Ciberseguridad OT y backup en 5 plantas productivas

Grupo industrial con cinco plantas productivas en la península, cada una con su propia red OT desplegada en los últimos veinte años por integradores distintos. PLCs Siemens y Schneider conectados a la misma VLAN que las impresoras de oficina, SCADAs accesibles desde la red corporativa sin autenticación y sistemas de control con Windows XP imposibles de actualizar por compatibilidad con el equipo de fábrica.

Con la entrada en vigor de la directiva NIS2 y un incidente de ransomware en un competidor del sector que paró una línea durante 11 días, la dirección decidió actuar. El requisito era claro: aislar y proteger sin tocar la operativa, sin paradas planificadas y manteniendo la disponibilidad por encima del 99,9%.

Acometimos el proyecto en tres fases coordinadas con producción:

• Diagnóstico y mapeo OT. Inventario completo de activos industriales planta por planta, identificación de protocolos en uso (Modbus, Profinet, OPC-UA) y mapa de comunicaciones reales entre dispositivos.
• Segmentación con Fortinet. Despliegue de FortiGate en cada planta para crear zonas IT/OT separadas siguiendo el modelo Purdue. Reglas explícitas por protocolo industrial, monitorización con FortiAnalyzer y bloqueo por defecto de cualquier comunicación no registrada.
• Continuidad y backup inmutable. Backup Veeam con repositorio inmutable fuera de planta y plan de recuperación probado para los sistemas SCADA críticos. Documentación operativa lista para auditoría NIS2.

Cada planta se intervino en ventanas de cambio coordinadas con el responsable de producción. El despliegue se hizo sin parar ninguna línea.

Mantenemos el contrato de servicios gestionados con guardias 24/7 para los entornos OT críticos y revisión trimestral de la postura de seguridad.