Introducción a la CiberSeguridad Industrial e Infraestructura Crítica (ICS&CI)

Transcripción

1 Introducción a la CiberSeguridad Industrial e Infraestructura Crítica (ICS&CI) Contenido 02 Introducción a la ICS&CI 04 Introducción a los Sistemas IACS 07 Normas de CiberSeguridad Industrial 08 Conceptos de CiberSeguridad Industrial 09 Diferencias entre ICS y IT 11 Implementando un Programa ICS 12 Servicios de CiberSeguridad Industrial TD.ICS&CI.001.S Revisión 1.4 Jun 2015

2 Introducción a la CiberSeguridad Industrial e Infraestructura Crítica La CiberSeguridad Industrial (ICS, Industrial CyberSecurity), se ocupa de analizar los riesgos y vulnerabilidades que integran los entornos industriales y de manufactura, y determinar acciones que se van a implementar para mitigar estos riesgos. Los sistemas de control son sistemas basados en computadoras que se utilizan para controlar y supervisar procesos sensibles y funciones físicas. En este caso, el término sistema de control se refiere en forma genérica a hardware, firmware, comunicaciones y software que se encargan de supervisar y controlar las funciones vitales de los sistemas físicos. En este contexto, los ataques a la CiberSeguridad Industrial (ICS) se define como la penetración en los sistemas de control por cualquier vía de comunicación de forma tal de manipular los procesos controlados con la intención de causar daño o de interrumpir sus operaciones. Los ataques contra los sistemas de control pueden resultar en la interrupción de servicios, ocasionar daños físicos, pérdida de vidas, perjuicios económicos severos y/o efectos en cascada causando la interrupción de otros servicios. Las principales diferencias entre los sistemas de control y las soluciones de IT tienen que ver con el hecho de que la lógica de control tiene un efecto diferente sobre el mundo físico. Algunas de estas actividades pueden afectar muy significativamente la salud y seguridad de las personas y los recursos naturales, así como también tener consecuencias decisivas sobre los costos por pérdidas de producción, impacto negativo en la economía, e inclusive comprometer información confidencial y de secreto industrial. Los sistemas de control poseen características y requerimientos muy poco convencionales para los profesionales de IT en cuanto a rendimientos, confiabilidad y aplicaciones. En muchas ocasiones, los requerimientos de confiabilidad y eficiencia colisionan con la seguridad desde la etapa de diseño pasando por la operación y el mantenimiento de dichos sistemas. Las amenazas, pueden tener distintos orígenes. Algunas de las amenazas externas pueden ser hackers, competidores, terroristas, o contratistas. Entre las amenazas internas se pueden mencionar empleados insatisfechos, errores accidentales como configuraciones incorrectas, indefiniciones en los procedimientos, software infectado con virus, errores en el ingreso de información en los sistemas, etc. Qué es la CiberSeguridad Industrial (ICS)? La CiberSeguridad Industrial se ocupa de analizar los riesgos y vulnerabilidades existentes en los sistemas informáticos y tecnológicos que integran los entornos de manufactura y determinar las acciones que se van a implementar para reducir los niveles de riesgo de acuerdo con las políticas de seguridad definidas por la compañía. Todo esto de una manera continua, como un proceso de nunca acabar. Aunque la necesidad de obtener y garantizar ciertos niveles establecidos de seguridad no es nueva para las compañías, la dinámica propia introducida por la aparición e identificación de nuevos riesgos y vulnerabilidades requiere en muchos casos de la implementación de una estrategia de CiberSeguridad Industrial. La estrategia de CiberSeguridad Industrial es dinámica al igual que la estrategia de negocios y la estrategia de producción. La valorización de los activos y el interés por parte de los atacantes también son dinámicos. Por lo tanto, las acciones de mitigación de riesgos también lo serán. Difícilmente los mismos criterios de seguridad utilizados hace 10 años, si es que estaban bien definidos, sigan siendo suficientes o útiles al día de hoy. 02/13

