Certificaciones de seguridad en sistemas de control

Publicado el 10/09/2015, por INCIBE
Profesor esplicando la lección en clase

Las certificaciones de seguridad están muy extendidas en los entornos técnicos relacionados con las tecnologías de la información y es un requisito habitual para la ejecución de casi cualquier proyecto. Estas certificaciones están muy especializadas, y cubren diversas áreas como el análisis forense, auditoría de sistemas, programación segura, etc. Los sistemas industriales también están adoptando esta operativa y, cada vez más, se solicitan certificaciones para confirmar los conocimientos de los trabajadores.

Hasta hace poco tiempo no existían certificaciones específicas de seguridad en sistemas de control, por lo que los expertos en seguridad en sistemas de control se veían forzado a realizar certificaciones genéricas de seguridad TI. Ahora ya existen varias certificaciones de renombre sobre diferentes aspectos de la seguridad en los sistemas de control industrial. A continuación se recogen las más destacadas.

ISA 99 / IEC 62443 Cyber Security Certificate Program

Como se comentaba en el artículo “Normativas de seguridad en sistemas de control”, la ISA99 y su evolución IEC 622443 son dos normas muy a tener en cuenta en la seguridad de los sistemas de control. Por este motivo la ISA está creando una serie de certificados alrededor de los documentos que componen estar normas.

La ISA ha definido cinco certificados diferentes como parte de su esfuerzo para incrementar los conocimientos de los profesionales de los sistemas de control industrial:

  • Certificate 1: ISA99/IEC 62443 Cybersecurity Fundamentals Specialist
  • Certificate 2: ISA99/IEC 62443 Cybersecurity Risk Assessment Specialist
  • Certificate 3: ISA99/IEC 62443 Cybersecurity Design Specialist
  • Certificate 4: ISA99/IEC 62443 Cybersecurity Maintenance Specialist
  • ISA99 Cybersecurity Expert

Este programa de certificados está orientado hacia profesionales de entornos TI relacionados con la seguridad, y con cierto contacto con entornos TO, que necesitan mejorar su conocimiento de la terminología de ciberseguridad industrial y los contenidos de la norma.

Estos certificados requieren de la asistencia a un curso de formación y la superación de un examen para su obtención. Para acceder a los certificados 2, 3 y 4 es necesario disponer del certificado 1. Al ser un certificado y no una certificación no requiere de renovación.

GIAC Global Industrial Cyber Security Professional (GICSP)

Auspiciado por la Global Information Assurance Certification (GIAC), empresa dedicada a las certificaciones de seguridad, se creó el curso de profesional de ciberseguridad industrial, GICSP, en un esfuerzo colaborativo entre diferentes industrias relacionadas con el diseño, despliegue, operación y/o mantenimiento de sistemas e infraestructuras de automatización industrial, como yokogawa, honeywell, KPMG, o  ABB entre otras.

Logo GICSP

La certificación GICSP une al entorno TI, ingeniería y ciberseguridad para mejorar la seguridad en los sistemas de control industrial, desde el diseño hasta su retirada. Es independiente del sector industrial relacionado, y se centra en garantizar un conjunto mínimo de conocimientos y capacidades que los profesionales de TI, ingenieros y especialistas en seguridad deben conocer si su trabajo está relacionado de algún modo con la seguridad de los sistemas de control industrial.

No existe una formación específica que incluya un curso concreto para la preparación de esta certificación aunque existe material de apoyo por internet y cursos de SANS como ayuda para su preparación. Por esta razón, los conocimientos y la experiencia del personal que se opte a la certificación son claves en la obtención de la misma. La certificación consiste en un único examen, y debe ser renovada cada 4 años.

Certified SCADA Security Architect (CSSA)

La certificación de arquitecto de seguridad SCADA (CSSA) surge de la mano de la Information Assurance Certification Review Board (IACRB), entidad global centrada en la certificación de profesionales en seguridad.

Logo CSSA-IACRB

Esta certificación verifica mediante un examen, los conocimientos que un profesional posee en seguridad de sistemas de control industrial, y  está orientada principalmente hacia los sectores energéticos, como distribución eléctrica, gas/petróleo y el tratamiento de aguas.

Según la IACRB, la certificación beneficia tanto a los profesionales del sector al confirmar sus conocimientos teóricos y su compromiso en seguridad, como a las empresas, a las que asegura que los conocimientos necesarios de sus trabajadores y verifica la preparación en puestos con un alto nivel técnico. Aparte, también permite crear una red de expertos en ciberseguridad y proporciona un valor diferencial ante la competencia.

