Gestión de Seguridad y Otros Seguridad Industrial
INFORMACIÓN DEL CURSO
PROGRAMACIÓN DE LOS CONTENIDOS
Introducción, definiciones y conceptos generales
Se introduce la necesidad de identificar, estimar y gestionar el riesgo relacionado con la intrusión en sistemas de control automático industriales (incluyendo algún ejemplo real).
Se repasan los conceptos fundamentales de la gestión de riesgos: peligro, daño, probabilidad, consecuencias y riesgo.
El ciclo de vida del riesgo
Se recuerda el ciclo fundamental del riesgo (identificar-evaluar-gestionar-revisar).
Se determina qué semejanzas y qué diferencias tiene la gestión del riesgo asociado la ciberseguridad y otros tipos de riesgo habituales en la industrial: prevención de riesgos laborales, seguridad de procesos, etc.
Respuesta legal y normativa
Se revisa brevemente el contenido de la serie de normas IEC 63443, relativas a ciberseguridad.
Se introduce el sistema de gestión de la ciberseguridad.
Se introduce el concepto de “Conduit”.
Se introduce el concepto de Security Level (SL) para zonas y conduits y se describe su significado en términos de relación con el ciclo del riesgo. Se analizan sus semejanzas con el concepto de “Safety Integrity Level” (SIL), ya utilizado habitualmente por la industria de procesos.
Algunas herramientas de identificación y evaluación de riesgos: el PHA de seguridad
En este apartado se describe la utilización de una extensión del HAZOP habitual como herramienta para identificar peligros y valorar semi-cuantitativamente riesgos relacionados con la ciberseguridad.
Se describe una metodología para la determinación del SL requerido.
Ejemplo práctico
Los asistentes realizan en grupos un ejemplo práctico de utilización del PHA de seguridad como herramienta para la asignación de SL