3 Introducción a la CiberSeguridad Industrial e Infraestructura Crítica Los procesos críticos pueden ser tanto de Información como Industriales. Ambos deben ser protegidos y resguardados para atender las políticos de un plan de defensa nacional y resguardar tanto las vidas humanas como el bienestar social. Qué es la Infraestructura Critica? La infraestructura crítica son todos aquellos elementos o servicios básicos cuyo funcionamiento es indispensable, esencial; es decir, no pueden ser sustituidos y que no permiten soluciones alternativas, los cuales proporcionan servicios esenciales para la población, y cuya perturbación o destrucción tienen un grave impacto en el normal desarrollo de la vida social de un país. Por regla general, la infraestructura crítica se materializa en los servicios financieros de un país, como salud, transporte, la administración política, las tecnologías de comunicación y de información, y de manera particular, los sistemas de agua potable y electricidad. En otras palabras, el bienestar de la población está intrínsecamente vinculado al acceso permanente y de manera expedita a dichos servicios fundamentales, sin los cuales, la integridad física de la vida humana y de los bienes materiales que le están asociados queda puesta en riesgo. Y más aún, la confianza sociopolítica de la población en las autoridades se instala, pudiendo sentar las bases para un quiebre y disolución del tejido social. Depende de cada país y de sus organismos dedicados a la seguridad, definir su Política de CiberDefensa y definir cuales serán sus prioridades. No obstante en modo amplio y general podemos definir que serian Infraestructuras Criticas las siguientes: Administración, Agua, Alimentación, Energía, Espacio, Industria Química, Industria Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y Tributario, Tecnologías de la Información y las Comunicaciones (TICs), y Transporte. Sectores Críticos Sectores Industriales Ya sean empresas del sector publico o privado indudablemente que los sistemas IACS (Industrial Automation Control Systems), forman una parte vital de las infraestructuras criticas y por este motivo que ISA (International Society of Automation), ha desarrollado la norma ISA99, también conocida como IEC 62443, para ser aplicada en todas las áreas industriales. Desarrollaremos los conceptos más adelante en este documento. Infraestructura de IT y Gobierno de Seguridad de la Información. Lo primordial es la Confidencialidad y Normas de CiberSeguridad de IT. Infraestructura de IACS y Gobierno de Seguridad Física. Lo primordial son las vidas humanas, el medioambiente y el mundo Físico. 03/13

4 Introducción a los Sistemas IACS (Industrial Automation Control Systems) Los sistemas de control son sistemas basados en computadoras que se utilizan para controlar y supervisar procesos sensibles y funciones físicas. En la actualidad estos presentan una gran cantidad de vulnerabilidades y están altamente expuestos. Introducción a los Sistemas Industriales o IACS, Industrial Automation Control Systems, según denominación de ISA99 En sus comienzos, los sistemas de control tenían muy pocas similitudes con las soluciones de IT. Eran sistemas aislados con sistemas operativos y protocolos de comunicación propietarios, utilizando hardware y software específicos. Tradicionalmente, estos sistemas eran diseñados únicamente para garantizar su confiabilidad, robustez, disponibilidad de funcionamiento, operación y seguridad de las personas y del medio ambiente. Pero no eran diseñados teniendo en cuenta la CiberSeguridad. Los sistemas SCADA son utilizados en una gran cantidad de aplicaciones industriales y de Infraestructuras Criticas, tales como, transmisión y distribución de energía eléctrica, supervisión de pozos de extracción de gas y petróleo, supervisión y operación de gasoductos y poliductos, solamente por mencionar algunas de ellas. El término CiberSeguridad nos sugiere la idea de un Hacker ingresando desde Internet pero esto es absolutamente errado. Las vulnerabilidades y los riesgos de los IACS están en todos lados. De hecho menos del 10% de los incidentes mundiales sobre los IACS se corresponde con accesos desde Internet. Los sistemas de control han incorporado las tecnologías de IT con la finalidad de satisfacer la integración corporativa y las funcionalidades de acceso remoto. También incorporan estándares tecnológicos incluyendo sistemas operativos y protocolos de comunicación, asemejándose así a las soluciones de IT. Esta integración ofrece una enorme cantidad de funcionalidades y capacidades, pero a la vez tiene muy poco aislamiento de los sistemas de control respecto del mundo exterior, a diferencia de las décadas anteriores, planteando una mayor necesidad de protección. Distribution Management System Energy Management System Physical Geographic Information System Application s Historian Primary Radio Backup Main Control Room Satellite En la siguiente figura se puede apreciar una arquitectura típica de un Sistema SCADA en la cual las distancias entre los sitios suelen ser apreciables. La infraestructura de comunicaciones en los sistemas SCADA debe ser utilizada de forma adecuada para cuidar el ancho de banda disponible, consumo energético de los equipos que en ocasiones deben poder operar con sistemas de baterías, entre otras características particulares propias de estos sistemas. Operator Operator Operator Operator Operator Operator Primary Backup Primary Backup Primary Backup Primary Backup Primary Backup Primary Backup RTU RTU RTU RTU RTU RTU 04/13

