La familia ISA/IEC 62443 es el referente internacional para ciberseguridad en automatización industrial. Para un equipo que va a desplegar inteligencia en planta, lo importante no es leerla completa, sino entender tres ideas: zonas y conductos, niveles de seguridad (SL), y responsabilidades por rol (asset owner, integrador, vendor).
Zonas y conductos viene de IEC 62443-3-2. Una zona agrupa activos con requisitos de seguridad equivalentes; un conducto es la comunicación controlada entre zonas. Para una planta típica esto significa: una zona de control (PLC/SCADA), una zona de supervisión (HMI/historian), una zona de IA en edge y una zona corporativa. Cada conducto entre ellas debe estar explícitamente diseñado, no surgir por accidente.
Los niveles de seguridad (SL 1 a SL 4) se asignan por zona según el tipo de adversario que se quiere resistir. Para procesos no críticos, SL 1 o SL 2 suele bastar. Para activos críticos —compresores en oil & gas, despacho eléctrico, agua potable— el blanco es SL 3 o superior, con requisitos significativamente más estrictos sobre autenticación, integridad y resiliencia.
Sobre la práctica de poner IA en planta, la consecuencia es directa: el gateway edge debe vivir en su propia zona, con un conducto unidireccional o estrictamente filtrado hacia la zona de control y otro auditable hacia la zona corporativa. La regla "una sola interfaz a internet" no es paranoia, es 62443-3-3.
Un assessment razonable mapea zonas, conductos y SL objetivo en 3–4 semanas de trabajo on-site. El resultado es una arquitectura objetivo y un plan de remediación priorizado, sobre el cual recién tiene sentido planificar la instalación de cualquier modelo en producción.