Conociendo la estructura y sus componentes, se hace un análisis más a profundidad de algunos de sus componentes transversales como los roles principales que se requieren para el manejo de la ciberseguridad industrial, así como los conceptos de niveles de seguridad y niveles de madurez del sistema.
Centrándonos en los roles que se requieren involucrar en el proceso de certificación de seguridad el estándar IEC 62443 menciona 3 roles importantes a tener en cuenta y un rol que no participa activamente pero que se requiere en la preparación. Los roles requeridos son:
- Propietario del activo: Es la persona que la organización designo para la operación y control del activo que se este analizando o que sea el responsable de todo el sistema de control y automatización.
- Proveedor de servicios de integración: Es la organización que se dedica a integrar una solución de automatización a un proceso, incluyendo el diseño, la instalación, la configuración, las pruebas, l puesta en marcha y la entrega del activo integrado.
- Fabricante del producto: Es la organización que fabrica y da soporte a un dispositivo o a un software que compone los IACS, como pueden ser los mencionado en el documento 4-2 que hablamos anteriormente.
Por ultimo, el rol que aunque no es requerido es vital en el proceso de preparación para la certificación o de aseguramiento de los sistemas de control industrial es:
- Proveedor de mantenimiento: Es la organización o equipo dentro de la empresa responsable de las acciones de soporte a una solución de automatización y el mantenimiento de los equipos que la componen.
Con los roles claros otro concepto que trae la IEC 62443 son los niveles de madurez en los procesos y los requerimientos técnicos. Para los niveles de madurez estipulado en el estándar se tomo como referencia el CMMI, que describe los requisitos relacionados con un proceso, haciendo énfasis en que siempre se deben practicar durante el desarrollo o integración de un servicio de control o automatización, para garantizar que se cumple con un determinado nivel de madurez en ciberseguridad.
Para los niveles de seguridad la norma en los documentos 3-3 y 4-2 entrega los requerimientos de los sistemas y los productos a usar, respectivamente. Esto crea una estructura que se califica en cuatro niveles de cumplimiento llamados niveles de seguridad, los cuales indican la resistencia que tendrá el IACS ante diferentes clases de ataques. Para la evaluación y certificación el estándar enfatiza en la evaluación por cada requerimiento técnico del documento 1-1 y los que no son sustentables a la clasificación de esta tabla general.
Cuando una organización obtenga el mayor grado de madurez y mayor nivel de seguridad, debería contar con métricas maduras que estén alineadas acorde al proceso, que se enfoquen en monitorear la efectividad y el desempeño del proceso, garantizando los insumos necesarios para la mejora del proceso de ciberseguridad.
En cuanto al nivel de seguridad, al llegar al máximo implica una protección contra los usos indebidos, basados en mecanismos técnicamente sofisticados y alineados con los objetivos del proceso, que garantice la mitigación de amenazas conocidas y minimice el riesgo de incidentes ante amenazas desconocidas en las IACS.
Para esto la familia de estándares definen una serie de conceptos que al integrarse permiten cumplir los objetivos trazados en la defensa a profundidad, basados en los niveles de madurez y seguridad, siendo los principales conceptos los siguientes:
- Zona de seguridad: Es el agrupamiento de activos que comparten requisitos de seguridad, delimitando un borde lógico o físico entre los componentes de forma clara.
- Pasarelas o conductos: Son los caminos de comunicación creados o diseñados entre las zonas de seguridad, donde toda la interacción entre estas zonas debe usar este mecanismo seguro como única vía de comunicación.
Lo que busca el estándar con estos conceptos es entregar unas bases claras a los responsables de ciberseguridad industrial para detectar el nivel de seguridad que se tienen, y planear el camino necesario para llegar al nivel que se desean. Una de las ayudas que se puede tener por parte de terceros en el proceso de lograr el nivel de seguridad deseado, es validar que la parte tecnológica tenga las certificaciones que emiten alguno de los laboratorios existentes, para así poder garantiza que el dispositivo o software implementado o planeado, se encuentra dentro del nivel deseado de cumplimiento.
La norma aun no es certificable como la ISO 27001, pero entrega todas las herramientas para un cumplimiento y mejora de la ciberseguridad industrial, que es básico en nuestros entornos y que al ser un estándar horizontal es adaptable y se puede usar por cualquier tipo de industria.