Anàlisis De Riesgos De Ciberseguridad OT Vistos a Travès De Un Caso Real

En los últimos años las industrias pertenecientes a la infraestructura crítica, una de ellas la de hidrocarburos, se ha convertido en blanco de los cibercriminales, ciber activistas e incluso de países enemigos, pasando de riesgos a nivel de robo de información en las redes corporativas (IT) a ataques en las redes industriales (OT), convirtiéndose estos en eventos iniciadores de eventos de seguridad de procesos con grandes impactos en términos de seguridad a las personas y ambientales, además, de impactos económicos.

Al momento de definir contramedidas es necesario identificar qué sistemas de control y protección son críticos y por ende, protegidos contra riesgos de ciberseguridad, que implica la identificación de potenciales amenazas y la probabilidad de que estas ocurran; uno de los estándares más empleados en la gestión de riesgos de ciberseguridad en las redes OT es la IEC 62443, la cual establece el requerimiento, dentro del ciclo de vida, la realización de dos (2) tipos de análisis de riesgos: general, cuyo objetivo es identificar los niveles de seguridad (SL) inicial requeridos, y uno detallado (cuyos propósitos son: el determinar si el sistema bajo valoración cumple con los niveles tolerables de riesgo de la compañía y servir como base para la elaboración de las especificaciones de los requerimientos de ciberseguridad (CSRS), y es en estos análisis en los que se presentan interrogantes: cómo desarrollarlo, quiénes deben participar, qué información de entrada se requiere, qué metodología de riesgos es la indicada. En el presente documento se pretende explicar brevemente los dos (2) tipos de análisis de riesgos requeridos en la IEC 62443, y a través de un caso real se aterricen conceptos y de forma simple las metodologías de riesgos que pueden ser utilizadas para la identificación de amenazas, valoración del riesgo y las contramedidas para reducir los riesgos a niveles tolerables.