Aplicación De Análisis Bow-Tie Para La Gestión Del Riesgo De Ciberataques En Sistemas Instrumentados De Seguridad (SIS) Operativos | AIChE

Aplicación De Análisis Bow-Tie Para La Gestión Del Riesgo De Ciberataques En Sistemas Instrumentados De Seguridad (SIS) Operativos

Authors 

Corredor, J., Brinsa
Rios, O., ERM

· Antecedentes

De acuerdo con la investigación realizada por Hemsley & Fisher “History of Cyber Incidents and threats to industrial control”, se han encontrado diferentes casos de ataques cibernéticos que han desencadenado eventos de seguridad de procesos. Estos casos destacan la importancia de la gestión de ciberseguridad incorporando capacidades de adaptación a amenazas de seguridad de los sistemas en el contexto de la industria química, enfatizando su papel crítico en la mitigación de riesgos operacionales.

Las estadísticas revelan que el 30% de los ataques provienen de fuentes externas, mientras que el 70% son resultado de fuentes internas. La estadística se refiere a casos divulgados, ya que son eventos que no suelen ser reportados por las empresas. Por esto, se hace necesario incorporar capacidades de identificación de amenazas y evaluación de vulnerabilidades de ciberseguridad, a través de un sistema de gestión, como un hito estratégico para las plantas con procesos nucleares, químicos, petroquímicos, etc., a fin de garantizar la integridad y continuidad de las operaciones.

Por otra parte, el estándar IEC 62443, el cual “constituye el marco principal de referencia internacional de ciberseguridad en sistemas industriales”, proporciona las referencias para abordar las vulnerabilidades del sistema a través de un análisis de riesgo: Identificación de riesgo, clasificación y evaluación. De esta forma, se evaluaron las amenazas que pueden comprometer la integridad y funcionamiento de los SIS, de tal forma que se busca garantizar la resiliencia ante amenazas cibernéticas en constante evolución.

Por otro lado, una particularidad de los Sistemas Instrumentados de Seguridad (SIS), es que estos sistemas permanecen pasivos; y, es justo en esta pasividad donde se genera un reto para garantizar su operatividad bajo demanda, desde el punto de vista de la correcta gestión de ciberseguridad.

Este caso de estudio aborda la integración del análisis y gestión de riesgos de ciberseguridad enfocados en la administración de los Sistemas Instrumentados de Seguridad (SIS) que se encuentran operativos, en una planta de proceso de la industria petroquímica, ubicada en el estado de Tamaulipas, México.

Como parte del caso de estudio, se pone de manifiesto la vulnerabilidad de las barreras de control ante ataques de ciberseguridad, destacando la necesidad de integrar medidas de protección digital en el diseño y funcionamiento de los sistemas SIS. Este análisis se extiende a toda la planta, considerando la complejidad de los sistemas, la interconexión de procesos y transferencia de los datos en las diferentes interfases.

· Metodología

Este estudio propone una estrategia integrada para la evaluación y gestión de riesgos de ciberseguridad en los SIS operativos para la planta petroquímica objeto de análisis. El análisis se enfoca específicamente en las medidas de prevención y mitigación (barreras críticas) actualmente implementadas la infraestructura, determinando su idoneidad para la condición de riesgo actual.

Para evaluar los riesgos del sistema SIS, objeto de este estudio, se realizó en primera instancia una identificación de amenazas a través de la metodología HAZOP, logrando la evaluación y jerarquización de estas, y obteniendo así los escenarios de vulnerabilidad del sistema, para determinar los riesgos del sistema SIS. Una vez obtenidos los riesgos, se procedió a determinar los barreras críticas de control; esto, a través de la metodología Bow Tie, la cual es descrita por la ISO 31010 como “una herramienta de comunicación útil cuando el análisis se obtiene mediante el uso de metodologías más complejas”, lo que representa una ventaja a la hora de intercambiar información entre las personas que realizan el análisis de riesgos de proceso, y, las personas que están en la administración del sistema de ciberseguridad.

Debe destacarse, que, de acuerdo con los resultados del análisis, se determina que se requerirán medidas adicionales de prevención que pueden ser cubiertas por el dueño de la infraestructura a través de instrumentos de inversión centrados en crear una estrategia de gestión especifica de ciberseguridad para el sistema SIS.

Finalmente, utilizando la metodología Bow Tie, los estándares IEC 61511 e IEC 62443, las prácticas establecidas por la planta petroquímica objeto de análisis, además de, la combinación de estas herramientas y estándares fue posible: identificar las barreras críticas; tener una mejor comprensión y gestión de los riesgos y establecer un marco sólido para la implementación de un sistema de gestión y la transferencia segura de datos en entornos industriales críticos.

· Conclusiones

En conclusión, este estudio proporciona una visión integral de la convergencia entre los análisis de riesgos tradicionales y la ciberseguridad, resaltando la importancia de una estrategia integrada para salvaguardar las plantas de procesos y sus activos críticos; y, garantizar el entendimiento de los análisis con ayuda de técnicas visuales y de fácil interpretación.

Uno de los aspectos destacados es la mejora significativa en la comunicación entre el personal familiarizado con la gestión de seguridad de proceso y aquel encargado de la gestión de ciberseguridad. La metodología Bow Tie actúa como un puente entre estas dos perspectivas, facilitando la comprensión y el diálogo efectivo entre profesionales de la ingeniería de procesos y profesionales en ciberseguridad. La visualización gráfica generada por la metodología Bow Tie no solo simplifica la identificación de medidas de control para las amenazas, sino que también promueve una comprensión compartida entre los equipos multidisciplinarios. Esta mejora en la comunicación se traduce en una implementación más eficiente de medidas de ciberseguridad, al alinear los objetivos y conocimientos de diferentes áreas.

REFERENCIAS

IEC 62443-2-1. Edition 1.0 2010-11. Industrial communication networks – Network and system security –Part 2-1: Establishing an industrial automation and control system security program

  • IEC 61511:2003. Functional safety – Safety instrumented systems for the process industry sector
  • ISO 31010:2009. Gestión del Riesgo.
  • Hemsley Kevin, Fisher Ronald. History of Cyber Incidents and threats to industrial control. USA. 2018
  • Cybersecurity in the SIS world. William L. 2016

Checkout

This paper has an Extended Abstract file available; you must purchase the conference proceedings to access it.

Checkout

Do you already own this?

Pricing

Individuals

AIChE Pro Members $150.00
AIChE Emeritus Members $105.00
Employees of CCPS Member Companies $150.00
AIChE Graduate Student Members Free
AIChE Undergraduate Student Members Free
AIChE Explorer Members $225.00
Non-Members $225.00