Prayukth KV
Una guía de CISO para mapear NCSC CAF y IEC 62443
Para el CISO contemporáneo, el Marco de Evaluación Cibernética de NCSC (CAF) es mucho más que una recomendación. Es el referente definitivo para proteger la Infraestructura Nacional Crítica (CNI) del Reino Unido y cualquier organización que recaiga bajo la Ley de Seguridad y Resiliencia Cibernética (2025).
Mientras que los entornos de TI suelen estar bien mapeados al CAF, aplicar el CAF a la Tecnología Operativa (OT) no es un asunto sencillo y crea una fricción única. Los PLC heredados, los requisitos de disponibilidad en tiempo real y los sistemas "imparcheables" a menudo hacen que sea imposible implementar controles estándar de TI.
En la publicación de blog de seguridad OT de hoy, exploramos cómo cerrar esa brecha alineando los resultados del CAF con el rigor técnico de IEC 62443.
Antes de avanzar, no te olvides de revisar la publicación de blog anterior sobre "El SOC de OT en 2026: De la convergencia a la gestión de consecuencias" aquí. Estoy seguro de que lo encontrarás útil.
La prueba de realidad del CAF-a-OT
El CAF es un mandato centrado en resultados. Esto significa que te dice qué lograr (como "manejar riesgos para tu función esencial") pero no cómo hacerlo en un controlador de 20 años. Aquí es donde el IEC 62443 se convierte en tu motor técnico, guía y libro de estrategias, por así decirlo.
Al mapear los 14 Principios de CAF con la serie IEC 62443, te mueves de una política abstracta y nebulosa a un cumplimiento a nivel ingenieril.
Alineación estratégica y mapa
Objetivo del CAF | Parte relevante de IEC 62443 | Área de enfoque de OT |
Obj A: Manejo del riesgo de seguridad | 62443-2-1 & 3-2 | Evaluación de riesgos, particionamiento zonal, y programas de seguridad. |
Obj B: Protección contra ataques | 62443-3-3 & 4-2 | Control de acceso (IAM), Menor Privilegio, y Fortalecimiento del Sistema. |
Obj C: Detectar eventos cibernéticos | 62443-3-3 (SR 6) | Monitoreo de "Flujos Anómalos" y violaciones de integridad. |
Obj D: Minimizar el impacto | 62443-2-4 | Continuidad del negocio y respuesta a incidentes para IACS. |
Navegando las tres "Trampas de Cumplimiento de OT"
La primera trampa: La brecha de visibilidad de activos (CAF A3)
No puedes proteger lo que no puedes ver. En OT, simples "pings" pueden provocar fallos en dispositivos heredados.
El requisito del CAF: Un inventario completo y preciso de todos los activos que apoyan funciones esenciales.
La solución IEC 62443: Utilizar monitoreo pasivo (Parte 3-3) para construir un mapa de activos sin inyectar tráfico. Priorizar la identificación de los dispositivos Nivel 0-2 (sensores y controladores) que a menudo son invisibles para los escáneres de TI.
Trampa 2: La paradoja del parcheo (CAF B1)
Mandatos estándar de "parche dentro de 30 días" fallan en OT donde el tiempo de inactividad cuesta millones.
El requisito del CAF: Las vulnerabilidades se gestionan para prevenir la explotación.
La solución IEC 62443: Apoyarse en Controles Compensatorios. Si no puedes parchear un PLC, usa Zonas y Conductos (Parte 3-2) para aislarlo. Asegúrate de que el "Conducto" (la ruta de comunicación) esté restringido solo al tráfico necesario, protegiendo eficazmente el activo vulnerable.
Trampa 3: Identidad compartida (CAF B2)
Muchos sistemas OT usan cuentas genéricas de "Admin" para trabajo por turnos 24/7.
El requisito del CAF: La identidad y el acceso se controlan estrictamente.
La solución IEC 62443: Implementar Gestión de Acceso Privilegiado (PAM) con un "Host de Salto OT." Incluso si el dispositivo de campo utiliza un inicio de sesión compartido, la persona que accede debe ser autenticada de manera única en la puerta de enlace (alineado con IEC 62443-3-3 SR 1.1).
Plan de Acción de CISO: De evaluación a logro que es demostrable
Para cumplir con las necesidades de cumplimiento establecidas por un regulador, debes proporcionar Indicadores de Buena Práctica (IGP). No puedes simplemente afirmar que eres seguro. En su lugar, tienes que demostrarlo con documentación y ofrecer evidencia de cumplimiento continuo.
