Qui és el responsable de les dades d’OT?

Qui és el responsable de les dades d’OT? Claus per entendre la propietat i gestió en entorns industrials

La transformació digital en la indústria ha portat múltiples beneficis: major eficiència operativa, millor traçabilitat, manteniment predictiu, automatització intel·ligent i una integració més fluida entre els entorns de TI (Tecnologies de la Informació) i OT (Tecnologia Operativa). No obstant això, també ha obert un debat que cada dia pren més força: qui és realment el responsable de les dades generades pels sistemes OT?

Aquesta pregunta, que pot semblar merament tècnica o administrativa, amaga implicacions profundes en termes de seguretat, compliment normatiu, responsabilitat legal, privadesa industrial i continuïtat del negoci. A diferència de l’entorn TI, on les polítiques de govern de dades estan més madures, en OT aquest debat continua obert, especialment en sectors industrials crítics com l’energia, l’aigua, la producció farmacèutica, l’automoció o l’alimentació.

Què entenem per dades d’OT?

Les dades d’OT (Operational Technology) són totes aquelles generades pels dispositius, sensors, sistemes de control, PLCs, SCADA, HMI i altres tecnologies que permeten operar, automatitzar i supervisar processos físics en temps real. Aquestes dades inclouen:

  • Lectures de sensors (temperatura, pressió, cabal, vibració, etc.)
  • Estats de màquines (encesa/aturada, cicles, alarmes)
  • Instruccions de control (ordres del PLC als actuadors)
  • Registres d’esdeveniments i historials de processos
  • Informació sobre temps d’aturada, eficiència i manteniment

Aquestes dades són fonamentals no només per a l’operació diària d’una planta, sinó també per a l’anàlisi de productivitat, gestió energètica, decisions de negoci i —cada vegada més— per alimentar sistemes d’intel·ligència artificial, aprenentatge automàtic i manteniment predictiu.

El dilema de la responsabilitat: de qui són les dades?

En teoria, les dades generades en una planta industrial pertanyen a l’organització propietària d’aquesta planta. Tanmateix, a la pràctica, la situació és més complexa. Amb l’avanç dels ecosistemes digitals industrials, apareixen múltiples actors amb accés, custòdia o processament d’aquestes dades:

  • Fabricants de maquinària o PLCs
  • Integradors de sistemes
  • Proveïdors de plataformes cloud o programari industrial (IIoT, MES, SCADA)
  • Departaments interns de TI o enginyeria
  • Empreses de manteniment extern
  • Proveïdors d’anàlisi de dades o intel·ligència artificial

Això porta a preguntes clau:

  • Qui té autoritat per accedir, modificar o compartir les dades?
  • Què passa si es perden, alteren o són robades?
  • Qui respon en cas de ciberatac que afecti la integritat de les dades d’OT?

Una diferència clau: TI vs OT

En entorns TI, la figura del Data Owner o propietari de la dada sol estar ben definida. Hi ha polítiques de govern de dades, recolzades per normes com la ISO/IEC 27001, el RGPD o la NIS2. No obstant això, en OT aquest rol no sempre està clarament assignat. Això es deu a diverses raons:

  • Les dades OT es generen i s’utilitzen en temps real per controlar processos físics, i no sempre s’emmagatzemen o es gestionen amb la mateixa lògica que les dades TI.
  • Els sistemes OT van ser dissenyats amb un focus en disponibilitat i seguretat física, no en privadesa o propietat de la dada.
  • Els rols entre TI i OT estan desalineats, cosa que provoca conflictes de responsabilitat sobre el control dels sistemes i les dades.

El resultat és una zona grisa de governança, on les decisions sobre qui pot accedir, moure o analitzar les dades poden no estar recolzades per polítiques clares ni mesures de seguretat adequades.

Ciberseguretat OT: protegir les dades és protegir l’operació

Un dels principals riscos de no definir la responsabilitat sobre les dades OT és l’exposició a ciberatacs. A diferència dels entorns TI, on les dades són l’objectiu principal (robatori d’informació, violació de la privadesa, espionatge), en OT sovint l’objectiu és interrompre processos físics, però les dades continuen sent un vector clau.

Per exemple:

  • Un ransomware pot bloquejar l’accés al SCADA, impedint la supervisió de processos crítics.
  • Un atacant pot alterar registres històrics, comprometent la traçabilitat d’un lot en indústries regulades.
  • Un error en la sincronització de dades pot causar aturades no planificades o decisions errònies en producció.

Tot això demostra que la integritat, disponibilitat i autenticitat de les dades OT és tan important com la seva confidencialitat, i que hi ha d’haver responsables definits per garantir-la.

