1 70 Table of Contents 72 156

Seguritecnia 469

SEGURITECNIA Noviembre 2019 71 Protección de Infraestructuras Críticas objetivo de nivel de seguridad sufi- ciente (SL-T) para cada una. IEC 62443-2-4, que establece requisi- tos organizativos y operativos para los proveedores y para el propietario del sistema. IEC 62443-3-3, donde se hace una lista de los requisitos técnicos para los IACS, y que serán seleccionados de acuerdo al nivel SL-T de cada zona. Es- tos niveles de seguridad estarán ali- neados con los niveles a los que se refiere la Cybersecurity Act. Como puede observarse en la figura 2, la metodología del servicio CBOT de Inerco consta de cuatro fases: 1. Fase conceptual , en la que se defi- nen los requerimientos del cliente y el alcance del proyecto. 2. Fase de planificación , en la que se chequea el estado general de la se- guridad integral del IACS comparán- dolo con una “declaración de aplicabi- lidad” específica para el entorno ope- racional que se trate. Esta “declaración de aplicabilidad” se genera a partir de los objetivos de control que deben cumplirse según lo establecido en el Real Decreto, por un lado, y en base marco regulatorio español y europeo, aplicándose tanto para la implantación como, en su caso, para la revisión del sistema de gestión de seguridad inte- gral de los entornos OT. Esta metodología proporciona una guía para el cumplimiento de lo dis- puesto en el Real Decreto, en base a la aplicación de la serie de normas IEC 62443 7 de la industria. Dichas normas son un conjunto de documentos, algu- nos finalizados y otros en revisión, orga- nizados por niveles según su alcance y objetivos. Nuestra metodología se basa fundamentalmente en los siguientes: IEC-62443-2-1, que describe la im- plementación, gestión y operación de un sistema de gestión de IACS basado en ISO/IEC-27001 8 e ISO/IEC 27002 9 . IEC 62443-3-2, que establece los re- quisitos para la evaluación de riesgos que llevan a la identificación y seg- mentan el IACS en zonas (subredes y subsistemas con distintos requisi- tos de seguridad) y conductos (flujos de información entre zonas). Sobre la base de la evaluación de riesgos de- tallada para cada zona y conducto, se podrá determinar posteriormente el A este marco legal y de referencia debe sumarse el esquema de certifica- ción PIC y de servicios esenciales que ha sido anunciado por representantes del CNPIC (Centro Nacional de Protec- ción de Infraestructuras y Ciberseguri- dad) en diversos foros del sector, y que se alimenta, entre otros –en palabras de los representantes del CNPIC–, del EN S 6 , del Modelo de Construcción de Capaci- dades de Ciberseguridad de la Cadena de Valor (ENSI_C4V ) 8 , de normativa sec- torial y de las diversas guías de buenas prácticas y contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos. Como puede observarse, los respon- sables de Seguridad de instalaciones o empresas que deban proteger activos OT (Tecnología de Operación, por sus siglas en inglés) tienen muchas referen- cias (y obligaciones, en muchos casos) en las que basarse. Pero esta no es la foto completa. Este año ha entrado en vigor el Reglamento 2019/881 del Parlamento Europeo y del Consejo (EU Cybersecurity Act ) 9 , a tra- vés del cual la Comisión asigna a ENISA (Agencia Europea para la Seguridad de las Redes y de la Información) la respon- sabilidad de actuar como Agen- cia Europea de Ciberseguridad. En esta misión, ENISA debe definir un marco europeo de certificación y estandarización de ciberseguridad para productos y servicios, que ser- virá como referencia (tiene un ca- rácter voluntario). Estamos convencidos de que el desarrollo de este marco tendrá su futuro encaje en el marco español, aunque para ello deberemos es- perar todavía algún tiempo. Servicio CBOT Para dar cumplimiento a las obli- gaciones actuales e irse prepa- rando para los futuros requeri- mientos provenientes de Europa, Inerco ha diseñado su metodolo- gía CBOT (CyBersecurity for OT). Esta permite la adecuación de los Sistemas Automatizados de Control Industrial (IACS) al nuevo Figura 2. Fases y tareas de la metodología CBOT de Inerco.

RkJQdWJsaXNoZXIy MzA3NDY=