5 Introducción a los Sistemas IACS (Industrial Automation Control Systems) Aun pequeñas intervenciones o interrupciones sobre los sistemas industriales, tales como, acceso a la medición, alteración de un set-point, bloqueo de flujo de datos, y muchos otros ejemplos pueden causar un daño severo sobre el mundo físico. En la arquitectura de la figura siguiente se expone una arquitectura típica sencilla de un Sistema de Control de planta, conocidos también como PACS (Process Automation Control Systems) o DCSs (Distributed Control Systems). Mainframe Los sistemas de Control de Planta son utilizados también en una gran cantidad de aplicaciones, y solamente por mencionar algunos, en Centrales de Generación de Energía Eléctrica (Termina, Hídrica, Nuclear,..), Refinerías y Destilerías de Petróleo y Naftas, Plantas de Procesamiento Químico y Petroquímico, Minerías, Alimentos, Farmacéuticas, y muchas otras. Laptop Computer Plant A Engineering Laptop Computer Router Laptop Computer Plant B Engineering Router Laptop Computer Enterprise Plant C Engineering Router Cuáles son los incidentes típicos en los IACS? Algunos de los posibles incidentes más comunes en los sistemas de control pueden ser los siguientes: Plant File / Print Control System Control App. HART App. Data Control System & Room Data Controller 4-20 ma Maint. Field Instrumentation & Devices Firewall Controller Fieldbus Plant File / Print Control System Control App. HART App. Data Control System & Room Data Controller 4-20 ma Maint. Field Instrumentation & Devices Firewall Controller Fieldbus Plant File / Print Control System App. HART App. Data Control System & Room Data Controller 4-20 ma Maint. Field Instrumentation & Devices Estos sistemas de control de planta, a diferencia de los sistemas SCADA, utilizan redes del tipo LAN/WAN de muy alta velocidad con los caudales de datos y de información mucho mayores. Se prefiere que estas redes de datos tengan un comportamiento más bien determinístico que estadístico, garantizando el tiempo del envío y recepción de los mensajes y paquetes de datos, puesto que en los sistemas de control las demoras son inaceptables. Control Firewall Controller Fieldbus Flujo de información bloqueado o demorado a través de las redes de comunicación, lo cual puede ocasionar interrupciones en la operación del sistema. Cambios no autorizados de instrucciones, comandos, alteración de los límites de alarmas con potencial de causar daños, deshabilitar o apagar los equipos. Información imprecisa enviada a los operadores, tanto sea para autorizar cambios no permitidos como para hacer que el operador tome acciones equivocadas. Modificación de la configuración del hardware y software, o software infectado con virus que puede traer diversas consecuencias. Interferencias con los sistemas de seguridad, lo cual puede poner en peligro la vida y los recursos naturales. Interrupciones en los protocolos de campo o industriales. Perturbación sobre la instrumentación de campo o influencia sobre las mediciones causando corrimientos y desplazamientos de set-points. 05/13

