Conformidad, Industria, Privileged Access Management

Cómo PAM posibilita la implementación de la IEC 62443

Access the whitepaper

La norma IEC 62443 es un vasto conjunto de normas de ciberseguridad muy complejas que trata las necesidades únicas que tienen los Sistemas de Automatización y Control Industrial (IACS). Esta norma abarca todo el ámbito de la seguridad, desde el análisis de riesgos hasta la definición e implementación de las políticas de seguridad para los IACS. Como ocurre con la mayoría de normas de seguridad, las cuestiones sobre el control del acceso y la gestión de identidades son factores decisivos para el éxito de las mismas. Es más, una organización que busque la certificación de la norma IEC 62443 debe abordar el tema de la Gestión del Acceso Privilegiado (PAM), que está relacionado con los usuarios administradores o privilegiados que pueden establecer o modificar los elementos de los IACS protegidos por la norma.

¿Qué es la IEC 62443?

Llamar a la IEC 62443 «norma» puede inducir a error, ya que en realidad se trata de una biblioteca de reglas y normas conectadas de entidades como el Instituto Nacional Estadounidense de Normalización (ANSI) y las Normas Internacionales de Auditoría (NIA). La conocida y respetada Comisión Electrotécnica Internacional (IEC) , que desde 1906 ha estado promulgando normas de uso de productos eléctricos y electrónicos, es la que publica la IEC 62443 (básicamente, ¡esta comisión es la que nos proporcionó la norma Hertz!). Cabe mencionar que un gran número de organismos de certificación han establecido los programas de certificación de la IEC 62443, definiendo su propio sistema en base a las normas y procedimientos de referencia.

La IEC 62443 es una biblioteca de reglas y normas conectadas que vela por la seguridad de los Sistemas de Automatización y Control Industrial (IACS).

Los elementos de esta norma pretenden ser de naturaleza multisectorial, por lo que incluyen métodos y técnicas de protección de la ciberseguridad. Dentro de la IEC 62443 existen decenas de componentes y normas específicas. Elementos fundamentales para comprender que es la IEC y el control de accesos:

Grupo de normalización

Elementos

Políticas y procedimientos (vinculados a la seguridad de los IACS)

62443-2-1: lo que se necesita para definir e implementar un sistema de gestión de la ciberseguridad de los IACS eficaz
62443-2-2: una guía sobre qué es necesario para operar un sistema de gestión de la ciberseguridad de los IACS eficaz
62443-2-3: ofrece orientación en cuanto a la gestión de los parches para los IACS
62443-2-4: requisitos para los proveedores de los IACS

Requisitos del sistema: abordar los requisitos a nivel de sistema

62443-3-1: aplicación de varias tecnologías de seguridad para un entorno IACS
62443-3-2: evaluación del riesgo de seguridad y diseño del sistema para los IACS
62443-3-3: requisitos principales de seguridad del sistema y niveles de garantía de seguridad

Fuente: The 62443 Series of Standards, publicada en diciembre de 2016 por ISA

Entender la Gestión del Acceso Privilegiado (PAM)

Una de las mejores formas de implementar las normas de la IEC es mediante la utilización de una solución PAM que mantenga el control completo del acceso a los datos y sistemas más críticos.

Los usuarios privilegiados tienen la autorización (o podríamos decir «el privilegio») para acceder a los controles administrativos de un sistema determinado. También se les llama usuarios administrativos o «root», y son capaces de configurar, modificar o eliminar otras cuentas de usuario. Asimismo, con frecuencia pueden acceder o modificar datos y, en algunos casos, estos usuarios pueden llegar a alterar las configuraciones del sistema o desinstalarlo por completo.

Los riesgos de seguridad aumentan cuando los usuarios privilegiados no son gestionados correctamente. Por ejemplo, si un hacker se hace pasar por un usuario privilegiado, puede causar estragos en los IACS. Con el fin de mitigar dichos riesgos, las soluciones PAM establecen una forma segura y directa para autorizar y monitorear a todos los usuarios privilegiados.