Definir el alcance: Identifica tu "Función Esencial." En OT, esto no es "la red"; es "la capacidad de proporcionar agua potable" o "mantener las turbinas girando."
Realizar un análisis de brechas: Utiliza la hoja de cálculo CAF para calificarte objetivamente (Logrado / Parcialmente Logrado / No Logrado).
Traducir a ingeniería: Cuando un resultado CAF está "No Logrado," busca el estándar IEC 62443 correspondiente para redactar el requisito técnico para tus ingenieros de planta. Ve lo que se puede hacer para alcanzar el cumplimiento.
Recopilación de evidencia: Almacena tus diagramas de red a nivel Purdue, conjuntos de reglas de cortafuegos y registros de simulacros de respuesta a incidentes. Estos son tu "prueba de vida" para auditorías CAF.
Definir roles y responsabilidades
Mapea tu viaje de cumplimiento: Con metas claras y hitos con planes de cumplimiento con límites de tiempo respaldados por conocimiento y experiencia
Lista de verificación de cumplimiento OT-CAF
Utiliza esta lista para obtener una visión general sobre tu postura actual frente a las expectativas de NCSC.
Gobernanza y Riesgo (Objetivo A)
[ ] Mapeo de dependencias: ¿Has identificado las dependencias IT-OT (por ejemplo, ¿La planta se detiene si el Active Directory basado en TI falla? ¿O debido a un ataque de sondeo en una joya de la corona que se detiene la planta)?
[ ] Responsabilidad a nivel de junta: ¿La junta trata el riesgo OT como un riesgo de seguridad/operacional, no solo como un "problema de TI"?
[ ] Cadena de suministro: ¿Tus proveedores OT (OEMs) están contractualmente obligados a cumplir con IEC 62443-4-1 (Desarrollo seguro)?
Protecciones (Objetivo B)
[ ] Segmentación de red: ¿Existe una DMZ fortificada entre IT y OT? (Sin "reglas" directas "cualquier-cualquier").
[ ] Medios removibles: ¿Existe una estación de "Sheep Dip" o política estricta para USBs de proveedores? ¿Tienes una solución de escaneo de medios en su lugar?
[ ] Configuración segura: ¿Se han cambiado las contraseñas predeterminadas (por ejemplo, "admin/admin") en todos los dispositivos de campo? ¿Tienes una política de contraseñas que se refuerza?
[ ] Defensa en profundidad: ¿Tienes los medios para desplegar o ya has desplegado protecciones redundantes para OT?
Detección y Respuesta (Objetivo C & D)
[ ] Monitoreo consciente de OT: ¿Tienes una herramienta que entiende los protocolos industriales (Modbus, DNP3, Profinet)?
[ ] Guías de respuesta: ¿Tus guías de incidentes incluyen "Sobrepasos Manuales" para cuando fallan los controles digitales?
[ ] Integridad de respaldos: ¿Están tus archivos de lógica PLC respaldados fuera de línea y probados para restaurarion? ¿Se prueban tus respaldos?
[ ] Entrenamiento y simulación de respuesta a incidentes: ¿Tus equipos están entrenados para gestionar incidentes? ¿Saben qué se debe hacer, cuándo y por quién?
Al comprender el mapeo de CAF y IEC 62443, entenderás formas de reducir la exposición al riesgo ciberfísico de tu organización y aprenderás sobre la evidencia auditable necesaria para demostrar (sin duda) tu madurez en seguridad a los reguladores y a la junta.
Aprende más sobre nuestro evaluación de riesgos basado en IEC 62443
¿Iniciando tu viaje de seguridad OT o tienes una pregunta? Ponte en contacto con nosotros.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
Los 15 principales desafíos en la protección de CPS y cómo los equipos de OT pueden abordarlos
Equipo Shieldworkz
Desmitificando los niveles de seguridad IEC 62443 SL1-SL4 para la defensa de infraestructuras críticas
Equipo Shieldworkz
El ataque que fracasó: lecciones del incidente OT de casi accidente en Suecia
Prayukth K V
NERC CIP-015 y Monitoreo interno de seguridad de red (INSM)
Equipo Shieldworkz
La próxima jugada de Handala: de "hack-and-leak" a "asedio cognitivo"
Prayukth K V
Vulnerabilidades de HMI en Venecia: Un análisis profundo del incidente de la bomba de San Marco
Prayukth K V
