Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Cómo garantizarOT Security el cumplimiento de la normativa NIS2 mediante transferencias de archivos gestionadas 

Por OPSWAT
Última actualización:
Comparte esta publicación

TI y TO: las islas aisladas de las infraestructuras críticas 

Para la mayoría de los equipos de TI (tecnología de la información) y TO (tecnología operativa), es habitual sentir que viven en dos mundos distintos. Los profesionales de TI, a quienes se suele considerar expertos «de oficina», se centran en la gestión de datos y sistemas digitales, mientras que los especialistas en TO —los trabajadores «de planta»— se dedican a tareas prácticas, como el mantenimiento de la maquinaria y los equipos que garantizan el buen funcionamiento de las operaciones físicas.   

Esta brecha puede dar lugar a problemas de comunicación y seguridad, ya que cada parte tiene dificultades para integrar los procesos de la otra de forma eficiente y segura.   

Los trabajadores de la tecnología operativa (OT) suelen percibir a los profesionales de las tecnologías de la información (TI) como personas alejadas del trabajo «real», ya que creen que se pasan el día sentados delante del ordenador sin ensuciarse nunca las manos. Por otro lado, cuando los expertos en TI se adentran en entornos físicos de OT, a menudo se sienten desbordados al encontrarse con protocolos y procesos que les resultan desconocidos.  

En el futuro, los sistemas de TI y TO totalmente integrados se convertirán en la norma, y los entornos de TO seguros serán una realidad. Sin embargo, en la actualidad, estos dos ámbitos suelen funcionar como islas aisladas: se están acercando poco a poco, pero en la práctica siguen teniendo dificultades para alinearse.   

Por muy complejos que sean los retos, la necesidad de adoptar un enfoque unificado en materia de productividad y seguridad de las tecnologías de la información (TI) y de la tecnología operativa (TO) es ineludible, y las herramientas para hacerlo realidad ya están disponibles. 

Tecnologías de la Información (TI)Tecnología operativa (OT)
Componentes Servidores, estaciones de trabajo, bases de datos, nube, dispositivos de seguridad, mobile , aplicaciones web, dispositivos de redPLC/DCS, SCADA, colectores de datos, sensores, motores y otros dispositivos de campo, convertidores de protocolos, controladores de fabricación
FuncionamientoAplicaciones, sistemas y redes colaborativos e interconectadosSistemas aislados de tipo «isla», funcionamiento autónomo
Concepto de seguridadEnfoque centrado en los datosEnfoque centrado en el proceso
PersonalTrabajadores de oficina: administradores de sistemas, ingenieros de TI y de seguridad, usuariosTrabajadores «de cuello blanco y de cuello azul»: operadores, personal de mantenimiento, ingenieros de campo e ingenieros de automatización
DirecciónEl funcionamiento y el mantenimiento de los sistemas informáticos los gestiona un equipo interno o se subcontratanLos sistemas de tecnología operativa suelen ser gestionados y mantenidos por los proveedores, los integradores o los fabricantes
Ubicación Sistemas centralizados en salas de servidores y centros de datosOperaciones descentralizadas, a menudo aisladas, en entornos remotos

Operaciones de ingeniería de operaciones descentralizadas

Los sistemas de TI suelen estar gestionados por un único equipo centralizado. Por el contrario, los entornos de TO suelen estar a cargo de varios equipos, ya que es habitual que los fabricantes de equipos, maquinaria y líneas de producción de TO se encarguen también del mantenimiento.  

Dependiendo de la diversidad del entorno tecnológico y de fabricación, pueden participar entre 8 y 10 fabricantes diferentes en la prestación de servicios de mantenimiento. Esto significa que la gestión de la tecnología operativa ( OT), incluida su seguridad, suele estar descentralizada.  

En muchos casos, los entornos de telecomunicaciones operan con una gestión descentralizada, lo que puede plantear dificultades a la hora de mantener prácticas de seguridad coherentes en todo el sistema.