Marc normatiu i estàndards rellevants

A mesura que augmenta la consciència sobre la importància de la ciberseguretat OT i la protecció de les dades industrials, diversos marcs regulatoris comencen a exigir responsabilitats clares sobre les dades en entorns industrials:

  1. IEC 62443
    • Defineix rols com el Asset Owner (propietari del sistema) i el Service Provider.
    • Estableix la necessitat de controlar l’accés, la traçabilitat de les dades i la segmentació de xarxes.
    • Recomana polítiques de gestió d’identitats, autenticació i autorització d’accés a sistemes i dades.
  2. NIS2 (Directiva Europea)
    • Aplica a sectors industrials essencials.
    • Exigeix que les organitzacions implementin mesures per garantir la protecció de les dades operacionals.
    • Inclou obligacions de notificació en cas d’incidents que afectin la seguretat de la informació.
  3. ISO/IEC 27001 i 27019
    • Encara que tradicionalment centrades en TI, poden i han d’aplicar-se als sistemes OT.
    • Inclouen controls específics sobre propietat de la dada, classificació, xifrat, còpia de seguretat i recuperació.
  4. Normatives sectorials
    • Farmacèutic: GMP, GAMP5, FDA 21 CFR Part 11.
    • Alimentació: IFS, BRCGS, ISO 22000.
    • Energia: NERC CIP, ENTSO-E.

Qui hauria de ser el responsable de les dades OT?

Tot i que no hi ha una única resposta vàlida per a totes les organitzacions, sí que hi ha bones pràctiques que poden ajudar a definir un model de governança clar i funcional:

  1. El rol del OT Data Owner
    Designar una persona o àrea específica com a responsable del govern de les dades OT, amb autoritat per definir polítiques d’accés, integritat, ús i emmagatzematge.
  2. Convergència TI/OT: col·laboració, no substitució
    TI pot aportar experiència en protecció de dades, mentre OT coneix la criticitat dels processos. Cal crear equips híbrids o comitès de seguretat industrial on es defineixin responsabilitats creuades.
  3. Contractes i acords amb proveïdors
    És essencial definir als contractes amb proveïdors:
    • Qui pot accedir a les dades.
    • On s’emmagatzemen i durant quant temps.
    • Com es garanteix la seva protecció, xifrat i esborrat segur.
    • Què passa si hi ha una bretxa de seguretat.
  4. Classificació i etiquetatge de dades
    No totes les dades d’OT tenen el mateix valor o nivell de sensibilitat. Cal aplicar una política de classificació de dades industrials que permeti prioritzar recursos de protecció segons l’impacte.
  5. Auditoria i traçabilitat
    Implementar sistemes de registre d’accessos i canvis a les dades, integrats amb els sistemes de control (SCADA, DCS, historiadors) per garantir que qualsevol manipulació pugui ser detectada i rastrejada.

Cas pràctic: una planta sense responsable de dades OT

Imaginem una planta industrial on les dades del SCADA s’exporten a un sistema d’anàlisi al núvol gestionat per un proveïdor extern. Una fallada en el canal de comunicació corromp part de les dades i genera una desviació en la qualitat del producte.

Sense un responsable clar:

  • OT culpa el proveïdor cloud.
  • TI afirma que no té control sobre aquests sistemes.
  • Producció sol·licita mesures correctives sense entendre l’origen del problema.

Aquest exemple, cada vegada més comú, posa de manifest la necessitat de designar responsables clars del cicle de vida de les dades OT, per evitar conflictes interns, pèrdues econòmiques i danys a la reputació.

Conclusió: les dades d’OT són un actiu estratègic

En la indústria connectada i digital d’avui, les dades d’OT no són simplement un subproducte del procés: són un actiu estratègic. El seu valor va més enllà de l’operació diària. Alimenten decisions de negoci, permeten complir normatives, habiliten l’eficiència i protegeixen la integritat del procés.

La pregunta “qui és el responsable de les dades d’OT?” no pot continuar sense resposta. Cada organització ha de definir el seu model de governança, assignar rols, establir polítiques clares i, sobretot, integrar la gestió de dades OT en la seva estratègia de ciberseguretat industrial i transformació digital.

Necessites definir una estratègia de governança de dades OT?

A Kollaborative Work, ajudem les empreses industrials a dissenyar polítiques de gestió de dades OT, implementar marcs com l’IEC 62443, enfortir la ciberseguretat de la seva infraestructura crítica i fomentar una cultura de protecció de la informació operativa.
Visita’ns i descobreix com podem ajudar-te a transformar les teves dades en un avantatge competitiu… i segur.

Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada basada en un perfil elaborado a partir de tus hábitos de navegación. Puedes aceptar todas las cookies, rechazarlas o configurar tus preferencias.    Más información
Privacidad