Prayukth KV
21 de noviembre de 2025
Su lista de tareas para la evaluación de riesgos basada en IEC 62443 para 2026
Parece que el año 2026 será un año crucial para la ciberseguridad de la Tecnología Operativa (OT). Entraremos al año un poco más sabios con los aprendizajes de muchos eventos cibernéticos que ocurrieron en 2025.
Con marcos regulatorios existentes como NIS2 y la Ley de Resiliencia Cibernética (CRA), que requieren algunas necesidades adicionales (en términos de intervenciones y atención), y el nuevo programa ISA Secure Automation and Control System Security Assurance (ACSSA) para sitios operativos en implementación, la dependencia de la familia de estándares IEC 62443 ya no es una opción. En su lugar, ahora es un requisito fundamental para demostrar la debida diligencia y resiliencia. A un nivel estratégico, incluso demuestra el nivel de madurez en ciberseguridad y más.
Como siempre decimos, su estrategia de evaluación de riesgos debe evolucionar más allá del cumplimiento básico. Así que nos complace compartir una lista de tareas accionables para su programa de evaluación de riesgos basado en IEC 62443 en el nuevo año 2026.
Antes de avanzar, no olvide consultar nuestro blog anterior sobre la mejor solución IDS/IPS para sistemas OT/ICS aquí.
Sumérgete en zonas y conductos (IEC 62443-3-2)
La segmentación de la red física y virtual está en el núcleo de una estrategia efectiva de defensa en profundidad del Sistema de Automatización y Control Industrial (IACS). Dicha segmentación debería ser capaz de disuadir vectores de amenaza de moverse libremente así como ofrecer un medio para recuperarse rápidamente en caso de un incidente cibernético.
Su evaluación de riesgos OT de 2026 debe ir más allá de simples diagramas de red para evaluar completamente la seguridad de sus zonas y conductos. Se trata de desarrollar un nivel superior de sensibilidad y consciencia en seguridad.
· Finalizar la partición del IACS: Implemente el modelo de Zonas y Conductos para todo su Sistema en Consideración (SuC). Asegúrese de que sus zonas agrupen activos con base en la criticidad compartida (consecuencia del compromiso) y el Nivel de Seguridad Objetivo (SL-T).
· Evaluación de Riesgos de Conductos: Trate a los conductos o las vías de comunicación entre las zonas, como componentes de seguridad independientes. Realice una evaluación de riesgo detallada en cada conducto para asegurar que todos los flujos de tráfico se habiliten estrictamente por necesidad y que los controles de seguridad requeridos, como reglas de firewall, autenticación, cifrado estén correctamente aplicados para alcanzar el SL-T requerido para las zonas comunicantes.
· Verificación del Logro de SL-T: Para cada zona, verifique formalmente que las contramedidas implantadas, incluidas aquellas en los conductos conectorios, sean suficientes para cumplir con el Nivel de Seguridad Objetivo (SL-T) en comparación con el Nivel de Seguridad Alcanzado (SL-A). Documente cualquier brecha y asigne el plan de remediación.
Gestión estratégica de sistemas heredados
La presencia perpetua de equipos heredados es fácilmente el mayor multiplicador de riesgo en el entorno OT. En 2026, su estrategia de gestión de riesgos necesita integrar completamente la gestión heredada directamente en el programa de evaluación de riesgos.
· Inventario de activos con enumeración profunda: Identifique cada activo heredado (como sistemas fuera de vida útil, que ejecutan SO no compatibles o carecen de características de seguridad modernas) y mapee su ubicación dentro de su modelo de Zonas y Conductos.
· Análisis de Controles Compensatorios: Para sistemas heredados que no pueden parchearse o actualizarse para cumplir con el SL-T de su zona, documente e implemente las contramedidas compensatorias necesarias. Su evaluación de riesgos debe validar formalmente que estos controles como firewalls basados en host, listas blancas de aplicaciones, o gateways unidireccionales (diodos de datos) proporcionan una reducción de riesgo tangible y basada en evidencia.
· Estrategia de parcheo virtual: Normalmente es difícil parchar activos OT por diversas razones conocidas. Necesita formalizar el uso de parcheo virtual como un control documentado y probado para sistemas donde los parches del proveedor no están disponibles o los riesgos de implementación son demasiado altos. Complételo con un procedimiento para su monitoreo continuo y mantenimiento.
Requisitos del Programa de Gestión de Ciberseguridad (CSMS) (IEC 62443-2-1)
El CSMS es la columna vertebral operativa para mantener la seguridad. El proceso de evaluación de riesgos es en sí un componente clave del CSMS.
