OT Cyber FAT/SAT

Pruebas de ciberresiliencia para Industrial Control Systems (FAT/SAT)

> OT | SITE ASSESSMENT and MÁS > OT Cyber FAT/SAT

OT Cyber FAT/SAT para Industrial Control Systems

Como operador o propietario de Industrial Control Systems (ICSs), usted es responsable de verificar los requisitos de ciberseguridad de estos sistemas. Para un ICS nuevo, esta verificación debe formar parte de la Prueba de Aceptación en Fábrica (FAT) y de la Prueba de Aceptación en el Emplazamiento (SAT). Bureau Veritas Cybersecurity puede ayudarle con una verificación independiente.

Highlight-image

Amenazas a la seguridad en OT

Ransomware, malware: nuestros expertos en seguridad ven surgir todo tipo de amenazas a la seguridad en OT, propagadas por actores maliciosos que se aprovechan de una postura de seguridad OT débil. No aplicar medidas de seguridad desde el principio puede resultar costoso e incluso peligroso.

¿Por qué elegir Cyber FAT/SAT?

Entre la fase de diseño e ingeniería y la fase de funcionamiento y mantenimiento, hay otras fases importantes, como la implementación y la puesta en servicio. Especialmente entre estas fases, se realiza una prueba de aceptación en fábrica y en las instalaciones para verificar que se cumplen todos los requisitos de diseño.

Una FAT tiene lugar en las instalaciones del proveedor antes de que los sistemas terminados se envíen al emplazamiento. Una FAT implica pruebas exhaustivas de todos los componentes para verificar el cumplimiento del diseño y las especificaciones del proyecto, y para comprobar si el sistema cumple todos los requisitos de funcionalidad y rendimiento. Las pruebas son facilitadas por el proveedor o el integrador del sistema y ejecutadas por el propietario de los assets.

Una prueba de aceptación in situ (SAT) es similar, pero tiene lugar en las instalaciones del cliente y sólo después de la puesta en servicio/instalación completa del sistema. Garantiza que el sistema se instala en un estado de funcionamiento adecuado, fiable y seguro.

Aunque los requisitos de ciberseguridad suelen formar parte de las especificaciones de diseño, normalmente se pasan por alto durante una FAT o SAT convencional. Para el propietario o el operador, a menudo resulta demasiado difícil verificar la compleja naturaleza de todos estos controles de ciberseguridad. Y no se puede esperar que el proveedor, integrador o contratista EPC compruebe de forma independiente su propio diseño. El Cyber FAT/SAT de Bureau Veritas Cybersecurity cubre este vacío: ofrecemos apoyo como proveedor de seguridad independiente.

El Cyber FAT/SAT (CFAT/CSAT) es una extensión del FAT/ SAT convencional con un enfoque en la ciber seguridad. Puede planificarse en paralelo o después del FAT/SAT convencional. Los objetivos son similares, pero se centra en la seguridad digital.

Cómo le apoyamos

  • Asegúrese de que los sistemas se instalan y configuran de acuerdo con las especificaciones de diseño y los acuerdos contractuales;
  • Verifique la correcta configuración y el endurecimiento de los assets OT;
  • Probar rigurosamente si los controles de ciber seguridad funcionan con eficacia;
  • Detectar y remediar los problemas de seguridad antes de que el sistema se envíe al emplazamiento o se ponga en servicio.

Bureau Veritas Cybersecurity puede realizar estas comprobaciones de validación utilizando dos enfoques o una combinación de ambos. A saber: realizando una revisión de diseño y seguridad y/o pruebas de penetración (VA/PT). Ambas opciones se detallarán en las secciones siguientes.

Cómo encajan nuestros servicios de ciberseguridad en el ciclo de vida del proyecto

El ciclo de vida de un nuevo ICS comienza con una especificación del proyecto creada por el propietario o el operador. Naturalmente, esta especificación describe las funciones principales de la nueva instalación, pero también suele contener algunos requisitos de ciberseguridad. Estos pueden basarse en el cumplimiento de las políticas de seguridad de la empresa, las normas industriales (IEC 62443) o las leyes y reglamentos aplicables.

