PDF de programación - Guía para empresas: seguridad de los sistemas de monitorización y control de los procesos e infraestructuras (SCADA)

Guía para empresas:
seguridad de los sistemas de monitorización y
control de los procesos e infraestructuras (SCADA)

Con el patrocinio de:

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

Edición: Marzo 2012

La “Guía para empresas: seguridad de los sistemas de monitorización y control de procesos
e infraestructuras (SCADA)” ha sido elaborada por el Instituto Nacional de Tecnologías de
la Comunicación (INTECO), a través de su Observatorio de la Seguridad de la Información:

Pablo Pérez San-José (dirección)

Eduardo Álvarez Alonso (coordinación)

Susana de la Fuente Rodríguez

Laura García Pérez

Cristina Gutiérrez Borge

La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está
bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello esta permitido copiar,
distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:
· Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconoci-
miento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su
obra.
· Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada
en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/
by-nc/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).
Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de
idioma y orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en
la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) (www.inteco.es), sociedad
estatal adscrita al Ministerio de Industria, Energía y Turismo a través de la Secretaría de Estado
de Telecomunicaciones y para la Sociedad de la Información, es una plataforma para el desarrollo
de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología.
La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las
Administraciones Públicas y al sector de las tecnologías de la información, a través del desa-
rrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la
Información en nuestro país, promoviendo además una línea de participación internacional. Para
ello, INTECO desarrollará actuaciones en las siguientes líneas: Seguridad, Accesibilidad, Calidad
TIC y Formación.

El Observatorio de la Seguridad de la Información (http://observatorio.inteco.es) se inserta
dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica, sien-
do un referente nacional e internacional al servicio de los ciudadanos, empresas, y administracio-
nes españolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confianza
de la Sociedad de la Información.

Deloitte (www.deloitte.es) presta servicios de auditoría, asesoramiento fiscal y legal, consultoría
y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de
sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clien-
tes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el
apoyo de una red global de firmas miembro presentes en más de 140 países y con más de 170.000
profesionales que han asumido el compromiso de ser modelo de excelencia.

Deloitte cuenta con un grupo encargado de realizar servicios correspondientes a la gestión del
riesgo informático que se denomina Enterprise Risk Services (ERS). Este grupo está formado por
más de 200 profesionales, 8 socios en España y varios miles de especialistas a nivel mundial,
dedicados exclusivamente a servicios de auditoría informática, seguridad informática, identifica-
ción y gestión de los riesgos de las operaciones asociados a los sistemas de información, así
como a servicios enfocados a mantener el nivel de control interno requerido en la utilización de
la tecnología.

Índice

1. ¿Qúe es SCADA?

2. Características de los sistemas de monitorización y control

3. Usos y aplicaciones

4. Beneficios del uso de sistemas de monitorización y control

5. Regulación: legislación aplicable y estándares

6. Gestión de riesgos de seguridad

7. Buenas prácticas

8. Recomendaciones

9. Glosario de términos relacionados con SCADA

5

7

15

18

20

27

35

43

45

4 )

1. ¿Qúe es SCADA?

Los sistemas de monitorización y control en tiempo real son elementos esenciales en
el funcionamiento no sólo de la mayoría de los procesos industriales, sino además
de gran parte de las tareas rutinarias en nuestra sociedad. A pesar de ello, tanto
dichas tareas como estos sistemas son desconocidos por gran parte de los ciudada-
nos. Se trata de herramientas utilizadas para gestionar infinidad de procesos: desde
el funcionamiento del sistema de aire acondicionado o calefacción en un edificio
hasta la distribución de energía eléctrica en el territorio nacional.

De entre las diferentes clases de sistemas de monitorización y control existentes, los más
utilizados son los denominados SCADA. El acrónimo SCADA (Supervisory Control And
Data Acquisition) se puede traducir como control de supervisión y adquisición de datos.

Es decir, se denomina sistema SCADA a aquel conjunto de redes, equipos y progra-
mas que monitorizan en tiempo real procedimientos industriales y tareas complejas,
a partir de la información obtenida a través de sensores, comunicándose con los dis-
positivos actuadores para transmitirles las órdenes adecuadas y pudiendo controlar
el proceso de forma automática mediante un software especializado.

Estos sistemas reciben y envían información. Cuando en respuesta a una señal de
salida del sistema, nueva información vuelve al mismo como entrada, se produce lo
que se llama retroalimentación (feedback). La finalidad de esta continua comunica-
ción es optimizar, vigilar, y en su caso, verificar la modificación de diversos aspectos
del funcionamiento del sistema.

Toda la información que se genera con estos procedimientos puede estar disponible
tanto para los usuarios directamente implicados en los procesos productivos, como
para otros usuarios supervisores dentro de la organización (control de calidad, con-
trol de producción, almacenamiento de datos, etc.).

Esta definición puede resultar ambigua, pero esto se debe a que la variedad de sis-
temas SCADA es muy amplia, tanto en tipología como en funcionalidad, alcance y
otras características. Puede referirse desde a sistemas que monitorizan y gestionan
los procesos de una planta nuclear hasta a una red de control y seguimiento del
estado de unas escaleras mecánicas.

Así pues, la frontera entre un sistema SCADA y un sistema de control remoto es muy
difusa, pudiéndose incluir en esta denominación los ICS (Industrial Control System,

¿Qué es SCADA?

( 5

sistema de control industrial), los DCS (Distributed Control System, sistema de con-
trol distribuido) o sistemas basados directamente sobre PLCs (Programmable Logic
Controllers, controladores lógicos programables). Ofreciendo una descripción gené-
rica que englobe a todos ellos, se les puede denominar sistemas de monitorización
y/o control en tiempo real de forma, en mayor o menor medida, centralizada.

En definitiva, son sistemas que cuentan con un control central desde el que se puede
conocer lo que ocurre en distintos puntos a través de la medición y transmisión de
diferentes parámetros, pudiendo actuar desde este puesto central para modificar o
ajustar estos parámetros en los puestos remotos. Este control puede ejercerse de
forma automatizada estableciendo unas reglas de actuación para el sistema ante las
posibles situaciones y valores de los parámetros.

Tradicionalmente, los sistemas SCADA se referían a aquellos que supervisaban y
controlaban procesos industriales, ciñéndose la gestión principalmente a válvulas,
bombas, sensores, interruptores y demás elementos mecánicos. Se trataba de sis-
temas aislados que permitían una gestión centralizada y eficiente, ya que al conocer
el estado de todos los elementos del proceso industrial, la toma de decisiones se
simplificaba de manera notable.

Sin embargo, este enfoque ha evolucionado y se ha ampliado a lo largo del tiempo.
Por un lado, han aparecido sistemas SCADA para la monitorización y control de otro
tipo de dispositivos, como cámaras de videovigilancia o sistemas de climatización.
Por otro lado, se ha eliminado su aislamiento pasando a estar más expuestos y
conectados a redes externas y públicas como Internet.

Todos estos cambios, unidos a las repercusiones que podría tener cualquier inciden-
te de seguridad en muchos de estos sistemas, motivan la elaboración de esta Guía.
En ella se exponen las características de los sistemas SCADA, sus componentes,
su funcionamiento y los usos y aplicaciones actuales y futuros junto a los beneficios
de dicho uso. Al mismo tiempo, se introduce la legislación aplicable y los estándares
existentes, especialmente a nivel nacional. Pero sin duda el principal objetivo de esta
Guía es exponer los posibles riesgos que afectan a estos s