6 Introducción a los Sistemas IACS (Industrial Automation Control Systems) La mejor forma de proteger la infraestructura industrial es a través de una análisis detallado de vulnerabilidades de forma comprensivo y responsable que no deje puntos ciegos o temas librados a la suerte. Cuáles son los objetivos de seguridad típicos en los IACS? A la hora de definir los objetivos y las necesidades de protección de los IACS s, los mas comunes son: Restringir el acceso lógico a las redes de comunicación de los sistemas de control y a la actividad de las redes de comunicaciones. Restringir el acceso físico a las redes de comunicaciones y a los equipos y dispositivos de la red. Proteger los componentes individuales de los sistemas de control contra explotación y uso por parte de los atacantes. Mantener en funcionamiento ante situaciones adversas. Cuáles son las Acciones típicas de Seguridad en los IACS s? Las acciones de seguridad sobre los sistemas de control pueden ser muchas. El siguiente listado contiene una recopilación de las acciones típicas de seguridad que es posible implementar en sistemas de control. Una estrategia de CiberSeguridad Industrial incorpora normalmente las siguientes actividades: Analizar y comprender los riesgos de CiberSeguridad Industrial, llevar un análisis de riesgos, identificando y evaluando los sistemas existentes, sus características técnicas y funcionalidades, comprender las amenazas y los impactos, y comprender las vulnerabilidades. Las soluciones en los IACS no solamente recaen en cuestiones técnicas, como puede ser de red o firewall, sino que también debe prestarse atención a las cuestiones de procedimientos, control de cambios, definir políticas de seguridad, crear material educativo, etc. Mantener la seguridad en todo el Ciclo de Vida del IACS, desde la ingeniera, el diseño, la compra, configuración, integración, mantenimiento, etc. Realizar pruebas de intrusión y penetración durante las pruebas FAT y SAT, antes de ser instalados y Puestos en Marcha. Implementar una topología de red de capas múltiples, separando por zonas donde las comunicaciones más criticas suceden en la zonas más protegidas. Implementar arquitecturas redundantes a prueba de fallas para los sistemas más críticos y definir capacidades de respuesta frente a los riesgos. Inhabilitar puertos de comunicación en desuso y asegurarse que No puedan impactar en la seguridad del IACS. Proteger las conexiones inalámbricas. Implementar sistemas de detección de virus en PCs de los sistemas de control, verificando la recomendación del fabricante. Identificar los puntos de acceso remoto a los sistemas de control y de información de manufactura. Asegurarse de que existe una justificación válida del negocio para que este acceso exista, e implementar auditorias frecuentes para asegurarse de que no hay accesos no autorizados. Restringir el acceso remoto a máquinas específicas. Realizar auditorias en terceras partes que poseen autorización para el acceso. Restringir el acceso físico a los equipos y dispositivos para asegurar que no se tiene acceso no autorizado al equipo. 06/13

7 ISA99 / IEC Normas de CiberSeguridad Industrial En la actualidad existen más de 20 normas de CiberSeguridad Industrial, y en su gran mayoría basadas en la CiberSeguridad de IT. Sin embargo la única norma comprensiva que atiende los requerimientos de los IACS es la ISA99 / IEC62443 desarrollada por ISA. Restringir el acceso lógico y los derechos de acceso de los diferentes usuarios de los sistemas. Implementar sistemas de autentificación de credenciales necesarias y adecuadas. Revisar los derechos con regularidad y crear los procedimientos necesarios para un adecuado mantenimiento basado en reasignación de roles y responsabilidades. Documentar la infraestructura de sistemas en los ambientes industriales. Asegurar el acceso y proveer las restricciones necesarias adecuadas. Existen diversos tipos de seguridad. Si bien en este caso nos dedicaremos a la CiberSeguridad Industrial, también existen seguridad informática, sistemas instrumentados de seguridad, seguridad perimetral y/o control de intrusiones, seguridad ambiental, seguridad de las personas, seguridad de la información, información forense desde la perspectiva legal y otras cuestiones relacionadas pero no incluidas en nuestro análisis actual. Sobre la derecha se puede apreciar una Matriz de CiberSeguridad Industrial. En la actualidad existen alrededor de 20 normativas y guías de CiberSeguridad Industrial. Sin embargo aquí se muestran únicamente algunas de ellas a los afectos de comparar su alcance. Matriz de CiberSeguridad Industrial Target Organización Operaciones Producción Sistemas de Control o Industriales SCADA/DCS Componentes Electrónicos OEMs Sistemas de Control de Propósito General IEC CSMS ISA/ISCI SDLA SSA EDSA Normas de CiberSeguridad Industrial Desde el año 2004 vienen surgiendo estándares, innovaciones, soluciones y mejores prácticas para la implementación más eficaz y eficiente de una estrategia de CiberSeguridad Industrial. En este sentido, la organización ISA ha avanzado considerablemente en el desarrollo de la única norma ISA99, originada desde el ámbito industrial. Cuando la mayoría de las normas están basadas en la CiberSeguridad de IT, en la actualidad la única norma de CiberSeguridad Industrial, de alcance mundial, que cubre de forma amplia y comprensiva los requerimientos y necesidades de los IACS, es la ISA99 o IEC62443 según su denominación ANSI. Electric Power System NERC CIP (USA) IEEE 1686 IEC Smart Grid NIST IR7628 (USA) TSA Ferroviario ISO/IEC (USA) INGAA Pipelines Security Guidelines April 2011 (USA) Chemical Sector Cyber Secutiy Program Otras Verticales Estándar Internacional Estándar Vertical / Industria 07/13

