Safety y security: juntos pero no revueltos

Publicado el 09/02/2016, por INCIBE
Safety y security: juntos pero no revueltos

En un entorno industrial la parte safety juega, sin duda, un papel de mayor importancia puesto que una buena prevención de riesgos significa vidas a salvo y trabajadores bajo entornos seguros y controlados. No obstante, estos sistemas de prevención evolucionan incluyendo paralelamente una parte lógica, la parte Security, por ejemplo extractores de humo que se activan cuando llegan a una cierta concentración de humo en el aire, sensores de temperatura que se comunican con sus iguales, etc.

Desde el punto de vista de seguridad como un todo, ha de tenerse en cuenta esta estrecha relación de simbiosis entre el ámbito safety y security. Los fabricantes toman consciencia de este hecho y empiezan a incorporar dentro de sus dispositivos una parte safety y otra más security que, trabajando con el objetivo final de seguridad global, son independientes una de la otra.

Por ilustrar con un ejemplo los PLC, dispositivos finales que controlan procesos industriales, deben operar de modo que puedan cumplir las normativas de obligado cumplimiento, como la SEVESO III,  que obligan a las industrias a seguir ciertas pautas para ofrecer el nivel de seguridad adecuado, todo ello manteniendo su misión de control. Para poder llevar a cabo su integración se han modificado los dispositivos, incluyendo internamente dos procesadores independientes, utilizando sistemas de comunicación distintos para cumplir con la normativa anteriormente comentada, y tener capacidad operacional autónoma tanto safety como security, de tal forma que si una parte se ve comprometida, la otra no se vea afectada.

Política de seguridad y análisis de riesgos. Competencias en entorno lógico y físico

Para entender tanto los sistemas de seguridad HSE (Health, Safety and Environment) (Salud, seguridad y medio ambiente) como los sistemas de ciberseguridad, hay que tener en cuenta su legislación y la identificación de riesgos de los mismos.

Como se representa en la siguiente imagen, existen diferentes normativas que aplicar dependiendo del entorno en el que se encuentre, ya sea el mundo lógico o el físico.

Legislación HSE vs. Ciberseguridad industrial

Legislaciones

Además, una tarea importante en un sistema de gestión de seguridad debe contar con una parte dedicada al análisis de riesgos que igualmente debe contemplar los ámbitos safety y security.

Entre los términos tratados en la identificación de riesgos HSE se prestará atención a los siguientes por ser estos los métodos más utilizados en un análisis de riesgos tanto a nivel lógico como físico:

  • Análisis histórico de accidentes, que aportará una importante base de conocimiento y lecciones aprendidas de sucesos anteriores que ayudarán en la prevención y gestión de incidentes futuros.
  • Análisis preliminares o HAZID (HAZard IDentification), utilizados especialmente en aquellos casos en los que no se tiene información detallada sobre el historial de fallos, incidentes o problemas potenciales relativos a la seguridad industrial en plantas de proceso.
  • Análisis mediante árbol de fallos: proceso deductivo que permite determinar la expresión de sucesos complejos estudiados en función de los fallos básicos de los elementos que intervienen en él.
  • Análisis HAZOP (HAZard and OPerability) (en español AFO - Análisis Funcional de Operatividad), referente a la  identificación de riesgos inductiva basada en la premisa de que los accidentes se producen como consecuencia de una desviación de las variables de proceso con respecto de los parámetros normales de operación.


En cuanto a la identificación de riesgos en la parte de seguridad lógica son referencia los siguientes:

  • Análisis de incidentes. Los problemas de seguridad detectados en el histórico referidos a la parte de ciberseguridad operacional siempre serán mucho menores a los de la parte de HSE, lo cual significa una gran desventaja a la hora de poder analizar los riesgos en el mundo lógico. Para que esto no suceda, los gobiernos han de ponerse en contacto con las empresas, de tal forma que éstas reporten sus problemas de ciberseguridad y así poder aprender de los accidentes que ya han ocurrido aplicando una lista de buenas prácticas.
  • Diagnóstico técnico y organizativo. La principal diferencia que poseen estos diagnósticos en el ámbito industrial con respecto a otros entornos, es que no es posible realizar los diagnósticos en un entorno de producción sino que es necesario basarse en las debilidades conocidas de los dispositivos, configuraciones actuales, versiones de software, etc. Lo ideal sería poseer un laboratorio que replique el proceso con el máximo detalle posible para realizar sobre éste el análisis.
  • Análisis de riesgo D-I-C. Mide los riesgos de Disponibilidad, Integridad y Confidencialidad de los activos dentro de la empresa para poder clasificarlos por su importancia. También conocido como análisis de riesgo A-C-I-D, incluyendo la característica de autenticación.
  • Análisis GAP normativo. Este análisis asegura que el sistema de gestión cumple con los requisitos de la norma, esquema o conjunto de criterios de evaluación, identificando riesgos en los procesos, descubriendo vulnerabilidades en la organización y estableciendo los costes.

Tabla de identificación de riesgos

- Gestión de seguridad global safety-security -

Aproximaciones para una seguridad integral

En un entorno industrial, un ataque a la parte lógica de los sistemas es muy probable que tenga una repercusión en su parte física si el sistema no tiene una buena configuración y segregación de la parte lógica y física. En este caso es muy probable que pueda finalizar en un incidente de seguridad, donde los dispositivos pasen a ser elementos con funcionamientos anómalos con consecuencias directas en la seguridad física. Por ello, es importante diseñar una estrategia conjunta de seguridad donde intervengan los factores tanto lógicos como físicos.

acercamiento entre análisis

- Acercamiento entre el mundo físico y lógico de entornos industriales -

Para realizar con éxito este tipo de aproximación deben observarse tres aspectos básicos:

  • Creación de equipos multidisciplinares. Estos equipos han de estar formados por profesionales tanto de seguridad lógica como de seguridad física, de tal forma que los riesgos detectados por unos complementen los riesgos detectados por los otros y se pueda tener en cuenta el impacto que se produciría de forma individual y en conjunto.
  • Análisis conjuntos. Al igual que los expertos, los documentos y análisis elaborados han de ir de la mano tanto en su parte de análisis funcional de operatividad (HAZOP) como en los análisis de ciberseguridad incluyendo pruebas de intrusión y de configuración de la red.
  • Sistema de gestión coordinado. Compartiendo los datos obtenidos sobre los incidentes ya sea en el análisis de identificación de riesgos operacionales o en el análisis de ciberseguridad operacional.

Este planteamiento, en cualquier caso, requiere como cualquier proyecto de relevancia, de la existencia de un líder y responsable único que asegure la alineación de los planteamientos parciales de safety y security. Aquí, la normativa actual, en España la ley PIC es clara al requerir un jefe de seguridad único para seguridad física y lógica.