Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Resiliencia cibernética para infraestructuras críticas en el marco de la Ley SOCI de Australia

Fortalecimiento de los programas de gestión de riesgos de las infraestructuras críticas mediante controles de seguridad preventivos
Por Adam Bradley, SE ANZ, OPSWAT
Última actualización:
Comparte esta publicación

La Ley SOCI (Seguridad de las Infraestructuras Críticas) de Australia ha transformado la forma en que las entidades responsables gestionan los riesgos cibernéticos y operativos. La ley desplaza el enfoque de la armonización de políticas de alto nivel hacia una resiliencia operativa demostrable, respaldada por prácticas de gestión de riesgos contrastadas.

Las últimas modificaciones refuerzan la expectativa del Gobierno australiano de que los propietarios de infraestructuras críticas pasen de los marcos estáticos a controles prácticos y operativos, especialmente en materia de ciberseguridad y seguridad de la información.

En virtud de la Parte 2A de la Ley SOCI, las entidades responsables deben establecer, mantener y cumplir el CIRMP (Programa de Gestión de Riesgos de Infraestructuras Críticas). Este requisito se aplica a todos los sectores, entre los que se incluyen:

  • Energía
  • Agua
  • Transporte
  • Sanidad
  • Comunicaciones
  • Almacenamiento de datos
  • Servicios financieros
  • Defensa
  • Educación superior
  • Espacio
  • Alimentación y productos de alimentación

La mayoría de estos sectores deben adoptar un enfoque más maduro, demostrable y en constante mejora para gestionar el riesgo en lo que respecta al personal, los procesos y la tecnología.

Las modificaciones introducidas entre 2021 y 2024 refuerzan tres expectativas fundamentales:

  1. Controles de ciberseguridad y seguridad de la información claramente definidos y aplicados
  2. Evaluación y revisión continuas de los riesgos, en lugar de documentación estática
  3. Supervisión y rendición de cuentas a nivel del consejo de administración

Las autoridades reguladoras esperan ahora que las organizaciones demuestren la eficacia de sus controles, respaldada por elementos de supervisión, registro y gobernanza, así como su eficacia operativa. El cumplimiento normativo ya no es un mero trámite burocrático. Se trata de una responsabilidad operativa y ejecutiva directamente vinculada a la resiliencia nacional.

La Ley SOCI y el CIRMP

Las entidades responsables deben establecer, mantener y cumplir un CIRMP que sea adecuado al nivel de importancia del activo y al entorno de amenazas. El CIRMP debe ir más allá de las declaraciones de política y demostrar controles prácticos y basados en el riesgo que aborden los peligros del mundo real.

De acuerdo con los requisitos del CIRMP, las organizaciones deben:

  • Identificar los riesgos que podrían afectar de manera significativa a los activos de infraestructura crítica
  • Reducir al mínimo o eliminar los riesgos significativos derivados de esos peligros
  • Revisar y actualizar periódicamente los controles para reflejar los cambios en la actividad de las amenazas
  • Llevar registros y pruebas que respalden el cumplimiento normativo y la participación
  • Abordar los riesgos en cuatro vectores de peligro definidos:
  1. Riesgos para la seguridad cibernética y de la información
  2. Seguridad física y riesgos naturales
  3. Riesgos para el personal
  4. Riesgos en la cadena de suministro

Aunque el CIRMP sigue basándose en principios, las autoridades reguladoras esperan que las organizaciones alcancen la madurez operativa. Las organizaciones deben demostrar que los controles se aplican, se supervisan y se mejoran continuamente. La documentación por sí sola no es suficiente. Se requiere evidencia de la supervisión de la gobernanza, de los procesos de evaluación de riesgos y de los mecanismos técnicos de cumplimiento.

El riesgo cibernético como Core del CIRMP

Las amenazas a la ciberseguridad y la seguridad de la información constituyen uno de los riesgos más importantes y de más rápida evolución para las infraestructuras críticas. El CIRMP consolida el riesgo cibernético como un pilar fundamental de la planificación de la resiliencia, lo que refleja la creciente frecuencia de los ataques de ransomware, las vulnerabilidades en la cadena de suministro y los ataques dirigidos a entornos de tecnología operativa.

Las entidades responsables deben demostrar que comprenden claramente cómo las ciberamenazas podrían afectar de manera significativa a la disponibilidad, la integridad o la fiabilidad de los activos de las infraestructuras críticas.

