IT gestiona datos y servicios corporativos; OT monitorea y controla procesos y equipos físicos en entornos industriales.
La diferencia clave no es “tecnología”, sino las prioridades. Mientras IT suele maximizar confidencialidad/integridad/disponibilidad de información, OT prioriza seguridad humana, continuidad operativa y efectos físicos.
La convergencia IT/OT crece por IIoT, conectividad remota y adopción de tecnologías IT en OT, pero a su vez reduce el aislamiento histórico y aumenta la exposición. Adoptarla “bien” exige: inventario y visibilidad de activos, segmentación por niveles/zonas (Purdue/ISA-95), DMZ y controles de frontera, y gobernanza conjunta IT/OT con gestión de cambios y parches basada en riesgo.
IT y OT: definiciones operativas
- IT (Information Technology): herramientas y procesos para gestionar datos electrónicos (captura, almacenamiento, procesamiento, intercambio seguro) y sostener operaciones de negocio.
- OT (Operational Technology): hardware/software para monitorear y controlar dispositivos y procesos físicos; incluye ICS/SCADA/PLCs (entre otros), con foco en operación industrial y seguridad.
Punto fino (clave para especialistas): OT hoy “se parece” más a IT (protocolos basados en Ethernet, PCs/OS estándar, acceso remoto), lo que habilita capacidades nuevas, pero reduce aislamiento y aumenta necesidad de controles específicos para OT.
Similitudes reales (para evitar caricaturas)
- Ambos usan infraestructura de red (switches, routers, wireless) y pueden beneficiarse de disciplina IT en operación y controles de base.
- Ambos requieren gestión de cambios (la diferencia es el costo/impacto operativo del cambio en OT).
- Ambos necesitan coordinación organizacional cuando se integran (colaboración IT/OT para seguridad y operación)
Diferencias críticas (las que rompen arquitecturas si se ignoran)
- Tiempo y performance: OT puede ser time-critical (delay/jitter aceptable dictado por la instalación); IT suele tolerar más jitter y buscar rendimiento
- Disponibilidad/continuidad: OT generalmente requiere operación 24/7, paradas planificadas, pruebas exhaustivas y redundancia; reinicios suelen ser inaceptables.
- Riesgo y efectos físicos: OT incorpora seguridad humana, proceso, cumplimiento y efectos físicos; una medida de seguridad que degrade seguridad funcional puede ser inaceptable.
- Ciclo de vida y patching: OT tiene vida útil larga y actualización menos frecuente; cambios requieren aprobación y pueden tener efectos en cascada.
- Restricciones de recursos: RTOS/legacy OT pueden no soportar controles típicos (logging, cifrado, password protection); aplicar prácticas IT “indiscriminadas” puede degradar disponibilidad/tiempos.
- Protocolos: OT puede requerir protocolos industriales (p.ej., Modbus, PROFINET, CIP) no comunes en IT; herramientas IT pueden no decodificarlos.
| EJE | IT | OT |
| Objetivo primario | Gestión de información y servicios de negocio | Control/monitoreo de procesos y equipos físicos |
| Prioridad de seguridad | Confidencialidad/integridad/disponibilidad de datos | Seguridad humana y disponibilidad del proceso (efectos físicos) |
| Tolerancia a interrupciones | Mayor (según servicio) | Baja: paradas planificadas, reboot puede ser inaceptable |
| Performance | Throughput alto y tolerancia a jitter | Time-critical; delay/jitter dictados por instalación |
| Activos típicos | PCs, servidores, apps, nube | PLC/RTU/SCADA/ICS, robots, CNC, sensores/actuadores |
| Ciclo de vida | Más corto | Más largo (años/décadas según entorno) |
| Actualizaciones | Frecuentes, automatizables | Menos frecuentes; ventanas y aprobaciones estrictas |
| Protocolos | Estándares IT comunes | Protocolos industriales y/o propietarios; variedad alta |
| Entorno físico | Office/DC/Cloud | Planta, campo, ambientes agresivos/remotos |
| Accesibilidad | Generalmente fácil | Puede ser remota/difícil; terceros/proveedores intervienen |
| Gobernanza | IT centraliza políticas | OT focaliza producción/seguridad; roles distintos |
| Riesgo dominante | Pérdida de datos/servicio | Pérdidas físicas/seguridad/proceso/cumplimiento |
| Aislamiento histórico | Conectado “por diseño” | Históricamente aislado; hoy se reduce el aislamiento |
| Tipo de recuperación | DR orientado a TI | DR/continuidad con restricciones operativas y de seguridad |
Convergencia IT/OT
Motivadores
- Migración de redes industriales hacia Ethernet/TCP-IP y adopción de tecnologías IT para conectividad corporativa y acceso remoto.
- IIoT habilitando integración OT con redes más amplias para analítica/eficiencia operativa.
- Necesidad de colaboración IT/OT para un enfoque integrado de seguridad ante nuevas superficies de ataque.
Beneficios industriales
- Integrar datos IT/OT puede generar insights para eficiencia operativa, productividad y visibilidad (ej.: monitoreo remoto, mantenimiento predictivo).
- OT puede beneficiarse de rigor IT en gestión de red y controles base, siempre adaptados a restricciones OT.
Riesgos y trade-offs
- Menor aislamiento de OT frente al “mundo externo” aumenta probabilidad de vulnerabilidades/incidentes.
- Controles IT aplicados sin ingeniería OT pueden generar disrupciones de disponibilidad y timing.
- Acceso remoto mal gobernado (si no se gestiona con vulnerabilidades/parches) puede transformarse en canal de explotación.
Buenas prácticas
- Arquitectura basada en segmentación/aislamiento: caracterizar, segmentar y aislar dispositivos IT y OT; organizar segmentación con modelos reconocidos (Purdue, ISA-95/IEC 62264, arquitecturas IIoT).
- DMZ entre enterprise y OT: comunicaciones enterprise↔OT deben atravesar servicios en DMZ; monitorear y proteger DMZ para evitar pivoteo.
- Zonas y conduits (ISA99/IEC 62443): zona = agrupación de ciberactivos con mismos requisitos; conduit = agrupación dedicada a comunicaciones con mismos requisitos; reglas de modelado para evitar errores de diseño.
- Adoptar un framework estandarizado: Cisco señala ISA99/IEC 62443 como “common ground” para conectar enterprise e industrial network de forma segura, con mejora continua.
- Visibilidad/inventario como prerrequisito: sin inventario confiable, segmentación y “higiene de red” se vuelven frágiles; Cisco cita estudios con alta inexactitud de inventarios OT.
- Backups y recuperación (OT): NIST recomienda enfoque “backup-in-depth”, restauración y pruebas periódicas para disponibilidad OT
