FEDER
C/María Berdiales, 20, 4ª Vigo (Spain)
+34 886 251 058
info@inprosec.com
es
en
¿Hablamos?

InprOTech Guardian y el Modelo Purdue: segmentación OT en la práctica

GuardianTechpapers

Segmentar bien una red OT no consiste solo en separar equipos. Consiste en entender funciones, dependencias y flujos reales para reducir riesgo sin perder operatividad.

Mapa de red OT con segmentación por niveles Purdue en Guardian

 

En ciberseguridad industrial, ver la red no es suficiente. Lo relevante, desde un punto de vista técnico y de gestión del riesgo, es entender qué función cumple cada activo, en qué nivel operativo trabaja y qué impacto tendría una comunicación no prevista entre zonas. En ese contexto, el Modelo Purdue sigue siendo una referencia útil para estructurar entornos OT, y InprOTech Guardian permite trasladar ese marco conceptual a un inventario observable y mantenido.

Guardian permite mantener una lista de dispositivos estructurada, clasificar activos por nivel Purdue, diferenciar equipos autorizados o no autorizados y marcar dispositivos críticos para evitar interacciones activas innecesarias. Esta base resulta especialmente valiosa cuando la organización necesita pasar de una red OT difícil de gobernar a una arquitectura que pueda analizar, justificar y mejorar con criterio técnico y normativo, especialmente en proyectos alineados con IEC 62443. La vista Purdue del mapa de red organiza los dispositivos por nivel, permitiendo identificar de un vistazo la estructura real del entorno y las comunicaciones entre niveles.

¿Por qué sigue siendo útil el Modelo Purdue?

El Modelo Purdue fue desarrollado en la Universidad de Purdue a principios de los años 90 como marco de referencia para la manufactura integrada (PERA), y es la base conceptual adoptada por IEC 62443 e ISA-95. Hoy sigue siendo una forma clara de ordenar el entorno industrial por función y exposición. No se trata solo de dibujar capas, sino de reducir riesgo, limitar movimiento lateral y establecer reglas de comunicación coherentes que puedan sostenerse en operación.

En términos prácticos, Guardian ayuda a trasladar ese modelo al inventario real de la organización:

  • Nivel 0: sensores, actuadores y dispositivos de campo.
  • Nivel 1: PLC, RTU, controladores básicos, dispositivos I/O y primera capa de control.
  • Nivel 2: HMI, SCADA, estaciones de supervisión y servidores de historización.
  • Nivel 3: MES, servidores de operación, bases de datos de planta y gestión de producción.
  • Nivel 4: ERP, CRM, SCM y sistemas de negocio conectados con operaciones.
Diagrama visual de niveles 0-4 con ejemplos de activos detectados por Guardian

 

El propio manual de Guardian ya contempla esta organización y recuerda algo importante: algunos dispositivos pueden cambiar de nivel según su función y ubicación. Ese matiz es esencial. Una misma tecnología puede ocupar posiciones distintas si actúa como estación de ingeniería, servidor de planta o pasarela entre entornos.

Dicho de otro modo: Purdue no debe aplicarse como una plantilla rígida, sino como una guía para clasificar con criterio técnico y operativo.

Cómo clasificar dispositivos de forma útil

Uno de los errores más habituales en OT es clasificar activos solo por su nombre comercial o por el fabricante. Para segmentar bien, hace falta una clasificación funcional. Con Guardian, la recomendación es asignar a cada activo al menos estos parámetros:

    • Nivel Purdue.
    • Autorizado / no autorizado.
    • Crítico / no crítico.
  • Scoring de riesgo (bajo, medio, alto) asignado automáticamente por Guardian.
  • Campos personalizables (clave-valor): proceso, línea, celda, ubicación, propietario…

Esta clasificación permite que el inventario deje de ser un listado estático y pase a ser una herramienta de decisión.

Por ejemplo:

  • Un PLC de línea debe aparecer en Nivel 1 y normalmente solo debería comunicarse con sistemas de supervisión o ingeniería definidos.
  • Un SCADA o un historiador encaja en Nivel 2, con comunicaciones esperadas hacia controladores y algunos servicios de planta.
  • Un MES o un servidor de operaciones se ubica en Nivel 3, donde la segmentación debe ser más estricta respecto a Nivel 4 y a accesos remotos.
  • Un ERP pertenece a Nivel 4 y no debería mantener relaciones directas e indiscriminadas con activos de control.

Guardian ayuda a validar esta organización al ofrecer mapa de red, lista de dispositivos, visibilidad de comunicaciones y detección de nodos que no han sido reconocidos como legítimos. Ese cruce entre inventario y tráfico observado es lo que convierte una clasificación teórica en una clasificación verificable, útil tanto para operación como para revisión técnica.