Esto incluye la capacidad de identificar:

  • Cómo entran y circulan los datos, los archivos y el software en los entornos de TI, TO y ICS
  • Cuando existen límites de confianza entre las redes de TI, de tecnología operativa (OT) y de terceros
  • Cómo el malware o el acceso no autorizado podrían propagarse a los sistemas operativos
  • Ya sea que los proveedores, los contratistas o los soportes portátiles supongan un riesgo no controlado

Las modificaciones de la Ley SOCI dejan claro que los sistemas heredados, las redes aisladas físicamente y los entornos de tecnología operativa (OT) con restricciones no están exentos de las obligaciones en materia de riesgos cibernéticos. Las organizaciones deben adaptar los controles a estos entornos, en lugar de evitar su implementación.

En la práctica, esto requiere visibilidad y un control efectivo en los puntos de entrada que suelen ser objeto de ataques, entre los que se incluyen:

  • Carga y descarga de archivos
  • Archivos adjuntos de correo electrónico
  • Terminales gestionados y no gestionados
  • Soportes extraíbles
  • Vías de acceso remoto
  • Zonas de convergencia entre TI y TO

Una gestión eficaz de los riesgos cibernéticos en el marco del CIRMP depende de controles preventivos que reduzcan la exposición antes de que las amenazas alcancen los sistemas críticos. El registro, la supervisión y la generación de pruebas son esenciales para demostrar que estos controles funcionan según lo previsto.

Armonización de las categorías de riesgo del CIRMP con la aplicación práctica de las medidas de control

El CIRMP exige a las organizaciones que aborden los riesgos en cuatro vectores de peligro. Cada vector requiere controles exigibles y auditables que reduzcan el riesgo significativo para los activos de infraestructura crítica.

Entre los vectores de riesgo se incluyen:

  1. Seguridad cibernética y de la información
  2. Personal
  3. Cadena de suministro
  4. Seguridad física

En los apartados siguientes se describe cómo estas categorías de riesgos se traducen en controles de seguridad operativos en entornos de infraestructuras críticas.

1. Riesgos relacionados con la ciberseguridad y la seguridad de la información

El CIRMP exige a las organizaciones que implementen controles que minimicen los riesgos cibernéticos significativos capaces de afectar a la disponibilidad, la integridad o la fiabilidad de los activos de las infraestructuras críticas. Entre las amenazas cibernéticas más comunes se encuentran el phishing, el malware, el ransomware y los ataques de denegación de servicio.

Las amenazas basadas en archivos siguen siendo uno de los vectores de acceso inicial más comunes. Las organizaciones deben garantizar la seguridad en la forma en que se cargan, descargan, transfieren e introducen los archivos tanto en los entornos de TI como en los de TO.

MetaDefender OPSWAT está diseñado para prevenir las amenazas transmitidas a través de archivos antes de que lleguen a los usuarios o a los sistemas críticos. Se integra en la infraestructura existente para inspeccionar las cargas, las descargas, los archivos adjuntos de correo electrónico y las transferencias de archivos sin interrumpir los flujos de trabajo operativos.

MetaDefender Core múltiples tecnologías de detección para llevar a cabo una inspección de defensa en profundidad, entre las que se incluyen:

  • Tecnología de análisis múltiple Metascan™ con más de 30 motores antimalware
  • Detección basada en firmas, heurística y basada en el aprendizaje automático
  • Detección de vulnerabilidades de día cero previa a la ejecución, impulsada por IA y basada en el aprendizaje automático
  • Reputación de archivos y análisis de hash

En el caso de amenazas desconocidas y de día cero, la tecnología Deep CDR™ lleva a cabo una desinfección profunda de los archivos para eliminar de forma recursiva las amenazas incrustadas, como scripts, macros y contenido que incumple las políticas, y a continuación regenera archivos seguros y utilizables, conservando al mismo tiempo la funcionalidad empresarial.

El análisis Adaptive permite observar el comportamiento en un entorno controlado. Proactive DLP™ examina el contenido de los archivos para detectar información confidencial y aplicar medidas basadas en políticas, como la eliminación, la censura o la aplicación de marcas de agua al contenido, antes de que los archivos se pongan a disposición de los usuarios o los sistemas.

Otras funciones de inspección incluyen:

  • Verificación del tipo de archivo real
  • Descompresión de archivos y análisis recursivo
  • File-based vulnerability assessment
  • Prevención de la pérdida de datos e inspección de contenidos

Estas capacidades contribuyen a los objetivos del CIRMP de la siguiente manera:

  • Reducir la dependencia de una única tecnología de detección
  • Detección y prevención de ataques de día cero
  • Generación de pruebas verificables de la diligencia debida en la detección de amenazas

2. Riesgos para el personal

En el marco del CIRMP, los riesgos relacionados con el personal incluyen aquellos que plantean los empleados, contratistas, subcontratistas, becarios y otras personas con acceso a activos de infraestructura crítica. Las organizaciones deben evaluar quién cumple los requisitos para ser considerado trabajador esencial, qué nivel de acceso tiene y si dicho acceso podría suponer un riesgo significativo.

