Nota para nuestros clientes y socios en Oriente Medio
Más información
Academia
Laboratorios
Carreras profesionales
Acceso de socios
Ayuda
PREGUNTAS FRECUENTES SOBRE CIBERSEGURIDAD

¿Cómo evaluar, calcular y priorizar los riesgos cibernéticos en OT?

Comprendiendo los riesgos específicos asociados a los entornos OT e implantando las medidas de seguridad adecuadas, las organizaciones pueden reducir significativamente la probabilidad y el impacto tanto de los ciberataques como de las interrupciones operativas.

La gestión de riesgos es mucho más compleja que la gestión de vulnerabilidades. Especialmente en OT , donde a menudo es necesario retrasar la aplicación de parches hasta la siguiente ventana de mantenimiento —suponiendo que exista—, resulta fundamental comprender la relación entre exposición, riesgo y tolerancia.  Esto implica, en primer lugar, saber qué activos son vulnerables y, a continuación, sopesar la probabilidad de que una amenaza conocida los aproveche frente al impacto de un ataque y la tolerancia de la organización ante ese riesgo. Un incidente de gran impacto con una probabilidad mínima de ocurrir puede considerarse menos crítico que un incidente de menor impacto que se sabe que ocurre varias veces a la semana. Utilizando esta fórmula, resulta fácil priorizar la mitigación de los activos que son vulnerables a incidentes que son a la vez de gran impacto y probables.

Evaluación de riesgos de TI frente a evaluación de riesgos de OT

Este enfoque general del riesgo se aplica a todos los riesgos cibernéticos, pero a continuación se exponen las principales diferencias entre la forma en que se evalúa el riesgo en OT de TI y en OT .

1. Riesgos cibernéticos y operativos

Quizás la mayor diferencia radica en que, en OT tener en cuenta tanto el riesgo cibernético como el operativo, incluido el riesgo de procesos, ya que las anomalías operativas no relacionadas con una amenaza cibernética son mucho más habituales. En el ámbito de las tecnologías de la información (TI), si el servidor de correo de una empresa deja de funcionar, el impacto en el negocio es mínimo. (¡Es posible que algunos empleados incluso disfruten del descanso!) Sin embargo, si un servidor crítico deja de funcionar en un entorno operativo, el riesgo puede ser enorme. Colonial Pipeline es un buen ejemplo. Cuando los hackers de DarkSide exigieron un rescate por los datos de su red de TI, el ataque dejó fuera de servicio los sistemas de facturación y contabilidad, lo que sin duda iba a provocar un caos muy costoso. Pero la empresa se vio obligada a cerrar el oleoducto porque los operadores perdieron el acceso a una herramienta de supervisión de seguridad y no podían ver si el propio oleoducto había sufrido una brecha —un riesgo enorme que, obviamente, no podían tolerar.

2. Basado en las consecuencias

En OT, la evaluación de riesgos se centra por completo en consecuencias como la seguridad física, el medio ambiente y la continuidad de las operaciones. Tanto si se evalúa el riesgo en una instalación de procesamiento postal, una planta de envasado de carne, un buque de carga o un almacén, con OT siempre se planifica para el peor día. ¿Qué cosa catastrófica podría suceder que podría afectar a miles de personas?

3. Riesgo de interconexión

Cada componente de una red OT forma parte de un proceso mayor en un entorno muy distribuido. Todo está conectado y tiene consecuencias. En un centro de datos, probablemente se podría reiniciar cualquier otro servidor sin ningún impacto. En OT, si una máquina tiene un problema, hay que saber inmediatamente de qué depende y qué depende de ella. A partir de ahí, ¿cuáles son las consecuencias de una parada de emergencia? En una refinería de petróleo, si alguien pulsa el botón de parada de emergencia, se pierden millones de dólares en un instante y se tarda varios meses en volver a poner en marcha la planta.

