Cuando alguien menciona "IEC 62443" en una junta, suele pasar una de dos cosas: o nadie en la sala sabe qué es y se asiente en silencio, o alguien lo usa como sello para cerrar una venta. Ninguna de las dos ayuda a proteger una planta. Vale la pena entender qué exige de verdad, sin la versión de folleto.
Qué es (y qué no es) IEC 62443
IEC 62443 es una familia de estándares —no un solo documento— para la seguridad de los sistemas de automatización y control industrial (IACS). Nació del trabajo de ISA (la ISA-99) y hoy es la referencia internacional más usada en el mundo OT.
Igual de importante es lo que no es. No es una ley. No es un producto que compras e instalas. No es un certificado que obtienes en un fin de semana y cuelgas en la pared. Es un marco de referencia para diseñar y operar la seguridad industrial con criterio, en vez de a ojo.
Primero: 62443 no le habla a una sola persona
El estándar define responsabilidades para tres roles distintos, y cada uno usa partes diferentes:
- El operador de la planta (asset owner): evalúa su riesgo y opera el entorno.
- El integrador: diseña e implementa la solución.
- El fabricante del producto: construye equipos con seguridad incorporada.
Por eso "cumplir con 62443" significa cosas distintas según quién seas. Un PLC puede estar certificado bajo la parte 4-2 del estándar sin que tu planta esté, ni de cerca, "en 62443". Comprar componentes certificados es un insumo, no el resultado.
Las dos ideas que de verdad tienes que entender
Zonas y conductos. Consiste en agrupar los activos por nivel de riesgo (las zonas) y controlar explícitamente lo que puede circular entre ellas (los conductos). Si leíste sobre el modelo Purdue, esto es su formalización: el modelo te da las capas; 62443 te da el lenguaje para definir las fronteras y decidir qué las cruza.
Niveles de seguridad (SL 1 a 4). No todo necesita el mismo blindaje. El nivel se elige según a quién quieres resistir: desde un error casual o accidental (SL 1) hasta un atacante con recursos amplios, conocimiento específico de sistemas industriales y alta motivación (SL 4). Subir de nivel cuesta dinero y complejidad, así que se define por zona —la que controla un proceso crítico exige más que la de un área administrativa—, no para toda la planta por parejo.
Qué te exige de verdad (el trabajo real)
Debajo del vocabulario, el estándar te pide un trabajo concreto y sostenido:
- Empezar por una evaluación de riesgo, no por comprar equipo.
- Segmentar el entorno en zonas y conductos.
- Cubrir, en el nivel que cada zona necesite, los siete requisitos fundamentales: control de identidad y autenticación, control de uso, integridad del sistema, confidencialidad de datos, flujo de datos restringido, respuesta oportuna a eventos y disponibilidad de recursos.
- Tratarlo como un ciclo de vida: se mantiene, se audita y se ajusta. No es un proyecto con fecha de cierre.
La parte que los folletos omiten
Sí existen certificaciones —de producto y de proceso de integración—, pero para el operador de una planta el valor casi nunca está en un diploma en la pared: está en el camino que se recorre para llegar ahí, la evaluación de riesgo y la segmentación. "Alineado a 62443" no es lo mismo que "certificado en 62443", y confundir ambas cosas a propósito es precisamente la venta de humo.
Y en México, hoy, 62443 no es una obligación legal de aplicación general. Puede aparecer como requisito de un cliente, de una casa matriz extranjera o de un sector específico. Esto no es asesoría legal: conviene verificar qué exige tu industria en concreto, que es parte de lo que hacemos en preparación para cumplimiento normativo.
Por eso la pregunta útil no es "¿ya estamos certificados en 62443?", sino una mucho más reveladora: ¿tenemos definidas nuestras zonas, y sabemos qué controla lo que pasa entre ellas? Ahí empieza el valor real del estándar —y, casualmente, ahí empieza también cualquier proyecto serio de ciberseguridad OT.