· Integre Gobernanza IT/OT: Alinee su CSMS OT (IEC 62443-2-1) con su Sistema de Gestión de Seguridad de Información corporativa (ISMS, p. ej., ISO 27001). La estructura de gobernanza debe abordar de manera holística escenarios de consecuencia de pérdida que abarcan ambos dominios.
· Evaluación del Modelo de Madurez: Utilice el modelo de madurez CSMS (a menudo ML0 a ML4) para calificar objetivamente la postura de seguridad de su organización en cuanto a elementos clave de CSMS (p. ej., gestión de riesgos, respuesta a incidentes, gestión de parches). Esto proporciona a la administración un camino claro y cuantificable para la mejora más allá de los controles técnicos simplemente.
· Capacitación basada en roles: Verifique que la concienciación y la capacitación técnica en seguridad sean basadas en roles y aborden específicamente los riesgos únicos del entorno OT identificados en su última evaluación. Los operadores, ingenieros y personal de IT necesitan responsabilidades de seguridad claras y documentadas.
Enfoque en Controles Fundamentales (IEC 62443-3-3)
Su evaluación de riesgos detallada debe mapear directamente a los siete Requisitos Fundamentales (FRs) y sus Requisitos del Sistema (SRs) específicos en IEC 62443-3-3.
Requisito Fundamental (FR) | Enfoque de Control Accionable 2026 |
FR1: Control de Identificación y Autenticación | Exija Autenticación Multifactor (MFA) para todo acceso remoto y cuentas privilegiadas. Revise y limpie todas las cuentas inactivas/por defecto. |
FR2: Control de Uso | Haga cumplir el Principio de Mínimos Privilegios para todos los usuarios y procesos. Implemente Listas Blancas de Aplicaciones en sistemas de control críticos. |
FR3: Integridad del Sistema | Implemente políticas de Gestión de Configuración y Cambio con capacidades de monitoreo automatizado y reversión para detectar y prevenir cambios no autorizados en el sistema. |
FR4: Confidencialidad de Datos | Aplicar cifrado a todos los datos considerados confidenciales durante la evaluación de riesgos (p.ej., PII, fórmulas propietarias, túneles de acceso remoto). |
FR5: Flujo de Datos Restringido | Audite las reglas de firewall y segmentación para asegurarse de que aplican estrictamente los conductos definidos, bloqueando toda comunicación por defecto. |
FR6: Respuesta oportuna y precisa a eventos | Integre los registros de seguridad OT en su Gestión de Información y Eventos de Seguridad (SIEM) y realice ejercicios de respuestas a incidentes de mesa redonda que cubran escenarios de ataques ciber-físicos. |
FR7: Disponibilidad de Recursos | Verifique y pruebe la resiliencia de activos críticos (p.ej., sistemas redundantes, respaldos probados, desempeño de red determinista) contra denegación de servicio o agotamiento de recursos. |
Monitoreo y revisión continuos
Una evaluación de riesgos basada en IEC 62443 no es un evento único; es una fase en el ciclo de mejora continua.
· Re-evaluación Basada en Desencadenantes: Formalice desencadenantes para una re-evaluación de riesgos inmediata, como:
o Cualquier cambio mayor del sistema (nuevo equipo, modificación de red).
o Descubrimiento de una vulnerabilidad crítica (zero-day) que afecta un componente IACS.
o Un incidente de seguridad (incluso cuasi-incidentes).
· Garantía del Proveedor y la Cadena de Suministro (IEC 62443-2-4 / 4-1): A la luz de regulaciones en evolución como CRA, su evaluación de riesgos debe considerar la postura de seguridad de sus proveedores y proveedores de servicios. Exija evidencia de su adherencia a IEC 62443-4-1 (Ciclo de Vida de Desarrollo de Producto Seguro) y 62443-2-4 (Requisitos del Programa de Seguridad para Proveedores de Servicios).
En 2026, tendremos que invertir más esfuerzo y atención para asegurar una evaluación de riesgos de seguridad OT más contextual y vincular eso con resultados de seguridad tangibles e intervenciones de respuesta a incidentes.
Al completar rigurosamente esta lista de tareas, no solo reducirá la exposición al riesgo ciber-físico de su organización sino que también tendrá la evidencia auditada necesaria para demostrar (más allá de toda duda) su madurez de seguridad contra los estándares internacionales o regionales más altos.
Obtenga más información sobre nuestra evaluación de riesgos basada en IEC 62443
¿Comenzando su jornada de seguridad OT o tiene una pregunta? Contáctenos aquí.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