4. Sólo vulnerabilidades frente a multidimensionalidad

EnTI, el riesgo de los dispositivos se basa únicamente en las vulnerabilidades, y prácticamente se puede eliminar el riesgo con la aplicación de parches. En OT, es multicapa. La plataforma Nozomi Networks calcula el riesgo de los activos basándose en cinco factores: riesgo de vulnerabilidad, riesgo de alerta, riesgo de comunicación, riesgo de dispositivo, criticidad de los activos y controles compensatorios. Los clientes pueden utilizar estas puntuaciones listas para usar, o pueden ajustar el peso de cada variable hasta que el cálculo refleje con precisión cómo asigna el riesgo su organización, por lo que resulta útil.

5. Puntuación frente a tendencia

Especialmente a nivel de planta y director, las partes interesadas en OT tienen poco uso para las puntuaciones numéricas de riesgo. Nuestros clientes nos dicen a menudo: "No necesito un número; sólo necesito mostrar a mi jefe un gráfico con una línea descendente que indique que nuestro riesgo está disminuyendo con el tiempo, lo que significa que nuestro programa cibernético está funcionando." No existe una escala de Richter para el riesgo OT en la que un 5,1 signifique lo mismo de una región a otra o incluso de una planta a otra.‍

6. Mayor tolerancia al riesgo

Dado que hay que evitar el tiempo de inactividad industrial, fuera de las cuestiones de seguridad las partes interesadas industriales tienen una tolerancia al riesgo mucho mayor. Supongamos que un dispositivo está expuesto a Telnet, pero en el nivel 2 de Purdue tiene cortafuegos por encima y por debajo, y nada puede hablar por ese puerto. Es un escenario común debido a la naturaleza de los sistemas OT . El propietario del activo puede optar por silenciar una alerta que se está disparando porque el dispositivo está expuesto a Telnet (o al menos reducir el riesgo de vulnerabilidad en la regla de alerta), mientras que un analista de TI vería la alerta y querría parchear el dispositivo inmediatamente, algo que usted no puede ni necesita hacer.

Cálculo del riesgo OT

Cualquier evaluación de riesgos empieza por realizar un análisis del impacto en el negocio para identificar las joyas de la corona y priorizar su protección. En los entornos industriales, es más complejo porque no sólo se analiza el riesgo de los activos; también hay que identificar los procesos más críticos y cómo protegerlos. Una cinta transportadora dentro de la planta que lleva el mineral de hierro al horno es más arriesgada que una cinta transportadora que lleva el correo del edificio principal al almacén. Puede que utilicen la misma tecnología y los mismos protocolos, pero los niveles de riesgo son muy distintos.

Varios proveedores ofrecen puntuaciones de riesgo calculadas para ayudarle a comprender el riesgo de los activos. Pueden parecer impresionantes en un POC, pero ¿en qué medida le ayudan a controlar y reducir el riesgo en el día a día? Si no reflejan la forma en que su organización calcula el riesgo, probablemente no les haga caso.

Networks Nozomi Networks identifica, evalúa, mitiga y supervisa los riesgos en su entorno, ayudando a los operadores y a los equipos del SOC a colaborar para priorizar esfuerzos y adoptar las medidas más eficaces con el fin de reducir los riesgos y aumentar la resiliencia. Asigna puntuaciones de riesgo a cada uno de sus activos para ayudarle a priorizar las medidas de seguridad, abordar primero los riesgos más críticos y tomar las medidas adecuadas para mitigar las posibles amenazas de forma eficaz. Calcula el riesgo de los activos basándose en cinco factores: riesgo de vulnerabilidad, riesgo de alertas, riesgo de comunicación, riesgo de dispositivos, criticidad de los activos y controles compensatorios. Puede utilizar nuestras puntuaciones tal cual, o bien personalizar completamente la ponderación de cada variable hasta que el cálculo refleje con precisión cómo asigna el riesgo su organización. Incluso puede aplicar sus reglas personalizadas por zona.

