Una evaluación de riesgos cibernéticos (PHA) o una evaluación de riesgos cibernéticos (HAZOP) es una metodología orientada a la seguridad para realizar una evaluación de riesgos cibernéticos para un sistema de control industrial (ICS) o un sistema instrumentado de seguridad (SIS). Es un enfoque sistemático y orientado a las consecuencias que se basa en estándares de la industria como ISA 62443-3-2 , ISA TR84.00.09, ISO/IEC 27005:2018 , ISO 31000:2009 y la publicación especial (SP) 800-39 del NIST .
Los nombres, Cyber PHA o Cyber HAZOP, se le dieron a este método porque son similares a los estudios de análisis de peligros de proceso (PHA) o al estudio de peligros y operabilidad (HAZOP) que son populares en la gestión de seguridad de procesos , particularmente en industrias que operan procesos industriales altamente peligrosos (por ejemplo, petróleo y gas, químicos, etc.).
La metodología PHA/HAZOP cibernética concilia los enfoques de seguridad de procesos y ciberseguridad y requiere la colaboración de las disciplinas de instrumentación, operaciones e ingeniería. Basada en la metodología PHA/HAZOP de seguridad de procesos, una PHA/HAZOP cibernética permite identificar y analizar los riesgos cibernéticos de la misma manera que cualquier otro riesgo de proceso y, dado que se puede realizar como una actividad de seguimiento independiente de un HAZOP tradicional, se puede utilizar tanto en sitios industriales abandonados como en sitios nuevos construidos sin interferir indebidamente con los procesos de seguridad de procesos bien establecidos. [1]
La técnica se utiliza normalmente en un entorno de taller que incluye un facilitador y un redactor con experiencia en el proceso Cyber PHA/HAZOP, así como varios expertos en la materia que están familiarizados con el proceso industrial, el sistema de automatización y control industrial (IACS) y los sistemas de TI relacionados. El equipo del taller normalmente incluye representantes de operaciones, ingeniería, TI y salud y seguridad. Un equipo multidisciplinario es importante para desarrollar escenarios de amenazas realistas, evaluar los impactos y lograr un consenso sobre la realidad de la amenaza, las vulnerabilidades conocidas y las contramedidas existentes.
El facilitador y el escriba suelen ser responsables de reunir y organizar toda la información necesaria para llevar a cabo el taller (por ejemplo, diagramas de arquitectura del sistema, evaluaciones de vulnerabilidad y PHA/HAZOP anteriores) y de capacitar al equipo del taller sobre el método, si es necesario.
Generalmente, se utiliza una hoja de cálculo para documentar la evaluación PHA/HAZOP de ciberseguridad. Se han desarrollado varias plantillas de hojas de cálculo, bases de datos y herramientas de software comerciales para respaldar el método cibernético. La matriz de riesgos de la organización generalmente se integra directamente en la hoja de cálculo para facilitar la evaluación de la gravedad y la probabilidad y para buscar la puntuación de riesgo resultante. El facilitador del taller guía al equipo a través del proceso y se esfuerza por recopilar todos los aportes, llegar a un consenso y mantener el proceso en marcha sin problemas. El taller continúa hasta que se hayan evaluado todas las zonas y conductos. Luego, los resultados se consolidan y se informan al equipo del taller y a las partes interesadas correspondientes.