Seguridad OT: de reto técnico a prioridad estratégica

Muchas organizaciones industriales perciben la ciberseguridad como una cuestión puramente técnica, a resolver desde departamentos de IT o áreas operativas. Esta visión fragmentada ha limitado su impacto y ha retrasado su integración con los objetivos de negocio. Sin embargo, el contexto actual ha cambiado radicalmente. La proliferación de ciberataques dirigidos a entornos industriales, los incidentes reales en sectores críticos como energía, agua o alimentación, y la presión regulatoria creciente con marcos como la directiva NIS2 y el reglamento CRA, han convertido la seguridad OT en un asunto de supervivencia empresarial.

La ciberseguridad industrial debe convertirse en una función estratégica, transversal y plenamente integrada en la agenda corporativa. Afecta directamente a la continuidad del negocio, la reputación de la marca, la seguridad de las personas y la confianza de los clientes.

El enfoque técnico sigue siendo esencial. Implica desplegar herramientas específicas, configurar defensas perimetrales, implementar sistemas de monitorización y actuar con rapidez ante incidentes. Por ejemplo, ante un ataque de ransomware en una planta, es clave contar con un sistema de detección eficaz, medidas de contención y mecanismos de recuperación que minimicen el impacto operativo.

Sin embargo, este enfoque no es suficiente por sí solo. La ciberseguridad también necesita de liderazgo estratégico: visión de negocio, alineamiento con los objetivos organizativos, priorización desde la dirección y colaboración con otras áreas como sostenibilidad, seguridad operacional, calidad o mantenimiento.

Como expresó recientemente el CISO de una empresa global del sector alimentación: “Yo vendo sopa”. Esta frase resume a la perfección el enfoque que necesitamos: entender que la ciberseguridad no es el centro del negocio, pero sí es esencial para garantizar que el negocio funcione con garantías.

Este liderazgo estratégico debe traducirse en una política corporativa, con objetivos claros, responsables, definidos y recursos asignados. Y, sobre todo, debe contar con un rol con capacidad transversal y peso en la toma de decisiones, en el Centro de Ciberseguridad Industrial (CCI), lo denominamos ICSO (Industrial Cybersecurity Officer).

Buenas prácticas reales para entornos OT reales

Desde el CCI hemos observado que muchas de las buenas prácticas tradicionales de seguridad IT no pueden trasladarse directamente a entornos OT sin poner en riesgo la disponibilidad o estabilidad de los sistemas. Para ayudar a cerrar esa brecha, recientemente publicamos la “Guía de Bolsillo: 10 buenas prácticas de seguridad IT adaptadas al entorno OT”, que propone formas concretas y realistas de aplicar medidas de seguridad en entornos industriales.

Algunos ejemplos extraídos de la guía:

• Actualizaciones automáticas: aunque en IT es común aplicarlas sin intervención, en OT pueden interrumpir procesos críticos. Por ello, se recomienda probarlas previamente en entornos de simulación (como un gemelo digital), y programarlas durante paradas planificadas.
• Antimalware en tiempo real: puede afectar al rendimiento de sistemas SCADA o PLCs. La guía recomienda evitar escaneos activos en entornos de producción y optar por listas blancas de aplicaciones (whitelisting) y escaneos programados.
• MFA (autenticación multifactor): útil en IT, pero puede obstaculizar el acceso en situaciones críticas en planta. En OT se recomienda usar MFA solo en accesos remotos, combinando tarjetas RFID o biometría en acceso local.
• Segmentación de red: frente a VLANs dinámicas típicas de IT, se proponen arquitecturas estáticas basadas en modelos como Purdue o IEC 62443, con zonas de seguridad y firewalls industriales.

La guía pone en evidencia algo fundamental: no se trata de rechazar las buenas prácticas IT, sino de adaptarlas a la realidad OT, garantizando tanto la seguridad como la continuidad de las operaciones.

Ciberseguridad como ventaja competitiva: cómo avanzar

Las organizaciones que lideran hoy en ciberseguridad OT lo hacen porque han entendido que esto no es solo una obligación, sino una oportunidad. Participan activamente en redes de conocimiento, evalúan su madurez con modelos específicos del sector, forman continuamente a sus equipos y buscan convertir la seguridad en un diferencial frente a sus competidores.

Desde el CCI proponemos cuatro líneas clave para avanzar:

1. Un rol con liderazgo y visión transversal: puede ser una dirección específica o una función integrada, pero debe tener conocimiento de los procesos industriales y autoridad para actuar en todas las áreas implicadas. Este rol de ICSO (Industrial Cybersecurity Officer) es clave.
2. Formación continua con visión técnica y estratégica: no basta con saber de firewalls o de PLCs; es necesario comprender el impacto del riesgo de ciberseguridad en los procesos industriales del negocio y saber comunicarlo a la dirección.
3. Participación en ecosistemas colaborativos: iniciativas como el propio CCI permiten compartir experiencias, identificar tendencias emergentes y construir una comunidad de profesionales comprometidos.
4. Evaluación constante de la madurez en ciberseguridad: usando marcos adaptados al entorno OT que incluyan aspectos técnicos, organizativos y normativos.

El artículo 21 de la normativa NIS2 lo deja claro: la alta dirección es responsable de la ciberseguridad. Pero más allá del cumplimiento, esto debe traducirse en un cambio cultural, donde todos, desde las operaciones hasta compras, entiendan su papel en la protección del negocio.

La ciberseguridad OT ha dejado de ser un tema exclusivo de los técnicos. Es ahora una responsabilidad compartida, una necesidad estratégica y una condición imprescindible para ser una organización resiliente, innovadora y competitiva.

El reto no es sólo evitar el próximo ataque, sino anticiparse, adaptarse y aprender continuamente. Y eso requiere tanto de herramientas como de liderazgo.

Como muestra la reciente publicación ‘ICSO: Rol estratégico en la protección y resiliencia de una organización industrial’ del CCI, ya existen soluciones, pero lo que necesitamos ahora es voluntad, visión y compromiso para aplicarlas con inteligencia y sentido industrial.

José Valiente

Director del Centro de Ciberseguridad Industrial

----

Este artículo aparece publicado en el nº 563 de Automática e Instrumentación pág 20 y 21.