Cómo la plataforma Nozomi Networks le ayuda a comprender y minimizar los riesgos OT

Al analizar el riesgo de sus activos OT , debe ser capaz de ver de un vistazo qué activos son más arriesgados por zona, emplazamiento, proveedor y cualquier otra forma en que desee clasificarlos. Y tiene que ser capaz de profundizar para entender qué los hace peligrosos y qué puede hacer al respecto. También es importante ver cómo las puntuaciones de riesgo individuales contribuyen a la puntuación de riesgo de nivel superior del centro o zona a la que pertenece el activo y, en última instancia, a la puntuación de riesgo de toda la empresa. Incluso con todo este contexto, las puntuaciones de riesgo de activos individuales aportan poco valor. Para una gestión de riesgos adecuada, es necesario comprender los cambios en las puntuaciones de riesgo a lo largo del tiempo.

El panel de control de Nozomi Networks muestra sus puntuaciones de riesgo actuales por zona, centro y otras categorías que seleccione. Si su riesgo tiende en la dirección equivocada, puede desglosarlo para ver por qué y dónde necesita añadir los controles adecuados. Tal vez necesite bloquear sus protocolos inseguros o reforzar su segmentación. Decida lo que decida hacer, su puntuación de riesgo reflejará el grado de impacto de sus acciones, utilizando sus propios supuestos de riesgo. Si su puntuación de riesgo comenzó en 70 globalmente y bajó a 52, ahora tiene un ROI duro para justificar su inversión. 

La función de riesgo de activos ofrece una visión completa del riesgo asociado a sus activos IoT , con información clara, personalizable y procesable sobre la postura de seguridad de activos individuales, zonas, sitios, sensores y en todo el entorno. Los usuarios pueden comparar su rendimiento de seguridad y realizar un seguimiento de las mejoras a lo largo del tiempo, lo que la convierte en una herramienta fundamental para mantener y mejorar la resistencia operativa.

Un cuadro de mandos de ciberriesgos para OT
Volver a Preguntas frecuentes

Recursos relacionados

Proteger lo invisible: Gestión de riesgos IoT impulsada por IA
Ver recursos
Puntuación de riesgo de activos totalmente personalizable en Vantage | Marty the OT Guy
Ver recursos
Cómo abordar las conversaciones sobre riesgos cibernéticos y operativos con tu consejo de administración
Ver recursos
La realidad de los riesgos cibernéticos OT : Lo que los CISO deben saber para proteger las operaciones industriales y de infraestructuras críticas
Ver recursos
Guía del CISO para OT Seguridad y gestión de riesgos
Ver recursos

Suscríbase a

LinkedIn

Demo

PLATAFORMA

PlataformaVantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat IntelligenceSmart PollingIntegracionesPSIRT

Servicios profesionales

Servicios profesionalesIngeniero designadoServicios rápidosServicio de chequeo médicoServicio de optimización

Soluciones: Necesidades de las empresas

Detección y respuesta a amenazasSupervisión continua de la redGestión del inventario de activosGestión de riesgos y vulnerabilidadesIoT SeguridadCiberseguridad de los centros de datos

Soluciones: Conformidad

PIC NERCDirectiva NIS2Directivas de seguridad de la TSA

Soluciones: Industria

AeropuertosServicios eléctricosSanidadGobierno federalFabricaciónMarítimoMineríaPetróleo y gasFarmacéuticaFerrocarrilVenta al por menorCiudades inteligentesAgua y aguas residuales

Aprenda

AcademiaCarreras profesionalesEmpresaHistorias de clientesPóngase en contacto con nosotrosSociosRecursosLaboratoriosLegalCentro de confianza
Logotipo de LinkedIn
© 2026 Nozomi Networks . Todos los derechos reservados. Aviso de privacidad y certificaciones. Estado del sistema.