Prayukth KV
9 de diciembre de 2025
Integrando IEC 62443 en el gobierno de seguridad OT
Las empresas maduras de petróleo y gas ya están trabajando para asegurar su infraestructura OT a través de múltiples capas de intervención. Por un lado, están implementando medidas de seguridad en forma de monitoreo de sus redes, escaneo de medios, asegurando el acceso remoto seguro y realizando evaluaciones de riesgo con diligencia, mientras que por otro lado también están capacitando a sus empleados y viendo la seguridad como parte de los imperativos generales de las operaciones.
Ya sea que sus medidas de seguridad OT puedan clasificarse como maduras o básicas, definitivamente puede considerar la serie de estándares IEC 62443 para mejorar su nivel de seguridad y asegurar una mejor incorporación de medidas de seguridad en las operaciones. No se trata solo de asegurar el cumplimiento, sino también de rastrear el cumplimiento y asegurar que sus medidas de seguridad estén alineadas con su exposición al riesgo y listas para lidiar con cualquier incidente o evento que pueda amenazar con una interrupción.
Mientras el año 2026 aparece en el horizonte, es momento de darle un nuevo vistazo a cómo IEC 62443 puede ayudar a su empresa a escalar su postura de seguridad, contener riesgos y mantener la exposición al riesgo bajo control.
Aquí hay un artículo sobre cómo puede integrar IEC 62443 en el ADN de sus operaciones, desde la sala de juntas hasta la zona de peligro.
Antes de entrar en detalles, no olvide revisar nuestro blog anterior que ofrece una visión integral sobre las últimas orientaciones de CISA y otras agencias sobre la integración de IA en Tecnología Operativa. Estoy seguro de que encontrará este útil.
Gobernanza: La capa que traduce la intención
Uno de los mayores puntos de fricción en la infraestructura OT es a menudo el choque cultural. Cualquier intento de superponer controles de TI en OT puede llevar a que las cosas se deterioren rápidamente. La brecha entre los niveles de seguridad de TI y OT ofrece a los actores de amenazas y a los internos deshonestos una oportunidad para intrusiones y caos.
IEC 62443-2-1 le ayuda a cerrar esta brecha al exigir un Sistema de Gestión de Ciberseguridad (CSMS). Pero, ¿cómo se gobierna realmente esto?
Eliminar el enfoque "Patch Tuesday": En una refinería o en la planta de producción, no puede simplemente reiniciar un DSC (Sistema de Control Distribuido) porque Windows lanzó una actualización. Su política de gobierno debe declarar explícitamente que los controles compensatorios (como reglas de firewall más estrictas o parches virtuales o restricciones de tráfico) son alternativas aceptables al parcheo hasta la próxima parada programada.
Definición del apetito de riesgo: La gestión debe definir qué es "tolerable". ¿Es aceptable una pérdida de vista de 4 horas en un SCADA de oleoducto? Si no, el marco de gobierno debe exigir redes redundantes y segregadas con controles adicionales para ese conducto específico.
Integración de "Seguridad": Trate los riesgos cibernéticos como entradas de HAZOP (Análisis de Peligros y Operabilidad). Si un compromiso cibernético puede hacer que un sistema instrumentado de seguridad (SIS) falle, pertenece a la revisión de Gestión de Seguridad de Procesos (PSM), no solo a un ticket de TI.
SL y ML: Los niveles de seguridad y madurez pueden ser un indicador robusto y respaldado por evidencia de dónde se encuentra en términos de madurez de seguridad. Estos datos deben utilizarse para mejorar sus prácticas de seguridad de manera medida
Arquitectura: Zonas, conductos y castillos
IEC 62443 se basa en gran medida en el concepto de Zonas y Conductos. Piense en su planta como un castillo medieval protegido por un foso flexible.
Las Zonas (Las Habitaciones): No deja que el mensajero ingrese directamente a la cámara del Rey sin autorizaciones. De manera similar, sus Sistemas Instrumentados de Seguridad (SIS) deben estar en una zona separada de su Sistema de Control de Procesos Básicos (BPCS). Si la sala de control se infecta por una unidad USB, el sistema de apagado de seguridad debe permanecer intacto.
Los conductos (AKA los pasillos): Este es el único camino por donde los datos pueden viajar. En OT, a menudo encontramos redes planas donde una impresora en el edificio administrativo puede "hacer ping" a un PLC en la unidad de cracking. Esto no es más que un desastre esperando suceder.
Acción de gobernanza: Exija que no haya tráfico entre zonas a menos que pase por un conducto definido (firewall/pasarela) con inspección profunda de paquetes.
Operaciones: La "paradoja del parcheo"
Aquí es donde las cosas se concretan. IEC 62443-2-4 dicta requisitos para los proveedores de servicios, pero usted posee el riesgo.
