site-logo
site-logo
site-logo

Visibilidad de activos de TO e IEC 62443: Construyendo una postura de seguridad de ICS en cumplimiento para este año

Visibilidad de activos de TO e IEC 62443: Construyendo una postura de seguridad de ICS en cumplimiento para este año

Visibilidad de activos de TO e IEC 62443: Construyendo una postura de seguridad de ICS en cumplimiento para este año

Visibilidad de activos de OT
author

Equipo Shieldworkz

No puedes proteger lo que no puedes ver. En el vertiginoso mundo de la ciberseguridad industrial, este viejo refrán es la pura verdad. A medida que las plantas de producción están más conectadas y la brecha entre TI y operaciones se cierra, mantener una sólida visibilidad de los activos de OT ya no es solo algo "bueno de tener". Es la base fundamental para cualquier entorno de infraestructura crítica o de fabricación seguro y resiliente. 

Si eres gerente de planta, ingeniero de OT o CISO, es probable que sientas la presión. Tienes la tarea de mantener los sistemas en funcionamiento continuo mientras te defiendes de un panorama de amenazas cada vez más sofisticado. Al mismo tiempo, te enfrentas a una presión creciente para lograr la conformidad con la norma IEC 62443

En Shieldworkz, entendemos que cerrar la brecha entre la maquinaria heredada y la ciberdefensa moderna parece abrumador. Esta guía exhaustiva te guiará a través de la absoluta necesidad de la visibilidad de la red industrial, las complejidades de los estándares ISA/IEC 62443 y las medidas prácticas que puedes tomar este año para construir una postura de sistema de control industrial (ICS) segura y conforme. 

Antes de continuar, no olvides leer nuestra publicación de blog anterior sobre el nuevo borrador de NIST SP 1800-41: Reforzando la ciberresiliencia en entornos de OT de fabricación aquí

¿Qué es exactamente la visibilidad de activos de OT? 

La visibilidad de activos de OT significa tener un conocimiento exhaustivo y en tiempo real de cada dispositivo, sistema y componente dentro de tu red de tecnología operativa. Esto incluye tus sistemas de control industrial (ICS), los dispositivos de TI heredados que conviven en la planta de producción y los sensores modernos del Internet Industrial de las Cosas (IIoT). 

La verdadera visibilidad va mucho más allá de una simple hoja de cálculo con direcciones IP. Significa comprender: 

  • Qué es el activo (marca, modelo, versión de firmware). 

  • Dónde reside en la red. 

  • Cómo está configurado. 

  • Con quién o qué se comunica en el día a día. 

La visibilidad eficaz proporciona una línea base de las operaciones normales. Al realizar un seguimiento de cómo interactúan tus controladores lógicos programables (PLC), interfaces hombre-máquina (HMI) y unidades de terminal remota (RTU), puedes detectar de inmediato anomalías que podrían indicar una configuración incorrecta, un componente defectuoso o una intrusión maliciosa. 

Por qué las herramientas de activos de TI fallan en OT 

Tal vez te preguntes por qué no puedes utilizar simplemente tus herramientas de descubrimiento de TI empresariales para mapear la planta de producción. 

Los entornos de TI priorizan la confidencialidad de los datos, mientras que los entornos de OT priorizan la seguridad y la disponibilidad. El descubrimiento tradicional de activos de TI se basa en el escaneo activo, enviando pings constantes a los dispositivos para ver cuáles responden. Si escaneas activamente un PLC de hace 15 años que ejecuta un proceso de fabricación crítico, la afluencia repentina de tráfico de red puede hacer que el dispositivo falle. Esto provoca paradas no planificadas, daños físicos a los equipos o incluso graves riesgos para la seguridad física. 

La ciberseguridad de los sistemas de control industrial (ICS) requiere metodologías especializadas y no intrusivas, que exploraremos más adelante en esta guía. 

El creciente desafío en los entornos de OT 

Garantizar la seguridad de la tecnología operativa plantea un conjunto único de obstáculos que las estructuras de seguridad de TI simplemente no consideran. Los datos actuales muestran que más del 60% de las organizaciones industriales tienen dificultades para supervisar eficazmente sus activos críticos. ¿Por qué es tan difícil? 

