Consultoría & Consultores

La adopción de nuevas tecnologías emergentes en la industria ayuda a crear fábricas más autónomas, ágiles e inteligentes. Pero también incorpora nuevos riesgos. La industria conectada o Industria 4.0 requiere prestar especial atención a los aspectos relacionados con la ciberseguridad para evitar caer presa de los crecientes ciberataques a sectores y operadores estratégicos como nos apuntaba en esta entrevista el Director del CNPIC.

De la proliferación de normativas sobre seguridad en los sistemas de control hay una, la norma IEC 62443, que aborda este artículo, que se identifica como el marco de referencia para la transición de una industria automatizada o Industria 3.0 a la fábrica inteligente o Industria 4.0.

La IEC 62443 y su precursor, la ISA 99, son un referente para la seguridad en la automatización y control industrial. Se trata de un set de estándares muy empleado en la industria. Cabe destacar la parte IEC-62443-4-2 que define los requisitos técnicos para la protección de los sistemas de control y automatización industrial. Esta norma define los conceptos de zona, conducto y canal como elementos clave para que los activos que concurren en un entorno industrial dispongan de unos niveles de seguridad objetivo.

Aunque el documento desarrollado por la IEC propone un marco de trabajo muy útil, una organización que decida adoptar el paradigma Industria 4.0 preocupándose a la vez por la ciberseguridad presenta necesidades específicas que la norma no recoge y que hemos detallado en un White Paper en el que se proponen una serie de recomendaciones para definir las zonas, conductos y canales. El documento, que analiza las seis dimensiones clave que se exponen a continuación, propone un marco de trabajo que permita diseñar y desplegar de forma más eficiente programas específicos que incrementen la seguridad de las “industrias conectadas”. Las seis dimensiones analizadas son:

1) atributos de seguridad.
2) activos físicos y lógicos.
3) tecnologías autorizadas.
4) evaluación de amenazas y vulnerabilidades.
5) requerimientos de acceso y control y
6) procedimientos de control y mejora continua.