Web Analytics
Suscríbete
Suscríbete

​“Existe una relación directa entre ciberseguridad y competitividad industrial"

Entrevistamos a Jorge Sanz | profesor en el 'Máster FP en ciberseguridad' | (Centro Universitario U-tad) | Responsable de Ciberamenazas | PagoNxt, fintech perteneciente al Grupo Santander
AdobeStock 190701861
La tecnología, los procedimientos y las personas son los tres pilares fundamentales para aplicar la ciberseguridad en la empresa.
|

El objetivo básico de la ciberseguridad debe ser garantizar la operatividad de la empresa de la forma más segura posible, encontrando un equilibrio entre la gestión de inversiones en base a riesgos de negocio y los requerimientos regulatorios. Hablamos con Jorge Sanz, profesor de U-tad (Centro Universitario de Tecnología y Arte Digital) y responsable de Ciberamenazas de PagoNxt, del Grupo Santander.


Foto Jorge

Revista PQ.- ¿Cuáles son los tres pilares fundamentales para aplicar la ciberseguridad en la empresa?

Jorge Sanz.- Hay tres pilares fundamentales para aplicar la ciberseguridad en la empresa y conseguir el objetivo: tecnología, que ayuda a la automatización de la actividad, procedimientos,que facilitan el manejo de la tecnología, además de asegurar unas buenas prácticas, y personas, quienes practican la ciberseguridad muchas veces basándose en los otros dos pilares. 


“La práctica de la ciberseguridad es un maratón, no un sprint”

Los tres tienen la misma importancia, aunque la tecnología siempre es la referencia por lo que procedimientos y personas quedan en un segundo plano, lo que es un error importante y dificulta todo el proceso.


Revista PQ.- ¿Cómo ha evolucionado la ciberseguridad industrial en la última década?

J.S.- Ha sido una evolución fuerte. Y el reto era, y sigue siendo, importante. La interconexión de los sistemas OT a la red ha implicado una serie de cambios de mentalidad respecto a la seguridad que hace años no estaban presentes, como la segmentación de redes, el control de los dispositivos, conexiones no controladas con proveedores, reducción al mínimo de las cuentas de usuario genéricas... 


AdobeStock 278765810


Siempre ha habido una estanqueidad importante entre los mundos IT y OT, sobre todo cuando el foco estaba puesto en las diferencias entre ellos. Ahora la visión se está centrando más en los elementos comunes, se trata de adaptar la operativa teniendo en cuenta los matices que marcan diferencias para elevar el nivel de madurez y de seguridad. Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta.


Revista PQ.- ¿Cómo cree que lo hará en los próximos años?

J.S.- La práctica de la ciberseguridad es un maratón, no un sprint; se suma que es líquida, muy variable, con lo que hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías.


“Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta” 

En los próximos años habrá que seguir consolidando los equipos de ciberseguridad donde aún no lo estén, trabajando en esa adaptación para poder gestionar todos los riesgos a los que la empresa esté expuesta, para lo que será imprescindible que las áreas de negocio y ciberseguridad estén muy alineadas respecto a estrategias y presupuestos.


Revista PQ.- ¿Qué relación tiene la ciberseguridad con la competitividad industrial?

J.S.- Personalmente, creo que hay una relación directa. Cuanto más seguros sean nuestros procesos de negocio, no voy a decir que está garantizado que no habrá un incidente (eso no es posible), pero sí se estará mejor preparado para su contención (el impacto será más limitado), se reducirá el tiempo y el coste de la recuperación y se incrementará la confianza de todas las partes, tanto externas (clientes, proveedores...) como internas (otros departamentos, la dirección...).


AdobeStock 164586743


Revista PQ.- ¿Qué nivel de mentalización tienen las empresas españolas respecto a su importancia?

J.S.- No tengo datos para afirmar si es mucho o poco, pero en mí experiencia, sin duda, esa mentalización se va incrementando año a año. 


“Hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías”

El hecho de que la ciberseguridad esté ahora presente en medios de información generalistas, que sea tema de conversación fuera de los círculos tradicionales, ayuda a dar visibilidad y, como consecuencia, que se tenga más en cuenta dentro de las estrategias de las empresas.


Ciertas regulaciones, ya sean internacionales (IEC 62443), europeas (NISv2) o de mercado (TISAX), también hacen su papel.


Revista PQ.- ¿Qué país es actualmente referencia en este ámbito?

J.S.- No tengo datos para poder contestar a la pregunta, pero sí puedo afirmar, basándome en el número de eventos sobre seguridad que hay en España, la participación, tanto de ponentes como de asistentes, y en el nivel de las temáticas que se tratan, que tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras.


Revista PQ.- ¿Qué consecuencias tiene un incidente en el entorno industrial a nivel de ciberseguridad?

J.S.- Dentro del sector industrial, la disponibilidad de los sistemas es crítica para poder continuar con los procesos productivos. El impacto es variable y se suele medir en dimensiones principales:


. Económica, incluyendo tanto el coste de la recuperación como el lucro cesante.

. Reputacional, influye mucho el tipo de ataque del que se haya sido objeto.

. Regulatorio, el ejemplo más claro es cuando hay filtración de datos personales por la RGPD.


AdobeStock 193545415


Revista PQ.- ¿Se pueden eliminar completamente los riesgos de un ciberataque?

J.S.- La respuesta corta es fácil: no. Se suele decir que en la gestión de riesgos hay 4 actividades fundamentales:


. Aceptación: el riesgo es inherente a la propia existencia del activo/servicio/proceso que se quiera ejecutar

. Mitigación: suele ser el siguiente paso después de la aceptación, que es ver cómo mitigar el riego, reducirlo al máximo.