Siguiente es la fase de diseño e ingeniería. Aquí, la ciberseguridad vuelve a desempeñar un papel vital. Para asegurarse de que los requisitos de seguridad están integrados en el proyecto y no son una ocurrencia tardía, puede realizar evaluaciones de riesgos, modelado de amenazas y revisiones del diseño.

Después de esta etapa, el sistema está listo para ser implementado. Aquí es donde entran en juego el FAT y el SAT. La FAT/SAT cibernética de ICS de Bureau Veritas Cybersecurity se centra específicamente en los pasos de verificación habituales durante la fase FAT/SAT regular de cada proyecto.

Más adelante en el ciclo de vida, durante la fase de operación y mantenimiento, la ciberseguridad se convierte en una actividad continua. Esto garantiza una atención continua a los procesos de seguridad y a la postura de seguridad de los assets OT. También garantiza que todos los riesgos digitales sigan siendo aceptables. Las OT Risk assessments, las OT Site assessments y las OT Security Maturity assessments son herramientas importantes para determinar estos riesgos.

Bureau Veritas Cybersecurity proporciona todos los servicios mencionados anteriormente, adaptados específicamente al entorno OT y a los sistemas ICS, cubriendo todo el ciclo de vida del proyecto.

Image in image block

Cómo funciona una revisión de diseño y seguridad

Con una revisión de diseño y seguridad, Bureau Veritas Cybersecurity puede verificar que el diseño y la configuración implementados están de acuerdo con las especificaciones del proyecto. Y si es necesario, también revisamos contra estándares de la industria como IEC 62443.

La arquitectura de red y su configuración de seguridad se revisan con respecto a la arquitectura de referencia del modelo Purdue, pero también con respecto a las mejores prácticas del sector como la micro-segmentación y un diseño de confianza cero. Bureau Veritas Cybersecurity también revisa la configuración de la red y del cortafuegos, para garantizar que estos límites de segmentación son efectivos.

Para activos ICS individuales, como estaciones de trabajo de ingeniería (EWS), interfaces hombre-máquina (HMI), componentes de red y controladores industriales (por ejemplo, DCS, PLCs, RTUs), revisamos la postura de seguridad y verificamos que están configurados de acuerdo con las especificaciones, las mejores prácticas y los estándares de la industria. Estas comprobaciones incluyen, entre otras, las siguientes: endurecimiento del sistema, parches de seguridad, antivirus, copias de seguridad y controles de autenticación y autorización.

El FAT sería el momento más idóneo para realizar las revisiones de diseño y seguridad. Esto permitiría disponer de más tiempo para solucionar cualquier posible problema de seguridad antes de que el equipo se envíe al emplazamiento. Si la revisión puede realizarse durante la FAT, podría limitarse el alcance de la SAT. En ese caso, sólo tendría que volver a comprobar los resultados anteriores y probar el equipo y las interfaces que no formaban parte de la configuración de la FAT.

Cómo las evaluaciones de vulnerabilidades y las pruebas de penetración (VA/PT) ayudan a crear resiliencia

Una Evaluación de vulnerabilidades y Penetration Testing (VA/PT) para sistemas OT requiere un enfoque especializado. Con una evaluación de vulnerabilidades, el objetivo es encontrar tantas vulnerabilidades como sea posible mediante el escaneado y la revisión manual de sistemas, dispositivos de red y configuraciones de aplicaciones. En cambio, una prueba de penetración se realiza desde la perspectiva de un atacante. Su objetivo es explotar estas vulnerabilidades para ilustrar lo que significarían las consecuencias de estos problemas de seguridad para la resistencia digital del entorno. El resultado de ambas assessments puede utilizarse para resolver los posibles problemas de seguridad antes de poner el sistema en producción.

