la confidencialidad de los datos es esencial. Mientras que dentro de las OT son primordiales aspectos como la integridad y la disponibilidad, ya que estos juegan un papel importante en aspectos como la salud, la seguridad y el medio ambiente. Esto hace necesario ver la ciberseguridad integral desde la perspectiva de ambos dominios.
Funciones y niveles de responsabilidad de la norma IEC 62443
La norma IEC 62443 define cuatro niveles distintos de responsabilidades que pueden ser objeto de certificación.
Su empresa u organización puede encajar en cualquiera de estas cuatro categorías:
Propietarios de activos: Operan y mantienen sistemas de OT específicos del lugar. Para la certificación de los propietarios de activos subpartes: IEC 62443-2-1, IEC 62443-2-4 e IEC 62443-3-2 son aplicables.
Integradores de sistemas: Diseñan e integran diferentes soluciones industriales, piezas y componentes en sistemas específicos del lugar. La IEC 62443-2-4 y la IEC 62443-3-3 son subpartes aplicables para la certificación de integradores de sistemas.
Proveedores de automatización: Diseñan y fabrican soluciones industriales, piezas y componentes que se suministran a los propietarios de activos. Las subpartes aplicables a la certificación de proveedores de automatización son: IEC 62443-2-4, IEC 62443-3-3 y IEC 62443-4.
Productos de automatización: Se trata de productos o componentes que se utilizan en sistemas específicos del lugar. Por lo general, también son suministrados por un proveedor a los propietarios de los activos. Para la certificación se utiliza como base la norma IEC 62443-4-2.
¿Qué es un sistema de gestión de ciberseguridad o CSMS?
De acuerdo con un lenguaje similar al de ISO 27001, los estándares IEC 62443 establecen un proceso integral para crear un programa de seguridad OT/IACS/ICS, también conocido como sistema de gestión de ciberseguridad o CSMS.
Un CSMS se clasifica en tres áreas: análisis de riesgos; abordar el riesgo; y monitorizar y mejorar el propio CSMS.
Certificación en la norma IEC 62443
A nivel general, las auditorías de certificación IEC 62443 abordan tres temas principales para organizar la ciberseguridad en el ámbito de la tecnología operativa:
- Las interacciones humanas
- Las tecnologías
- Las políticas y procedimientos que intervienen en el funcionamiento del proceso industrial y que pueden afectar o influir en su funcionamiento seguro y fiable.
¿Cómo podemos ayudarte?
Desde Grupo Ingertec te ayudamos a cumplir con la norma IEC 62443 de Ciberseguridad Industrial. Además, podemos apoyarte con:
- Identificar brechas de seguridad y revisar los hallazgos de evaluaciones de riesgos anteriores.
- Priorización de áreas problemáticas por costo, esfuerzos, relevancia y reducción de riesgos potenciales.
Consúltanos para más información y uno de nuestros especialistas en Ciberseguridad se pondrá en contacto contigo.