8 Conceptos de CiberSeguridad Industrial e ISA99 La CiberSeguridad Industrial se ocupa de analizar los riesgos y vulnerabilidades en los sistemas que integran los entornos industriales e infraestructuras criticas y determinar las acciones para reducir los niveles de riesgo. Las diferencias más significativas entre las normas de CiberSeguridad de IT e Industrial radican en que la CiberSeguridad de IT quiere proteger primariamente a la información y su confidencialidad, mientras que las normas de CiberSeguridad Industrial tienen como prioridad proteger la Disponibilidad. Difícilmente en los Sistemas de Control tenemos aplicaciones de Office o de correos electrónicos. La implementación de las Estrategias de IT o de Seguridad de la información en los ámbitos industriales, pueden ser hasta un riesgo importante para la continuidad de las operaciones en el ámbito industrial. Si bien la mayoría de las técnicas y herramientas de IT son reutilizables en el ámbito industrial, las formas son muy diferentes. Aún así dejan muchas aspectos fundamentales sin resolver. Es por este motivo que la CiberSeguridad Industrial debe ser abordada desde una perspectiva completamente diferente. Los equipos responsables de la CiberSeguridad Industrial deben tener los roles de un miembro del equipo de IT de la compañía, un ingeniero de control de procesos y especialistas en redes de datos y seguridad, al menos un miembro o representante de la gerencia general y un miembro del departamento de seguridad física y ambiental. Activo Cualquier persona, ambiente, instalación, material, equipamiento, información, reputación o actividad que tiene un valor positivo para su dueño o adversario. Los activos pueden ser clasificados en tangibles e intangibles. Uno de los principales objetivos de un análisis de riesgo y de un sistema de gestión de riesgo consiste en identificar los activos críticos para la compañía, que son básicamente aquellos activos tangibles o intangibles que se encuentran en riesgo. Amenaza Cualquier circunstancia, indicación, evento con potencial de causar la pérdida o daño de un activo. Uno de los principales objetivos de un sistema de administración del riesgo consiste en identificar las amenazas, ya sean éstas externas, internas o accidentales. Vulnerabilidad Cualquier debilidad que puede ser explotada por un adversario para conseguir acceso a un activo. Uno de los principales resultados y finalidad de un sistema de gestión del riesgo consiste en reducir las vulnerabilidades y hacer que éstas no existan, eliminarlas y directamente haciendo que no queden expuestas a las posibles amenazas. Consecuencia La cantidad de pérdida o daño esperable como resultado de un ataque exitoso contra un activo. Las pérdidas pueden ser monetarias, pero también pueden ser políticas, morales, de eficiencia operativa u otros impactos. Riesgo Potencial de pérdida o daño de un activo. Acción de Seguridad Acción tomada o capacidad incorporada cuyo principal propósito consiste en reducir o eliminar una o más vulnerabilidades. 08/13

9 Diferencias Fundamentales de la CiberSeguridad Industrial y de la Información en IT La CiberSeguridad Industrial se diferencia de la CiberSeguridad de IT o de la información en su naturaleza. Las prioridades de los sistemas industriales y sus características son bien diferentes, y por lo tanto la estrategia CiberSeguridad adecuada también lo es. En el siguiente gráfico se puede apreciar la escala de prioridades y su comparación entre los ambientes de IT o de Información vs los ambientes industriales y de sistemas de control. En los ámbitos industriales lo primordial es la disponibilidad y lo que se busca proteger son las vidas humanas, el medio ambiente y la dimensión física. En los ambientes de IT se prioriza la información y la confidencialidad de los datos. Una política muy común de control de acceso de los usuarios en los sistemas de información indica que un ingreso de errado del usuario y/o su contraseña genera el bloqueo de la aplicación o la estación de trabajo y el usuario muy posiblemente deba contactar al administrador para resolverlo. En cambio en los sistemas de control, ante una situación de emergencia o de presión, el solo hecho de la existencia de esta política puede causar que el Operador ingrese erróneamente su usuario y/o contraseña bloqueando por completo el acceso al sistema. Este es un simple ejemplo de muchos que podemos enumerar. Otra de las diferencia fundamentales entre los Sistemas de Información o de IT y los Sistemas Industriales radica en que la Estrategia de CiberDefensa requieren de un despliegue y una implementación desde una enfoque muy diferente. En los ambientes de la información el elemento central a proteger consiste en el elemento central, que son sus servidores y Bases de Datos, mientras que los elementos de la periferia End Points son de menor prioridad. En los Sistemas de Industriales esto es justamente inverso, ya que son los elementos de la periferia, aquellos que están en contacto con el mundo físico, y por lo tanto son los elementos más Críticos de la infraestructura. Esto es omitido y/o descuidado por las normas basadas en la CiberSeguridad de IT o de Información. Por otro lado en el ámbito industrial No se deben emplear herramientas de protección intrusivas que pueden provocar la interrupción de servicios y/o funciones críticas que comprometan la performance del sistema de control, practica que es muy frecuente y común en los ambientes de IT. 09/13