Una ventaja importante de realizar estas pruebas como parte de la FAT y/o SAT es la posibilidad de realizar pruebas más rigurosas. Es sabido que muchos sistemas ICS son menos resistentes a los escáneres de vulnerabilidad y, por lo tanto, es más difícil realizar este tipo de pruebas cuando el sistema está en producción. Así pues, estas fases FAT y SAT son el momento ideal para realizar una assessment VA/PT en profundidad. También es la oportunidad perfecta para verificar si los controles defensivos y de supervisión se implementaron de forma eficaz.

Lea también: Evaluación de vulnerabilidades industriales / Servicio de Pentesting

Alcance de la VA/PT durante el FAT/SAT

Depende de los planes FAT y SAT existentes la forma de abarcar esta assessment. Normalmente, es imposible configurar y probar todo el sistema de OT durante una FAT. Los instrumentos de campo, la maquinaria pesada, los paquetes de terceros, los sistemas existentes y las conexiones a la red corporativa no suelen formar parte de la FAT. Lo mismo ocurre con las posibles conexiones IoT, las aplicaciones en la nube de los proveedores, el acceso remoto seguro u otras formas de conectividad entre sistemas conectados a la red informática o a Internet. Por eso, durante la FAT, la atención suele centrarse en las exploraciones de vulnerabilidades y las pruebas de penetración de los assets aplicables que residen en los niveles 1, 2 y 3 de Purdue. Durante el SAT, esto puede ampliarse a todas las interfaces externas e incluir assets en el nivel 0, la DMZ TI/OT y la red TI empresarial. Por último, cualquier problema que no pueda resolverse inmediatamente como parte de la FAT puede volver a probarse durante la SAT.

Resultado del FAT/SAT cibernético

Bureau Veritas Cybersecurity igualará el proceso FAT/SAT existente si es posible. Añadimos nuestros hallazgos a la lista de tareas pendientes. En función de la prioridad, estos problemas podrían ser resueltos por el proveedor y probados de nuevo durante el FAT/SAT, mientras que Bureau Veritas Cybersecurity podría apoyar proporcionando recomendaciones.

CONTÁCTEME sobre el OT Cyber FAT/SAT

¿Desea obtener más información sobre el OT Cyber FAT/SAT? Rellene el formulario y nos pondremos en contacto con usted en el plazo de un día laborable.

USP

Servicios relacionados

Site Assessment

OT Site Assessment

Explore nuestros servicios OT Site Assessment y proteja sus Industrial Control Systems (ICS) de las ciberamenazas. Comprenda los riesgos y descubra mejoras según los requisitos de la norma IEC 62443. Asegure sus operaciones hoy con Bureau Veritas Cybersecurity.

Modelado de amenazas para Industrial Control Systems

Secura Threat Modeling Service

Descubra las ciberamenazas potenciales para sus Industrial Control Systems con el servicio de Modelado de amenazas de Secura, para que pueda implantar de forma proactiva medidas de seguridad eficaces.

VAPT industrial

VAPT Industrial

VAPT, Evaluación de vulnerabilidades y Penetration Testing, proporciona información sobre la ciberresiliencia de sus redes de TI y OT. Las pruebas de ciberseguridad en entornos industriales requieren un enfoque especializado debido a los diferentes riesgos y modelos de amenazas dentro de OT. Lo sabemos. Conozca los diferentes enfoques de VAPT en OT.

¿Por qué elegir la ciberseguridad de Bureau Veritas?

Bureau Veritas Cybersecurity es su socio experto en ciberseguridad. Ayudamos a las organizaciones a identificar riesgos, reforzar sus defensas y cumplir con las normas y regulaciones de ciberseguridad. Nuestros servicios abarcan personas, procesos y tecnología, desde la formación en materia de concienciación y la ingeniería social hasta el asesoramiento en seguridad, el cumplimiento normativo y las pruebas de penetración.

Operamos en entornos de TI, TO e IoT, y damos soporte tanto a sistemas digitales como a productos conectados. Con más de 300 profesionales de la ciberseguridad en todo el mundo, combinamos una profunda experiencia técnica con una presencia global. Bureau Veritas Cybersecurity forma parte del Bureau Veritas Group, líder mundial en pruebas, inspección y certificación.