1. Protocolos complejos y propietarios 

A diferencia del mundo de TI estandarizado con HTTP y TCP/IP, los entornos industriales hablan cientos de idiomas diferentes. Modbus, DNP3, CIP y PROFINET son solo algunos ejemplos. Muchos de ellos son protocolos propietarios heredados que las herramientas de seguridad tradicionales sencillamente no pueden descodificar ni supervisar. 

2. El implacable mandato de tiempo de actividad 

Los sistemas de control industrial funcionan de forma continua. Una planta siderúrgica o una planta de agua municipal no pueden simplemente desconectarse para desplegar un parche programado o realizar un análisis de red. Las operaciones de seguridad deben llevarse a cabo mientras la maquinaria está en movimiento, sin introducir ninguna latencia en el proceso. 

3. Diversidad de equipos 

Una planta de producción típica es un museo de tecnología. Puedes encontrar un sensor de vibración IIoT completamente nuevo operando justo al lado de una estación de trabajo de ingeniería con Windows XP y un brazo robótico instalado en 1998. Gestionar esta enorme variación de fabricantes, épocas y capacidades es una pesadilla logística. 

4. Vulnerabilidades heredadas 

Muchos sistemas de OT se diseñaron hace décadas, mucho antes de que las ciberamenazas fueran una preocupación. A menudo carecen de controles de seguridad básicos como el cifrado, la autenticación o la capacidad de ejecutar sistemas modernos de protección de endpoints. 

Por qué la visibilidad de activos es el núcleo para reducir el ciberriesgo de OT 

Cuando los sistemas industriales, la TI empresarial y las tecnologías en la nube convergen, la superficie de ataque se expande exponencialmente. Sin una imagen clara de tu entorno, estás operando a ciegas. 

He aquí por qué la visibilidad de los activos de OT es tu iniciativa estratégica más importante: 

  • Gestión de riesgos: No se puede parchear una vulnerabilidad en un dispositivo que no se sabe que existe. La visibilidad te permite evaluar el panorama real de riesgos de tu planta. 

  • Detección rápida de amenazas: El monitoreo continuo de amenazas para ICS se basa por completo en la definición de líneas base. Cuando sabes exactamente cómo es el tráfico normal, detectar a un actor malicioso que intenta alterar un archivo de lógica de un PLC se vuelve evidente de inmediato. 

  • Eficiencia operativa: La visibilidad de activos no es solo para la seguridad; es un beneficio para las operaciones. Saber exactamente qué firmware ejecuta una máquina ayuda a los ingenieros a solucionar fallas más rápido y a planificar los ciclos de mantenimiento de manera eficiente. 

  • Respuesta rápida ante incidentes: Durante un evento de seguridad, el tiempo es tu recurso más valioso. Un inventario de activos automatizado y exhaustivo elimina horas de investigación manual, lo que permite a los equipos de respuesta aislar los sistemas comprometidos de inmediato. 

El verdadero impacto de una baja visibilidad 

Las organizaciones que carecen de visibilidad de la red industrial se enfrentan a graves consecuencias. Sufren de una mayor vulnerabilidad al ransomware, que a menudo se propaga desde la red de TI hacia el espacio de OT que carece de defensas adecuadas. Desperdician recursos presupuestarios críticos tratando de proteger los activos equivocados. Lo más importante es que corren el riesgo de no superar las auditorías de cumplimiento y enfrentarse a severas sanciones reglamentarias. 

Descifrando los estándares ISA/IEC 62443 para la visibilidad de activos 

Si deseas construir un entorno de ICS defendible y resiliente, los estándares ISA/IEC 62443 son el referente mundial. Esta serie exhaustiva de normas proporciona un marco flexible para abordar y mitigar las vulnerabilidades de seguridad en los sistemas de control y automatización industrial. 

Sin embargo, lograr la conformidad con la norma IEC 62443 es completamente imposible sin una visibilidad de activos que sirva de base. Analicemos cómo la verdadera inteligencia de activos se alinea directamente con los componentes principales del estándar. 