10 Diferencias Fundamentales de la CiberSeguridad Industrial y de la Información en IT Los sistemas industriales poseen características particulares muy diferentes a los sistemas corporativos. En la siguiente tabla se pueden apreciar de forma resumida algunas de las diferencias y naturaleza más significativas. Temas y cuestiones relacionadas a la CiberSeguridad Sistemas y Soluciones de las Tecnologías de la Información y Comunicaciones (TICs) IACS (Industrial Automation and Control Systems) Antivirus Código Móvil Común y ampliamente utilizado Poco común e imposible de implementar adecuadamente. Ciclo de vida y soporte de la tecnología 2 a 3 años y soportados por múltiples empresas, socios y representantes. Hasta 20 años y soportado únicamente por el fabricante del sistema. Repuestos disponibles por 10 años mas. Tercerización Común y ampliamente utilizado Las operaciones suelen ser tercerizadas, pero no es diversificado en varios operadores. Aplicación de parches. Regular y Programado Raro, no programado y depende del fabricante. Administración de Cambios Regular y Programado Altamente gestionado y muy complejo. Contenido Critico en el tiempo Generalmente las demoras son aceptables Las demoras son inaceptables Disponibilidad Generalmente las demoras son aceptadas 24x7x365 continuo y demoras inaceptables. Llegan hasta 99,999998% de disponibilidad. Seguridad Moderado, tanto en el sector publico como privado. Bajo excepto en la seguridad física. Auditorias y Pruebas de Seguridad Parte de un buen programa de seguridad. Pruebas ocasionales. Seguridad Física Seguros (Salas de Cómputos y Servidores, etc.) Sitios remotos, diferentes y muy agresivos a los equipos (Temperaturas, ruidos, vibraciones, gases, ácidos, ) 10/13

11 Implementación de un Programa de CiberSeguridad en ambientes Industriales La implementación de una Estrategia de CiberSeguridad en los ámbitos industriales requiere principalmente de la definición adecuada de las Políticas de Seguridad alineadas con los Objetivos de la Organización. Ciclo de Vida de un Sistema de CiberSeguridad Industrial El ciclo de vida de un sistema de CiberSeguridad Industrial incluye las siguientes etapas y actividades: Definir los objetivos de la estrategia de CiberSeguridad. Identificar y reconocer los sistemas existentes Conducir un análisis de riesgos Diseñar y/o seleccionar mecanismos de disminución del riesgo Procurar la implementación de las acciones de seguridad Medir las acciones de seguridad Realizar pruebas de instalación Realizar pruebas de resultados post-implementación Finalizar las mediciones de las operaciones de seguridad Generar los mecanismos de reporte de situaciones Auditar periódicamente el funcionamiento de las medidas de seguridad Re-evaluar las medidas y las acciones de seguridad implementadas Cualquiera de las Normas creadas para la CiberSeguridad Industrial puede ser implementada básicamente en las siguientes tres Fases de la figura. Racionalidad del Negocio Política de Seguridad, Organización y Conciencia Alcance CSMS Seguridad Organizacional Entrenamiento & Concientización Plan de Continuidad de Negocio Políticas & Procedimientos de Seguridad Protecciones Seleccionadas de Seguridad Seguridad del Personal Seguridad Ambiental y Física Segmentación de Redes Control de Acceso y Administración de Cuentas Control de Acceso y Autenticación Auditoría, Identificación y Clasificación del Riesgo Política de Seguridad, Organización y Conciencia Administración de Riesgo e Implementación Desarrollo del Sistema y Mantenimiento Información y Gestión de la Documentación Planeamiento y Respuesta a Incidentes Preparación y Análisis Reporte y Planeamiento Estratégico Implantación Entrenamiento y Auditoría Sobre la derecha se demuestran las tres Fases Principales del Sistema de Gestión de la CiberSeguridad Industrial ISA99 o IEC62443 y las sub-fases. Cumplimiento Control de Acceso y Autorización Revisar, Mejorar y Mantener el CSMS 11/13

