Stormshield consigue la certificación de seguridad IEC 62443-4-1 sobre protección de sistemas industriales
Stormshield, líder europeo en el mercado de la ciberseguridad, anuncia que ha obtenido la certificación IEC 62443-4-1.
Esta norma proporciona un marco completo para gestionar los riesgos asociados a la implementación de la ciberseguridad en los sistemas de automatización y control industrial (IACS).
Dicha certificación ofrece la garantía de que los productos se han desarrollado de acuerdo con las mejores prácticas de ciberseguridad aplicables a un sistema industrial complejo. Esto permite adoptar sistemas de seguridad en infraestructuras industriales, simplificando el proceso de certificación de todo el sistema.
“La introducción de la industria del futuro, que comenzó hace muchos años, ha aportado complejidad al entorno de los sistemas de automatización y control industrial”, explica Pierre-Yves Hentzen, Director General de Stormshield. “Los enlaces entre la red industrial y la infraestructura informática de gestión tradicional o los socios externos incrementan la superficie de ataque y el riesgo potencial de una brecha de seguridad. Por eso la norma de ciberseguridad IEC 62443-4-1 desempeña un papel crucial; establece requisitos técnicos rigurosos para la seguridad de los componentes de los sistemas industriales a lo largo de su ciclo de vida, reforzando así la resistencia de las infraestructuras frente a las ciberamenazas”.
Esta certificación evidencia la capacidad de Stormshield para proporcionar a sus clientes soluciones diseñadas, fabricadas y mantenidas en línea con los más altos estándares de seguridad. Abarca todos los procesos de desarrollo de software basados en siete principios fundamentales:
- Gestión de la seguridad, incluido el proceso de desarrollo, las responsabilidades y la gestión de claves privadas;
- Definición de requisitos de seguridad, incluido un modelo de amenazas y un análisis de riesgos;
- Seguridad por diseño, que incluye los principios de arquitectura y diseño seguros;
- Implementación segura mediante buenas prácticas de codificación;
- Pruebas y verificación, cuyo objetivo es garantizar que la implementación es correcta incluyendo pentests y pruebas de vulnerabilidad;
- Gestión de incidentes de seguridad y vulnerabilidades;
- Gestión de actualizaciones, parches, documentación y procedimientos de información.
Apoyo a las empresas industriales en su camino hacia el cumplimiento
Además de esta certificación, Stormshield respalda los sistemas de automatización y control industrial en sus esfuerzos por cumplir la norma IEC 62443-4-1 a través de tres líneas de productos que proporcionan seguridad perimetral, protección de endpoint y protección de datos de extremo a extremo. Las características que ofrecen las distintas soluciones Stormshield ayudan a cumplir los requisitos básicos de la norma:
• Identificación, control de autenticación
Stormshield Network Security identifica las redes (incluidas las WiFi), los equipos y los usuarios, al tiempo que incorpora los controles de acceso asociados en la política de seguridad. Las funciones de gestión y autenticación de usuarios ofrecen un alto grado de flexibilidad, facilitando que los datos puedan recuperarse del directorio corporativo o que pueda establecerse una infraestructura completa e independiente que también permita gestionar usuarios externos.
• Control de uso
La mayoría de los controles de uso se basan en la política de seguridad establecida como parte del sistema de protección de dispositivos. La solución SNS va más allá: también puede limitar la duración de las sesiones, finalizar las conexiones remotas e interceptar y bloquear el código móvil malicioso. La solución de gestión de eventos del sistema de Stormshield también posibilita una auditoría segura de las acciones llevadas a cabo en el SIGC.
• Integridad del sistema
Las comprobaciones de integridad del sistema, como la protección contra programas maliciosos, se llevan a cabo tanto a nivel de red como de estación de trabajo. Ambas soluciones son capaces de aplicar medidas correctoras predefinidas a través de su política de seguridad. Además, la solución SNS garantiza la integridad de las comunicaciones y sesiones, y también verifica los códigos de acción enviados a los PLC, a través de su análisis en profundidad de paquetes. La solución Stormshield Endpoint Security (SES) ofrece protección contra las modificaciones a nivel de las aplicaciones del sistema, y la solución Stormshield Data Security avala la integridad de la información. Por último, la información de auditoría puede salvaguardarse enviando los registros simultáneamente a varios servidores.
• Confidencialidad de los datos
El acceso a la información está asegurado tanto para los datos en tránsito a través de las comunicaciones seguras de SNS, como para los datos almacenados a través de su solución de protección de datos Stormshield Data Security. Los mecanismos criptográficos utilizados por estas soluciones están certificados al más alto nivel europeo, y gestionan recursos que ya no necesitan acceder a la información una vez que han sido dados de baja.
• Restricción de los flujos de datos
La gestión de los flujos de datos hace posible que el sistema de automatización y control industrial (IACS) cumpla los requisitos en materia de zonas y conductos de seguridad. Las funciones de enrutamiento y control de flujo de red de la solución SNS, hasta el nivel de aplicación, garantizan una respuesta óptima a todos los requisitos de seguridad. Segmentan la red, protegen los perímetros de las zonas de seguridad y controlan los mensajes salientes mediante un mecanismo de bloqueo de flujos por defecto para habilitar únicamente las comunicaciones autorizadas.
“La certificación IEC 62443-4-1 subraya nuestro compromiso por garantizar la seguridad de los sistemas industriales, una cuestión clave en el mundo actual de ciberamenazas generalizadas”, añade Eric Hohbauer, Director de Ventas y Director General Adjunto de Stormshield. “Esta certificación da fe de nuestros esfuerzos por cumplir las normas de ciberseguridad más exigentes, de modo que podamos proteger eficazmente a nuestros clientes frente a los riesgos de los ciberataques en la industria conectada, ofreciéndoles soluciones de seguridad certificadas, robustas y adaptadas a sus necesidades”.