Centro de

Ciberseguridad Industrial www.CCI-es.org

GUA DE BOLSILLO
CIBERSEGURIDAD EN LA PIRMIDE DE
AUTOMATIZACIN INDUSTRIAL

Las tecnologas empleadas en la automatizacin y

gestin de procesos productivos quedan representadas
en la llamada Pirmide de Automatizacin, la cual
recoge los cinco niveles tecnolgicos que se pueden
encontrar en un entorno industrial.

NIVEL 4 Tecnologas de Informacin

de
Red acin
rm
NIVEL 3 Info (ERP)
n
ra ci
Ope )
NIVEL 2 R
d e
ed (MES
in Tecnologas de Operacin
p e rvis )
NIVEL 1 u I
d e S A, HM
Red (SCAD

NIVEL 0 ol
o ntr
C )
d de DCS
Re PLC ,
(
po
C am cin)
e ta
d d en
Re trum
s
(In

Fig. 1 Pirmide de Automatizacin Industrial

NIVEL 0 NIVEL 1 NIVEL 2 NIVEL 3 NIVEL 4

Nivel de adquisicin
de datos de campo o
instrumentos, es decir,
sensores y actuadores
que se encuentran
repartidos por el proceso
y que permiten el control
de las mquinas y
equipos de produccin.
Este documento se
centra en los sensores
inalmbricos.
Nivel que agrupa a todos Nivel de supervisin con Nivel de operaciones de Nivel de gestin donde
controladores locales equipos destinados a fabricacin donde se se desarrolla todas las
tales como: ordenadores, controlar la secuencia gestionan los flujos de actividades relacionadas
PLCs, etc. de fabricacin y/o trabajo para producir u con el negocio
produccin como: optimizar los productos necesarias en una
Los equipos de este
SCADA, estaciones de finales. organizacin industrial,
nivel utilizarn datos del
operaciones o servidores comunicando distintas
proceso proporcionados
de ingeniera. plantas y manteniendo
por los instrumentos
relaciones con
del NIVEL 0 y darn
proveedores y clientes.
consignas a los
actuadores.

Niveles de la pirmide de
Automatizacin Industrial
Principales vulnerabilidades que pueden existir* 0 1 2 3 4
Falta de medidas de seguridad fsica
Arquitectura de red insegura
Posibilidad de Interceptar y alterar comportamiento de sensor
Debilidad en los protocolos de comunicacin
Instalacin configuracin incorrecta o servicios innecesarios habilitados
Falta de actualizacin de software
Fallos 0-day
Almacenamiento sin proteccin
Debilidad frente a Desbordamiento de buffer
Debilidad en identificacin y autenticacin (contraseas)
Asignacin incorrecta de privilegios
Debilidad frente a Fuzzing (tcnicas para proporcionar datos invalidos e inesperados)
Debilidad frente a ataques de Cross-Site Scripting
Debilidad frente a ejecucin de cdigo remoto
Personal de planta no capacitado en tecnologas de operacin y/o informacin
Personal de TI no capacitado en tecnologas de operacin
Acuerdos de nivel de servicio insuficientes
Falta de control de cambios
Falta de planes de continuidad
Falta de procedimientos adecuados en el uso de las tecnologas de operacin
Personal contratado inadecuado o sin concienciacin o formacin en ciberseguridad
Falta de mecanismos de monitorizacin
Conexiones pblicas desprotegidas
Uso de herramientas de red no permitidas
Existencia de servidores dual home
Interfaz de acceso inadecuados
Documentacin escasa
No realizacin de copias de seguridad (Perdida de datos, Ransomware,...)
Carencia de software anti-malware
Utilizacin de usuarios genricos

* Lista de Vulnerabilidades incluidas en el documento "Gua Prctica para la Construccin de un Sistema de Gestin de la Ciberseguridad Industrial"
https://www.CCI-es.org/informes-y-analisis-estategicos

Etapas del Ciclo de Vida de un Proyecto de

Automatizacin Industrial

Principales Medidas de
Proteccin por Niveles** Diseo Provisin Ejecucin
Operacin y Desmantelamiento
mantenimiento

Modelado de amenazas (identificacin de activos y

01234 N/A N/A 01234 01234
vectores de ataque)
Anlisis de riesgos 01234 N/A N/A 01234 01234
Medidas de proteccin fsicas 01234 N/A N/A 01234 01234
Diseo seguro de red 01234 N/A N/A N/A N/A
Definicin o aplicacin de modelo de defensa en
01234 N/A 01234 01234 N/A
profundidad
Diseo o gestin de acceso (autenticacin y autorizacin) 01234 N/A 01234 01234 N/A
Definicin o aplicacin de Segmentacin y filtrado de red 01234 N/A 01234 01234 N/A
Definicin o proteccin mediante antivirus y Listas
01234 N/A 01234 01234 N/A
blancas
Definicin o implantacin de Cifrado 01234 N/A 01234 01234 N/A
Definicin o adecuacin de configuracin de red,
01234 N/A 01234 01234 N/A
sistemas y aplicaciones
Diagnstico de debilidades 01234 N/A 01234 01234 N/A
Anlisis exhaustivo de la cadena de suministro y sus
N/A 01234 N/A N/A N/A
proveedores
Acuerdos de Nivel de servicio con requisitos adecuados
N/A 01234 01234 01234 N/A
de ciberseguridad
Validacin de las funcionalidades de ciberseguridad de
N/A 01234 01234 N/A N/A
los componentes
Verificacin de la adopcin de prestaciones de
N/A 01234 01234 N/A N/A
ciberseguridad de los sistemas
Garantizar las versiones de software contratadas -
N/A 01234 01234 01234 N/A
Gestin de parches
Comprobar documentacin sobre caractersticas fisicas y
N/A 01234 01234 N/A N/A
de ciberseguridad
Verificacin de cumplimiento de requisitos de
N/A N/A 01234 N/A N/A
ciberseguridad
Test de intrusin (como parte de las Pruebas FAT y SAT) N/A N/A 01234 N/A N/A
Plan de pruebas integral y multidimensional N/A N/A 01234 N/A N/A
Supervisin y gestin de incidentes en la operacin y
N/A N/A N/A 01234 N/A
mantenimiento
Proteccin de las consolas de operacin y supervisin N/A N/A N/A 01234 N/A
Gestin de la seguridad de red N/A N/A N/A 01234 N/A
Formacin y concienciacin N/A N/A N/A 01234 N/A
Comprobacin de antecedentes N/A 01234 01234 01234 N/A
Gestin de cambios derivados de incidentes de
N/A N/A N/A 01234 N/A
ciberseguridad
Segregacin de funciones N/A N/A N/A 01234 N/A
Proceso continuo de gestin de la ciberseguridad N/A N/A N/A 01234 N/A
Destruccin de datos N/A N/A N/A N/A 01234
Conservacin y recuperacin de datos N/A N/A N/A N/A 01234

** Lista de Medidas incluidas en el documento Ciberseguridad en el Ciclo de Vida en un Proyecto de Automatizacin Industrial
https://www.CCI-es.org/informes-y-analisis-estategicos

CCI, un Ecosistema
para compartir Experiencias

info@CCI-es.org Sguenos en: