En el diseño y desarrollo de los proyectos EPC de Sistemas de Control del sector industrial, garantizar la seguridad de las redes OT (Operational Technology) e IT es fundamental para mantener la operatividad sin interrupciones. El Modelo Purdue for ICS Security ofrece un marco ideal para segmentar las redes industriales y proteger los sistemas críticos de control. Sin embargo, su implementación requiere no solo un buen conocimiento técnico, mejores practicas, inversión a largo plazo, sino también el uso de equipos confiables y específicos.
Las soluciones de Cisco, reconocidas por su robustez y alta fiabilidad, son ideales para implementar en cada nivel del Modelo Purdue, incluyendo el nivel 3.5 (DMZ), que es un nivel clave para aislar las comunicaciones entre IT y OT. Conocer los equipos recomendados en cada nivel ayudará a los ingenieros del sector industrial a tomar decisiones más informadas y garantizar una seguridad óptima. Sin embargo, para asegurar una implementación eficaz y adaptada a las necesidades específicas de cada planta o proyecto (taylor-fit), siempre se recomienda acercarse a una empresa especialista en soluciones Cisco para entornos industriales.
Al aplicar las soluciones de Cisco en cada nivel del Modelo Purdue, es posible diseñar redes industriales seguras y escalables que cumplen con las normativas de seguridad en el ámbito de la ciberseguridad, como la ISA99/IEC62443.
Te sugerimos esta guia para una mejor toma de decisiones de las familias de los equipos CISCO que podrían ayudar en tu proyecto:
Nivel 0 y Nivel 1: Dispositivos Físicos y Controladores (PLC)
En los niveles más bajos del Modelo Purdue, se encuentran los dispositivos físicos como sensores y actuadores, así como los PLC (Controladores Lógicos Programables), que controlan las máquinas y los procesos en tiempo real. Estos dispositivos requieren conectividad robusta y fiable, capaces de soportar los entornos industriales más exigentes.
Familias de equipos Cisco recomendados:
- Cisco Industrial Ethernet Switches (Serie IE 2000, IE 3000, IE 4000, IE 5000)
Estos switches están diseñados específicamente para ambientes industriales duros, ofreciendo alta resistencia a condiciones extremas como el calor, el polvo y la humedad. Con funciones avanzadas de VLAN y segmentación, permiten conectar los PLC y otros dispositivos de control de manera segura. - Cisco Catalyst IE3400 Rugged Series Switches
Esta serie ofrece conectividad Gigabit Ethernet en entornos industriales y está diseñada para brindar una comunicación confiable entre los dispositivos físicos y los controladores en el nivel 1.
Nivel 2: Supervisión (Sistemas SCADA y HMI)
En el nivel 2 se encuentran los sistemas SCADA y HMI, que permiten a los operadores monitorear y ajustar los procesos industriales. La seguridad y segmentación de la red son esenciales para evitar que estos sistemas críticos queden expuestos a accesos no autorizados.
Familias de equipos Cisco recomendados:
- Cisco Catalyst IE3300 Rugged Series Switches
Estos switches robustos proporcionan conectividad segura para los sistemas SCADA, asegurando una alta disponibilidad y capacidad de segmentación para mantener el tráfico de red separado y controlado. - Cisco Firepower Next-Generation Firewall (NGFW)
Los firewalls de próxima generación Cisco Firepower protegen las comunicaciones entre los sistemas SCADA y otros niveles de la red. Estos firewalls ofrecen funciones de control de acceso avanzado, inspección de tráfico y detección de intrusiones.
Nivel 3: Sistemas de Control de Procesos
El nivel 3 incluye los sistemas que controlan toda la producción, gestionando los procesos operativos a nivel global. Aquí se toman decisiones sobre la planificación de la producción, y es crucial que las comunicaciones entre los sistemas de control de procesos y otros niveles de la red estén protegidas.
Familias de equipos Cisco recomendados:
- Cisco Catalyst 9000 Series Switches
Estos switches ofrecen capacidades avanzadas de automatización, seguridad y visibilidad en la red, lo que es fundamental para gestionar los sistemas de control de procesos de manera eficiente y segura. Permiten la segmentación de tráfico y ofrecen visibilidad sobre las operaciones críticas. - Cisco Industrial Routers (Serie IR1101)
Estos routers permiten una conectividad segura y resiliente en las plantas industriales, conectando los sistemas de control de procesos con otras áreas de la red, garantizando la seguridad del tráfico de datos y el cumplimiento de las políticas de acceso.
Nivel 3.5: Zona Desmilitarizada (DMZ)
El nivel 3.5, o DMZ, es una capa crítica de seguridad que actúa como una barrera entre las redes OT e IT. Su objetivo es asegurar que las comunicaciones entre los sistemas de control y los sistemas empresariales se realicen de manera controlada y segura. En esta zona, se implementan firewalls y otros sistemas de seguridad para evitar que ataques provenientes de la red IT afecten a los sistemas OT.
Familias de equipos Cisco recomendados:
- Cisco Firepower Next-Generation Firewalls (NGFW)
Los firewalls Cisco Firepower son fundamentales para crear una DMZ en el nivel 3.5. Estos firewalls protegen las comunicaciones entre las redes IT y OT, filtrando y monitoreando el tráfico para evitar accesos no autorizados y ciber ataques. Ofrecen capacidades avanzadas como el control de acceso basado en políticas, la inspección profunda de paquetes y la prevención de intrusiones. - Cisco Secure IPS (Intrusion Prevention System)
Colocado en la DMZ, el Cisco Secure IPS ayuda a detectar y prevenir intrusiones que podrían comprometer los sistemas críticos. Es una herramienta esencial para monitorear el tráfico en tiempo real y bloquear amenazas antes de que lleguen a los sistemas de control. - Cisco Identity Services Engine (ISE)
El Cisco ISE garantiza que solo los dispositivos y usuarios autorizados puedan acceder a los sistemas dentro de la DMZ, controlando de manera segura quién tiene acceso a los sistemas de control desde la red IT.
Nivel 4: Sistemas de Gestión de la Producción
Este nivel se encarga de la gestión de la producción y de la planificación de las operaciones a nivel global. Aquí se interactúa con los sistemas empresariales y es necesario garantizar que las redes IT y OT permanezcan separadas.
Familias de equipos Cisco recomendados:
- Cisco Catalyst 9300 Series Switches
Estos switches proporcionan conectividad segura y de alto rendimiento para los sistemas empresariales y de gestión de la producción. Ofrecen funciones avanzadas de seguridad, segmentación de tráfico y optimización de redes. - Cisco Integrated Services Routers (ISR 4000 Series)
Estos routers conectan de manera segura los sistemas de producción con los sistemas empresariales, permitiendo una comunicación fluida y protegida entre los niveles de la red. Además, permiten aplicar políticas de segmentación y control de acceso que cumplen con las normativas de seguridad.
Nivel 5: Nivel Empresarial
El nivel empresarial gestiona los sistemas de ERP (Enterprise Resource Planning) y otras aplicaciones corporativas que interactúan con los datos de producción. Aquí, es esencial proteger los sistemas empresariales para evitar que cualquier vulnerabilidad en el entorno IT afecte a las operaciones industriales.
Familias de equipos Cisco recomendados:
- Cisco Firepower Threat Defense (FTD)
Este firewall avanzado proporciona protección total a las conexiones entre la red IT y los sistemas empresariales. Ofrece visibilidad y control sobre las amenazas, segmentando el tráfico y bloqueando el acceso no autorizado. - Cisco ASR 1000 Series Aggregation Services Routers
Estos routers aseguran un enrutamiento robusto y seguro para las comunicaciones entre los sistemas empresariales y los niveles inferiores de la red, asegurando que los datos críticos fluyan sin interrupciones y sin comprometer la seguridad.
El Modelo Purdue proporciona una estructura clara para segmentar y proteger las redes industriales. La incorporación de la DMZ (nivel 3.5) añade una capa esencial de seguridad entre las redes IT y OT, garantizando que las comunicaciones entre los sistemas empresariales y de control estén protegidas. Con las soluciones de Cisco, como los switches industriales, firewalls de próxima generación y herramientas avanzadas de IPS y ISE, es posible implementar una infraestructura segura, eficiente y conforme a normativas como la ISA99/IEC62443.
Al integrar estas soluciones en cada nivel del Modelo Purdue, las empresas pueden proteger sus operaciones críticas y garantizar la continuidad operativa, reduciendo al mínimo los riesgos de ciberseguridad y mejorando la eficiencia de las redes industriales