Política de seguridad de IoT/OT

La Política de seguridad de IoT/OT (P35) establece un conjunto integral de requisitos obligatorios de política de seguridad de la información para el despliegue, operación, monitorización y retirada de servicio de sistemas de Internet de las Cosas (IoT) y sistemas de tecnología operativa (OT) en toda la organización. Su objetivo principal es integrar estas tecnologías en el sistema de gestión de la ciberseguridad de la organización, garantizando una protección sólida frente a la intrusión, el uso indebido o el sabotaje operativo. El alcance de esta política abarca todos los sistemas de Internet de las Cosas (IoT) y sistemas de tecnología operativa (OT), ya sean propiedad de la empresa, arrendados o procedentes de terceros, utilizados en cualquier entorno operativo, administrativo o de producción. Los dispositivos IoT cubiertos incluyen sensores ambientales, mecanismos de autenticación, iluminación inteligente, equipo de vigilancia y dispositivos ponibles, mientras que los sistemas de tecnología operativa (OT) abarcan desde controladores lógicos programables (PLC) y control de supervisión y adquisición de datos (SCADA)/sistemas de control distribuido (DCS) hasta paneles de interfaz hombre-máquina (HMI) y controladores de campo. La política describe requisitos para todos los entornos (en las instalaciones, nube, dispositivos de borde), etapas del ciclo de vida (diseño, adquisición, despliegue, operación, retirada de servicio) y partes interesadas, incluidos usuarios internos, integradores, proveedores terceros y contratistas. Los objetivos clave se centran en proteger estas infraestructuras frente a amenazas como denegación de servicio, acceso no autorizado, ransomware y manipulación del firmware. La política exige la adopción de metodologías de seguridad desde el diseño y defensa en profundidad, requiriendo que todos los despliegues cumplan con controles estándar básicos como ISO/IEC 27001 y directrices relevantes para el sector (IEC 62443, NIST SP 800-82). La integración segura con las operaciones de seguridad, incluida la escalada de respuesta a incidentes, la clasificación de eventos de OT críticos para el negocio y la documentación de procedimientos interdepartamentales, es un componente integral. Los requisitos de gobernanza especifican configuración de seguridad del dispositivo (credenciales únicas, certificados vinculados al hardware, arranque seguro), aplican una segmentación de red estricta entre TI/OT y prohíben protocolos inseguros salvo que estén asegurados y exista aceptación del riesgo. La monitorización y detección de amenazas es continua, con actividades de dispositivos y red examinadas mediante herramientas de detección pasiva específicas para ICS/SCADA, conjuntos de reglas de SIEM específicos para OT, inspección profunda de paquetes y prácticas de conservación de registros. La aplicación de parches del sistema y la validación de firmware son fundamentales, y la retirada de servicio de dispositivos al final de su vida útil requiere borrado de la configuración local, revocación de credenciales de dispositivo y actualizaciones del inventario de activos. La gestión de excepciones y el tratamiento de riesgos se definen claramente para sistemas heredados que no pueden cumplir los requisitos, lo que exige documentación formal, controles de mitigación de riesgos, subredes restringidas y monitorización. La política está estrechamente integrada con políticas relacionadas que rigen la gestión de riesgos, el inventario de activos, la protección de endpoints, la política de registro y monitorización, la política de respuesta a incidentes (P30) y auditoría y cumplimiento. Las revisiones se realizan anualmente o tras cambios significativos en el sistema, el proveedor o el panorama de amenazas, garantizando la alineación continua con exigencias normativas, contractuales y operativas. Los mecanismos de aplicación incluyen revisiones de auditoría, procedimientos disciplinarios, sanciones a proveedores y escalado de acciones legales en casos de incumplimiento normativo o sabotaje.