Serie ANSI/ ISA-99 de estándares relativos a la seguridad cibernética de los sistemas industriales de automatización y control

Por: Dr. Enrique Daltabuit, Ing. Pedro Octavio Gutiérrez, Ing. Joaquín A. Sánchez.
ISA InTech México,
Edición Abril – Junio 2008.

La necesidad de proteger los sistemas industriales de control automatización para que resistan intrusiones cibernéticas maliciosas se ha agudizado en los últimos 10 años. El aumento del uso de sistemas, plataformas y protocolos abiertos y la creciente necesidad de concretar alianzas empresariales, sociedades y el aumento de la subcontratación ha aumentado los riesgos y la probabilidad de ataques cibernéticos.

Un elemento adicional de riesgo son los Centros de Análisis e Intercambio de Información. El crecimiento de los sistemas incrustados, de la conectividad tanto interna como externa a través de redes y el número de atacantes maliciosos agudiza el problema.

Los sistemas de automatización y control se desenvuelven en un entorno complejo y cada día más globalizado, lo que con lleva una integración a todos los niveles del negocio, por lo que resulta imperativo poder intercambiar información entre los sistemas de administración de la empresa y los sistemas de automatización.

Los sistemas de automatización y control actúan directamente con los procesos de producción una penetración interna o externa debida a una vulnerabilidad puede causar pérdidas de producción, daños ambientales, violación de legislación, seguridad física y operativa, además de la posible robo de secretos industriales. Estas vulnerabilidades pueden tener ramificaciones que trascienden a la empresa afectada y que pueden llegar a la infraestructura de una región o una nación.

También la modificación, actualización o prueba de sistemas operativos de los equipos que soportan a los sistemas de automatización pueden conducir a efectos inesperados en los mismos. Personal que no depende de la administración de los sistemas operacionales interviene frecuentemente en las pruebas de seguridad de esos sistemas exacerbando el número y consecuencia de los efectos dañinos.

EL MODELO

De lo anterior, se concluye que la penetración sistema de automatización es un grave riesgo para las empresas, con la finalidad de coadyuvar en la prevención de estos riesgos, la ISA ha desarrollado los estándares de la serie ANSI/ ISA-99 donde se propone un modelo de referencia para describir genéricamente los sistemas integrados de manufactura o producción.

Este modelo está estructurado en niveles lógicos,ver figura 1:

  • Nivel 4: Las funciones relacionadas con las actividades empresariales necesarias para administrar una organización de manufactura.
  • Nivel 3: Las funciones relacionadas con la administración de los flujos de trabajo requeridas para producir los productos.
  • Nivel 2: Las funciones relacionadas con el monitoreo y control de los procesos físicos
  • Nivel 1: Las funciones involucradas en medir y manipular los procesos físicos.
  • Nivel 0: Los procesos físicos.
Figura 1. Niveles Lógicos

LOS OBJETIVOS DE SEGURIDAD

La seguridad de la información, o seguridad cibernética, tradicionalmente se enfoca en mantener la confidencialidad, la integridad y la autenticidad de la información. Esto es adecuado si solo se toman en cuenta las funciones empresariales administrativas. Al considerarse la automatización y control industrial los objetivos son los mismos, pero la prioridad de estos objetivos se altera. En este caso lo que se pretende es mantener la disponibilidad de los sistemas, ver figura 2.

La integridad es el segundo objetivo debido a que se desea reducir los peligros debidos a alteraciones de los sistemas. La confidencialidad pasa a un tercer plano, mientras que en los sistemas administrativos es quizás la característica más importante.

Figura 2. Prioridad de los Objetivos

Los tiempos de respuesta requeridos por los sistemas de automatización son muy distintos a los de los sistemas administrativos. En los primeros se requieren respuestas en milisegundos o menores mientras que en los segundos frecuentemente es aceptable obtener repuestas en un segundo o mayores.

CONCLUSIONES

Las diferencias en el modelo y los objetivos de seguridad son la motivación de esta serie de estándares. Los paradigmas empleados tradicionalmente en la automatización y en la informática no resultan funcionales separadamente. La estandarización para la fusión de estas actividades es fundamental para la seguridad de las empresas y las naciones.

0
Compartir:

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.