IEC 62443-2-1: Establecimiento del CSMS 

Esta sección exige la creación de un Sistema de Gestión de la Ciberseguridad (CSMS, por sus siglas en inglés). Para gestionar la seguridad, primero debes definir el alcance de lo que se está gestionando. Esto requiere una línea base de activos muy precisa, documentada y continuamente actualizada. Confiar en hojas de cálculo de Excel desactualizadas te descalificará de inmediato para cumplir con este requisito. 

IEC 62443-3-2: Evaluación de riesgos y diseño de zonas/conductos 

Este es quizás el requisito arquitectónico más crítico. La norma exige que las organizaciones segmenten sus redes en "Zonas" (agrupaciones de activos con requisitos de seguridad similares) y "Conductos" (las vías de comunicación entre estas zonas). 

Tabla 1: El prerrequisito de visibilidad de zonas y conductos 



Acción requerida por IEC 62443 



Por qué se requiere visibilidad para lograrlo 



Identificar el sistema bajo consideración (SUC) 



Debes catalogar cada uno de los activos para determinar qué forma parte del sistema. 



Agrupar activos en zonas 



Debes comprender la criticidad y la función de cada activo para agruparlos de manera lógica. 



Identificar conductos 



Necesitas una visibilidad profunda de los paquetes de datos para ver exactamente qué tráfico fluye entre los grupos. 



Evaluar el riesgo de la línea base 



Debes conocer el firmware, el hardware y las vulnerabilidades conocidas de los activos en cada zona. 


IEC 62443-3-3: Requisitos técnicos de seguridad 

Esta sección define los controles técnicos necesarios para alcanzar los distintos niveles de seguridad (SL). 

  • Integridad del sistema (Requisito fundamental 3): Garantizar que los equipos no hayan sido manipulados requiere un monitoreo continuo de las configuraciones y la lógica. 

  • Flujo de datos restringido (Requisito fundamental 5): No se pueden implementar firewalls ni restringir el flujo de datos sin saber primero cuáles deben ser los flujos de datos aprobados. 

Construir una postura de conformidad requiere pasar de una documentación manual y periódica a un seguimiento de activos automatizado y en tiempo real. 

Los 4 pilares para construir un inventario de activos conforme a la norma IEC 62443 

Para cumplir con los requisitos de inventario de activos de la norma IEC 62443 sin provocar interrupciones en los procesos ni activar sistemas de seguridad delicados, debes implementar las metodologías adecuadas. En Shieldworkz, recomendamos adoptar una estrategia basada en estos cuatro pilares. 

Pilar 1: Monitoreo pasivo de red 

Dado que el escaneo activo es peligroso para los equipos heredados, debes confiar en el descubrimiento pasivo de activos de OT. Esto implica el uso de inspección profunda de paquetes (DPI, por sus siglas en inglés) para entornos industriales. 

En lugar de preguntar a los dispositivos quiénes son, las herramientas DPI operan de forma silenciosa en la red, escuchando el tráfico que fluye a través de los puertos SPAN o los TAP de red. Al analizar los paquetes de comunicación entre tus estaciones de trabajo de ingeniería y tus PLC, la herramienta puede deducir la marca, el modelo y el estado de los dispositivos sin enviar un solo sondeo. 

Pilar 2: Descubrimiento multimétodo 

La escucha pasiva es muy potente, pero puede pasar por alto activos que se comunican con poca frecuencia. Para obtener una imagen completa, combina la DPI con métodos de descubrimiento alternativos y seguros: 

  • Análisis de registros (logs): Recopila y analiza los registros de DHCP y DNS para identificar nuevos dispositivos que soliciten direcciones IP. 

  • Interrogación de switches: Realiza consultas de forma segura a los switches industriales gestionados para extraer sus tablas de caché ARP, revelando exactamente qué direcciones MAC están conectadas a qué puertos físicos. 

  • Análisis sintáctico de configuración: Analiza los archivos de proyecto y las configuraciones de tus estaciones de trabajo de ingeniería para descubrir la arquitectura planificada y compararla con la realidad de la red. 

Pilar 3: Monitoreo continuo y líneas base 

La planta de producción no es estática. Los contratistas traen ordenadores portátiles, los ingenieros sustituyen PLC defectuosos y se instalan sensores nuevos. Un inventario que hoy es preciso, mañana puede quedar obsoleto. 