La soluciones PAM como WALLIX otorgan y revocan derechos de acceso privilegiado. Pueden actuar como intermediarios entre los usuarios privilegiados y los sistemas que gestionan para que así un usuario privilegiado no tenga acceso directo y de back-end. Con algunas soluciones, como la de WALLIX, el usuario privilegiado ni si quiera sabe la contraseña del sistema que está administrando. Esta función reduce el riesgo de que se produzca una invalidación manual, que para un entorno industrial supone una grave amenaza.

PAM proporciona las capacidades que las organizaciones necesitan para limitar y monitorear el acceso a sistemas críticos.

Mapear la IEC 62443 a PAM

PAM propone un planteamiento óptimo para la implementación de varios elementos de la IEC 62443. Dado que las normas pueden ser un poco abrumadoras, la siguiente tabla las enumera y las asocia con partes conocidas del marco de ciberseguridad de NIST.

Lo cierto es que PAM se alinea con la IEC 62443 en cuanto a los controles de acceso, que están sujetos a las normas NIST PR.AC: el acceso a activos e instalaciones asociadas se limita a los usuarios, procesos o dispositivos autorizados, así como las actividades y transacciones aprobadas.

Parte importante del Marco de Ciberseguridad del NIST	Elemento IEC/ISA 62433 correspondiente	El papel de PAM en la implementación
PR.AC-1: Las identidades y credenciales se gestionan para los dispositivos y usuarios autorizados	ISA 62443-2-1:2009 4.3.3.5.1. Acceso a cuentas (e) implementación de la política de autorizaciones: «Los privilegios de acceso implementados para las cuentas de acceso deben ser establecidos de acuerdo con la política de seguridad de autorización de la organización (4.3.3.7.1)»	La solución PAM es capaz de definir y aplicar la política de seguridad de autorizaciones en los múltiples back-ends administrativos de los IACS
	ISA 62443-2-1:2009 4.3.3.7.1. Definir una política de seguridad de autorizaciones	La solución PAM funciona como un repositorio de políticas de seguridad de autorizaciones en relación con todos los IACS de una instalación industrial
	ISA 62443-3-3:2013 (Seguridad de los sistemas de automatización y control industrial Parte 3-3: requisitos de seguridad del sistema y niveles de seguridad) SR 1.1. Identificación y autenticación del usuario humano: «El sistema de control debe proporcionar la capacidad de identificar y autenticar a todos los usuarios humanos. Esta capacidad deberá aplicar dicha identificación y autenticación a todas las interfaces que proporcionen acceso de usuarios humanos al sistema de control para apoyar la segregación de funciones y el menor privilegio de acuerdo con las políticas y procedimientos de seguridad de la aplicación»	El «privilegio mínimo» es un concepto de PAM. La solución PAM puede otorgar privilegios a determinados usuarios o revocarlos, garantizando que cada usuario tenga unos «privilegios mínimos» de acuerdo con la política
	ISA 62443-3-3:2013 SR 1.3. Gestión de cuentas: «El sistema de control deberá proporcionar la capacidad de apoyar la gestión de todas las cuentas por parte de los usuarios autorizados, incluyendo la adición, activación, modificación, desactivación y eliminación de cuentas»	Bajo este elemento, se supone que cada sistema de control apoya la gestión de todas las cuentas de los usuarios autorizados y privilegiados. Esto no resulta práctico en un entorno con múltiples IACS. PAM puede proporcionar un único punto de gestión para todos los usuarios privilegiados que afecte a todos los IACS
	ISA 62443-3-3:2013 SR 1.4. Gestión de identificadores: «El sistema de control deberá proporcionar la capacidad de apoyar la gestión de identificadores por usuario, grupo, función o interfaz del sistema de control»	PAM puede gestionar el acceso privilegiado de acuerdo con el usuario, grupo o papel
	ISA 62443-3-3:2013 SR 1.5. Gestión de autenticadores: «El sistema de control deberá proporcionar la capacidad de cambiar o renovar todos los autenticadores, así como protegerlos de la divulgación y modificación no autorizada cuando se almacenen y transmiten»	PAM proporciona a los administradores de los IACS un único punto de control sobre los autenticadores utilizados por usuarios privilegiados. Puede proteger a los autenticadores de divulgaciones y modificaciones no autorizadas.
	ISA 62443-2-1:2009 4.3.3.3.8. Establecer procedimientos de control y alarma	La supervisión y las alertas son características fundamentales de la mayoría de las soluciones PAM y permiten a los administradores estar al tanto de posibles violaciones de las políticas de cuentas privilegiadas
PR.AC-3: El acceso remoto está gestionado	ISA 62443-2-1:2009 .3.3.6.6. Desarrollar una política de conexiones e inicios de sesión remotos	El acceso remoto es un riesgo para las cuentas privilegiadas. Aquellos que se hacen pasar por usuarios privilegiados con frecuencia intentan iniciar sesión de forma remota para llevar a cabo actos malignos. PAM puede mitigar este riesgo
	ISA 62443-3-3:2013 SR 1.13. Acceso por medio de redes que no son de confianza: «El sistema de control deberá proporcionar la capacidad de supervisar y controlar todos los métodos de acceso al sistema de control a través de redes que no son de confianza»	PAM puede monitorear sesiones de cuentas privilegiadas, así como rastrear y grabar información sobre accesos a la red
	ISA 62443-3-3:2013 SR 2.6. Terminación de la sesión remota: «El sistema de control deberá proporcionar la capacidad de terminar una sesión remota, ya sea automáticamente después de un período de tiempo de inactividad que se puede configurar o manualmente por el usuario que inició la sesión»	Muchas soluciones PAM pueden ejecutar flujos de trabajo preestablecidos basándose en alertas. Por ejemplo, si la solución PAM detecta actividad no autorizada, esta puede ser configurada para terminar la sesión de la cuenta privilegiada
PR.AC-4: Se gestionan los permisos de acceso incorporando el principio del privilegio mínimo y la separación de funciones	ISA 62443-2-1:2009 4.3.3.7.3 – Establecer métodos de permisos lógicos y físicos adecuados para acceder a los dispositivos IACS	El acceso a dispositivos físicos constituye una superficie de ataque para aquellos atacantes que se hacen pasar por usuarios privilegiados. Si el atacante consigue iniciar sesión en un dispositivo local, este podrá eludir las políticas de uso de las cuentas privilegiadas. PAM reduce este riesgo al prohibir al usuario privilegiado conocer la verdadera contraseña del dispositivo físico
	ISA 62443-3-3:2013 SR 2.1. Aplicación de la autorización: «En todas las interfaces el sistema de control deberá proporcionar la capacidad de aplicar las autorizaciones asignadas a todos los usuarios humanos para controlar el uso del sistema de control y así apoyar la segregación de funciones y el privilegio mínimo»	PAM proporciona una solución general para la segregación de funciones y privilegios mínimos, un planteamiento más eficaz y seguro que tratar que las interfaces de cada IACS desempeñen su tarea

