SandaS GRC: Gobierno, Riesgos y Compliance en Sistemas de Automatización y Control Industrial

jueves, 7 de julio de 2016

En el pasado Security Day os presentamos las novedades de Sandas GRC relacionadas con las nuevas las capacidades de la plataforma para el Gobierno, Gestión de Riesgos y Compliance en los entornos industriales y a las Tecnologías de las Operaciones. Al unir el concepto GRC típico de los Sistemas de Información (TI) a las Tecnologías de las Operaciones, inauguramos un nuevo concepto al que hemos venido en denominar OT-GRC.

En las organizaciones que se apoyan sobre procesos industriales, los Servicios de Negocio están sustentados tanto por Tecnologías de la Información como por Tecnologías de las Operaciones. Ambas componen Sistemas de Información y Sistemas de Automatización y Control Industrial (IACS), respectivamente. La línea que separa ambos mundos cada vez es más difusa y procesos como la Planificación de la Demanda, la Optimización de la Producción, la Gestión de la Distribución o la Monitorización del Consumo, cada vez más, son Procesos de Negocio que utilizan tanto recursos TI como OT. Esta convergencia aporta valor a Negocio y, a su vez, incrementa la interdependencia entre los Tecnologías de la Operación y TI.

Con el transformado de esta convergencia TI – OT, los organismos reguladores tales como el International Electrotechnical Comision están ya desarrollando marcos normativos aplicables a los Sistemas Industriales y alineados con TI.

La ISA/IEC 62443-2-1 Establishing an IACS Security Program se encuentra fase de desarrollo y permite:
  • Alinear los Sistemas de Gestión de la Seguridad de TI (ISO 27001:2013) con los IACS.
  • Amplía los controles de ISO 27002:2013 con requisitos específicos de Ciberseguridad Industrial.
  • Introduce nuevos controles específicos para Ciberseguridad Industrial.
La implantación de un Sistema de Gestión de la Seguridad en los Sistemas de Automatización y Control Industrial (IACS-SMS) pasa por:

1. La identificación de los Activos de las Tecnologías de las Operaciones que componen los IACS. ISA 95 es la referencia de IEC-62443 para identificar los activos. Describe cinco niveles dónde se distribuyen los Activos desde los más próximos a Negocio hasta la propia Red de Campo de la planta industrial.

2. La Identificación de los Activos de OT se completa con la identificación de las relaciones de dependencia. De manera que sea posible determinar qué activos y en qué medida impactan en Negocio.
3. Y dado el paradigma de convergencia que estamos describiendo, la identificación de estas dependencias debe reflejar, también, la interrelación entre los Sistemas de TI y los IACS para que el alcance el Sistema de Gestión de la Seguridad sea integral.

El módulo de Arquitectura Empresarial de SandaS GRC permite abordar este ejercicio de identificación de Activos y Dependencias con el Modelado Visual de un Modelo de Arquitectura Empresarial que describe de qué manera los elementos de Tecnología (OT y TI) dan soporte a Negocio a través de Sistemas (Industriales y de Información).



La guía de implementación de un IACS-SMS (ISA/IEC 62443-2-1), capítulo 8, determina que se ha de definir la valoración de los activos. Esta valoración, con SandaS GRC la podemos definir en función de los Servicios de Negocio para los que un activo es requerido. De esta manera conseguimos un enfoque de la seguridad OT desde la perspectiva de Negocio ya que un activo de OT, como pueda ser un PLC tendrá una valoración tan alta como los Servicios de Negocio para los cuales es necesario.

Para determinar el valor de un activo contamos con una matriz de valoración en la que se disponen los criterios y dimensiones de valoración que se han de considerar. Naturalmente, estos criterios de valoración han de estar alineados con las especificaciones propias de la Industria (ISA/IEC 62443-2-1).


Otra modalidad para determinar la criticidad de un activo es el BIA (Business Impact Analysis) a través del cual podemos determinar cuáles son los Objetivos de Continuidad de la Compañía respecto a un determinado Servicio. El BIA permite definir el impacto que supone la no disponibilidad de un servicio a lo largo del tiempo:



Sea de un modo u otro el valor que se determine para un Activo, repercutirá sobre todos los que son requeridos por él. Así pues, vemos como los activos de la capa de OT heredan el valor del Servicio de Negocio para el que son requeridos:



Del mismo modo, se puede utilizar el modelo representado en el Asset Studio para definir requisitos de Continuidad de Negocio (ISO 22301) e identificar fácilmente activos críticos, es decir, aquellos que sus condiciones de recuperación reales no cumplen con los requisitos de continuidad que se definen desde Negocio. Veamos un ejemplo muy sencillo, desarrollado con SandaS GRC.

