El documento, firmado por siete países, busca estandarizar prácticas y ofrecer pasos concretos para reducir riesgos en entornos de tecnologías operativas críticos.
Las agencias de ciberseguridad de siete países, entre ellos los miembros de la alianza Five Eyes, presentaron el pasado lunes 29 de septiembre una nueva guía enfocada en la seguridad de tecnologías operativas (OT). La iniciativa se dirige a profesionales encargados de gestionar o desplegar equipos y sistemas OT en distintos sectores.
“Los sistemas OT mantienen encendidas las luces, bombean el agua, ponen en marcha las líneas de manufactura y sostienen servicios nacionales críticos. Cuando estos sistemas se ven comprometidos, los impactos reales afectan la seguridad, las operaciones, la economía e incluso la resiliencia nacional”, comentó en un blog el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), una de las agencias firmantes.
El documento propone un enfoque basado en cinco principios esenciales: establecer procesos para crear y mantener un registro definitivo del entorno OT; implantar un programa de gestión de seguridad de la información en OT; identificar y clasificar activos para decisiones basadas en riesgos; documentar la conectividad dentro del sistema; y comprender y registrar los riesgos asociados a terceros.
Además, la guía ofrece orientaciones paso a paso que detallan las acciones que los equipos de seguridad deben aplicar para implementar de manera efectiva cada principio.
Uno de los ejes centrales del documento es la creación de un “registro definitivo” que abarque todos los componentes del entorno OT. Esto incluye dispositivos, controladores, software y sistemas virtualizados, clasificados según su criticidad, nivel de exposición y requisitos de disponibilidad.
El registro no solo incorpora la clasificación de activos, sino también mejores prácticas para mapear aspectos clave de su gestión. Entre ellos, la conectividad -cómo se relacionan los activos dentro de la red OT y con sistemas externos, protocolos empleados y restricciones operacionales como latencia o ancho de banda- y la arquitectura global, que debe contemplar segmentación, medidas de resiliencia y justificación de decisiones de diseño.
La guía también subraya la importancia de evaluar riesgos en la cadena de suministro y el acceso de terceros, detallando cómo se gestionan proveedores, integradores y prestadores de servicios, además de los controles de seguridad aplicados. También insiste en definir claramente el contexto de negocio e impacto, considerando consecuencias operacionales, financieras y de seguridad ante fallos o incidentes.
El documento cuenta con el respaldo de agencias de Australia (ASD), los Estados Unidos (CISA), Reino Unido, Canadá, el FBI, Nueva Zelanda, los Países Bajos y la Oficina Federal de Seguridad de la Información de Alemania (BSI).
Este esfuerzo internacional se suma a la firma, realizada en agosto, de la primera taxonomía unificada de seguridad OT por seis de los mismos países participantes y que comentamos en este blog.