Prayukth KV
Guía de un CISO para mapear NCSC CAF e IEC 62443
Para el CISO contemporáneo, el Marco de Evaluación de Ciberseguridad (CAF) de NCSC) es mucho más que una recomendación. Es el punto de referencia definitivo para asegurar la Infraestructura Nacional Crítica (CNI) del Reino Unido y cualquier organización que caiga bajo la Ley de Seguridad Cibernética y Resiliencia (2025).
Aunque los entornos de TI a menudo están bien mapeados para el CAF, aplicar el CAF a la Tecnología Operacional (OT) no es un asunto sencillo y genera fricciones únicas. Los PLCs heredados, los requisitos de disponibilidad en tiempo real y los sistemas "inentapables" a menudo hacen que los controles estándar de TI sean imposibles de implementar.
En la publicación del blog de seguridad OT de hoy, exploramos cómo cerrar esa brecha alineando los resultados del CAF con el rigor técnico del IEC 62443.
Antes de avanzar, no olvide revisar la publicación anterior del blog sobre “El SOC de OT en 2026: De la convergencia a la gestión de consecuencias” aquí. Estoy seguro de que lo encontrará útil.
La revisión de realidad CAF para OT
El CAF es un mandato enfocado en los resultados. Esto significa que te dice qué lograr (como "gestionar riesgos para su función esencial") pero no cómo hacerlo en un controlador con 20 años de antigüedad. Aquí es donde el IEC 62443 se convierte en tu motor técnico, guía y manual, por así decirlo.
Al mapear los 14 Principios del CAF a la serie IEC 62443, pasas de políticas abstractas y nebulosas opacas a cumplimiento a nivel de ingeniería.
Alineación estratégica y mapa
Objetivo del CAF | Parte relevante de IEC 62443 | Área de enfoque de OT |
Obj A: Gestionar el riesgo de seguridad | 62443-2-1 & 3-2 | Evaluación de riesgos, particionamiento zonal y programas de seguridad. |
Obj B: Proteger contra ataques | 62443-3-3 & 4-2 | Control de acceso (IAM), mínimo privilegio y endurecimiento del sistema. |
Obj C: Detectar eventos cibernéticos | 62443-3-3 (SR 6) | Monitoreo de "Flujos Anómalos" y violaciones de integridad. |
Obj D: Minimizar el impacto | 62443-2-4 | Continuidad del negocio y respuesta a incidentes para IACS. |
Navegando las tres "Trampas de Cumplimiento OT"
La primera trampa: La brecha de visibilidad de activos (CAF A3)
No puedes proteger lo que no puedes ver. En OT, simples "pings" pueden colapsar dispositivos heredados.
El requisito del CAF: Un inventario completo y preciso de todos los activos que apoyan funciones esenciales.
La solución IEC 62443: Utiliza monitoreo pasivo (Parte 3-3) para construir un mapa de activos sin inyectar tráfico. Enfócate en identificar los dispositivos Nivel 0-2 (sensores y controladores) que a menudo son invisibles a los escáneres de TI.
Trampa 2: La paradoja del parcheo (CAF B1)
Los mandatos estándar de "parchear en 30 días" fallan en OT, donde el tiempo de inactividad cuesta millones.
El requisito del CAF: Las vulnerabilidades se gestionan para prevenir explotación.
La solución IEC 62443: Apóyate en Controles Compensatorios. Si no puedes parchar un PLC, utiliza Zonas y Conduits (Parte 3-2) para aislarlo. Asegúrate de que el "Conduit" (la vía de comunicación) esté restringido solo al tráfico necesario, protegiendo eficazmente el activo vulnerable.
Trampa 3: Identidad compartida (CAF B2)
Muchos sistemas OT utilizan cuentas genéricas de "Admin" para trabajo por turnos 24/7.
El requisito del CAF: La identidad y el acceso se controlan estrictamente.
La solución IEC 62443: Implementa Gestión de Accesos Privilegiados (PAM) con un "Host de Salto OT". Incluso si el dispositivo de campo utiliza un inicio de sesión compartido, la persona que accede debe ser autenticada de manera única en el gateway (alineado con IEC 62443-3-3 SR 1.1).
