Las zonas y conductos de la IEC 62443 son un modelo de segmentación que agrupa sus activos de tecnología operativa (OT) en "zonas" de seguridad y controla cada ruta de datos entre ellas mediante "conductos" definidos. La idea es simple: en lugar de una red de planta plana donde un único dispositivo comprometido puede alcanzar todas las máquinas, se divide la planta en cajas lógicas y se vigila el tráfico entre ellas. Esta guía explica el modelo en términos sencillos, recorre un ejemplo práctico de segmentación y muestra cómo una capa de datos compartida encaja junto a él.
La mayoría de los talleres heredados crecieron de forma orgánica. Un controlador lógico programable (PLC) aquí, una interfaz hombre-máquina (HMI) allá, un historiador instalado después, todos compartiendo una misma subred con portátiles de oficina y la Wi‑Fi de invitados. En una red plana, el movimiento lateral es trivial: el malware que llega a una estación de trabajo de ingeniería puede sondear y alcanzar un controlador de seguridad en segundos. La actualización 2021 de la IEC 62443 (la norma internacional para la seguridad de sistemas de automatización y control industrial) existe precisamente para romper esa cadena.
La idea central es que no todos los activos necesitan comunicarse con todos los demás. Un sensor de vibraciones no necesita una ruta al servidor de contabilidad. Al trazar límites alrededor de grupos de activos con riesgos y funciones similares, se reduce el "radio de impacto" de cualquier incidente individual. Esta es la misma lógica defensiva detrás de un buen AMEF (FMEA) en la fabricación: identificar los caminos de falla y cortarlos antes de que se propaguen.
Una zona es un agrupamiento lógico o físico de activos que comparten requisitos de seguridad comunes. El agrupamiento se basa en la función, la criticidad y el nivel de confianza, no solo en dónde pasa físicamente un cable. Las zonas típicas en una planta incluyen:
Cada zona tiene un Nivel de Seguridad (SL) objetivo, desde SL 1 (protección contra uso casual o accidental) hasta SL 4 (protección contra un atacante bien financiado y dirigido deliberadamente). Una zona de seguridad suele exigir un SL más alto que una zona de supervisión orientada a reportes.
Un conducto es la ruta de comunicación controlada entre dos zonas, o entre una zona y el mundo exterior. Cada conducto es un punto de estrangulamiento que se crea deliberadamente para poder inspeccionar, autenticar y restringir lo que lo atraviesa. Un conducto suele aplicarse mediante un cortafuegos, un diodo de datos, un switch gestionado con listas de control de acceso o una pasarela unidireccional.
La regla general: tráfico dentro de una zona fluye libremente; tráfico entre zonas fluye solo a través de un conducto, y solo si está explícitamente permitido. Un conducto bien diseñado especifica qué protocolos, qué direcciones de origen y destino, y en qué dirección están permitidos. Todo lo demás se deniega por defecto. Esta postura de denegar por defecto es lo que convierte un diagrama de red en un control de seguridad real.
Imagínese una planta de bebidas con 40 activos en red en una subred plana /24. Hoy, cualquier dispositivo puede alcanzar a los otros 39, dando 40 x 39 = 1.560 posibles rutas de comunicación dirigidas, cada una de ellas un camino de ataque. Aquí se muestra cómo las zonas y los conductos reducen eso.
El beneficio es concreto. Si un ransomware llega a un portátil empresarial, primero choca contra el cortafuegos del conducto DMZ. Para alcanzar un PLC tendría que vencer tres conductos separados en secuencia, cada uno registrando el intento. Esa es la diferencia entre una mala tarde y un cierre de planta completo. Hacer seguimiento de la frecuencia con la que ocurren tales paros es también una cuestión de mantenimiento y fiabilidad, por lo que los equipos vigilan métricas como MTBF y MTTR y la efectividad general del equipo después de cualquier cambio de red.
No tiene que re-arquitectarlo todo de una vez. Un orden de operaciones sensato:
Las zonas y los conductos gobiernan cómo está cableada y protegida con cortafuegos su red OT. Fabrico no controla esa segmentación, y no es un SCADA ni un sistema de control de red. Lo que Fabrico le ofrece es la capa de datos en tiempo real que se asienta sobre una planta bien segmentada: monitorización de OEE y producción en vivo, además de un CMMS listo para el campo para órdenes de trabajo, registros de activos, programación preventiva y seguimiento de repuestos. Porque Fabrico puede leer el estado de las máquinas mediante visión por computador incluso en equipos sin PLC, puede obtener visibilidad sin añadir nuevos controladores ni nuevas rutas de datos entre zonas que compliquen el diseño de sus conductos. Fabrico se desarrolla en la UE con residencia de datos en la UE, lo que importa cuando su estrategia de segmentación también debe satisfacer reglas de soberanía de datos. Explore la visión general del CMMS o la visión general de OEE y MES para ver cómo la capa de datos complementa su arquitectura de seguridad.
No. Un cortafuegos es una herramienta que puede usar para hacer cumplir un conducto, pero la IEC 62443 es un marco completo que abarca inventario de activos, evaluación de riesgos, niveles de seguridad, roles y gestión del ciclo de vida. Los conductos se aplican mediante cortafuegos, diodos de datos o switches gestionados, pero la norma trata sobre toda la disciplina de diseño, no sobre un único dispositivo.
No hay un número fijo. Algunas líneas pequeñas funcionan cómodamente con tres o cuatro zonas, mientras que una planta multiproceso grande puede tener una docena. El número adecuado surge de agrupar activos que realmente comparten función y requisitos de seguridad, y luego dividir más solo cuando el riesgo justifique la complejidad añadida. Por lo general, menos límites bien defendidos suelen ser mejores que muchos mal mantenidos.
Sí, y la mayoría de las instalaciones hacen exactamente eso. Comience con un inventario completo de activos, dibuje zonas lógicas e inserte conductos en las fronteras de mayor riesgo primero (típicamente las fronteras TI‑OT y de seguridad). Puede fasear el trabajo durante meses sin una reconstrucción completa, cerrando una frontera a la vez mientras la producción continúa.
¿Listo para superponer visibilidad en tiempo real de OEE y CMMS sobre su red OT segmentada sin añadir nuevo riesgo entre zonas? Reserve una demostración de Fabrico y vea la capa de datos en acción.