Dado un Servicio que para la Compañía se determina que debe cumplir con un Tiempo de Recuperación Objetivo (RTO) de una hora y un dispositivo HMI cuyo Tiempo de Recuperación Actual (RTA) definido por los técnicos es de dos horas. Nos encontramos con este escenario que nos muestra en color rojo los activos críticos que no cumplen con los requisitos de Continuidad de Negocio definidos por la Compañía.



ISA/IEC 62443 en su capítulo C.3.3.3 describe el Proceso de Apreciación de Riesgo. Con SandaS GRC se puede desarrollar este proceso alineado con la ISO 31000 e ISO 27005. El proceso de Apreciación de Riesgos se desarrolla en las fases de Identificación de los Escenarios de Riesgo, Analisis, Evaluación y Tratamiento.

La Identificación de los Escenarios de Riesgos consiste en determinar qué Eventos de Amenaza pueden materializarse sobre los distintos Activos de la Organización. Para casos de Ciberseguridad Industrial, SandaS GRC se ha enriquecido con el catálogo de Amenazas del NIST-SP 800-82 Guide to Industrial Control Systems (ICS) Security. Por lo tanto, a la hora de identificar las amenazas que se pueden materializar sobre los activos de tipo industrial, podremos seleccionar dentro de este catálogo las más adecuadas:

En la fase de Análisis de los Escenarios de Riesgos, se valorará el nivel de degradación sobre el valor del activo para cada una de las dimensiones de valoración que aplique. Con este nivel de degradación SandaS GRC calcula unas Consecuencias que, junto con la Probabilidad determinan un Nivel de Riesgo.

Con SandaS GRC el Analista de Riesgos podrá determinar tanto la probabilidad como las Consecuencias con las escalas del ISA/IEC 62443-2-1:


Una vez determinado el Nivel de Riesgo para todos los Escenarios apreciados, la fase de Evaluación facilita un ejercicio de priorización identificando aquellos que se consideran Inaceptables y merecen mayor atención.

En el propio Proceso de Apreciación de Riesgos se definen dos umbrales de riesgo que determinan:
1. El Nivel de Riesgo Tolerable más alto
2. El Nivel de Riesgo Ampliamente Aceptable más alto.

De esta manera en la pestaña de Evaluación los Escenarios de Riesgos se distribuyen en tres columnas: TOLERABLES, AMPLIAMENTE ACEPTABLES e INACEPTABLES.

Respecto a los Tolerables y los Inaceptables, en principio, no hay duda. Debido al nivel de riesgo calculado han quedado claramente definidos en una u otra región. Respecto a los que están en la franja central los “AMPLIAMENTE ACEPTABLES”, el analista deberá tomar una decisión razonada respecto a ellos, es decir, debe moverlos a la columna de TOLERABLES o INACEPTABLES en función de su criterio experto. En SandaS GRC es tan fácil como hacer clic y arrastrar cada una de las tarjetas que representa al escenario de riesgo. Utilizamos esta metodología ALARP (As Low As Reasonably Possible) para facilitar que el ejercicio de Evaluación sea lo más preciso posible ya que deberíamos dejar la franja de en medio lo más estrecha posible. En el funnel vemos la representación gráfica.


Finalmente, la fase de Tratamiento sirve para determinar qué acciones se van a toma mejorar los Escenarios de Riesgos apreciados. Las acciones típicas son Modificar, Evitar, Compartir o Retener el Riesgo. Para mejorar los Escenarios de Riesgo, disponemos de dos opciones fundamentales: definir un Proyecto con un conjunto de tareas dirigidas a mejorar las expectativas de probabilidad y/o degradación de las amenazas apreciadas o aplicar Controles, con la misma finalidad.

Una vez más, y para escenarios de Ciberseguridad Industrial SandaS GRC cuenta con un Catálogo de Controles específico para estas amenazas (ANSI-ISA-99.02.01-2009). Al asociar un Control sobre un escenario de riesgo no sólo estamos identificando los tratamientos que vamos a aplicar sino que estamos creando una Tarea dentro de un Proyecto a la que vamos a poder hacer el debido seguimiento con el Gestor de Proyectos de SandaS GRC.


Así pues, podemos hacer un Plan de Tratamiento del Riesgo integral, al cohesionar en un mismo Modelo de Arquitectura Empresarial una visión holística de TI + OT, coexistiendo en la plataforma los catálogos de amenazas, controles y marcos normativos para los análisis diferenciales tanto de IT como de OT, en definitiva, aplicando el paradigma GRC a la Ciberseguridad Industrial.


*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”

Más información en
elevenpaths.com

No hay comentarios:

Publicar un comentario en la entrada