12 Servicios de CiberSeguridad Industrial WiseSecurity provee servicios de CiberSeguridad Industrial para ayudar y asistir a las empresas a implementar un Plan Integral de Seguridad cubriendo todas las Etapas del Ciclo de Vida del Sistema de Gestión de CiberSeguridad Industrial e Inf. Critica. En WiseSecurity hemos desarrollado un Programa de Capacitación en Niveles tanto para los profesionales que desean desarrollar su carrera y especializarse en la ICS, como así también para aquellas organizaciones que desean implantar programaciones de concientización. Servicios avanzados de Seguridad de la Información basados en las normativas ISO Series 27000, COBIT, etc. utilizando las mejores prácticas y herramientas del mercado, específicas para Infraestructuras Críticas y Gobierno. Industrial Security Assessment (ISA). Consiste en la implementación de un programa completo de CiberSeguridad Industrial basado en cualquiera de las normas de CiberSeguridad Industrial mencionadas (ISA99, NIST, NERC, INGAA,.) Source Code Analysis (SCA). Consiste en la auditoría de software industriales en búsqueda de vulnerabilidades. Este servicio está orientado y desarrollado para los fabricantes y proveedores de sistemas industriales, tales como, Software SCADA, Historiadores, etc. PLC Code Analysis (SCA). Consiste en la auditoría de programas de PLC s en búsqueda de vulnerabilidades. Este servicio está orientado a integradores o usuarios que desean analizar los programas desarrollados en los PLC s por integradores. Industrial Protocol Analysis (IPA). Consiste en la auditoría de protocolos industriales de campo en búsqueda de problemas de performance, comunicaciones indebidas, detección de intrusos, interferencias, y problemas de Instalación. 12/13

13 Acerca de ISA Cybersecurity Committee ISA99 El Comité ISA99 de ISA reúne a los expertos en CiberSeguridad Industrial de todo el mundo para desarrollar los estándares para la CiberSeguridad de los Sistemas de Automatización Industrial y Sistemas de Control. El trabajo original y en progreso del comité ISA99 esta siendo utilizado por la IEC para la elaboración del multi-estándar de la serie IEC En el siguiente link tendrá acceso a información especifica del Comité ISA99 como así también a la lista de miembros que integran y colaboran en el Comité. Acerca de ISA Creada en 1945, International Society of Automation ( es una organización líder global sin fines de lucro, que fija los estándares para la automatización industrial ayudando a más de miembros y otros profesionales a superar dificultades técnicas, incrementar su liderazgo y desarrollo de sus carreras profesionales, a través de educación y entrenamiento. ISA publica normas, libros y papers, además de organizar eventos y encuentros técnicos. En Sudamérica ISA Distrito 4 (sede en San Pablo, Brasil). (Más información en Acerca de WiseSecurity WiseSecurity es una división independiente de WisePlant, parte de WiseGroup Companies. Desde WiseSecurity proveemos servicios especializados de CiberSeguridad a empresas líderes de tecnología, Usuarios Finales, Organizaciones Gubernamentales e Integradores de Sistemas. Hemos adoptado desde muy temprano las prácticas de CiberSeguridad Industrial. Los fundadores de WiseSecurity estamos convencidos desde épocas muy tempranas, desde 2004, sabíamos que los ambientes de Infraestructura Crítica y los Sistemas de Planta, iban a requerir atención especializada y demandarían recursos clave en el futuro. Este futuro es hoy! Formamos un equipo multidisciplinario con una amplia experiencia en Sistemas de Automación Industrial y también una amplia experiencia en CiberSeguridad, estándares, guías y normas. Para más información, diríjase a la página Web & WiseSecurity es Miembro de: Argentina Buenos Aires Brasil Sao Paulo Chile Santiago Colombia Bogotá México DF USA California