Una historia de amor entre Pardue e IEC

by

La relación entre el Modelo Purdue y la normativa IEC 62443 es clave para estructurar y gestionar la ciberseguridad en entornos OT e industriales. Ambos comparten principios básicos como la segmentación de redes, la definición de zonas seguras y conduits, y la priorización de medidas de seguridad en función del riesgo y la criticidad de los sistemas.

Vamos a ver cómo el modelo Purdue se alinea con la IEC 62443 y cómo facilita su implementación:

1. Segmentación en Zonas y Conduits (IEC 62443-3-2)

Purdue:

  • El modelo Purdue divide la arquitectura industrial en niveles funcionales, lo que permite identificar puntos críticos donde se necesitan barreras de seguridad (e.g., firewalls, gateways).

IEC 62443:

  • La norma introduce el concepto de zonas (grupos de activos con necesidades similares de seguridad) y conduits (canales seguros de comunicación entre zonas).
  • Ejemplo: En Purdue, un sistema SCADA en el Nivel 3 podría ser una zona, mientras que la conexión entre este y los PLCs en el Nivel 2 sería un conduit.

Cómo ayuda:

  • La estructura jerárquica de Purdue facilita identificar qué activos pertenecen a cada zona y los conduits necesarios entre niveles, alineándose con la metodología de segmentación definida en IEC 62443.

2. Priorización Basada en Riesgo (IEC 62443-3-2 y 62443-3-3)

Purdue:

  • Los niveles más cercanos al proceso físico (0 y 1) son críticos y suelen requerir mayor protección.
  • Los niveles superiores (4 y 5) tienen menor impacto directo en la seguridad física, pero pueden ser vectores de ataques indirectos.

IEC 62443:

  • Define un enfoque basado en el riesgo, donde se evalúa la criticidad de las zonas y se asignan requisitos de seguridad (SL – Security Levels) según el impacto potencial de un ataque.

Cómo ayuda:

  • Purdue establece una jerarquía natural para priorizar: los niveles inferiores deben tener medidas de seguridad más estrictas.
  • Ejemplo: Implementar autenticación fuerte y cifrado en las comunicaciones de los conduits entre Nivel 1 (actuadores) y Nivel 2 (SCADA).

3. Control de Acceso y Perímetros (IEC 62443-3-3)

Purdue:

  • Cada nivel actúa como un «perímetro lógico» que controla el acceso a sistemas más críticos.
  • Ejemplo: Entre los niveles 3 y 4 suele haber un firewall o DMZ para proteger los sistemas de control de amenazas provenientes de la red corporativa.

IEC 62443:

  • Especifica requisitos detallados de control de acceso para proteger activos críticos, como:
    • Restricciones de acceso físico y lógico.
    • Autenticación y autorización basada en roles.

Cómo ayuda:

  • El diseño de Purdue guía la ubicación de controles de acceso, como firewalls y proxies, asegurando que las medidas se implementen en los puntos más efectivos.

4. Gestión de Comunicaciones Seguras (IEC 62443-4-2)

Purdue:

  • Los conduits entre niveles definen las rutas de comunicación necesarias para el funcionamiento del sistema.
  • Ejemplo: Comunicación entre sistemas MES (Nivel 3) y SCADA (Nivel 2).

IEC 62443:

  • Exige que las comunicaciones entre zonas sean seguras, utilizando tecnologías como cifrado, autenticación mutua y protocolos seguros.

Cómo ayuda:

  • Los conduits en Purdue identifican exactamente dónde aplicar medidas de comunicación segura para cumplir con los requisitos de IEC 62443.

5. Gestión de Activos y Actualizaciones (IEC 62443-2-1 y 3-3)

Purdue:

  • Cada nivel contiene activos específicos (e.g., sensores en Nivel 1, sistemas SCADA en Nivel 2), lo que facilita el inventario y la gestión de activos.

IEC 62443:

  • Requiere procesos de gestión de activos, incluida la aplicación de parches y actualizaciones de software.

Cómo ayuda:

  • Purdue proporciona un marco estructurado para clasificar activos, lo que facilita la planificación de actividades de mantenimiento y actualización según los requisitos de la norma.

6. Adaptación a la Convergencia IT/OT (IEC 62443-4-1)

Purdue:

  • Tradicionalmente, Purdue separa IT (Niveles 4 y 5) de OT (Niveles 0-3). Sin embargo, en entornos modernos, estas fronteras son difusas debido a tecnologías como IoT/IIoT.

IEC 62443:

  • Aborda la convergencia IT/OT mediante un enfoque de seguridad que abarca todo el ciclo de vida de los sistemas (diseño, implementación, operación, mantenimiento).

Cómo ayuda:

  • El modelo Purdue puede complementarse con herramientas modernas (e.g., segmentación microperimetral, Zero Trust, defensa en profundidad…) para adaptarse a las nuevas realidades, manteniendo el cumplimiento con IEC 62443.

Terminando

El modelo Purdue y la normativa IEC 62443 se complementan de la siguiente manera:

  • Purdue proporciona un marco físico y lógico para estructurar redes industriales.
  • IEC 62443 aporta requisitos específicos de seguridad que se implementan sobre la estructura definida por Purdue.

En otra ocasión hablaré del modelo Pardue con más detalle.

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

en_GBEnglish
en_GBEnglish es_ESSpanish