Debes implementar herramientas de gestión de activos de OT que proporcionen un seguimiento continuo. Cuando un dispositivo de hardware nuevo y no autorizado se conecte a tu red, o cuando un PLC comience a comunicarse mediante un protocolo no aprobado, tus sistemas deben actualizar la línea base de forma automática y emitir una alerta en tiempo real. 

Pilar 4: Enriquecimiento profundo de datos 

Saber simplemente que existe una dirección IP no es suficiente para el cumplimiento de seguridad de la infraestructura crítica. Necesitas un contexto profundo para evaluar el riesgo. Tu estrategia de visibilidad debe recopilar atributos esenciales para cada uno de los dispositivos. 

Lista de verificación: Atributos esenciales de los activos para el cumplimiento 

  • [ ] Marca y fabricante del hardware 

  • [ ] Número de modelo del dispositivo 

  • [ ] Versión actual del firmware y del sistema operativo 

  • [ ] Dirección IP y dirección MAC 

  • [ ] Ubicación física (rack, puerto de switch, instalación) 

  • [ ] Puertos abiertos y servicios activos 

  • [ ] Pares de comunicación esperados (La línea base) 

  • [ ] Vulnerabilidades conocidas actuales (CVE) 

Pasar de la visibilidad a la postura de seguridad 

Lograr visibilidad es solo el primer paso. El objetivo final es reducir el ciberriesgo de OT. Una vez que tengas un mapa claro y en tiempo real de tu entorno, es hora de tomar medidas decisivas. 

A continuación, te mostramos cómo aprovechar la visibilidad que acabas de obtener para construir una postura de seguridad de ICS sólida y conforme. 

1. Ejecutar la segmentación de la red (Zonas y Conductos) 

Con tu línea base establecida, finalmente puedes ejecutar el mandato principal de la norma IEC 62443-3-2. Comienza por identificar tus "joyas de la corona": los controladores de seguridad críticos y los sistemas de fabricación primarios. 

Utiliza tus datos de visibilidad para identificar exactamente quién necesita hablar con estos dispositivos. A continuación, utiliza firewalls industriales para delimitar fronteras estrictas. Separa por completo las redes de TI de tu empresa de la red de OT. Avanza hacia una arquitectura de Zero Trust en la que solo se permita el tráfico explícitamente aprobado para cruzar un conducto hacia una zona de alta seguridad. 

2. Priorizar la gestión de vulnerabilidades 

Los entornos industriales están plagados de vulnerabilidades y exposiciones comunes (CVE). Intentar parchearlo todo es imposible y muy disruptivo. 

Utiliza tus datos enriquecidos de activos para realizar una gestión de vulnerabilidades basada en el riesgo. Al cotejar tus versiones de hardware y firmware precisas con las bases de datos de amenazas globales, puedes ver con exactitud qué CVE existen en tu red. Lo que es más importante, debido a que conoces la topología de tu red, puedes ver cuáles de estos activos vulnerables están expuestos a Internet o conectados a zonas menos seguras. Puedes dar prioridad a parchear primero los activos expuestos de alto riesgo y aplicar controles compensatorios (como reglas de firewall más estrictas) a los activos vulnerables que no se pueden desconectar. 

3. Establecer un monitoreo continuo de amenazas 

Tu línea base de visibilidad es el pilar de tu sistema de detección de intrusiones. Una vez que sabes cómo es un comportamiento "normal", puedes configurar tu plataforma de monitoreo continuo de amenazas para ICS para que alerte sobre anomalías. 

Si una HMI intenta repentinamente cargar un nuevo archivo de lógica en un controlador de seguridad a las 2:00 de la madrugada de un domingo, tu equipo debe saberlo al instante. La visibilidad transforma tu postura de seguridad de una respuesta reactiva ante incidentes a una búsqueda proactiva de amenazas. 

4. Optimizar los manuales de respuesta ante incidentes (Playbooks) 

Cuando se produce una brecha de seguridad, el tiempo corre. Proporciona a tu centro de operaciones de seguridad (SOC) y a los ingenieros de planta las herramientas de visibilidad que necesitan para actuar con rapidez. 

