Una historia de amor entre Pardue e IEC

por

La relación entre el Modelo Purdue y la normativa IEC 62443 es clave para estructurar y gestionar la ciberseguridad en entornos OT e industriales. Ambos comparten principios básicos como la segmentación de redes, la definición de zonas seguras y conduits, y la priorización de medidas de seguridad en función del riesgo y la criticidad de los sistemas.

Vamos a ver cómo el modelo Purdue se alinea con la IEC 62443 y cómo facilita su implementación:

1. Segmentación en Zonas y Conduits (IEC 62443-3-2)

Purdue:

  • El modelo Purdue divide la arquitectura industrial en niveles funcionales, lo que permite identificar puntos críticos donde se necesitan barreras de seguridad (e.g., firewalls, gateways).

IEC 62443:

  • La norma introduce el concepto de zonas (grupos de activos con necesidades similares de seguridad) y conduits (canales seguros de comunicación entre zonas).
  • Ejemplo: En Purdue, un sistema SCADA en el Nivel 3 podría ser una zona, mientras que la conexión entre este y los PLCs en el Nivel 2 sería un conduit.

Cómo ayuda:

  • La estructura jerárquica de Purdue facilita identificar qué activos pertenecen a cada zona y los conduits necesarios entre niveles, alineándose con la metodología de segmentación definida en IEC 62443.

2. Priorización Basada en Riesgo (IEC 62443-3-2 y 62443-3-3)

Purdue:

  • Los niveles más cercanos al proceso físico (0 y 1) son críticos y suelen requerir mayor protección.
  • Los niveles superiores (4 y 5) tienen menor impacto directo en la seguridad física, pero pueden ser vectores de ataques indirectos.

IEC 62443:

  • Define un enfoque basado en el riesgo, donde se evalúa la criticidad de las zonas y se asignan requisitos de seguridad (SL – Security Levels) según el impacto potencial de un ataque.

Cómo ayuda:

  • Purdue establece una jerarquía natural para priorizar: los niveles inferiores deben tener medidas de seguridad más estrictas.
  • Ejemplo: Implementar autenticación fuerte y cifrado en las comunicaciones de los conduits entre Nivel 1 (actuadores) y Nivel 2 (SCADA).

3. Control de Acceso y Perímetros (IEC 62443-3-3)

Purdue:

  • Cada nivel actúa como un «perímetro lógico» que controla el acceso a sistemas más críticos.
  • Ejemplo: Entre los niveles 3 y 4 suele haber un firewall o DMZ para proteger los sistemas de control de amenazas provenientes de la red corporativa.

IEC 62443:

  • Especifica requisitos detallados de control de acceso para proteger activos críticos, como:
    • Restricciones de acceso físico y lógico.
    • Autenticación y autorización basada en roles.

Cómo ayuda:

  • El diseño de Purdue guía la ubicación de controles de acceso, como firewalls y proxies, asegurando que las medidas se implementen en los puntos más efectivos.

4. Gestión de Comunicaciones Seguras (IEC 62443-4-2)

Purdue:

  • Los conduits entre niveles definen las rutas de comunicación necesarias para el funcionamiento del sistema.
  • Ejemplo: Comunicación entre sistemas MES (Nivel 3) y SCADA (Nivel 2).

IEC 62443:

  • Exige que las comunicaciones entre zonas sean seguras, utilizando tecnologías como cifrado, autenticación mutua y protocolos seguros.

Cómo ayuda:

  • Los conduits en Purdue identifican exactamente dónde aplicar medidas de comunicación segura para cumplir con los requisitos de IEC 62443.

5. Gestión de Activos y Actualizaciones (IEC 62443-2-1 y 3-3)

Purdue:

  • Cada nivel contiene activos específicos (e.g., sensores en Nivel 1, sistemas SCADA en Nivel 2), lo que facilita el inventario y la gestión de activos.

IEC 62443:

  • Requiere procesos de gestión de activos, incluida la aplicación de parches y actualizaciones de software.

Cómo ayuda:

  • Purdue proporciona un marco estructurado para clasificar activos, lo que facilita la planificación de actividades de mantenimiento y actualización según los requisitos de la norma.

6. Adaptación a la Convergencia IT/OT (IEC 62443-4-1)

Purdue:

  • Tradicionalmente, Purdue separa IT (Niveles 4 y 5) de OT (Niveles 0-3). Sin embargo, en entornos modernos, estas fronteras son difusas debido a tecnologías como IoT/IIoT.

IEC 62443:

  • Aborda la convergencia IT/OT mediante un enfoque de seguridad que abarca todo el ciclo de vida de los sistemas (diseño, implementación, operación, mantenimiento).

Cómo ayuda:

  • El modelo Purdue puede complementarse con herramientas modernas (e.g., segmentación microperimetral, Zero Trust, defensa en profundidad…) para adaptarse a las nuevas realidades, manteniendo el cumplimiento con IEC 62443.

Terminando

El modelo Purdue y la normativa IEC 62443 se complementan de la siguiente manera:

  • Purdue proporciona un marco físico y lógico para estructurar redes industriales.
  • IEC 62443 aporta requisitos específicos de seguridad que se implementan sobre la estructura definida por Purdue.

En otra ocasión hablaré del modelo Pardue con más detalle.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

es_ESSpanish
es_ESSpanish en_GBEnglish