Cuando me preguntan qué norma aplicar para proteger un entorno industrial, la respuesta es siempre la misma: IEC 62443. No porque sea perfecta, sino porque es la única que está pensada desde el proceso industrial.
ISO 27001 es un gran marco de gestión, pero nació en un mundo donde «disponibilidad» significa que el correo funciona. En una planta, disponibilidad significa que un horno no se enfría, que una línea no se para, que un proceso químico no se descontrola. Son mundos distintos.
IEC 62443 entiende eso. Habla de zonas y conductos, de Security Levels definidos por el riesgo del proceso, de requisitos que distinguen entre lo que necesita un SCADA y lo que necesita un historian. Cuando defines zonas en una planta real, te das cuenta de que el diagrama no lo decides tú en un despacho. Lo decide la arquitectura que alguien montó hace quince años, los cables que cruzan salas sin documentar, y el switch donde conviven tres generaciones de equipos.
El problema es que la norma, sobre el papel, parece clara. Pero aplicarla a una instalación real con 30 años de historia, con PLCs que ya no tienen soporte, con redes que se han ido construyendo sin documentar, es otro ejercicio completamente distinto. He visto GAP analysis donde el primer hallazgo era que nadie sabía exactamente cuántos equipos había conectados. No es una excepción. Es lo habitual.
En esta sección voy a escribir sobre eso: sobre lo que pasa cuando coges la norma y la pones encima de una planta real. GAP analysis que revelan más preguntas que respuestas. Zonas y conductos que no encajan en el diagrama bonito. Security Levels que hay que negociar con producción porque no puedes parar para cumplir.
La norma la puedes comprar. El criterio para aplicarla, no.
No voy a explicar la norma. Voy a contar lo que pasa cuando la aplicas.
Esta entrada se actualizará a medida que publique contenido en esta categoría.