Las IAs están de moda, ya mucho de nosotros lo usamos en el curro no solo para predecir comportamientos segun patrones en los datos sino para entender un complicado tema, generar presentaciones, mapas conceptuales o incluso un video de formación con avatares.
16 de abril de 2025.
En el pasado artículo sugerí una linea de autoformación para aquellos que quieren empezar a ciberproteger su instalación industrial pero está perdido o muy perdido con tanto palabro y conceptos.
El enfoque que describí está basado en los años de experiencia y tiene al menos desde mi punto de vista una lógica : conocer un contexto histórico, entender que hay estándares pensados y disponibles así como el marco regulatorio y legal.
Sin embargo esta lógica no va a la velocidad de los tiempos modernos, algun lector me ha escrito y con toda la razón me ha dado una colleja virtual. El motivo es que está muy bien adquirir estos conocimientos pero para nada hablo de la realidad, es decir, de que hay que hacer desde el minuto cero que la decisión de una empresa para invertir en ciberseguridad está tomada y una primera partida presupuestaria está asegurada.
Pues bien, yo lo tengo meridianamente claro pero explicarlo en un blog es altamente dificultoso y me temo que despues de tantos años no estoy dando la talla, mas si no tienes tiempo. Así que antes de tirar la toalla otra vez y dejar de escribir he decidido usar las herramientas disponibles IA para generar un plan a 3 años desde cero, como si fuese un consultor respondiendo a un cliente, un cliente que necesita algo rápido porque está viendo que va a ser el siguiente galardonado por una ramson.
En esta ocasión he usado Google, su Gemini 2.5 y Notebook LLM.
Para empezar suministré al motor documentos PDF de fabricantes reconocidos explicando sus productos y su relación con la 62443, documentos académicos enfocando la aplicación de la 62443 y documentos de casos de implantación.
Despues empecé a jugar con diferentes "prompts" para conseguir un resultado mas o menos similar a lo que me ronda por la cabeza... y lo que la IA me vomitó fue el que a continuación pego.
OJO! esto es un mero ejercicio en el que he dedicado solo media hora, si uno se lo toma en serio puede sacar algo bastante bastante bueno y acertado.
Siento el formato, los parrafos no estñan totalmente alineados, pero es perfectamente legible.
---------- PROMPT EMPLEADO -------------
Eres un consultor de ciberseguridad con 20 años de experiencia que tiene
que presentar un plan a 3 años empleando la IEC 62443, ISO 27019 a una
empresa del sector energetico que dispone de varias plantas de
generación de electricidad renovable fotovoltaica. Este plan debe usar
metodología Agile de modo que en los primeros 3 meses se realice la
adquisición de información del modelo de negocio del cliente, de la
arquitectura de las plantas renovables, de los activos IT y OT
empleados, de las comunicaciones, de las vulnerabilidades asi como se
realice una primera gestion de riesgos de urgencia y se plantee
aplicando siempre el estandar IEC62443 un plan de aplicación de
contramedidas, supervision de resultados y KPIs, un equipo de respuesta
ante ciberataque ademas de establecer vinculos con el desarrollo de un
plan de recuperación de desastres. Todo esto desde el tercer mes hasta
el primer año. Desde el primer año debe establecerse un plan de
profundización en los detalles de la información obtenida al principio
asi como en las vulnerabilidades, riesgos y aplicacion de contramedidas
para incrementar la madurez del plan de ciberseguridad hasta el tercer
año donde ya se pasaría a un nuevo plan de mantenimiento y mejora
continua.
---------- COPIA Y PEGA DE LA NOTA GENERADA POR GEMINI ----------
Gracias por invitarme a presentar un plan de ciberseguridad a 3 años para sus plantas de generación fotovoltaica, una empresa en el sector energético que opera infraestructura crítica. Con mis 20 años de experiencia, entiendo la complejidad de proteger entornos industriales (OT) integrados con sistemas de TI, especialmente en un sector estratégico como el energético. Basaremos este plan en los estándares clave IEC 62443 e ISO 27019, adoptando una metodología Agile para permitir la adaptación continua y la mejora
.
La ciberseguridad no es un producto ni una política estática, sino un proceso continuo
. Un enfoque Agile nos permitirá ser flexibles y responder a la evolución constante de las ciberamenazas y las necesidades del negocio
. La estructura propuesta es la siguiente:
Fase 1: Descubrimiento y Gestión Urgente de Riesgos (Primeros 3 meses)
Esta fase inicial, intensiva y enfocada en la adquisición rápida de conocimiento, sentará las bases del programa de ciberseguridad. Se trata de una inmersión profunda en el contexto específico de sus operaciones.
•
Adquisición de Información Detallada: Realizaremos un mapeo riguroso del modelo de negocio, la arquitectura específica de cada planta fotovoltaica (distinguiendo IT y OT), los activos críticos (hardware, software, dispositivos IoT/ICS)
, y las comunicaciones (internas y externas). Es fundamental identificar las "joyas de la corona", aquellos procesos o datos esenciales para el funcionamiento del negocio
.
•
Identificación Rápida de Vulnerabilidades: Llevaremos a cabo una primera evaluación para detectar las vulnerabilidades más evidentes en los sistemas IT y OT
.
•
Gestión de Riesgos de Urgencia: Aplicando la metodología IEC 62443
, que es integral y específica para entornos industriales como el suyo, realizaremos una evaluación inicial de riesgos. Esto implica identificar, analizar y priorizar los riesgos más críticos basándonos en las vulnerabilidades encontradas y el impacto potencial en sus operaciones. La ISO 27019 también proporciona un marco relevante para la seguridad en el sector energético
.