Implementar PAM para la seguridad del ICS

Las soluciones PAM posibilitan la optimización del proceso de obtención de la certificación de la norma IEC 62443. Esto es cierto tanto de manera directa como indirecta. Tal y como muestra la tabla, varios elementos de la IEC 62443 están vinculados directamente con el control de accesos y la protección de cuentas privilegiadas. De manera indirecta, una solución PAM fuerte incide en la capacidad de una organización de cumplir con los extensos controles de la IEC 62443. Por ejemplo, si se dispone de una solución PAM implementada, estar al día con la gestión de parches y la evaluación de riesgos (ambos ámbitos dependen el uno del otro) se vuelve más sencillo. De eso es de lo que WALLIX se trata.

Para obtener más información sobre como la solución de PAM de WALLIX puede aplicar las normas IEC 62443, descargue el libro blanco o ¡póngase en contacto con nosotros!

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Cómo PAM posibilita la implementación de la IEC 62443

¿Qué es la IEC 62443?

Entender la Gestión del Acceso Privilegiado (PAM)

Mapear la IEC 62443 a PAM

Implementar PAM para la seguridad del ICS

Cómo la unión de la Gestión de Identidades y Accesos (IAM) y PAM ayuda a lograr un gobierno de identidades coherente

Coste de una violación de datos vs. Coste de una solución de seguridad

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca