La Ordenanza sobre la Protección de Infraestructuras Críticas (Sistemas Informáticos), conocida como PCICSO, es un nuevo marco introducido por el Gobierno de Hong Kong para reforzar la ciberseguridad y la resiliencia de los operadores de infraestructuras críticas (CIO). En vigor desde enero de 2026, la ordenanza establece obligaciones legales para los CIO de proteger sus sistemas informáticos contra las ciberamenazas, gestionar los riesgos de forma proactiva y responder eficazmente a los incidentes de ciberseguridad. Esta normativa deja claro que ahora se espera que los operadores de infraestructuras críticas demuestren controles estrictos y exigibles sobre la forma en que se gestionan los sistemas, los dispositivos y los datos.
Ordenanza sobre la Protección de Infraestructuras Críticas (Sistemas Informáticos) (PCICSO)
El marco normativo de la PCICSO se articula en torno a tres obligaciones fundamentales con el fin de proporcionar a las CIO un enfoque integral y sistemático para la gestión del riesgo cibernético. Las CIO se definen como aquellas organizaciones designadas por la autoridad reguladora en función de su dependencia de las operaciones básicas de los sistemas informáticos, la sensibilidad de los datos controlados, el nivel de control operativo y de gestión sobre la infraestructura, y la información facilitada para el cumplimiento normativo.
Las tres obligaciones fundamentales que deben cumplir los directores de sistemas de información son:
- Aspectos organizativos: Requisitos de gobernanza y organización para garantizar una rendición de cuentas clara, políticas y supervisión en materia de ciberseguridad.
- Preventivas: Medidas preventivas y de protección que exigen a los operadores la aplicación de medidas de seguridad técnicas y operativas adecuadas para proteger los sistemas informáticos críticos.
- Notificación y respuesta ante incidentes: Capacidades para garantizar la detección, la gestión y la notificación oportunas de incidentes importantes de ciberseguridad.
Puntos clave
Aunque la ordenanza abarca una amplia gama de requisitos, hay algunos puntos clave que los directores de sistemas de información (CIO) deben tener en cuenta. Según el anexo 3, parte 1, de la ordenanza, los operadores están obligados a contar con políticas que:
- Identificar, evaluar, supervisar, mitigar y responder a los riesgos relacionados con la seguridad de los sistemas informáticos y las vulnerabilidades de los sistemas
- Controlar el acceso a los sistemas informáticos críticos
- Gestionar los proveedores de servicios y productos informáticos utilizados en los sistemas
Soluciones líderes en el sector para facilitar el cumplimiento normativo
Endpoint normativo de dispositivos y Endpoint como base
Las directrices del PCICSO hacen especial hincapié en el estado Endpoint y en la gestión de vulnerabilidades, exigiendo que estas se detecten, evalúen y corrijan de manera oportuna. Solo se debe permitir que los dispositivos que cumplan con los requisitos interactúen con los sistemas críticos, mientras que los puntos finales que carezcan de parches, tengan software obsoleto o presenten riesgos de seguridad deben bloquearse o restringirse hasta que se corrijan. MetaDefender facilita el cumplimiento de estos requisitos al exigir la conformidad de los dispositivos antes de conceder el acceso y al evaluar cada terminal en función de las políticas de la organización. Esta evaluación incluye el estado de las vulnerabilidades y de los parches, lo que garantiza que solo puedan conectarse los dispositivos que cumplan con los requisitos de seguridad exigidos.
Además, MetaDefender Endpoint gestionar las vulnerabilidades y las actualizaciones en todos los dispositivos finales, incluyendo sistemas operativos y aplicaciones de terceros. Detecta activamente las vulnerabilidades, corrige los riesgos y ofrece soluciones recomendadas, con compatibilidad para la aplicación de parches en más de 1.100 aplicaciones. Para garantizar el cumplimiento normativo de forma auditable y facilitar la investigación de incidentes, todo el estado de seguridad y cumplimiento de los dispositivos finales se puede supervisar y auditar de forma centralizada a través de My Central Management.
Reducción de Media extraíbles
El control de acceso es uno de los aspectos clave de la ordenanza. Esto hace que sea aún más necesario que los directores de sistemas de información gestionen con cuidado todas las vías de acceso a los sistemas críticos, incluidos los soportes extraíbles.
El uso de USB y otros soportes portátiles sigue siendo habitual en entornos operativos, especialmente en aquellos en los que las redes están segmentadas o aisladas, lo que los convierte en un vector de ataque de alto riesgo en los entornos OT/ICS. Según el Informe presupuestario OT/ICS 2025 de SANS, el 15,2 % de los vectores de ataque procedían de soportes extraíbles comprometidos.
Para mitigar estos riesgos, OPSWAT las organizaciones a prevenir los riesgos asociados a los soportes extraíbles mediante:
- Mitigación Media extraíbles en el punto de entrada:MetaDefender protege los flujos de datos que llegan a entornos críticos mediante el análisis y la desinfección de los soportes extraíbles en el punto de entrada. Ha sido reconocido como parte de la DeltaV Silver Alliance de Emerson, lo que demuestra su eficacia en múltiples entornos y casos de uso.
