Acceso remoto seguro OT a escala en una farmacéutica

Hay un momento que se repite en casi todas las plantas que empiezan a conectar máquinas. El acceso remoto funciona. Funciona en la primera línea, en la primera planta, el día de la demo. El problema llega después, cuando hay que repetirlo en la segunda planta, en la quinta, en la que está en otro país y tiene la conectividad colgada de un router 4G.

Eso es justo lo que le pasó a una farmacéutica líder en genéricos y biosimilares, con producción en más de 100 países. No tenían un problema de acceso remoto. Tenían un problema en cuanto querían escalarlo.

En palabras de su propio equipo: «El acceso remoto tiene que funcionar en producción, siempre, en todas las plantas, sin crear nuevos riesgos ni complejidad. Eso es lo que teníamos que arreglar.»

No pedían nada exótico. Pedían que algo que ya usaban dejara de convertirse en un proyecto a medida cada vez que abrían una planta nueva.

El problema no era el acceso remoto. Era escalarlo.

Cuando una sola línea necesita mantenimiento remoto, casi cualquier cosa vale. El lío empieza cuando ese "casi cualquier cosa" se multiplica por las plantas, los países y los equipos de mantenimiento.

En este caso, el acceso remoto se estaba extendiendo sin un modelo común. Cada planta nueva traía su propia variación y su propio esfuerzo de puesta en marcha. Lo que en una sede se resolvía de una manera, en otra se montaba distinto, y eso se nota cuando hay que dar soporte a todo a la vez.

A eso se sumaba el rendimiento. En algunos entornos concretos la conexión se degradaba, y en una planta farmacéutica eso no es un detalle estético. Donde el tiempo de actividad manda, una sesión remota que va a tirones deja de ser una herramienta y pasa a ser un riesgo.

Y luego estaba la infraestructura, que rara vez es homogénea. Unas sedes tiraban de cable, otras de Wi-Fi y otras de 4G. La solución tenía que comportarse igual en las tres, no funcionar bien solo donde la red era buena.

Por debajo de todo esto había una pregunta sin responder: ¿cuál es la arquitectura? Los equipos internos necesitaban un criterio claro de cómo desplegar y cómo crecer, en lugar de decidirlo planta a planta.

Por qué en una farmacéutica esto pesa más

En la mayoría de plantas, una parada no planificada es cara. En farma, además, es delicada.

Hablamos de sistemas validados, de trazabilidad, de auditorías y de procesos que no se tocan a la ligera. Cuando el acceso remoto a esos sistemas depende de quién montó cada sede y de qué día era, la inconsistencia deja de ser una molestia técnica y se convierte en un problema de control.

Por eso, para una compañía con producción repartida por más de 100 países, "que funcione" no basta. Tiene que funcionar igual en todas partes, ser auditable y no abrir puertas que luego nadie vigile.

Qué cambió con Secomea

La compañía eligió Secomea para estabilizar lo que ya tenía y, sobre todo, para fijar un modelo repetible con el que escalar entre plantas. No se trataba de añadir otra herramienta más, sino de poner orden.

El planteamiento de acceso remoto seguro diseñado para entornos OT descansa en tres piezas que trabajan juntas. Una pasarela en planta (SiteManager) que conecta con los equipos sin exponerlos. Un servidor central de gestión (GateManager) desde el que se administran usuarios, permisos y registros de toda la organización. Y un cliente para los ingenieros (LinkManager) que les permite entrar desde cualquier sitio y cualquier dispositivo.

Sobre esa base, tres cosas resolvieron los tres dolores de cabeza:

Rendimiento estable, también cuando la red no ayuda. La solución está pensada para mantener un acceso constante incluso en entornos de alta latencia, que es exactamente donde antes se caían. Una sede en 4G dejó de ser un caso problemático para pasar a ser una sede más.

Despliegue estandarizado. En lugar de reinventar la conexión en cada planta, se repite el mismo modelo. Eso reduce la variación y el esfuerzo de cada alta, y hace que abrir la planta número nueve se parezca mucho a haber abierto la número dos.

Seguridad sin fricción. Todo el tráfico va por el puerto 443 con HTTPS/TLS, con autenticación multifactor, inicio de sesión único, permisos por el principio de mínimo privilegio y registro de quién hizo qué y cuándo. Esa es la parte de "sin crear nuevos riesgos" de la frase del cliente, y se apoya en un enfoque Zero Trust y en la certificación IEC 62443, que en OT no es un adorno.

De apagar fuegos a un modelo repetible

El cambio de fondo no fue técnico, fue de enfoque. Se pasó de resolver incidencias según iban apareciendo a tener una estrategia de acceso remoto controlada y pensada para crecer.

Cada planta nueva dejó de ser un proyecto en blanco. Y cuando el alta de una sede deja de depender de la pericia de quien la monta, el equipo de IT/OT recupera algo que vale mucho: previsibilidad.

Los resultados

Lo que empezó como un despliegue creciente y desigual acabó siendo una plataforma de acceso remoto estandarizada y lista para producción. En concreto:

• El rendimiento se estabilizó en producción, con un día a día fiable.
• Se fijó un modelo de despliegue consistente en más de 8 plantas.
• Bajó la complejidad de expandirse a nuevas ubicaciones.
• Mejoró el entendimiento entre equipos sobre arquitectura y forma de desplegar.
• Quedó una base sólida para seguir creciendo a nivel global.

Ninguno de esos puntos es espectacular por separado. Juntos son la diferencia entre un acceso remoto que aguanta el crecimiento y uno que se rompe con él.

Lo que puedes llevarte a tu planta

La lección de este caso es poco glamurosa y muy útil: el modelo de acceso se estandariza antes de escalar, no después.

Si tienes máquinas en varias sedes y la forma de entrar en cada una todavía depende de quién la configuró, ya tienes el problema que tenía esta compañía. Solo que aún no se ha hecho grande.

Y con NIS2 subiendo el listón de lo que se espera de la seguridad en operaciones críticas, improvisar el acceso remoto en cada planta sale caro por dos sitios: por lo que cuesta mantenerlo y por lo que cuesta justificarlo.

Puedes ver con más detalle cómo Secomea trabaja en entornos de producción farmacéutica, o hablarlo directamente con nosotros y mirar tu caso concreto.