6
Hidrocarburos Artículo
Junio 2020 www.globalenergy.mx
Cómo elegir una arquitectura SIS que pueda proteger una operación durante todo su ciclo de vida
Arquitectura de ciberseguridad sostenible para los Sistemas Instrumentados de Seguridad
SIS Independiente
BPCS
Foto: Emerson
AIR GAP SIS
Figura 2 – Infraestructura que separa los componentes críticos del SIS de los no críticos, pero no agrega mantenimiento extra para mantener capas de seguridad de defensa profunda en dos sistemas diferentes.
Por Sergio Diaz y Alexandre Peixoto*
C
uando una organización inicia un proyecto de un Sistema Instrumentado de Seguridad (SIS), una de las primeras decisiones que se debe tomar es la elección de una arquitectura. Es posible proporcionar sistemas exitosos y reforzados al utilizar una arquitectura SIS integrada o interconectada dentro de las limitaciones de los estándares internacionales de ciberseguridad, tales como la Comisión Electrotécnica Internacional (IEC) 62443 (familia de normas ANSI/ISA 62443) y/o las recomendaciones locales, como las pautas de la Asociación de Usuarios de la Tecnología de Automatización en Industrias de Procesos (NAMUR). El entendimiento de los beneficios y las consideraciones detrás de cada arquitectura es esencial para la toma de una decisión informada, cuya solución satisfará de la mejor manera las necesidades de la organización.
Comprensión de los estándares Los estándares de ciberseguridad proporcionan pautas que separan los componentes críticos para la seguridad de los no críticos. Bajo las pautas ISA, los activos críticos para la seguridad deben agruparse en zonas que estén lógica o físicamente separadas de los activos no críticos para la seguridad.1 NAMUR ofrece un conjunto similar de pautas en la hoja de trabajo NA 163, “Evaluación de riesgos de seguridad del SIS”. Las pautas definen tres zonas lógicas: Núcleo SIS, SIS extendido y arquitectura del sistema de 1 ISA 62443-1-1 páginas 62, 91 y 97.
control (referido como "Periféricos" por NAMUR) que deben estar física o lógicamente separadas (Figura 1). El Núcleo SIS tiene los componentes necesarios para ejecutar la función de seguridad (logic solver, componentes de E/S, sensores y elementos finales). El SIS extendido tiene los componentes del sistema de seguridad, pero no es necesario que ejecuten la función de seguridad (por ejemplo, las estaciones de trabajo de ingeniería). Los periféricos son los componentes y sistemas, tales como el sistema de control de procesos básico (BPCS, por sus siglas en inglés) que no son ni directa ni indirectamente asignados a SIS, pero podrían usarse en contexto de una función de seguridad (por ejemplo, una solicitud de reinicio de una estación de trabajo BPCS o la visualización de la función de seguridad en un HMI).
ARQUITECTURA DEL SISTEMA DE CONTROL SIS EXTENDIDO
NÚCLEO SIS
Figura 1 - NAMUR ofrece un set de lineamientos similares a los de ISA 62443, con funciones SIS agrupadas en tres zonas: Núcleo SIS, SIS Extendido y Arquitectura del sistema de control (referido como periféricos por NAMUR)
La eliminación de interfaces entre el Núcleo SIS y el extendido con un entorno integrado puede derivar en pruebas de aceptación en fabrica (FAT) más sencillas y rápidas, lo que ayuda a poner proyectos en línea más rápido y con menos trabajo.
ot o: Big stock
El entendimiento de los beneficios y las consideraciones detrás de cada arquitectura es esencial para la toma de una decisión informada, cuya solución satisfará de la mejor manera las necesidades de la organización.
F
Considerar cuidadosamente las capas de defensa profunda es fundamental para proporcionar la ciberseguridad del SIS, pero no es suficiente.
Es importante reconocer que ninguno de los estándares define una arquitectura requerida. Los usuarios deben decidir la mejor manera de estructurar sus redes SIS, siempre y cuando la solución final proporcione la separación lógica o física suficiente entre el BPCS y el SIS. Generalmente, esto les da a las organizaciones tres opciones para diseñar redes SIS: • Un SIS separado, completamente desconectado e independiente del BPCS • Un SIS interconectado, conectado al BPCS por medio de protocolos industriales (generalmente, Modbus) • Un SIS integrado, interconectado a un BPCS, pero suficientemente aislado para cumplir los estándares de ciberseguridad A menudo se afirma que un SIS separado es más seguro que cualquier otro tipo de implementación SIS. Sin embargo, todas las arquitecturas enumeradas anteriormente pueden ofrecer una postura de seguridad reforzada siempre y cuando la postura se defina de antemano y se aplique durante el diseño, la implementación y el mantenimiento del sistema de seguridad. Aunque es importante, la arquitectura SIS es solo un aspecto de la definición de seguridad en un sistema de seguridad.
Maximizar la defensa profunda Proteger de un modo adecuado el sistema SIS requiere de un enfoque de defensa profunda. Con el aumento de los ataques cibernéticos, una sola capa de protección para los activos críticos de seguridad no es suficiente. Los administradores de redes están empleando muchas capas de seguridad (antivirus, gestión de usuarios, autenticación por múltiples factores, prevención y detección de intrusiones, whitelisting, firewalls y más) que garantizan que usuarios no autorizados se enfrenten a una barrera de entrada insuperable. El objetivo de una estrategia de defensa profunda es aumentar los mecanismos de protección de control de acceso y lo podemos lograr agregando capas de protección que se complementan entre sí.