Los soportes extraíbles y los dispositivos portátiles siguen siendo vectores habituales para la introducción de malware en entornos de tecnología operativa (OT), especialmente en redes aisladas o segmentadas. Sin controles efectivos, estas vías pueden eludir las defensas perimetrales.

MetaDefender y MetaDefender Media están diseñados para aplicar controles de seguridad en los puntos de entrada de los soportes multimedia y en la capa de la interfaz hombre-máquina (HMI).

MetaDefender Kiosk el análisis y la desinfección de los soportes extraíbles antes de que los archivos puedan acceder a entornos seguros. Aplica políticas de seguridad predefinidas y genera registros para cumplir con los requisitos de auditoría.

MetaDefender Media Firewall inspección en línea y aplicación de políticas para las transferencias de datos entre redes, incluidos los segmentos de tecnología operativa (OT). Impide que archivos no autorizados o peligrosos lleguen a los sistemas críticos.

Estas medidas cumplen los requisitos de seguridad para el personal del CIRMP al:

  • Reducir el riesgo de actividades malintencionadas o negligentes por parte de personas con acceso a información privilegiada
  • Garantizar un manejo seguro de los soportes extraíbles en las redes de tecnología operativa
  • Restricción del uso de dispositivos no autorizados
  • Mejorar la visibilidad sobre quién sube los archivos y cuándo

3.Supply Chain 

La Ley SOCI identifica explícitamente los riesgos de la cadena de suministro como una categoría de riesgo significativo en el marco del CIRMP. Las entidades responsables deben abordar los riesgos que plantean los proveedores, los contratistas, los fabricantes de equipos originales (OEM) y los proveedores de servicios externos.

La exposición de la cadena de suministro puede deberse a:

  • Terminales de terceros que se conectan a redes críticas
  • Vías de acceso remoto a entornos de terapia ocupacional
  • Dispositivos portátiles que traen los contratistas a las instalaciones
  • Software y tareas de mantenimiento

Muchos operadores de infraestructuras críticas dependen de la conectividad remota para supervisar activos, realizar diagnósticos y llevar a cabo actualizaciones en instalaciones distribuidas o regionales. Sin los controles adecuados, estas vías de acceso pueden introducir ciberamenazas en entornos sensibles, incluidas las redes OT aisladas o semiconectadas.

OPSWAT MetaDefender y MetaDefender Access™ están diseñados para reducir el riesgo derivado de las interacciones de terceros con sistemas críticos.
MetaDefender Drive y evalúa ordenadores portátiles, de sobremesa y servidores temporales fuera del sistema operativo del host antes de que se conecten a entornos seguros. Detecta malware, identifica vulnerabilidades y comprueba la integridad de los dispositivos para garantizar que solo se permita el acceso a redes controladas o aisladas a sistemas de confianza.

MetaDefender OT Access una solución de acceso remoto seguro diseñada específicamente para entornos de tecnología operativa (OT) y sistemas ciberfísicos (CPS). Permite una conectividad controlada para terceros y personal remoto, al tiempo que aplica controles de acceso granulares y políticas de gestión de sesiones.

Estas capacidades cumplen los requisitos del CIRMP en materia de riesgos en la cadena de suministro de la siguiente manera:

  • Proteger los sistemas críticos frente a interferencias o interrupciones provocadas por activos de terceros
  • Restricción del acceso a sistemas y funciones autorizados
  • Mejorar la visibilidad de las interacciones de los proveedores y contratistas con las infraestructuras críticas

4. Riesgos relacionados con la seguridad física y la segmentación de la red 

Los riesgos físicos y medioambientales siguen siendo un componente fundamental del CIRMP. En los entornos actuales de infraestructuras críticas, la seguridad física se entrelaza cada vez más con el riesgo cibernético, especialmente cuando los sistemas de tecnología operativa (OT) dependen de flujos de datos controlados entre las redes de tecnología de la información (IT) y de tecnología operativa (OT).

Muchos entornos de infraestructuras críticas utilizan sistemas OT heredados en los que no es posible implementar las herramientas tradicionales de seguridad para terminales. Por ello, los controles de seguridad deben implementarse en los límites de la red y en los puntos de transferencia de datos.

Las directrices normativas y las normas del sector suelen recomendar el uso de pasarelas unidireccionales, también conocidas como diodos de datos, para proteger las redes OT sensibles. Estas medidas garantizan un flujo de datos unidireccional para evitar el acceso no autorizado, la inyección de comandos o la filtración de datos desde sistemas críticos.

