Prayukth KV
Integración de IEC 62443 en la gobernanza de seguridad OT
Las empresas maduras de petróleo y gas ya están trabajando para asegurar su infraestructura OT a través de múltiples capas de intervención. Por un lado, están implementando medidas de seguridad en forma de monitoreo de sus redes, escaneo de medios, asegurando el acceso remoto seguro y realizando evaluaciones de riesgo con diligencia, mientras que por otro lado también están capacitando a sus empleados y viendo la seguridad como parte de los imperativos operativos generales.
Ya sea que sus medidas de seguridad OT se puedan clasificar como maduras o fundamentales, definitivamente puede considerar la serie de estándares IEC 62443 para mejorar su nivel de seguridad y asegurar una mejor incorporación de las medidas de seguridad en las operaciones. No se trata solo de asegurar el cumplimiento, sino también de rastrear el cumplimiento y asegurar que sus medidas de seguridad estén alineadas con su exposición al riesgo y listas para enfrentar cualquier incidente o evento que pueda amenazar con una interrupción.
Con el año 2026 en el horizonte, es momento de reevaluar cómo IEC 62443 puede ayudar a su empresa a escalar su postura de seguridad, contener riesgos y mantener bajo control la exposición al riesgo.
Aquí tiene un escrito sobre cómo puede integrar IEC 62443 en el ADN de sus operaciones, desde la sala de juntas hasta la zona de explosión.
Antes de profundizar, no olvide revisar nuestro blog anterior que ofrece una vista integral sobre la guía más reciente de CISA y otras agencias sobre la integración de la IA en la Tecnología Operativa "aquí". Estoy seguro que este le será útil.
Gobernanza: La capa que traduce la intención
Uno de los mayores puntos de fricción en la infraestructura OT es a menudo el choque cultural. Cualquier intento de imponer controles de TI sobre OT puede llevar a un declive bastante rápido. La brecha entre los niveles de seguridad de TI y OT presenta a los actores de amenazas y a los internos deshonestos una oportunidad para intrusiones y causar caos.
IEC 62443-2-1 le ayuda a cerrar esta brecha exigiendo un Sistema de Gestión de Ciberseguridad (CSMS). Pero ¿cómo se gobierna realmente esto?
Elimine el enfoque "Patch Tuesday": En una refinería o en el piso de producción, no puede simplemente reiniciar un DCS (Sistema de Control Distribuido) porque Windows lanzó una actualización. Su política de gobernanza debe indicar explícitamente que controles compensatorios (como reglas de firewall más estrictas o parches virtuales o restricciones de tráfico) son alternativas aceptables al parcheo hasta el próximo cambio programado.
Definición del apetito de riesgo: La administración debe definir qué es "tolerable". ¿Es aceptable una pérdida de vista de 4 horas en un SCADA de tuberías? Si no, el marco de gobernanza debe exigir redes redundantes, segregadas con controles adicionales para ese conducto específico.
La integración con "Seguridad": Trate los riesgos cibernéticos como entradas de HAZOP (Análisis de Peligros y Operabilidad). Si un compromiso cibernético puede causar que un sistema instrumentado de seguridad (SIS) falle, esto debe incluirse en la revisión de Gestión de Seguridad de Procesos (PSM), no solo en un ticket de TI.
SL y ML: Los Niveles de Seguridad y Madurez pueden ser un indicador robusto y respaldado por evidencia de dónde se encuentra en relación con la madurez de la seguridad. Estos datos deben usarse para mejorar sus prácticas de seguridad de manera medida.
Arquitectura: Zonas, conductos y castillos
IEC 62443 se basa mucho en el concepto de Zonas y Conductos. Piense en su planta como un castillo medieval protegido por un foso flexible.
Las Zonas (Las Habitaciones): No permite que el mensajero entre directamente en la cámara del Rey sin autorizaciones. De manera similar, sus Sistemas Instrumentados de Seguridad (SIS) deben estar en una zona separada de su Sistema de Control de Procesos Básico (BPCS). Si la sala de control se infecta por una unidad USB, el sistema de apagado de seguridad debe permanecer intacto.
Los conductos (también conocidos como los pasillos): Este es el único camino por el que pueden viajar los datos. En OT, a menudo nos encontramos con redes planas donde una impresora en el edificio administrativo puede "hacer ping" a un PLC en la unidad de craqueo. Esto no es más que un desastre esperando a ocurrir.
Acción de gobernanza: Establecer que ningún tráfico fluya entre zonas a menos que pase por un conducto definido (firewall/pasarela) con inspección profunda de paquetes.
Operaciones: La "paradoja del parcheo"
Aquí es donde la teoría se encuentra con la práctica. IEC 62443-2-4 dicta requisitos para proveedores de servicios, pero usted asume el riesgo.
Gestión de proveedores: Su proveedor de turbinas quiere acceso remoto para monitorear datos de vibración. Está bien. Pero su gobernanza debe hacer cumplir los Requisitos de Seguridad del Sistema IEC 62443-3-3. No les proporcione un túnel VPN permanente. Proporcióneles un enlace efímero "justo a tiempo" que esté monitoreado y registrado.