. Eliminación: en ocasiones, el riesgo al que se expone la empresa no compensa respecto al beneficio de la medida/funcionalidad que se quiere implementar con lo que, al no hacerse, el riesgo desaparece.

. Traspaso: el ejemplo más claro de este son los seguros.


Revista PQ.- ¿Qué normativa existe al respecto?, ¿cree que es completa o en su opinión debería actualizarse?, ¿por qué?

J.S.- Hay normativa, algunas generalistas como la ISO 27001, que proporciona unas directrices genéricas sobre varios controles para asegurar la confidencialidad, integridad y disponibilidad de los sistemas/servicios/procesos de negocio. O la IEC62443, que se centra más en los ámbitos industriales para lograr una implementación segura de éstos, TISAX es una normativa específica del sector de la automoción, que entra muy en detalle en cómo implementar un control de seguridad, con parámetros medibles, para la evaluación final. 


“En España tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras” 

Dependiendo del nivel de detalle que se desarrolle, será necesario que se actualice de forma periódica. Como se dijo anteriormente, el mundo de la ciberseguridad cambia deprisa y debe adaptarse a las nuevas tecnologías, amenazas y riesgos que van surgiendo por la evolución natural del negocio.


Revista PQ.- ¿Qué proyectos tienen actualmente entre manos?

J.S.- El área de la ciberseguridad tiene una demanda muy grande y hay muchos profesionales que están trabajando y buscan especializarse o actualizarse en las últimas novedades y tecnologías. Es por eso que desde U-tad para este curso académico hemos decidido lanzar en modalidad online el ‘Máster FP en ciberseguridad’, del cual soy profesor, para de esta forma, ofrecer una formación más flexible y satisfacer así esta necesidad del mercado laboral.


Comentarios

Laitex 2 (1)
Laitex 2 (1)
Laitex Expobiomasa proyectos Biomasa

La empresa Laitex ha completado con éxito un ambicioso proyecto en la planta de Oulu, Finlandia, promovido por Stora Enso. Este proyecto se centró en la optimización del manejo de biomasa y destacó por su enfoque en la sostenibilidad.

Electricity and refineries
Electricity and refineries
apagón refinerías

El pasado domingo 28 de abril, un corte masivo en el suministro eléctrico afectó a amplias zonas del territorio español, incluyendo áreas industriales críticas como el Campo de Gibraltar, el polo petroquímico de Tarragona y el eje Cantábrico. 

Aedyr desaladora Lanzarote
Aedyr desaladora Lanzarote
Aedyr congresos desalación reutilización

AEDyR reunirá a más de 120 ponentes nacionales e internacionales para abordar los grandes retos del sector en su XIV Congreso Internacional, que se celebrará en Tenerife entre el 24 y el 26 de junio de 2025.

Aimplas Okplast
Aimplas Okplast
Aimplas seminarios plásticos

Aimplas, instituto tecnológico del plástico, organizará los próximos 27 y 28 de mayo la V edición del Seminario Internacional sobre Legislación de Plásticos Okplast, un encuentro esencial para la industria de los plásticos que se centrará en el análisis y...

Enagas Calcinor
Enagas Calcinor
Enagás Calcinor acuerdos descarbonización CO2

Enagás y Calcinor han firmado un acuerdo de colaboración para desarrollar conjuntamente proyectos para la gestión sostenible de CO2 desde las respectivas áreas de actividad de las dos compañías, con un potencial de reducción de emisiones de CO2...

Pumps y Fluidex
Pumps y Fluidex
Pumps & Valves Fluidex bombas válvulas Ferias fluidos asociaciones

La sexta edición de Pumps & Valves, feria internacional de sistemas de bombas, válvulas y equipamiento para procesos industriales, se presenta como un punto de encuentro especializado donde fabricantes y distribuidores podrán dar a conocer...

Exhaustion 1
Exhaustion 1
Aimplas plásticos proyectos investigación

El objetivo del proyecto Exhaustion, impulsado por Aimplas, es reducir el tiempo de ensayo de predicción de vida a fatiga de diversos materiales plásticos mediante el desarrollo de una metodología que emplee técnicas termográficas.

ISA tebuerias
ISA tebuerias
ISA medición tuberías metrología

El próximo 29 de abril de 2025, ISA Sección Española celebrará una reunión técnica presencial sobre la transferencia fiscal en tuberías en la ETSI Algeciras, Universidad de Cádiz, a partir de las 16:30 horas.

 

PF Hannover 1
PF Hannover 1
Pepperl Fuchs mantenimiento predictivo transformación digital

La compañía Pepperl+Fuchs, en colaboración con Bosch Digital Twins Industries y Syntax, mostrará en la Hannover Messe 2025 (HMI2025) una solución innovadora de mantenimiento predictivo y digitalización de plantas industriales. 

Sm el rey don felipe vi media 0
Sm el rey don felipe vi media 0
FOE congresos hidrógeno verde transición energética

La Casa Real ha confirmado que el rey Felipe VI asumirá nuevamente la presidencia del Comité de Honor del Congreso Nacional de Hidrógeno Verde, que celebrará su tercera edición en Huelva del 4 al 6 de febrero de 2026. 

Revista PQ
NÚMERO 1277 // 2025

Empresas destacadas

Acepto recibir comunicaciones comerciales relacionadas con el sector.

REVISTA