•
Elaboración del Plan Marco (Draft): Con la información recopilada y los riesgos identificados, esbozaremos el plan de actuación para el siguiente año, que incluirá:
◦
Un Plan de Aplicación de Contramedidas prioritarias
.
◦
Un Plan de Supervisión y Métricas (KPIs) iniciales para medir el progreso y el estado de la seguridad
.
◦
Un plan para la formación y establecimiento de un Equipo de Respuesta a Incidentes Cibernéticos (CSIRT)
.
◦
Definición de los vínculos con el Plan de Recuperación ante Desastres (DRP) existente o en desarrollo
.
Esta fase es crítica para ganar velocidad y asegurar que las acciones iniciales aborden los puntos de dolor más acuciantes.
Fase 2: Implementación y Establecimiento de Capacidades (Mes 3 al Año 1)
En esta fase, pondremos en marcha los planes definidos en la fase de descubrimiento, con un enfoque en la acción y la construcción de capacidades fundamentales.
•
Implementación de Contramedidas: Desplegaremos las contramedidas identificadas como prioritarias, abarcando la protección, detección y respuesta inicial a amenazas
. Esto puede incluir la mejora de la seguridad perimetral, controles de acceso, soluciones anti-malware, y procedimientos de actualización y parcheo
.
•
Establecimiento de Supervisión y KPIs: Pondremos en funcionamiento los mecanismos para supervisar continuamente la seguridad y comenzaremos a recopilar datos para los KPIs definidos
. Esto permitirá tener visibilidad del estado de la seguridad.
•
Formación y Operación del CSIRT: Se capacitará al personal necesario para conformar el CSIRT
. Se establecerán los procedimientos de respuesta a incidentes y se realizarán las primeras pruebas o simulaciones para evaluar su efectividad y coordinar la respuesta. Un CSIRT permite una respuesta rápida y efectiva a los incidentes
.
•
Integración con DRP: Se formalizarán los procedimientos y puntos de coordinación entre los equipos de ciberseguridad y los responsables de la recuperación ante desastres y la continuidad del negocio
.
•
Inicio de Cultura de Ciberseguridad: Lanzaremos las primeras iniciativas de concienciación dirigidas a todo el personal, enfatizando la importancia de la ciberseguridad y el rol de cada empleado en la mitigación de riesgos
. Es crucial reconocer que las fallas humanas son un factor de riesgo significativo
.
Esta fase nos permitirá tener un marco operativo de ciberseguridad básico, pero funcional, basado en la norma IEC 62443 para los entornos industriales
y complementado por las directrices de ISO 27019 para el sector
.
Fase 3: Profundización, Madurez y Mejora Continua (Año 1 al Año 3)
Esta fase se centrará en consolidar lo construido, profundizar en el análisis de riesgos y vulnerabilidades, refinar las contramedidas e impulsar una cultura de ciberseguridad robusta para aumentar la madurez del programa
.
•
Análisis Detallado y Profundización: Realizaremos estudios más exhaustivos de la arquitectura, activos, vulnerabilidades y riesgos, incluyendo análisis forense si es necesario
. Se prestará especial atención a los sistemas heredados y las redes industriales, aplicando técnicas de segregación y endurecimiento
.
•
Refinamiento de Contramedidas: Basado en el análisis detallado y los resultados de la supervisión (KPIs), se implementarán contramedidas más avanzadas y específicas, buscando aumentar la resiliencia de los sistemas
. Esto incluye la mejora continua de las políticas y procedimientos
.
•
Desarrollo de la Cultura de Ciberseguridad: Se escalarán los programas de concienciación, formación y educación, adaptándolos a los diferentes perfiles de la organización (operadores, IT, gerencia)
. Se integrará la ciberseguridad en la cultura organizacional para que sea una parte integral de las operaciones, como un esquema de maniobra. Se medirán la conciencia y los comportamientos para evaluar el impacto del programa
.
•
Optimización de KPIs y Métricas: El sistema de medición se formalizará y optimizará, vinculando los resultados de ciberseguridad con los objetivos estratégicos del negocio
.
•
Simulacros y Ejercicios Avanzados: Se realizarán simulacros y ciberejercicios más complejos que involucren a múltiples equipos y simulen escenarios realistas, incluyendo la coordinación con entidades externas si aplica
. Esto es vital para probar la capacidad de respuesta y la coordinación
.
•
Fortalecimiento de la Colaboración: Se buscará fortalecer la colaboración interna y explorar oportunidades de colaboración con otras entidades del sector, proveedores y organismos públicos relevantes (como el CERTSI en España, por ejemplo) para el intercambio de información sobre amenazas
.
Durante esta fase, se continuará utilizando activamente las directrices de IEC 62443 e ISO 27019 como marcos de referencia para la evaluación de riesgos, la implementación de controles y la gestión de la seguridad en sus entornos industriales y energéticos
.
Transición (A partir del Año 3)
Al finalizar el tercer año, la organización habrá alcanzado un nivel de madurez significativamente mayor en ciberseguridad. Se pasará a un modelo de mantenimiento y mejora continua, donde las actividades de análisis de riesgos, implementación de controles, supervisión, respuesta a incidentes y formación se convertirán en procesos operativos estándar, sujetos a revisiones periódicas y adaptación constante a la evolución del panorama de amenazas y tecnologías
. La cultura de ciberseguridad estará más arraigada, permitiendo una defensa más proactiva y resiliente
.
Este plan, basado en un enfoque Agile y guiado por los estándares IEC 62443 e ISO 27019, proporcionará una hoja de ruta clara y adaptable para fortalecer significativamente la postura de ciberseguridad de sus plantas fotovoltaicas en los próximos tres años.
Estoy a su disposición para discutir este plan en detalle y adaptarlo a las particularidades de su empresa.
