Modelo de zonas y conductos
IEC 62443 propone segmentar la red OT en zonas según criticidad y nivel de exposición, conectadas por conductos controlados. Cada zona tiene un Security Level (SL) target y se evalúa contra capacidades reales del equipamiento.
Los primeros tres controles a implementar
Inventario completo de activos OT (PLC, HMI, switches, enlaces) — sin inventario no hay defensa posible.
Segmentación física o lógica entre redes IT y OT, con firewall industrial documentado.
Gestión de accesos remotos: tunel seguro auditado, MFA obligatorio para vendors externos.
El error frecuente: copiar IT
La ciberseguridad OT NO es ciberseguridad IT aplicada a equipos industriales. Los ciclos de actualización son distintos, los tiempos de respuesta a incidentes diferentes, y un parche que reinicia un servidor en IT puede detener una línea de producción en OT.