Gestión de proveedores: Su proveedor de turbinas quiere acceso remoto para monitorear datos de vibración. Está bien. Pero su gobierno debe hacer cumplir los Requisitos de Seguridad del Sistema IEC 62443-3-3. No les dé un túnel VPN permanente. Proporcióneles un enlace efímero "just-in-time" que sea monitoreado y registrado.
El desafío de la herencia: Es probable que tenga controladores que funcionan con Windows XP o 98 o sistemas operativos propietarios que no se han actualizado desde su baile de graduación. No puede pensar en reemplazarlos.
La Solución: Utilice el concepto de Nivel de Seguridad (SL). Si el activo es SL-3 (alta criticidad) pero no puede ser parcheado, debe envolverlo en un "manto digital" o, en términos simples, bloquear físicamente los puertos del gabinete, aislarlo si es posible, o colocarlo detrás de una pasarela unidireccional (diodo de datos) o imponer restricciones de tráfico como se mencionó anteriormente.
El elemento humano: Roles y responsabilidades
Gobernanza sin responsabilidad es como bailar sin pareja o incluso como un objeto interestelar con una anti-cola.
Así que aquí hay una lista de tareas para todos
El CISO (Chief Information Security Officer)
El rol: El Estratega.
El cambio: El CISO debe dejar de ver la planta como una "gran red de oficina".
Responsabilidad: Desarrolla el CSMS (Sistema de Gestión de Seguridad Cibernética). Reportes de riesgo cibernético a la junta en el lenguaje de pérdida de producción y incidentes de seguridad, no solo "brechas de datos".
Tarea clave: Armonizar las herramientas de seguridad de TI con las restricciones OT (por ejemplo, asegurarse de que el escaneo de antivirus no bloquee la HMI).
El Jefe de Planta / Gerente de Activos
El rol: El Propietario.
El cambio: Debe aceptar que la "Seguridad Cibernética" ahora forma parte de la "Seguridad de Procesos".
Responsabilidad: Tiene la responsabilidad del riesgo. Si la planta se cae debido a ransomware, está en su P&L. Autoriza el presupuesto para la segmentación y el tiempo de inactividad para las actualizaciones de seguridad.
Tarea clave: Asegurar que los simulacros cibernéticos se agreguen a los simulacros de respuesta a emergencias estándar.
El Ingeniero de Automatización/Instrumentos
El rol: El Defensor.
El cambio: No más "seguridad por oscuridad".
Responsabilidad: Implementar las zonas, configurar los firewalls y gestionar las "llaves del reino" (contraseñas de PLC).
Tarea clave: Mantener el inventario de activos. No se puede proteger lo que no se sabe que existe.
La lista de verificación de implementación de IEC 62443 "Sin Relleno"
¿Listo para comenzar? No intente hervir la estufa (en lugar de el caldo). Comience con estos simples 7 pasos:
Descubrimiento de activos: Realice un escaneo pasivo (seguro para OT) para encontrar cada dirección IP. Se sorprenderá de cuántos "Pi Raspberry" y laptops de proveedores "no autorizados" hay en su red.
Evaluación de riesgo basada en IEC 62443: Identifique sus "Joyas de la Corona". (como el sistema ESD para la columna de destilación).
Definición de zonas: Trace las líneas. Separe Seguridad (SIS) de Control (BPCS) de Supervisión (HMI/SCADA) de Empresa (IT).
Cierre de conductos: Denegue todo tráfico por defecto. Permita solo los protocolos específicos en la lista blanca (por ejemplo, Modbus TCP, OPC UA) necesarios para las operaciones.
Revisión de acceso remoto: Audite cada conexión externa. Si un proveedor no ha iniciado sesión en 30 días, simplemente desactive la cuenta.
Verificación de respaldo: Asegúrese de que sus copias "Gold" de respaldo para configuraciones de PLCs y SCADA estén desconectadas y probadas. El ransomware ama cifrar los respaldos en línea primero.
La Política de "Pegamento USB": Si un puerto no es necesario, bloquéelo físicamente o desactívelo lógicamente. Los USB son el vector número uno para sistemas aislados por aire. Vea si puede optar por una solución de escaneo de medios.
Preste atención a los avisos de amenazas y brechas que afecten a otras empresas
Seguridad OT en 2026
Integrar IEC 62443 no se trata de hacer su infraestructura OT "inhackeable" en 2026. En cambio, se trata de hacerla resistente y a prueba de eventos. También se trata de asegurar que cuando golpee la tormenta digital, sus sistemas de seguridad se mantengan, su crudo siga fluyendo, su subestación mantenga las luces encendidas, los aeropuertos sigan manejando pasajeros y que su gente regrese a casa segura. Se lo debemos a las personas que mantienen nuestro negocio en funcionamiento.
Aprenda más sobre nuestra oferta de IEC 62443.
Descubra más sobre la solución de seguridad OT de Shieldworkz
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