El desafío del legado: Probablemente tenga controladores funcionando en Windows XP o 98 u OS propietarios que no han sido actualizados desde su graduación. No se le puede ocurrir reemplazarlos.
La solución: Use el concepto de Nivel de Seguridad (SL). Si el activo es SL-3 (alta criticidad) pero no se puede parchear, debe envolverse en una "manta digital" o, en términos simples, bloquear físicamente los puertos del gabinete, aislarlo si es posible, o colocarlo detrás de una puerta de enlace unidireccional (diodo de datos) o establecer restricciones de tráfico como se mencionó anteriormente.
El elemento humano: Roles y responsabilidades
Gobernanza sin responsabilidad es como bailar sin pareja o incluso como un objeto interestelar con una anti-cola.
Así que aquí hay una lista de tareas para todos
El CISO (Oficial de Seguridad de la Información en Jefe)
El papel: El Estratega.
El cambio: El CISO debe dejar de ver la planta como una "gran red de oficina".
Responsabilidad: Desarrolla el CSMS (Sistema de Gestión de Seguridad Cibernética). Informa el riesgo cibernético a la junta en el lenguaje de pérdida de producción e incidentes de seguridad, no solo "filtraciones de datos".
Tarea clave: Armonizar las herramientas de seguridad de TI con las restricciones de OT (por ejemplo, asegurando que el escaneo de antivirus no bloquee el HMI).
El Jefe de Planta / Gerente de Activos
El papel: El Propietario.
El cambio: Debe aceptar que "Ciberseguridad" es ahora parte de "Seguridad de Procesos".
Responsabilidad: Asume el riesgo. Si la planta se detiene debido a ransomware, recae en sus ganancias y pérdidas. Ellos autorizan el presupuesto para la segmentación y el tiempo de inactividad para actualizaciones de seguridad.
Tarea clave: Asegúrense de que los simulacros cibernéticos se adicionen a los simulacros de respuesta ante emergencias estándar.
El Ingeniero de Automatización/Instrumentación
El papel: El Defensor.
El cambio: No más "seguridad por oscuridad".
Responsabilidad: implementar las zonas, configurar los firewalls y gestionar las "llaves del reino" (contraseñas de PLC).
Tarea clave: Mantener el inventario de activos. No puede proteger lo que no sabe que existe.
La lista de verificación de implementación "Sin tonterías" de IEC 62443
¿Listo para comenzar? No intente hervir la estufa (en lugar del caldo). Comience con estos sencillos 7 pasos:
Descubrimiento de activos: Ejecute un escaneo pasivo (seguro para OT) para encontrar cada dirección IP. Se sorprenderá de cuántas Raspberry Pis "rogue" y laptops de proveedores están en su red.
Evaluación de riesgos basada en IEC 62443: Identifique sus "Joyas de la Corona". (como el sistema de ESD para la columna de destilación).
Definición de Zonas: Dibuje las líneas. Separe Seguridad (SIS) de Control (BPCS) de Supervisión (HMI/SCADA) de Empresa (TI).
Bloqueo de Conduits: Deniegue todo el tráfico por defecto. Permita solo los protocolos específicos (por ejemplo, Modbus TCP, OPC UA) necesarios para las operaciones.
Revisión de acceso remoto: Audite cada conexión externa. Si un proveedor no ha iniciado sesión durante 30 días, simplemente deshabilite la cuenta.
Verificación de copias de seguridad: Asegúrese de que sus copias de seguridad "Gold Copy" para configuraciones de PLCs y SCADA estén fuera de línea y probadas. El ransomware adora encriptar primero las copias de seguridad en línea.
La política de "Pegamento USB": Si un puerto no es necesario, bloquéelo físicamente o desactívelo lógicamente. Los USB son el vector número uno para sistemas aislados. Vea si puede optar por una solución de escaneo de medios.
Preste atención a los avisos de amenazas y violaciones que afectan a otras empresas
Seguridad OT en 2026
Integrar IEC 62443 no se trata de hacer su infraestructura OT "inhackeable" en 2026. En cambio, se trata de hacerla resiliente y prueba de eventos. También se trata de asegurar que cuando llegue la tormenta digital, sus sistemas de seguridad se mantengan, su crudo siga fluyendo, su subestación siga manteniendo las luces encendidas, sus aeropuertos continúen manejando pasajeros y su gente regrese a casa segura. Se lo debemos a las personas que mantienen nuestro negocio funcionando.
Conozca más sobre nuestro ofrecimiento IEC 62443.
Descubra más sobre la Solución de Seguridad OT de Shieldworkz
Recibe semanalmente
Recursos y Noticias
También te puede interesar
Top 15 Challenges in CPS Protection and How OT Teams Can Address Them
Team Shieldworkz
Demystifying IEC 62443 Security Levels SL1-SL4 for Critical Infrastructure Defense
Team Shieldworkz
The attack that failed: Lessons from Sweden’s near-miss OT incident
Prayukth K V
NERC CIP-015 & Internal Network Security Monitoring (INSM)
Team Shieldworkz
Handala’s next gambit: From "hack-and-leak" to "cognitive siege"
Prayukth K V
HMI vulnerabilities in Venice: A deep dive into the San Marco pump incident
Prayukth K V