Integra tu inventario de activos de OT con tus flujos de trabajo de seguridad. Asegúrate de que, cuando se active una alerta, el personal de respuesta vea inmediatamente la importancia, la ubicación y el propietario del activo afectado. Esto reduce drásticamente el tiempo medio de respuesta (MTTR) y minimiza el impacto de un ataque. 

Superar los obstáculos habituales en la preparación para el cumplimiento industrial 

Construir marcos de trabajo de ciberseguridad para OT es un proceso en el que probablemente encontrarás fricciones internas. Estar preparado para estos obstáculos garantizará tu éxito. 

La brecha cultural entre TI y OT: Los equipos de seguridad de TI a menudo carecen de comprensión sobre la realidad de la planta de producción, presionando para que se realicen análisis y parches de manera agresiva. Los ingenieros de OT priorizan el tiempo de actividad por encima de todo, y a menudo se resisten a los controles de seguridad por considerarlos "intrusivos". 

  • La solución: Utilizar la visibilidad pasiva de los activos como puente. Proporciona a TI los datos de seguridad que necesitan sin poner en peligro el tiempo de actividad que OT exige. 

El problema de la "fatiga por alertas": Cuando las organizaciones activan por primera vez el monitoreo continuo, a menudo se ven abrumadas por un aluvión de alertas sobre configuraciones incorrectas o infracciones menores de políticas que han existido durante años.

  • La solución: No actives el bloqueo ni las alertas críticas de inmediato. Dedica los primeros 30 a 60 días a una fase de "ajuste". Utiliza este tiempo para perfeccionar tus líneas base, clasificar los activos con precisión y silenciar el ruido innecesario. 

Restricciones de recursos: Muchas organizaciones industriales carecen de personal dedicado a la seguridad de OT.

  • La solución: Aprovecha las herramientas automatizadas que se integran fácilmente con tu infraestructura de TI existente (como tus herramientas SIEM o ITSM). Al centralizar los datos, permites que tus equipos de seguridad actuales supervisen eficazmente tanto el entorno de TI como el de OT. 

Conclusión: Toma el control de tu entorno de OT hoy mismo 

Lograr el cumplimiento con la norma IEC 62443 y proteger tu entorno industrial frente a las amenazas modernas es un mandato urgente. Pero no es una meta que se pueda alcanzar de la noche a la mañana, y ciertamente no es una meta que se pueda lograr a ciegas. 

La visibilidad de los activos de OT es el primer paso obligatorio. Al adoptar metodologías de descubrimiento pasivo, seguimiento continuo y enriquecimiento profundo de datos, puedes iluminar los puntos ciegos de tu planta de producción. Solo entonces podrás empezar a definir tus zonas, gestionar tus vulnerabilidades e implementar las defensas rigurosas necesarias para mantener tus operaciones críticas en funcionamiento de forma segura y eficiente. 

Este año, haz el cambio de las suposiciones reactivas a la inteligencia proactiva. 

¿Listo para construir tus defensas? Shieldworkz puede ayudarte. En Shieldworkz, nos especializamos en ayudar a las organizaciones industriales a sortear las complejidades de la ciberseguridad de OT y el cumplimiento de la norma IEC 62443. Ofrecemos las herramientas, la experiencia y las metodologías probadas para proteger tu infraestructura crítica sin comprometer el tiempo de actividad operativa. 

Da el siguiente paso en tu camino hacia el cumplimiento: Solicita una demostración con nuestros expertos en OT de Shieldworkz. Te mostraremos exactamente cómo nuestras soluciones de visibilidad pasiva y monitoreo continuo pueden mapear tu entorno y reducir drásticamente tu ciberriesgo industrial. 

Recursos adicionales      

IEC 62443 - Guía práctica para la seguridad de OT/ICS e IIoT aquí
Guías de remediación aquí 
Guía de inventario de activos de OT y gestión de dispositivos para mejorar la seguridad aquí

Kit de formación sobre concienciación en seguridad para operadores de ICS aquí
Lista de verificación de gestión de ciberriesgos aquí

 

Recibe semanalmente

Recursos y Noticias

Vea cómo nuestras soluciones de seguridad de OT líderes en la industria abordan los desafíos de seguridad críticos

También te puede interesar

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.