Tender puentes entre los entornos de TI y de tecnología operativa

En un panorama tecnológico y operativo tan diverso, ¿pueden los criterios unificados de evaluación de la ciberseguridad evaluar eficazmente las tecnologías de la información (TI) y las tecnologías operativas (TO), especialmente en el marco de la Directiva NIS2

Afortunadamente, existe un nexo entre estos dos entornos, y ya se dispone de un marco de evaluación unificado.

NIST 800-53

Establece controles básicos de seguridad y privacidad para los sistemas informáticos, centrándose en la confidencialidad, la integridad y la disponibilidad. Clasifica los sistemas según el impacto del riesgo (bajo, moderado, alto) y define controles para mitigar dichos riesgos de manera eficaz, garantizando el cumplimiento normativo en todos los entornos informáticos.

NIST 800-82

Amplía estos principios a entornos de tecnología operativa (OT), como los sistemas SCADA y los sistemas Industrial (ICS). Entre las adaptaciones clave se incluyen las comprobaciones manuales obligatorias cuando la automatización no es viable, y la reclasificación de los controles de seguridad para hacer frente a los riesgos específicos de la tecnología operativa.

Estos marcos, aunque se han desarrollado en Estados Unidos, han obtenido reconocimiento internacional por su enfoque integral de la ciberseguridad. Se ajustan estrechamente a los requisitos normativos actuales, como la Directiva NIS2, al ofrecer una estrategia unificada para proteger los sistemas de TI y de tecnología operativa (OT), al tiempo que garantizan el cumplimiento de las normas internacionales en constante evolución.

El papel de Managed File Transfer la convergencia entre TI y TO

En el contexto de la convergencia entre TI y TO, es fundamental garantizar la transferencia segura de datos entre estos entornos, que tradicionalmente han estado aislados. Las soluciones MFT Managed File Transfer) ofrecen un enfoque estructurado, seguro y automatizado para la transmisión de datos que responde tanto a las exigencias operativas de los sistemas de TO como a las expectativas de ciberseguridad de los entornos de TI.

MFT mecanismos de seguridad avanzados, entre los que se incluyen:

  • Cifrado de extremo a extremo para garantizar la confidencialidad de los datos 
  • Controles de acceso basados en roles para garantizar que solo el personal autorizado pueda acceder a datos confidenciales 
  • Registros de auditoría exhaustivos que ofrecen visibilidad y trazabilidad de las transferencias de datos 

En conjunto, estas características abordan los retos operativos y de seguridad específicos que plantea la convergencia entre TI y TO mediante: 

  • Reducir la complejidad a la hora de cumplir las normas reglamentarias mediante controles de seguridad automatizados 
  • Ofrece registro y supervisión en tiempo real, lo que contribuye a cumplir los requisitos de notificación de incidentes y gestión de riesgos 
  • Reducir al mínimo las tareas manuales relacionadas con el seguimiento del cumplimiento normativo, lo que permite a las organizaciones centrarse en reforzar la seguridad general

Armonización de los marcos del NIST con la Directiva NIS2

Los principios establecidos en las normas NIST 800-53 y NIST 800-82 concuerdan con los objetivos de la Directiva europea NIS2, cuyo fin es mejorar la ciberseguridad en los sectores de infraestructuras críticas. Estos marcos favorecen una gestión sólida de los riesgos, la notificación de incidentes y las medidas de seguridad de la cadena de suministro, garantizando una protección integral en los entornos de TI y TO. 

Uno de los objetivos fundamentales de la Directiva NIS 2 es establecer un enfoque coherente para las organizaciones con infraestructuras críticas, centrándose en medidas de seguridad como el control de acceso, el cifrado y la notificación de incidentes. Esta directiva exige que las organizaciones implementen sistemas capaces de garantizar la confidencialidad, la integridad y la disponibilidad de los datos, al tiempo que permiten la detección y la mitigación de las ciberamenazas.  

