Equipo Shieldworkz
27 de enero de 2025
La IEC 62443 es una serie de estándares internacionales que representan un conjunto de pautas para garantizar la aplicación de un nivel robusto de ciberseguridad para los sistemas de automatización y control industrial (IACS). Los estándares IEC 62443 ofrecen un marco específico para asegurar todos los tipos de activos y redes gestionados por operadores de OT. Ofrece recomendaciones específicas en áreas como las responsabilidades de los propietarios de activos, cómo realizar un análisis de riesgos y brechas de OT y los pasos para mejorar continuamente la postura de seguridad de una empresa.
Sin embargo, a pesar de que los estándares son integrales, a menudo se encuentra que las empresas están en cumplimiento parcial o tienen confusión sobre por dónde comenzar el viaje de cumplimiento de la IEC 62443.
Áreas comunes de confusión incluyen:
¿Cómo se puede llevar a cabo un ejercicio de análisis de riesgos y brechas basado en IEC 62443?
¿Cómo involucrar a los OEM para su parte de las pautas de cumplimiento?
¿Cómo alinear los objetivos con las prácticas de auditoría de seguridad de la información existentes?
¿Cómo elaborar una hoja de ruta para el cumplimiento de la IEC 62443?
¿Cómo se pueden integrar los sistemas heredados bajo el alcance de la IEC 62443?
¿Qué pasa con los sitios remotos?
¿Qué nivel de seguridad es apropiado para mi negocio?
¿Cómo determinar con precisión el nivel de madurez de mis prácticas de seguridad?
¿Cómo derivar una matriz RACI?
¿Cómo se puede empezar con IEC 62443?
Un ejercicio de evaluación de riesgos de seguridad OT basado en IEC 62443-3-2 es un buen punto de partida. Con tal ejercicio, las empresas obtienen una visión completa del estado actual de su infraestructura incluyendo:
Vulnerabilidades existentes y brechas de seguridad
Brechas en la orientación y aplicación de políticas de seguridad
Niveles de concienciación de los empleados sobre la gestión de la seguridad OT
Riesgos asociados con cada operación
Riesgos residuales que pueden permanecer después de abordar todos los riesgos
Riesgos de la cadena de suministro asociados con el alcance general de las operaciones
Niveles de seguridad y madurez existentes y objetivos
Oportunidades de mejora
Para hacer el ejercicio más relevante, la evaluación de riesgos y brechas también debe cubrir estas directrices:
Identificar el potencial de un evento cibernético y su repercusión en el negocio
Realizar un análisis de causa raíz sobre por qué existen brechas y abordar los desafíos centrales
Involucrar a un proveedor de evaluación de riesgos y brechas con recursos competentes enfocados en OT
Se recomienda optar por un proveedor de evaluación de riesgos porque un tercero puede ofrecer una visión más equilibrada y objetiva
Priorizar todas las recomendaciones y puntos de acción
El proveedor debe ofrecer un informe provisional en caso de que haya problemas que deban abordarse de inmediato
También ofrecer a la empresa acceso a recursos para mejorar sus niveles de conocimiento
Los próximos pasos
Para asegurar el cumplimiento continuo con IEC 62443, la empresa debe:
Identificar al personal que guiará los esfuerzos de cumplimiento continuo
Institucionalizar medidas de cumplimiento, aumentar la sensibilidad al riesgo entre los empleados y explorar áreas como la disciplina de parches, monitoreo de riesgos y amenazas, seguridad de la cadena de suministro
Mantener documentación de todos los esfuerzos de cumplimiento
Canalizar el conocimiento a través de la empresa y asegurar la cero pérdida de las mejores prácticas establecidas
Realizar capacitaciones de manera continua para probar y mejorar el conocimiento de los empleados y otros interesados
En caso de eventos o problemas que hayan sido identificados y rectificados en el pasado, se deben desplegar mecanismos para prevenir la recurrencia
Desglosar las recomendaciones de IEC 62443 para facilitar el cumplimiento y adoptar un enfoque por fases
Identificar cronogramas para el cumplimiento de cada fase
Aunque esto pueda parecer difícil en papel, sin duda podemos utilizar IEC 62443 como una estrella polar para orientación y recomendaciones. IEC 62443-2-1, por ejemplo, puede ser una buena fuente de insumos. IEC 62443-2-1 se puede utilizar para identificar los requisitos para un sistema de gestión de seguridad ICS y derivar los requisitos en torno a políticas, procesos, prácticas y personal para implementar de manera integral un sistema de gestión de ciberseguridad completo para los sistemas ICS y la infraestructura OT en general.
