El esperado nuevo esquema de evaluación de la ciberseguridad de los sitios OT y sus aplicaciones
ISA, en colaboración con el Instituto de Cumplimiento de Seguridad ISA (ISCI), lanzó recientemente un esquema de evaluación de conformidad para sistemas de automatización desplegados en sitios operativos.
Andre Ristaino, director general de Consorcios y Programas de Evaluación de la Conformidad de ISA, entrevistado recientemente por el medio Smart Industry, afirmava que el sistema de evaluación completa la cobertura de certificación de la responsabilidad compartida por las partes interesadas en la seguridad de la automatización que afecta a nuestra vida cotidiana. ISA Secure ya ofrece certificaciones ISA/IEC 62443 para los productos y sistemas de automatización comerciales que ofrecen los proveedores. La evaluación de instalaciones se ocupa de los sistemas de automatización que ya existen en las instalaciones operativas, de las actualizaciones de los sistemas existentes y de los nuevos sistemas implantados en las instalaciones operativas. Para Ristaino, todas las partes interesadas se benefician entre ellas.
Gracias al nuevo esquema de evaluación, los propietarios de activos tendrán visibilidad de la postura de seguridad de sus centros de explotación para sus sistemas de automatización existentes; dispondrán de un punto de referencia objetivo y coherente para determinar su posición con respecto a sus homólogos en su sector. Por su parte, los suscriptores de seguros se beneficiarán de las evaluaciones que proporcionan métricas objetivas basadas en las normas ISA/IEC 62443 para incluirlas en sus modelos actuariales y de riesgo de suscripción para entornos industriales. Los proveedores de productos y servicios obtendrán claridad y transparencia de las normas con respecto a su papel de ciberseguridad en el suministro de productos de automatización, servicios de integración, servicios de mantenimiento y servicios de soporte de operaciones. Las organizaciones de certificación y evaluación se beneficiarán de una mayor demanda de servicios debido al atractivo de un esquema de evaluación de OT de consenso global basado en normas internacionales ISA/IEC 62443 de confianza. Y, para finalizar, Gobierno, legisladores y autoridades reguladores dispondrán de una métrica de ciberseguridad basada en las normas ISA/IEC 62443 que podrá utilizarse como referencia en el lenguaje político para incentivos y mandatos de seguridad de infraestructuras críticas.
Según Ristaino, lo más importante de esta noticia es que hasta ahora se habían centrado en los proveedores y los productos. Sin embargo, este nuevo sistema de evaluación aportará beneficios directos a los propietarios de los activos (centros de explotación).
Entre los sectores que se beneficiarán de este programa de evaluación, el director general apunta la fabricación por procesos, como O&G, química, alimentación y farmacia, y el sector del agua y las aguas residuales. Por lo que se refiere al sector eléctrico, apunta que aunque la evaluación de instalaciones puede adaptarse al sector eléctrico, este ya está cubierto por las normas NERC-CIP para el funcionamiento de instalaciones. Sin embargo, podría aplicarse a los operadores eléctricos más pequeños que no están regulados.
Además, cita un acuerdo con otra organización sin ánimo de lucro para aplicar las mismas normas a los edificios y ciudades inteligentes, y apunta que llevan dos años trabajando en las especificaciones.