Plan de Acción del CISO: De la evaluación al logro demostrable
Para cumplir con las necesidades de cumplimiento especificadas por un regulador, debes proporcionar Indicadores de Buenas Prácticas (IGPs). No puedes simplemente afirmar que eres seguro. En cambio, debes probarlo con documentación y ofrecer evidencia de cumplimiento continuo.
Define el alcance: Identifica tu "Función Esencial". En OT, esto no es "la red"; es "la capacidad de entregar agua limpia" o "mantener las turbinas en funcionamiento."
Realiza un análisis de brechas: Utiliza la hoja de cálculo del CAF para calificar objetivamente (Logrado / Parcialmente Logrado / No Logrado).
Traduce a ingeniería: Cuando un resultado del CAF no está "Logrado", consulta la norma IEC 62443 correspondiente para redactar el requisito técnico para tus ingenieros de planta. Observa qué se puede hacer para alcanzar el cumplimiento..
Colección de evidencia: Almacena tus diagramas de red a nivel Purdue, conjuntos de reglas de firewall y registros de simulacros de respuesta a incidentes. Estos son tu "prueba de vida" para las auditorías del CAF.
Define roles y responsabilidades
Mapa tu camino de cumplimiento: Con objetivos claros y hitos con planes de cumplimiento con límite de tiempo respaldados por conocimiento y experiencia
Lista de verificación de cumplimiento OT-CAF
Usa esta lista para obtener una visión general de tu postura actual frente a las expectativas de NCSC.
Gobernanza y Riesgo (Objetivo A)
[ ] Mapeo de dependencias: ¿Has identificado dependencias IT a OT (por ejemplo, ¿La planta se detiene si el Active Directory basado en TI se cae? O debido a un ataque de sondeo en una joya de la corona.)
[ ] Responsabilidad a nivel de junta: ¿La junta trata el riesgo OT como un riesgo de seguridad/operacional, no solo como un "problema de TI"?
[ ] Cadena de suministro: ¿Están obligados tus proveedores OT (OEMs) contractualmente a cumplir IEC 62443-4-1 (Desarrollo Seguro)?
Protecciones (Objetivo B)
[ ] Segmentación de red: ¿Existe una DMZ endurecida entre TI y OT? (Sin reglas "cualquier-cualquiera" directas).
[ ] Medios extraíbles: ¿Existe una estación "Sheep Dip" o una política estricta para los USBs de proveedores? ¿Tienes una solución de escaneo de medios instalada?
[ ] Configuración segura: ¿Se cambian las contraseñas predeterminadas (por ejemplo, "admin/admin") en todos los dispositivos de campo? ¿Tienes una política de contraseñas que se aplica?
[ ] Defensa en profundidad: ¿Tienes los medios para desplegar o ya has desplegado protecciones redundantes para OT?
Detección y Respuesta (Objetivos C & D)
[ ] Monitoreo OT-consciente: ¿Tienes una herramienta que entienda los protocolos industriales (Modbus, DNP3, Profinet)?
[ ] Manual de respuestas: ¿Tus manuales de incidentes incluyen "Anulaciones Manuales" para cuando los controles digitales fallan?
[ ] Integridad de respaldo: ¿Tus archivos lógicos de PLC están respaldados fuera de línea y probados para restauración? ¿Tus copias de seguridad se prueban?
[ ] Entrenamiento y simulación de respuesta a incidentes: ¿Tus equipos están entrenados para gestionar incidentes? ¿Saben qué hacer, cuándo y por quién?
Al comprender el mapeo de CAF e IEC 62443, comprenderás formas de reducir la exposición al riesgo cibernético-físico de tu organización y aprenderás sobre la evidencia auditada necesaria para demostrar (sin lugar a dudas) tu madurez en seguridad a los reguladores y a la junta.
Obtenga más información sobre nuestra evaluación de riesgos basada en IEC 62443
¿Comenzando tu camino de seguridad OT o tienes una pregunta? Contacta con nosotros.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Decodificando el silencio estratégico de los grupos cibernéticos iraníes
Equipo Shieldworkz
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