Segmentación según IEC 62443: de la teoría al control operativo

La serie IEC 62443 no se limita a pedir visibilidad. Lo que exige es una segmentación basada en zonas y conductos, con separación entre funciones, control de accesos, minimización de comunicaciones y trazabilidad del riesgo. En ese contexto, Purdue no sustituye a IEC 62443, pero sí ofrece una estructura de referencia útil para definir zonas con sentido operativo y convertir un requisito normativo en una práctica mantenible.

Además, este enfoque encaja con recomendaciones ampliamente utilizadas en seguridad industrial, como las recogidas en NIST SP 800-82 Rev. 3 y en las ICS Recommended Practices de CISA, donde el inventario fiable, la segmentación y el control de comunicaciones aparecen como medidas estructurales para reducir exposición y mejorar resiliencia. Son también elementos aplicables en marcos como ISO 27001, ENS y la Directiva NIS2 para operadores de servicios esenciales.

Con Guardian, esta aproximación se puede aterrizar de forma práctica:

  1. Descubrir activos reales y eliminar zonas ciegas del inventario.
  2. Asignar nivel Purdue a cada dispositivo según su función de forma automática.
  3. Identificar en la vista Purdue comunicaciones entre niveles no adyacentes, señaladas como warnings de cumplimiento normativo (IEC 62443).
  4. Marcar dispositivos críticos para evitar acciones activas no deseadas.
  5. Detectar equipos no autorizados y conexiones que rompen la política de segmentación.
Vista Inventario en Guardian con clasificación de activos por nivel

 

Este enfoque ayuda a responder preguntas que aparecen en cualquier auditoría o proyecto de bastionado:

  • ¿Qué activos forman parte de cada zona?
  • ¿Qué sistemas cruzan niveles sin justificación clara?
  • ¿Qué dispositivos no autorizados están presentes en la red?
  • ¿Qué activos son tan sensibles que deben excluirse de interacción activa?

Cuando esa información está mantenida en Guardian, el cumplimiento deja de depender de hojas de cálculo dispersas y pasa a apoyarse en un inventario vivo, con contexto y evidencia exportable.

Cumplimiento normativo y evidencias que sí sirven

Hablar de cumplimiento en OT no debería reducirse a “tener segmentación”, sino a poder demostrarla. Guardian permite hacerlo: inventario actualizado, clasificación por niveles Purdue, visibilidad de comunicaciones y reportes exportables para auditoría, gobierno técnico y toma de decisiones.

Eso facilita preparar evidencias para marcos regulatorios, auditorías internas, requisitos sectoriales y proyectos alineados con IEC 62443, especialmente en aspectos relacionados con identificación de activos, segmentación, control de comunicaciones y gestión del riesgo operativo. También permite apoyar iniciativas internas que toman como referencia guías como NIST SP 800-82 para arquitectura OT segura y endurecimiento del entorno industrial. Apoya también iniciativas de cumplimiento con ISO 27001, ENS y la Directiva NIS2, que exigen evidencias verificables sobre el estado de la red y el control de accesos en entornos críticos.

La segmentación útil no es la que está mejor dibujada, sino la que puede justificarse con datos actuales de la red.

De la segmentación dibujada a la segmentación gobernada

Muchas organizaciones creen tener segmentación porque existe una arquitectura teórica en un documento. El problema aparece cuando el tráfico real, los activos no inventariados o los cambios operativos contradicen ese diseño.

Con Guardian, el Modelo Purdue deja de ser una figura estática y se convierte en una forma de ordenar el inventario, revisar comunicaciones y detectar desviaciones reales. Ese paso es clave para madurar la seguridad industrial: no basta con definir niveles, hay que gobernarlos.

En la práctica, una buena segmentación OT empieza por algo muy concreto: saber qué hay, dónde está, qué función cumple y con qué debería comunicarse. Cuando esa base está bien construida, el alineamiento con IEC 62443 deja de ser un ejercicio documental y se convierte en una mejora tangible para la resiliencia de la planta.

Resumen de activos hardware en el dashboard de Guardian, clasificados por nivel Purdue

Referencias

[1] InprOTech GuardianManual de usuario InprOTech Guardian v0.17. Documento interno de producto.

[2] ISAISA/IEC 62443 Series of Standards. Estándares de seguridad para sistemas de automatización y control industrial.

[3] IECIEC TS 62443-1-1: Terminology, concepts and models. Base conceptual de la serie IEC 62443.

[4] NISTSP 800-82 Rev. 3: Guide to Operational Technology (OT) Security (2023). Guía para arquitectura OT, amenazas, vulnerabilidades y contramedidas.

[5] NISTSP 800-82 Rev. 3: nota de publicación. Contexto y alcance de la revisión.

[6] CISAICS Recommended Practices. Segmentación, defensa en profundidad y acceso remoto en ICS.

[7] NISTPurdue Model of Computer Integrated Manufacturing. Diagrama de referencia del modelo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Archivos

keyboard_arrow_up