- Endpoint y control de dispositivos antes de la ejecución: MetaDefender ofrece protección avanzada de terminales para entornos operativos mediante el análisis activo de los soportes extraíbles en el momento de su inserción y garantizando que solo se pueda acceder a dispositivos o contenidos limpios dentro de los sistemas críticos.
- Media como capa adicional de protección: MetaDefender Endpoint y MetaDefender Media proporcionan una capa adicional de seguridad mediante la aplicación de políticas de análisis y desinfección.
- Supervisión centralizada de la protección: a través de My Central Management, MetaDefender y MetaDefender permiten la aplicación centralizada de políticas para controlar el acceso a los dispositivos, supervisar y gestionar el uso de soportes extraíbles y registrar la actividad.
Gestión del acceso de los contratistas y Supply Chain , y almacenamiento Secure
Dado que las infraestructuras críticas no pueden funcionar de forma totalmente aislada, las operaciones diarias suelen requerir conceder acceso a la red a dispositivos externos aportados por proveedores, contratistas y socios. Los dispositivos temporales, como los ordenadores portátiles de terceros y las estaciones de trabajo de sustitución, pueden eludir los controles de seguridad adecuados debido a la falta de tiempo o a la insuficiencia de herramientas de verificación, lo que crea posibles vectores de ataque iniciales.
Datos recientes del sector, extraídos de los informes «SANS 2025 ICS/OT» y «IBM 2025 Cost of a Data Breach», revelaron que:
- Los ataques a dispositivos transitorios se dispararon un 221 %
- El 27,3 % de todos los incidentes de OT se originaron en dispositivos transitorios
- Las violaciones de seguridad relacionadas con terceros y la cadena de suministro suponen una media de unos 4,9 millones de dólares por incidente
MetaDefender Drive diseñado para resolver estos problemas mediante el análisis y la verificación de los dispositivos transitorios antes de concederles acceso a sus redes críticas. A través de un análisis seguro previo al arranque, los operadores pueden inspeccionar los dispositivos más allá del sistema operativo del host para detectar amenazas ocultas antes de que accedan a la red.
En el caso de los sistemas críticos que no pueden apagarse debido a restricciones operativas, MetaDefender Drive admite el análisis en tiempo real, lo que permite inspeccionar los dispositivos mientras el sistema operativo está en funcionamiento, facilitando así una inspección exhaustiva en entornos críticos donde el tiempo de inactividad es inaceptable.
Además, MetaDefender Drive Smart Touch permite un almacenamiento seguro de archivos, ya que guarda los datos de forma similar a una USB convencional, al tiempo que mantiene ocultos los archivos no analizados, permitiendo compartir o distribuir únicamente los archivos que han sido analizados.
Segmentación de redes y flujo de datos unidireccional
Más allá de la segmentación lógica, PCICSO reconoce que ciertos sistemas críticos requieren garantías más sólidas que las que ofrecen los controles basados en software. Los cortafuegos, las listas de control de acceso (ACL) y las políticas de segmentación siguen siendo vulnerables a errores de configuración, al uso indebido de credenciales y a los ataques de día cero. En el caso de los sistemas de alto impacto, en los que la disponibilidad y la integridad son fundamentales, la aplicación física de límites de confianza constituye un control decisivo.
MetaDefender da respuesta a esta necesidad mediante un flujo de datos unidireccional controlado por hardware, lo que garantiza que los datos puedan salir de los entornos críticos con fines de supervisión, análisis y elaboración de informes de cumplimiento, al tiempo que impide las comunicaciones entrantes. A diferencia de los controles de red convencionales que se basan en la aplicación de políticas, este enfoque elimina por diseño clases enteras de vectores de ataque. Impide que el malware, los comandos remotos y el movimiento lateral vuelvan a penetrar en los sistemas protegidos, lo que respalda el énfasis de la PCICSO en reducir el riesgo sistémico y limitar las vías de exposición a los sistemas críticos.
Desde un punto de vista operativo, MetaDefender permite a los directores de sistemas de información (CIO) cumplir con las obligaciones de supervisión, registro y presentación de informes sin comprometer el aislamiento del sistema. Los registros, la telemetría y las métricas operativas pueden transmitirse de forma segura a los entornos de TI o del centro de operaciones de seguridad (SOC) para su análisis centralizado, mientras que los sistemas de tecnología operativa (OT) y de control permanecen intactos, lo que facilita el cumplimiento de la normativa.
Del cumplimiento normativo a la resiliencia
La aplicación de las nuevas directrices de la ordenanza sobre ciberseguridad de Hong Kong ayuda a las organizaciones a garantizar el cumplimiento normativo de los dispositivos, controlar el movimiento de archivos, gestionar los soportes extraíbles y segmentar las redes. A medida que las infraestructuras críticas se vuelven cada vez más conectadas, sin dejar de depender de sistemas que no admiten interrupciones, los controles de seguridad deben funcionar sin interrumpir las operaciones.
OPSWAT unifica estas capacidades en todos los terminales, soportes extraíbles, dispositivos transitorios y flujos de datos, abordando los puntos de entrada habituales y ofreciendo al mismo tiempo la visibilidad que esperan los organismos reguladores. Para obtener más información sobre cómo OPSWAT las organizaciones de infraestructuras críticas OPSWAT cumplir estos requisitos y reforzar su ciberresiliencia, ponte en contacto hoy mismo con uno de nuestros expertos.
