Figura N9.

Documento ENISA

El documento Protecting industrial control systems. Recommendations for Europe and

Member States ofrece en el captulo 7 una serie de recomendaciones para mejorar la
proteccin de ICS en Europa.
Estas iniciativas se deberan implementar a la brevedad posible. Y su foco de atencin se
centra principalmente a los organismos pblicos y las autoridades y en concreto a las
nacionales y europeos. Pero, tambin se dirigen a otras partes interesadas, como los
fabricantes de partida de la ICS, integradores y operadores, herramientas de seguridad y
proveedores de servicios, instituciones acadmicas y de investigacin y desarrollo y los
organismos de normalizacin.
Todas las recomendaciones estn relacionados entre s.
La primera recomendacin presenta el marco para interpretar las otras seis
recomendaciones restantes, mismas que abordan diferentes temas de seguridad ICS y se
pueden considerar como igualmente importantes.
La siguiente es una descripcin breve de cada una de ellas:
1- Recomendacin 1: Creation of Pan-European and National ICS Security Strategies:
Aqu lo que se indica es que cada Estado miembro de la Unin Europea debera
crear una estrategia nacional que permita darle seguridad a los Sistemas de Control
Industrial (ICS), estas estrategias deben ser coherentes con la Directiva 2008/114 /
CE, y aprovechar las iniciativas existentes que abordan el problema de la seguridad
en los ICS. Las estrategias que se realicen tienen que servir de referencia para todos

2-

3-

4-

5-

6-

7-

los Estados interesados, actuar como facilitadores de iniciativas de intercambio y

fomentar la investigacin y la educacin.
Recomendacin 2: Creation of a Good Practices Guide for ICS security. Se debe
elaborar un documento o conjunto de documentos relativos a las buenas prcticas
de seguridad, la integracin de ambos aspectos de seguridad fsica y lgica, que
servir de referencia para cada tipo de actor. Este documento debera ayudar a
todas las partes interesadas a asegurar que se apliquen las mejores prcticas de
seguridad en la industria.
Recomendacin 3: Creation of ICS security plan templates. Para cada estrategia que
se realice se deberan crear plantillas y/o planes de seguridad para ICS, tanto para el
operador y las infraestructuras, que los expertos en seguridad podran adaptarse a
su situacin particular. Estos planes deben incluir la seguridad operacional y fsica,
cuestiones tcnicas, formacin y sensibilizacin, gobierno de la seguridad con
funciones y responsabilidades, medidas de impacto de negocio y gestin de crisis.
Recomendacin 4: Foster awareness and training. Los Estados miembros deben
promover actividades de difusin y sensibilizacin a travs de eventos de alta
calidad que abarquen todo tipo de grupos de inters y con especial atencin a
compromiso de la alta gerencia.
Recomendacin 5: Creation of a common test bed, or alternatively, an ICS security
certification framework. Se deberan crear un banco de pruebas comn (s) a nivel
europeo, como una asociacin pblico-privada en la que las pruebas podran
realizarse con el fin de garantizar que la interaccin de diferentes sistemas no
provocan fallos de seguridad. Esto permitira detectar posibles problemas en un
ambiente controlado, asegurando la integridad y el aumento de la confianza en las
soluciones certificadas.
Recomendacin 6: Creation of national ICS-computer emergency response
capabilities. Se deben establecer, en cooperacin con los CERT pblicos y privados.
Las capacidades de respuesta ante emergencias en ICS, esto con la finalidad de
compartir informacin sobre la vulnerabilidad, coordinar acciones y ayuda para
hacer frente eficazmente a la gestin del riesgo en las infraestructuras de las ICS.
Recomendacin 7: Foster research in ICS security leveraging existing Research
Programmes. Se debe fomentar la investigacin para tratar las amenazas actuales y
futuras hacia los ICS. Pero tambin se deben trabajar en desafos de seguridad, como
la integracin ICS-TIC, la seguridad en equipos propietarios/inseguros por diseo,
adems enfocarse en ataques dirigidos y en sistemas como el Smart Grid, para la
deteccin de actividades en los ICS.

III Parte
IEC 62443 / ISA 99
En la siguiente Figura se proporciona informacin de los diversos productos de trabajo, incluyendo su estado de desarrollo actual, la
asignacin de grupos de trabajo y la relacin con los documentos IEC
Figura N10. IEC 62443 / ISA 99

NIST Publicacin 800-82

Figura N11. Publicacin NIST

Es una gua para el establecimiento de sistemas de control industrial seguras (ICS). Estos
ICS, que incluyen el control de supervisin y adquisicin de datos (SCADA), sistemas de
control distribuido (DCS), y otras configuraciones de sistemas de control, Controladores
Lgicos Programables (PLC), estos se encuentran en los sectores de control industrial.
Este documento adems de proporcionar una visin general de estos ICS y topologas tpicas
del sistema, identifica las amenazas y vulnerabilidades tpicas a estos sistemas, y
proporciona recomienda contramedidas de seguridad para mitigar los riesgos asociados.
Bsicamente el documento consta de:

Un apartado donde tratan aspectos de los Sistemas de control Industrial, su evolucin,

as como la operacin y funcionamiento de sus componentes.
Un apartado que aborda la temtica de la gestin y evaluacin de riegos, aspectos que
son de fundamental importancia para que se logre el cumplimiento de los objetivos de
negocio, as como el impacto que estas consideraciones tienen en la gestin del riesgo
y proceso de evaluacin de riesgos.
Un apartado que se enfoca proporciona una visin general del desarrollo y los pasos
importantes en la implantacin de un programa de seguridad en los ICS, adems ofrece
informacin sobre los controles de seguridad especficos que podran ser
implementadas como parte del programa de seguridad.
Un apartado que abarca la arquitectura de seguridad de los ICS, aspecto de mucha
importancia, ya que en la actualidad se requiere una conexin entre el ICS y las redes
corporativas, lo que genera un riesgo de seguridad importante y debe ser protegida por
dispositivos perimetrales y entornos seguros (DMZ), adems muestra consideraciones
arquitectnicas y buenas practicas recomendadas para este fin.

Por ltimo incluye un apartado que describe la aplicacin de controles de seguridad

para los ICS, aqu se pretende dar a conocer la importancia de aplicar de manera
conjunta polticas de seguridad eficaces y controles de seguridad que permitan
minimizar el riego de a ocurrencia de in incidente en este tipo de infraestructuras, pero
adems expone aspectos como los controles de seguridad que se deben utilizar para
mitigar adecuadamente el riesgo, si hay un plan de aplicacin realista para aplicarse, si
los controles de seguridad que se pretenden aplicar tienen un nivel requerido, ente
muchos otros aspectos.