(78a) Seguridad Cibernetica y Seguridad Funcional, Un Enfoque Global y Pragmatico

El concepto de Ciberseguridad de Sistemas de Control (CSCS), se puede definir como la disciplina que se encarga de la prevención intencional o no intencional, de todas aquellas acciones que interfieren con el correcto funcionamiento de los sistemas industriales de control y automatización, que operan e interactúan con y a través de computadoras, redes, sistemas operativos, aplicaciones y cualquier otro sistema o componente programable de la industria.

Vulnerabilidad de los Sistema de Control & Seguridad
Se presentan varios tipos de vulnerabilidades, las cuales se clasifican en 4 tipos:
• Las Comerciales: relacionadas con la tecnología y con los protocolos de comunicación utilizados.
• Las Integraciones Empresariales: Por ejemplo, al utilizar redes públicas como el Internet.
• Acceso Remoto: Por ingenieros de soporte, mantenimiento o desarrolladores, que inadvertidamente abren puertas inseguras.
• Información Pública: Manuales de servicio y de operación de sistemas de control, disponibles al público en general.
Las amenazas tienen diferentes orígenes. La Base de Datos de la Organización de Incidentes de Ciberseguridad (RISI), muestra que solo el 20% de los incidentes son intencionales, mientras que el 80% no lo son. Se subdividen en:
• Intencionales (20%):
– 47% de amenazas por personas externas a la organización, específicamente hackers
– 53% (la mayoría), amenazas por personas internas a la organización (empleados descontentos, etc.)
• No intencionales (80%):
– 48% de amenazas ocasionadas por problemas de software y dispositivos
– 38% de amenazas por fuentes externas a la organización, involucrando software maliciosos
– 14% de amenazas por fuentes internas a la organización

Viendo lo anterior, es más fácil entender lo vulnerable que puede llegar a ser el Sistema de Control o Sistema Instrumentado de Seguridad, haciéndonos entender la magnitud de lo que involucra el resguardo de estos, no sólo por una clave de acceso, sino también por procedimientos, dispositivos de hardware, software, planificación, control, auditorías, etc.

El Ciclo de Vida de Seguridad Funcional
En el Flujo de Información de la Fase de “Operación & Mantenimiento” del Ciclo de Vida de Seguridad Funcional, puede observarse el momento en el que al menos habría que realizar una Auditoría a la Ciberseguridad del Sistema Instrumentado de Seguridad.

Importancia de la Ciberseguridad
Actualmente, los sistemas de control y sistemas instrumentados de seguridad están involucrados prácticamente con toda nuestra vida cotidiana: plantas generadoras de energía eléctrica, de producción de alimentos, de extracción y procesamientos de petróleo y gas, de producción de medicamentos, de agua potable a nuestros hogares, etc. En consecuencia, la ciberseguridad debe velar por la protección de todos los procesos en estas empresas.

Conclusión
Cada vez más empresas se percatan de que en adición a los estándares de seguridad funcional (IEC 61508 / 61511), el camino correcto para proteger sus instalaciones es adoptar también las normas de ciberseguridad diseñadas para su sector (IEC 62443), es decir, las que han sido escritas en específico para los sistemas de control y sistemas instrumentados de seguridad industriales.