¿Cómo evaluar la ciberseguridad de un producto industrial según la norma IEC 62443?

Blog

23
- Febr
2023
Publicado por: Javier Tallón
[Certificación]
¿Cómo evaluar la ciberseguridad de un producto industrial según la norma IEC 62443?

La norma IEC 62443 es el principal marco de referencia internacional para la ciberseguridad de los sistemas industriales y especifica una serie de medidas contra los ciberataques. También proporciona una lingua franca para el ecosistema industrial (fabricantes, integradores y laboratorios de pruebas). Es la única solución fiable para probar la ciberseguridad de los componentes en el campo de la automatización industrial.

Las normas internacionales se basan en las mejores prácticas de la industria y se alcanzan por consenso. La aplicación de la norma IEC 62443 puede mitigar los efectos de los ciberataques y, a menudo, prevenirlos, reforzando la seguridad durante todo el ciclo de vida y reduciendo los costes. El principal objetivo de esta norma es simplificar el comercio entre los países participantes y aumentar la compatibilidad de las normas internacionales.

Esta metodología proporciona, entre otras, estas ventajas:

  • Mejora de la ciberseguridad de los componentes.

  • Adelantarse a los requisitos normativos que llegarán en los próximos años.

  • Mejora de la concienciación sobre ciberseguridad dentro de la empresa.

    • Existen dos normas principales denominadas IEC 62443 4- 1 & 62443 4-2 enfocadas a la ciberseguridad de productos industriales.

    Principales diferencias entre las normas IEC 62443 4-1 e IEC 62443 4-2

  • La norma IEC 62443-4-1 se basa en cuatro niveles de madurez y la norma IEC 62443 4-2 en cuatro niveles de seguridad.

  • Es obligatorio obtener primero la certificación IEC 62443-4-1 si se desea obtener la certificación IEC 62443-4-2.

  • IEC 62443 4-1 cubre un total de 47 requisitos divididos en 8 prácticas, IEC 62443 4 - 2 cubre 140 requisitos en la norma.

  • La norma IEC 62443 4-1 se centra en el desarrollo de productos seguros y en el ciclo de vida del producto, mientras que la norma IEC 62443-4-2 se centra en los requisitos técnicos de seguridad de los componentes del IACS, en particular los dispositivos integrados, los componentes de red, los componentes host y las aplicaciones de software.

    • ¿Quiénes participan en el proceso de certificación?

    El proceso de certificación no es sencillo y puede llevar varios meses de esfuerzo. Por ello, recomendamos recurrir a un laboratorio de confianza. La carga de trabajo también es considerable para el cliente, ya que, sobre todo en la primera parte, tiene que justificar los requisitos que cumple para cada norma y cómo los cumple.

    Los principales agentes que intervienen en este proceso son los siguientes:

  • Empresa solicitante: La empresa que quiere certificar el producto.

  • CBTL (el laboratorio donde se realizarán las pruebas): Es necesario un laboratorio acreditado para llevar a cabo la evaluación.

  • NCB o CB (el organismo de certificación): Validará los informes enviados por el laboratorio.

    • Diagrama de flujo del proceso de certificación.

    En esta sección destacaremos las etapas más importantes del proceso de certificación. Con el siguiente gráfico quedarán más claros los pasos a seguir.

    En la parte superior encontramos las funciones que dependen de la empresa solicitante y en la parte inferior las que dependen del laboratorio o NCB/CB.

    Como vemos, muchas de las actividades dependen del cliente:

    Documentación importante requerida en el proceso.

    Hay algunos documentos que debe realizar el cliente, otros el laboratorio y sólo uno el CB/NCB.

    Al inicio del proceso, el cliente debe declarar en qué nivel de madurez (4-1) o de seguridad (4-2) desea evaluar el producto. A continuación, el cliente debe redactar una Declaración de Conformidad, que es una descripción de cómo se cumplen los requisitos.

    Una vez realizada la evaluación, el laboratorio cumplimenta el TRF (Test Report Form) on la información facilitada por el cliente. El TRF es el resultado del proceso de evaluación y se presentará al CB/NCB.

    El NCB / CB es el organismo encargado de expedir el certificado.

    ¿Cómo podemos ayudarle a conseguir la certificación IEC 62443 4-1 & IEC 62443 4-2?

    Nos esforzamos por facilitar el proceso y hacerlo lo más sencillo posible, minimizando la carga de trabajo de nuestros clientes, como bien podemos destacar:

  • Somos editores y líderes del grupo ERNCIP para "Industrial Automation & Control Systems (IACS)".

  • Miembros del SCCG (Stakeholder Cybersecurity Certification Group).

  • Laboratorio acreditado IECEE CB para ciberseguridad industrial.

    • Si desea más información no dude en ponerse en contacto con nosotros.

    tags
    Javier Tallón/Director Técnico

    Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

    En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
    Enero 17, 2025
    jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
    jtsec & Applus+ Laboratories en el ICCC24
    Nov 14, 2024
    jtsec & Applus+ Laboratories en el ICCC24
    Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
    Oct 14, 2024
    Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
    Common Criteria Statistics 2023
    Junio 17, 2024
    Common Criteria Statistics 2023
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    CATEGORÍAS