MetaDefender garantiza una transferencia de datos unidireccional basada en hardware. Al impedir físicamente el tráfico inverso, elimina el riesgo de ataques de red entrantes en entornos segmentados.

Cuando se implementa en una arquitectura de zona desmilitarizada (DMZ) y se combina con controles de cortafuegos por capas, este enfoque permite:

  • Menor riesgo de propagación de malware entre las redes de TI y de tecnología operativa
  • Protección contra el acceso remoto no autorizado a sistemas críticos
  • Mantenimiento de la continuidad operativa
  • Diseño de redes con una gestión de riesgos demostrable y acorde con los principios del CIRMP

Al controlar el flujo de datos entre zonas de confianza, las organizaciones pueden reforzar la resiliencia tanto física como cibernética en entornos en los que la disponibilidad y la seguridad son fundamentales.

Del cumplimiento normativo a la resiliencia operativa

La Ley SOCI de Australia y el CIRMP suponen un cambio notable en las expectativas normativas. Las entidades responsables deben ir más allá de la mera declaración de intenciones y demostrar que los controles de riesgos se aplican y se mejoran continuamente en la práctica.

Las autoridades reguladoras esperan que las organizaciones demuestren que los controles:

  • Adecuado a la importancia del activo y a su perfil de riesgo
  • Integrado en los flujos de trabajo operativos
  • Con el respaldo de registros, supervisión y control de la gobernanza
  • Capaz de hacer frente al escrutinio del consejo de administración y de las autoridades reguladoras

El CIRMP no es un marco de cumplimiento estático. Requiere controles preventivos, exigibles y auditables en los ámbitos de la ciberseguridad, el personal, la cadena de suministro y los riesgos físicos.

La seguridad preventiva desempeña un papel fundamental a la hora de satisfacer estas expectativas. Los controles deben aplicarse en los puntos de entrada habituales, traspasando los límites de las tecnologías de la información (TI), la tecnología operativa (TO) y los sistemas de control industrial (ICS), así como en las vías de interacción con terceros. Además, deben proporcionar la visibilidad y las pruebas necesarias para respaldar la gobernanza, la garantía de calidad y el cumplimiento normativo.

El enfoque OPSWATen la protección de infraestructuras críticas respalda directamente los requisitos operativos y normativos de la Ley SOCI de Australia. La implementación de controles técnicos exigibles en el marco del CIRMP refuerza tanto el nivel de cumplimiento normativo como la resiliencia en la práctica.

En entornos de infraestructuras críticas, la seguridad preventiva no es opcional. Es fundamental para garantizar la disponibilidad, la seguridad y la confianza del público. Si desea saber cómo adaptar su estrategia CIRMP a controles preventivos aplicables, póngase en contacto con un experto OPSWAT .


Preguntas frecuentes

¿Cuál es el objetivo del CIRMP?

El CIRMP exige a las entidades responsables, en virtud de la Ley SOCI de Australia, que identifiquen, evalúen y gestionen los riesgos que puedan afectar de manera significativa a los activos de infraestructura crítica. Garantiza que las organizaciones apliquen controles adecuados en los ámbitos de la ciberseguridad, el personal, la cadena de suministro y los riesgos físicos.

¿Se aplica el CIRMP a los entornos de terapia ocupacional?

Sí. Las obligaciones del CIRMP se aplican tanto a los entornos de TI como a los de TO. Los sistemas heredados o aislados físicamente no están exentos. Las organizaciones deben adaptar los controles a las limitaciones de los sistemas de TO.

¿Qué tipos de ciberamenazas son las más relevantes para las infraestructuras críticas?

Entre las ciberamenazas más comunes se encuentran el ransomware, el phishing, el malware transmitido a través de archivos, la vulnerabilidad de la cadena de suministro y el acceso remoto no autorizado. Las transferencias de archivos, los soportes extraíbles y las conexiones de terceros son puntos de entrada habituales.

¿Cómo pueden las organizaciones demostrar que cumplen los requisitos cibernéticos del CIRMP?

Las organizaciones deben demostrar que los controles están implantados y son eficaces. Esto incluye llevar registros, supervisar la actividad, aplicar políticas técnicas y contar con procesos documentados de supervisión y revisión de la gobernanza.

¿Por qué se hace hincapié en la seguridad preventiva en la Ley SOCI?

La Ley SOCI hace hincapié en minimizar los riesgos significativos para los activos de infraestructura crítica. Los controles preventivos reducen la probabilidad de que las ciberamenazas, los riesgos internos o las vulnerabilidades de la cadena de suministro afecten a los sistemas críticos, lo que contribuye a la continuidad operativa y al cumplimiento normativo.

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.