1

Evaluación de Riesgos para tomar buenas decisiones y seleccionar tecnologías adecuadas para la Seguridad Cibernética IndustrialIng. Maximillian G. KońManaging DirectorWisePlant.com/mkon

1. Normas, Regulaciones, Leyes, Mejores prácticas,…

Gestión de Riesgo Cibernético sobre Infraestructuras Críticas y Sistemas Industriales

• NIST SP 800‐39: Integrated Enterprise Risk Management

• NIST SP 800‐37: RiskManagement Framework

• ANSI/ISA99/IEC‐62443: CyberSecurity Management System

Normas, Leyes, Regulaciones, Guías, Mejores Practicas, Métodos, Técnicas, Políticas, Controles, Tecnologías, etc.• NIST SP 800‐53: Recommended Security Controls for Federal 

Information Systems

• NIST SP 800‐82: Guide to Industrial Control Systems (ICS) Security

• NIST CyberSecurity Framework

• ANSI/IEC‐62443‐X‐X: Security Technologies for Industrial Automation and Control Systems

• NERC: Critical Infrastructure Protection (CIP) Cyber Security Standards

• DHS: Catalog of Control Systems Security Recommendations for Standards Developers

• AMI‐SEC‐ Task Force: AMI Systems Security Requirements 

• IEEE 1686: Standard Intelligent Electronic Devices Cyber Security

• 6 CFR part 27: Chemical Facility Anti‐terrorism Standard (CFATS)

• TSA Pipeline Security Guidelines, April 2011

• Guidance for Adressing CyberSecurity in theChemical Industryversión 3.0

• API Standard 1164 –SCADA Security

• ….…. y muchos más!

ABB Automation & Power WorldMietek Glinkowski, Dir. Tech.

Everything you wanted to know but afraid to ask about standards

IEEE, ANSI, IEC, UL, NEMA,…

2

2. Comité ISA99: ¿Cómo trabajamos?

• ISA/IEC‐62443 es una serie de estándares internacionales desarrollados por dos grupos

• ISA99  ANSI/IEC‐62443• IEC TC65/WG10  IEC‐62443

• En consulta con• ISO/IEC JTC1/SC27  ISO/IEC 2700x

En el comité ISA99 somos unos 900 miembros de sectores industriales, usuarios finales, fabricantes, proveedores, gobierno, organizaciones (ISO, IEC,..), Receptores de Riesgo,…

ANSI/ISA99/IEC‐62443• 7 Estándares (SP)• 7 Referencias Técnicas (TR)

3. Incidentes a la Ciberseguridad Industrial

4. Los ataques son cada vez más sofisticados

Tri ton/Itris/HatManSis tema Instrumentado de  Seguridad

Spectre‐MeltdownVulnerabilidad en  Microprocesadores

Malware desarrollado en los 5 lenguajes de programación IEC‐61131‐3

Wireless HART es vulnerable a  los ciberataques ‐ Hacked

Seguridad de Procesos

Seguridad de las Personas

Seguridad del Medio Ambiente

Disponibilidad

Integridad

Confidencialidad

CRITICIDAD RECEPTORES DEL RIESGO

Seguridad de la Información

IMPACTOS

Sectores de la Comunidad

3

5. The Eastland Disaster

• Tres años después del hundimiento del Titanic las autoridades …

• … fallecieron más personas que en el Titanic y Lusitania juntos en tan solo unos pocos minutos y en un lago.

“Este desastre ejemplifica la importancia que tiene 

el “diseño” en la seguridad”.

6. Algunas Disciplinas de Riesgos Industriales

Confidencialidad

SEGURIDAD FUNCIONAL SEGURIDAD INTRÍNSECACIBERSEGURIDAD IND.

• ¿Qué tienen en Común?• Consecuencias• Seguridad por Diseño• Son los mismos Equipos

• ¿En qué difieren?• Las Causas

4

6. Evaluación de Riesgos Cibernéticos Industriales

• Tolerancia al Riesgo: Diferentes personas perciben al riesgo de forma distinta.

• Es responsabilidad de la Alta Dirección definir los objetivos de CiberSeguridad Industrial, políticas, tolerancias, etc.

• Incidentes como (The EastlandDisaster), Sistema interconectado eléctrico de Ukrania, y tantos otros. ¿En qué fallan las organizaciones?

(1) No conocen las normas/estándares 

(2) Fallan en la implementación

(3) No consideran necesarias a las normas

Riesgo = f(Vulnerabilidad, Amenaza, Consecuencia)

Seguridad de Procesos ….

Seguridad de las Personas

Seguridad del Medio Ambiente

Seguridad de la Información

Continuidad  OperativaContinuidad  del Negocio

HS&E = Health, Safety and Environmental

7. Alcanzando la SeguridadZona/Conducto en 

EvaluaciónRiesgo Máximo

Riesgo Actual

Riesgo por Diseño

Zona Field 20 20 6

Zona Safety 16 16 5

Conducto Safety 20 12 5

Zona PCS 25 15 4

Zona Historian 15 9 3

Zona Business 9 5 3

Zona Remote 15 10 5

Solamente algunos receptores de riesgos son evaluados 

Todos los  receptores de riesgos son evaluados con conocimiento de los sistemas y de procesos industriales

Situación de Riesgo Máximo (Peor Caso)

BPCS

BPCS HMI

Equ ipm ent Room

Fi el d

Control R oom

Plant Admi nBuilding

SIS

MaintLaptop

Internet

Corp HQ

Remote Control System

User

BUSINESS ZONE

EMPLOYEEREMOTEACCESS

Z ONE

VENDOR REMOTE ACCESS

ZONESAFETY

ZONE

WIRELESS ZONE

Dial-upModem

DCS Server B

DCS Server A

Remote Cont rol System

U ser

IT DomainController

DataHist orian

Supervis or

BusinessServers

PROCESSCONTROL

ZO NE

BusinessWorkst ations

Operat or Consoles

Operator Consoles

RAS

C orporat eW AN

Comm Room

`

EngineeringWorkstation

Router

R outer

Sistemas Existentes o Nuevos

La metodología desarrollada en la ANSI/ISA99/IEC‐62443 se llama 

Cyber‐PHA (Cyber Process HazardousAnalysis) la cual cumple con los requerimientos RAGAGEP/OSHARAGAGEP = Recognized And Generaly Accepted Good Engineering Practice

5

8. ¿Cómo se llega a cumplir con los requerimientos?CiberSeguridad Intrínseca, 

Nativa o EmbebidaCiberSeguridad 

agregada a los sistemas convencionales 

creando arquitecturas Seguras

9. Tecnologías de Seguridad CiberSeguridad  por HardwareSistemas de Monitoreo 7x24x365 (SIEM/SOC‐OT)

• Gestión de Ciberactivos• Análisis de Vulnerabilidades

• Detección de Intrusiones• Detección de Anomalías• Gestión de Cambios

y muchas más

10. ¿Y qué sucede con los Proveedores?

Niveles de Certificación basados en requerimientos para hardware, software, diseño, fabricación, tecnologías, etc.

Tres Certificaciones con 4 Niveles:

• IEC 62443 ‐ EDSA Certification• IEC 62443 ‐ SSA Certification• IEC 62443 ‐ SDLA Certification

6

¡Muchas Gracias!Maximillian George Końm.kon@wiseplant.com

COMPANY

WisePlant.comWiseCourses.comNews.WisePlant.comXNCompany.com