Estos requisitos son especialmente importantes en entornos de tecnología operativa, donde las interrupciones operativas pueden tener consecuencias de gran alcance. Para cumplir con estas exigencias normativas, Managed File Transfer son indispensables, ya que incorporan medidas de seguridad esenciales que responden directamente a los requisitos de la Directiva NIS2. 

Cuatro iconos que representan las estrategias para el cumplimiento de la norma NIST 800-53: identificación de datos confidenciales, asignación de permisos, gestión del control de acceso y supervisión de la actividad de los datos

El futuro: convergencia total

La convergencia de los sistemas de TI y de tecnología operativa ya no es una visión lejana, sino una necesidad inmediata. A medida que las organizaciones adoptan arquitecturas integradas, hoy en día es posible proteger los entornos de tecnología operativa gracias a soluciones avanzadas adaptadas a sus retos específicos.

  • Cifrado: Los componentes de OT cuentan cada vez más con funciones de cifrado, y soluciones como Managed File Transfer el intercambio seguro de datos entre sistemas, al tiempo que facilitan dicho intercambio incluso en entornos con tecnologías mixtas. 
  • Registros de auditoría: Las capacidades de registro mejoradas garantizan que los sistemas de tecnología operativa puedan generar registros detallados y útiles, lo que permite una visibilidad completa y el cumplimiento normativo. 

Hoy en día, para garantizar la seguridad de los sistemas de tecnología operativa (OT) es necesario que los profesionales de TI se adapten a las necesidades específicas de ciberseguridad de la OT y que los especialistas en OT adopten enfoques basados en la tecnología de la información (TI). Soluciones como MetaDefender Managed File Transfer MFT) cubren esta brecha al ofrecer transferencias de datos fluidas, seguras y trazables, lo que garantiza el cumplimiento de normativas en constante evolución, como la NIS2.

Esquema de las transferencias seguras de archivos a través de redes externas, de TI y de producción mediante la transferencia gestionada de archivos y el cifrado

La solución de transferencia gestionada de archivos OPSWAT, líder en el sector,MetaDefender Managed File Transfer MFT), se sitúa a la vanguardia de la convergencia entre TI y TO, y ofrece medidas de seguridad avanzadas diseñadas específicamente para entornos de infraestructuras críticas: 

  • Cifrado de extremo a extremo: el protocolo TLS 1.3 y el cifrado AES-256 protegen los datos tanto en tránsito como en reposo. 
  • Verificación de la integridad de los archivos: El algoritmo de suma de comprobación OPSWAT garantiza la integridad de los archivos, lo que permite mantener la confianza y la seguridad durante las transferencias de datos.
  • Control de acceso granular: los permisos basados en roles y de carácter granular garantizan un acceso seguro y controlado a los archivos y los flujos de trabajo, al tiempo que evitan filtraciones de datos no autorizadas y caídas del sistema. 
  • Seguridad avanzada: Los motoresCore MetaDefender Core Multiscanning, prevención de brotes, Sandbox y File-Based Vulnerability Assessment— mitigan los ataques sofisticados basados en archivos y facilitan el cumplimiento normativo.
  • Implementaciones especializadas para entornos regulados: MFT MFT MFT MFT satisfacen las necesidades de cumplimiento normativo de los sectores altamente regulados. 

Las organizaciones ya no tienen que esperar a que llegue el futuro para lograr la integración entre TI y TO y garantizar la seguridad de sus operaciones; las herramientas necesarias para proteger los sistemas críticos ya están disponibles. 

Para obtener más información sobre cómo MetaDefender Managed File Transfer MFT) puede facilitar la convergencia entre TI y TO y garantizar el cumplimiento normativo, visite nuestra página de productos.  

METADEFENDER

Managed File Transfer

Garantice transferencias de archivos que cumplan con la normativa, sean eficientes y seguras.

METADEFENDER

Managed File Transfer

Garantice transferencias de archivos que cumplan con la normativa, sean eficientes y seguras.

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.