La certificación CSSA está pensada para administradores de redes industriales y profesionales del sector IT así como sus respectivos responsables.

Industrial Security Professional Certification (NCMS-ISP)

La National Classification Management Society (NCMS) pretende ser una de las principales empresas  para la implementación y el desarrollo de programas de gestión de la seguridad industrial y liderazgo en seguridad, apoyada por el Instituto de Estandarización Nacional Americano (ANSI - American National Standards Institute).

Logo NCMS-ISP

El objetivo de la certificación ISP es demostrar el conocimiento, las habilidades y las capacidades de los profesionales certificados en entornos de control industrial. Además, el ISP también proporciona guías de formación para nuevos empleados en seguridad. El examen se basa en los contenidos del manual de operación del programa de seguridad industrial nacional (NISPOM) y otra información de seguridad como reglas y regulaciones.

Para poder obtener la certificación ISP es necesario cumplir con los siguientes criterios:

  • Tener un mínimo de 5 años de experiencia en seguridad industrial
  • Se debe justificar experiencia, al menos de forma parcial, en seguridad industrial
  • Se debe presentar una recomendación por parte de los superiores
  • Se debe presentar toda la documentación y material necesario con 30 días de antelación al examen al NCMS.

La certificación ISP debe ser renovada cada 3 años.

OTRAS CERTIFICACIONES RELACIONADAS CON LOS SISTEMAS DE CONTROL

Las certificaciones de seguridad específicas en sistemas de control industrial son escasas, pero existen otras certificaciones que cubren aspectos genéricos y que son útiles  para asegurar estos sistemas desde el punto de vista del funcionamiento del proceso. Estas otras certificaciones suponen un buen punto de inicio para profesionales del sector que quieran cubrir esta área de conocimiento.

Por otra parte, no necesariamente todos los profesionales de seguridad que trabajen en sistemas de control tienen que venir de dicho sector, y puede ocurrir que profesionales del mundo de la seguridad de la información quieran dedicarse profesionalmente a trabajar en estos sistemas. En este caso, existen  otras certificaciones que pueden servir de base inicial:

ISA Certified Automation Professional (CAP) Certification Program

La ISA es una organización que lleva trabajando en el campo de automatización muchos años antes de que el concepto de seguridad se implantase en la industria, por lo que dispone de muchas certificaciones relacionadas con el funcionamiento de los sistemas de control industrial.

Logo CAP

Uno de las certificaciones más valoradas es ISA Certified Automation Professional (CAP). ISA CAP ofrece una valoración de las habilidades de un profesional sobre la automatización de forma objetiva, imparcial e independiente. La certificación se obtiene a través de un examen centrado en:

  • Dirección, definición, diseño, desarrollo/aplicación, implementación, documentación y soporte de los sistemas
  • Software y equipos utilizados en los sistemas de control
  • Sistemas de información de fabricación
  • lntegración de sistemas
  • Consultoría operacional

Los profesionales certificados con ISA CAP son un grupo de expertos que han demostrado poseer un amplio conocimiento de la automatización y el control. La certificación evidencia que poseen experiencia y cualificación suficiente para desempeñar su trabajo.

ISA Certified Control Systems Technician (CCST)

Otra de las certificaciones técnicas proporcionadas por la ISA es Certified Control Systems Technician (CCST), destinada a técnicos y operadores de los sistemas de control, principalmente de áreas neumáticas, electrónicas, mecánicas y de instrumentación.

Logo CCST

Esta certificación ofrece tres niveles diferentes dependiendo de la experiencia, educación y formación recibida, siendo el nivel III el más elevado.

El examen de certificación de CCST cubre cuatro aspectos principales de las tareas relacionadas con los técnicos de los sistemas de control. Los temas se han elegido después de un estudio llevado a cabo sobre el sector.

Muchas grandes empresas a nivel global apoyan la certificación CCST de la ISA.

Certificación y reciclaje continuo de profesionales

Al igual que en cualquier sector tecnológico, la formación en sistemas de control industrial debe ser un proceso continuo, en el que el aprendizaje y renovación de conocimiento esté siempre presente. Las certificaciones profesionales suponen un complemento importante para este proceso de actualización tan necesario en el mundo de la seguridad de las tecnologías.

Cuadro resumen de certificaciones de seguridad en SCI

- Cuadro resumen de certificaciones de seguridad en SCI -