A continuación se presenta un esquema de los estándares generales de IEC 62443 para ayudarlo a comprender los conceptos que guardan una profunda conexión dentro de un enfoque de cumplimiento
ISA/IEC 62443-1-1: Ofrece información sobre modelos y conceptos asociados con la seguridad OT.
ISA/IEC 62443-1-2: No es más que un glosario maestro de terminología, definiciones y abreviaciones:
ISA/IEC 62443-1-3: Cubre las métricas de cumplimiento de seguridad del sistema, incluidos los criterios de cumplimiento
ISA/IEC 62443-1-4: Presenta explicaciones del ciclo de vida de la seguridad con casos de uso junto con descripciones
ISA/IEC 62443-2-1: Describe los requisitos para un Sistema de Gestión de Seguridad ICS, incluidos los componentes (que incluyen, pero no se limitan a política, proceso, prácticas y personal) necesarios para los sistemas de automatización y control industrial (ICS) y para implementar un sistema de gestión de ciberseguridad (CSMS).
ISA/IEC 62443-2-2: Ofrece orientación para la implementación y la evaluación del nivel de protección que actualmente ofrece un ICS operativo contra los requisitos generales que se dan en la familia de estándares ISA/IEC 62443.
ISA/IEC 62443-2-3: Gestión de parches en el entorno ICS: Incluye un enfoque que cubre la distribución de información sobre parches de seguridad asociados con diversos propietarios de activos vinculados a proveedores de productos IASC.
ISA/IEC 62443-2-4: Aborda los requisitos asociados con los proveedores de soluciones ICS, incluidos una lista de requisitos a tener en cuenta durante la integración y el mantenimiento.
ISA/IEC 62443-3-1: Tecnologías de seguridad para ICS. Habla sobre el uso de diversas herramientas y tecnología para proteger un entorno ICS
ISA/IEC 62443-3-2: Una de las partes más cruciales, esta aborda la Evaluación de Riesgos de Seguridad, la Partición del Sistema y los Niveles de Seguridad con recomendaciones para minimizar el riesgo a un umbral aceptable identificando y aplicando contramedidas de seguridad.
ISA/IEC 62443-3-3: Trata sobre los Requisitos de Seguridad del Sistema y los Niveles de Seguridad y ofrece información sobre los niveles de seguridad de los componentes ICS vinculados a medidas de resiliencia cibernética.
ISA/IEC 62443-4-1 y ISA/IEC 62443-4-2: Requisitos del Ciclo de Vida de Desarrollo de Seguridad de Producto se ocupa de los desarrolladores y proveedores. Se adentra en los requisitos del proceso para generar y mantener productos seguros en un ICS mientras profundiza en el ciclo de vida de desarrollo seguro para ejecutar productos seguros.
Niveles de Seguridad IEC 62443
Hasta ahora, se han definido cuatro niveles de seguridad bajo los estándares que incluyen SL1, SL2, SL3, SL4. Estos esencialmente enumeran el nivel y el conjunto de contramedidas necesarias para abordar amenazas y riesgos. Cada nivel de seguridad se desglosa en un conjunto de requisitos tácticos que deben cumplirse para calificar para el nivel específico. SL4 es el nivel más alto alcanzable de seguridad, que se aplica a los operadores de infraestructura crítica.
Sentimos que estos niveles serán revisados en el futuro cercano para presentar más oportunidades de cumplimiento.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
