Cómo PAM facilita la implementación de IEC 62443

Si trabajas con Sistemas de Automatización y Control Industrial (IACS), seguro que has oído hablar de la norma IEC 62443. Es un conjunto de reglas complejas que abarcan desde el análisis de riesgos hasta la implementación de políticas de seguridad en entornos industriales. Y como en cualquier estándar de ciberseguridad, la gestión de accesos y la identidad de los usuarios son clave.

Si quieres certificarte en IEC 62443, necesitas controlar los accesos privilegiados. Aquí es donde entra en juego la gestión de accesos privilegiados (PAM). PAM se encarga de los usuarios administrativos que pueden configurar o modificar los sistemas IACS que estás protegiendo. Sin una gestión adecuada, estos accesos pueden convertirse en una puerta abierta para los ciberdelincuentes.

¿Qué es IEC 62443 y por qué te afecta?

Llamar «estándar» a IEC 62443 puede llevar a confusión, ya que en realidad es un conjunto de normas y reglas interconectadas de entidades como el Instituto Nacional de Estándares de EE.UU (ANSI). Fue creada por la Comisión Electrotécnica Internacional (IEC), una organización que lleva más de un siglo definiendo estándares para el sector eléctrico y electrónico. Varias entidades certificadoras en todo el mundo han desarrollado programas basados en esta norma, y cada una sigue su propio esquema de certificación.

En pocas palabras, IEC 62443 establece reglas para garantizar la seguridad en los IACS y se aplica en distintos sectores industriales.

Aquí tienes un resumen de los aspectos más relevantes relacionados con la gestión de accesos:

Grupo de normas	Elementos
Políticas y procedimientos relacionados con la seguridad en los IACS	62443-2-1	Requisitos para definir e implementar un sistema de gestión de ciberseguridad para los IACS.
	62443-2-2	Guía para la operación de un sistema de gestión de ciberseguridad en los IACS.
	62443-2-3	Guía sobre la gestión de parches en los IACS.
	62443-2-4	Requisitos para proveedores de IACS.
Requisitos a nivel de sistema	62443-3-1	Aplicación de distintas tecnologías de seguridad en entornos IACS.
	62443-3-2	Evaluación de riesgos de seguridad y diseño del sistema en los IACS.
	62443-3-3	Requisitos de seguridad fundamentales para los sistemas y niveles de garantía de seguridad.

Fuente: The 62443 Series of Standards, publicado por ISA, diciembre de 2016.

¿Qué es la Gestión de Accesos Privilegiados (PAM)?

Una de las mejores formas de cumplir con IEC 62443 sin complicarte la vida es usar una solución PAM. Así puedes controlar quién accede a los sistemas críticos y qué pueden hacer.

Los usuarios privilegiados tienen permisos para acceder a los controles administrativos de un sistema. Pueden crear, modificar o eliminar cuentas, acceder a datos sensibles e incluso cambiar configuraciones o desinstalar sistemas completos. Si un ciberdelincuente consigue suplantar a uno de estos usuarios, las consecuencias pueden ser desastrosas.

Aquí es donde una solución PAM como WALLIX marca la diferencia. PAM te permite:

Conceder y revocar accesos privilegiados de forma centralizada.
Supervisar y registrar todas las acciones de los usuarios privilegiados.
Evitar accesos directos al sistema, reduciendo el riesgo de ataques.
Aplicar el principio de menor privilegio, asegurando que cada usuario solo acceda a lo que necesita.

Con una solución PAM, el usuario privilegiado no conoce la contraseña real del sistema que administra, lo que reduce la posibilidad de manipulaciones indebidas o ataques internos. En entornos industriales, esto es clave para evitar que alguien altere manualmente la configuración de un sistema crítico.

Mapping de IEC 62443 con PAM

PAM facilita la implementación de varios aspectos de IEC 62443. Para simplificar la comprensión de estos estándares, la siguiente tabla relaciona sus elementos con el marco de ciberseguridad de NIST:

Parte relevante del Marco de Ciberseguridad de NIST	Elemento correspondiente de IEC/ISA 62433	Papel de PAM en la implementación
PR.AC-1: La gestión de identidades y credenciales de los dispositivos y usuarios autorizados	ISA 62443-2-1:2009 4.3.3.5.1 – Cuentas de acceso e implementación de políticas de autorización: «Los privilegios de acceso implementados para las cuentas de acceso deben establecerse de acuerdo con la política de seguridad de autorización de la organización (4.3.3.7.1).»	La solución PAM permite definir y hacer cumplir la política de seguridad de autorización en múltiples sistemas administrativos de IACS.
	ISA 62443-2-1:2009 4.3.3.7.1 – Definir una política de seguridad de autorización.	La solución PAM puede servir como repositorio de políticas de seguridad de autorización en todos los IACS de una instalación industrial.
	ISA 62443-3-3:2013 (Seguridad para sistemas de automatización y control industrial Parte 3-3: Requisitos de seguridad del sistema y niveles de seguridad) SR 1.1 – Identificación y autenticación de usuarios humanos: «El sistema de control debe proporcionar la capacidad de identificar y autenticar a todos los usuarios humanos. Esta capacidad debe hacer cumplir dicha identificación y autenticación en todas las interfaces que proporcionen acceso de usuario humano al sistema de control para apoyar la segregación de funciones y el principio de menor privilegio, de acuerdo con las políticas y procedimientos de seguridad de la aplicación.»	El concepto de «menor privilegio» es fundamental en PAM. La solución PAM permite conceder o revocar privilegios a usuarios específicos, garantizando que cada usuario tenga solo los permisos mínimos necesarios según la política de seguridad.
	SR 1.3 – Gestión de cuentas «El sistema de control deberá proporcionar la capacidad de gestionar todas las cuentas de los usuarios autorizados, incluyendo la creación, activación, modificación, desactivación y eliminación de cuentas.»	Bajo este elemento, cada sistema de control debe ser capaz de gestionar todas las cuentas de usuarios autorizados y privilegiados. Esto no es práctico en un entorno con múltiples IACS. PAM puede proporcionar un único punto de gestión para todos los usuarios privilegiados que afectan a todos los IACS.
	SR 1.4 – Gestión de identificadores «El sistema de control deberá proporcionar la capacidad de gestionar identificadores por usuario, grupo, rol o interfaz del sistema de control.»	PAM puede gestionar el acceso privilegiado según el usuario, grupo o rol.
	SR 1.5 – Gestión de autenticadores «El sistema de control deberá proporcionar la capacidad de cambiar/actualizar todos los autenticadores y protegerlos contra divulgación no autorizada y modificaciones cuando estén almacenados o transmitidos.»	PAM proporciona a los administradores de IACS un único punto de control sobre todos los autenticadores utilizados por los usuarios privilegiados. Puede proteger los autenticadores contra divulgación y modificaciones no autorizadas.
	4.3.3.3.8 – Establecer procedimientos para la supervisión y la alerta	La supervisión y las alertas son características clave de la mayoría de las soluciones PAM, lo que permite a los administradores estar al tanto de posibles violaciones de las políticas de acceso de usuarios privilegiados.
PR.AC-3: Gestión de accesos remotos	ISA 62443-2-1:2009 4.3.3.6.6 – Desarrollo de una política para inicios de sesión y conexiones remotas	El acceso remoto representa un riesgo para las cuentas privilegiadas. Los atacantes que suplantan a usuarios privilegiados suelen intentar iniciar sesión de forma remota para llevar a cabo actividades maliciosas. PAM ayuda a mitigar este riesgo.
	ISA 62443-3-3:2013 SR 1.13 – Acceso a través de redes no confiables: «El sistema de control debe proporcionar la capacidad de monitorear y controlar todos los métodos de acceso al sistema de control a través de redes no confiables.»	PAM permite supervisar sesiones de cuentas privilegiadas, rastreando y registrando los detalles de acceso a la red.
	ISA 62443-3-3:2013 SR 2.6 – Terminación de sesiones remotas: «El sistema de control debe proporcionar la capacidad de terminar una sesión remota ya sea automáticamente después de un período configurable de inactividad o manualmente por el usuario que inició la sesión.»	Muchas soluciones PAM pueden ejecutar flujos de trabajo predefinidos basados en alertas. Por ejemplo, si la solución PAM detecta actividad no autorizada, puede configurarse para finalizar la sesión de la cuenta privilegiada.
PR.AC-4: Gestión de permisos de acceso, incorporando los principios de menor privilegio y separación de funciones	ISA 62443-2-1:2009 4.3.3.7.3 – Establecimiento de métodos de permisos lógicos y físicos apropiados para acceder a dispositivos IACS.	El acceso físico a los dispositivos es un vector de ataque para los atacantes que intentan suplantar a usuarios privilegiados. Si un atacante puede iniciar sesión en un dispositivo localmente, a menudo puede eludir las políticas de uso de cuentas privilegiadas. PAM reduce este riesgo prohibiendo que el usuario privilegiado conozca la contraseña real del dispositivo físico.
	ISA 62443-3-3:2013 SR 2.1 – Aplicación de autorizaciones: «En todas las interfaces, el sistema de control debe proporcionar la capacidad de hacer cumplir las autorizaciones asignadas a todos los usuarios humanos para controlar el uso del sistema de control con el fin de respaldar la segregación de funciones y el menor privilegio.»	PAM proporciona una solución integral para la segregación de funciones y la aplicación del menor privilegio, una alternativa más eficiente y segura que intentar implementar esta función en cada interfaz de IACS individualmente.

¿Por qué deberías implementar PAM ya?

Si necesitas certificarte en IEC 62443 sin perder el control sobre los accesos en tus sistemas industriales, una solución PAM es la clave. Te ayuda a demostrar el cumplimiento del estándar y facilita auditorías, además de reducir riesgos de ciberseguridad.

Pero PAM no solo es útil para cumplir con IEC 62443. También te permite gestionar de manera más eficiente la seguridad de tus sistemas industriales, ayudándote a:

Supervisar quién accede a qué y cuándo, evitando accesos no autorizados.
Reducir riesgos de ataques internos o externos limitando los privilegios.
Mejorar la gestión de parches y auditorías, asegurando que solo los usuarios autorizados realicen cambios en los sistemas.

Esto es exactamente lo que hace WALLIX.

Si quieres saber más sobre cómo la solución PAM de WALLIX puede ayudarte a cumplir con IEC 62443 y mejorar la seguridad de tus IACS,

Pregúntanos sobre IEC 62443

Póngase en contacto con nosotros

Contenidos relacionados

febrero 13, 2025

Recursos relacionados

octubre 4, 2024

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.