Suscríbete
Suscríbete

​“Existe una relación directa entre ciberseguridad y competitividad industrial"

Entrevistamos a Jorge Sanz | profesor en el 'Máster FP en ciberseguridad' | (Centro Universitario U-tad) | Responsable de Ciberamenazas | PagoNxt, fintech perteneciente al Grupo Santander
AdobeStock 190701861
La tecnología, los procedimientos y las personas son los tres pilares fundamentales para aplicar la ciberseguridad en la empresa.
|

El objetivo básico de la ciberseguridad debe ser garantizar la operatividad de la empresa de la forma más segura posible, encontrando un equilibrio entre la gestión de inversiones en base a riesgos de negocio y los requerimientos regulatorios. Hablamos con Jorge Sanz, profesor de U-tad (Centro Universitario de Tecnología y Arte Digital) y responsable de Ciberamenazas de PagoNxt, del Grupo Santander.


Foto Jorge

Revista PQ.- ¿Cuáles son los tres pilares fundamentales para aplicar la ciberseguridad en la empresa?

Jorge Sanz.- Hay tres pilares fundamentales para aplicar la ciberseguridad en la empresa y conseguir el objetivo: tecnología, que ayuda a la automatización de la actividad, procedimientos,que facilitan el manejo de la tecnología, además de asegurar unas buenas prácticas, y personas, quienes practican la ciberseguridad muchas veces basándose en los otros dos pilares. 


“La práctica de la ciberseguridad es un maratón, no un sprint”

Los tres tienen la misma importancia, aunque la tecnología siempre es la referencia por lo que procedimientos y personas quedan en un segundo plano, lo que es un error importante y dificulta todo el proceso.


Revista PQ.- ¿Cómo ha evolucionado la ciberseguridad industrial en la última década?

J.S.- Ha sido una evolución fuerte. Y el reto era, y sigue siendo, importante. La interconexión de los sistemas OT a la red ha implicado una serie de cambios de mentalidad respecto a la seguridad que hace años no estaban presentes, como la segmentación de redes, el control de los dispositivos, conexiones no controladas con proveedores, reducción al mínimo de las cuentas de usuario genéricas... 


AdobeStock 278765810


Siempre ha habido una estanqueidad importante entre los mundos IT y OT, sobre todo cuando el foco estaba puesto en las diferencias entre ellos. Ahora la visión se está centrando más en los elementos comunes, se trata de adaptar la operativa teniendo en cuenta los matices que marcan diferencias para elevar el nivel de madurez y de seguridad. Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta.


Revista PQ.- ¿Cómo cree que lo hará en los próximos años?

J.S.- La práctica de la ciberseguridad es un maratón, no un sprint; se suma que es líquida, muy variable, con lo que hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías.


“Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta” 

En los próximos años habrá que seguir consolidando los equipos de ciberseguridad donde aún no lo estén, trabajando en esa adaptación para poder gestionar todos los riesgos a los que la empresa esté expuesta, para lo que será imprescindible que las áreas de negocio y ciberseguridad estén muy alineadas respecto a estrategias y presupuestos.


Revista PQ.- ¿Qué relación tiene la ciberseguridad con la competitividad industrial?

J.S.- Personalmente, creo que hay una relación directa. Cuanto más seguros sean nuestros procesos de negocio, no voy a decir que está garantizado que no habrá un incidente (eso no es posible), pero sí se estará mejor preparado para su contención (el impacto será más limitado), se reducirá el tiempo y el coste de la recuperación y se incrementará la confianza de todas las partes, tanto externas (clientes, proveedores...) como internas (otros departamentos, la dirección...).


AdobeStock 164586743


Revista PQ.- ¿Qué nivel de mentalización tienen las empresas españolas respecto a su importancia?

J.S.- No tengo datos para afirmar si es mucho o poco, pero en mí experiencia, sin duda, esa mentalización se va incrementando año a año. 


“Hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías”

El hecho de que la ciberseguridad esté ahora presente en medios de información generalistas, que sea tema de conversación fuera de los círculos tradicionales, ayuda a dar visibilidad y, como consecuencia, que se tenga más en cuenta dentro de las estrategias de las empresas.


Ciertas regulaciones, ya sean internacionales (IEC 62443), europeas (NISv2) o de mercado (TISAX), también hacen su papel.


Revista PQ.- ¿Qué país es actualmente referencia en este ámbito?

J.S.- No tengo datos para poder contestar a la pregunta, pero sí puedo afirmar, basándome en el número de eventos sobre seguridad que hay en España, la participación, tanto de ponentes como de asistentes, y en el nivel de las temáticas que se tratan, que tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras.


Revista PQ.- ¿Qué consecuencias tiene un incidente en el entorno industrial a nivel de ciberseguridad?

J.S.- Dentro del sector industrial, la disponibilidad de los sistemas es crítica para poder continuar con los procesos productivos. El impacto es variable y se suele medir en dimensiones principales:


. Económica, incluyendo tanto el coste de la recuperación como el lucro cesante.

. Reputacional, influye mucho el tipo de ataque del que se haya sido objeto.

. Regulatorio, el ejemplo más claro es cuando hay filtración de datos personales por la RGPD.


AdobeStock 193545415


Revista PQ.- ¿Se pueden eliminar completamente los riesgos de un ciberataque?

J.S.- La respuesta corta es fácil: no. Se suele decir que en la gestión de riesgos hay 4 actividades fundamentales:


. Aceptación: el riesgo es inherente a la propia existencia del activo/servicio/proceso que se quiera ejecutar

. Mitigación: suele ser el siguiente paso después de la aceptación, que es ver cómo mitigar el riego, reducirlo al máximo.

. Eliminación: en ocasiones, el riesgo al que se expone la empresa no compensa respecto al beneficio de la medida/funcionalidad que se quiere implementar con lo que, al no hacerse, el riesgo desaparece.

. Traspaso: el ejemplo más claro de este son los seguros.


Revista PQ.- ¿Qué normativa existe al respecto?, ¿cree que es completa o en su opinión debería actualizarse?, ¿por qué?

J.S.- Hay normativa, algunas generalistas como la ISO 27001, que proporciona unas directrices genéricas sobre varios controles para asegurar la confidencialidad, integridad y disponibilidad de los sistemas/servicios/procesos de negocio. O la IEC62443, que se centra más en los ámbitos industriales para lograr una implementación segura de éstos, TISAX es una normativa específica del sector de la automoción, que entra muy en detalle en cómo implementar un control de seguridad, con parámetros medibles, para la evaluación final. 


“En España tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras” 

Dependiendo del nivel de detalle que se desarrolle, será necesario que se actualice de forma periódica. Como se dijo anteriormente, el mundo de la ciberseguridad cambia deprisa y debe adaptarse a las nuevas tecnologías, amenazas y riesgos que van surgiendo por la evolución natural del negocio.


Revista PQ.- ¿Qué proyectos tienen actualmente entre manos?

J.S.- El área de la ciberseguridad tiene una demanda muy grande y hay muchos profesionales que están trabajando y buscan especializarse o actualizarse en las últimas novedades y tecnologías. Es por eso que desde U-tad para este curso académico hemos decidido lanzar en modalidad online el ‘Máster FP en ciberseguridad’, del cual soy profesor, para de esta forma, ofrecer una formación más flexible y satisfacer así esta necesidad del mercado laboral.


Comentarios

Eurecat Andalucía
Eurecat Andalucía
Eurecat centro tecnológico innovación

Eurecat ha abierto en Málaga TechPark Eurecat Innova, la sede que albergará la unidad conjunta de innovación y desarrollo tecnológico que ha puesto en marcha junto con la Fundación Instituto Ricardo Valle de Innovación (Innova IRV).

Aggreko nombramiento
Aggreko nombramiento
Agrekko nombramientos industria transición energética

Tras el nombramiento de un nuevo presidente para Europa, Robert Wells, Aggreko ha formalizado sus planes para 2024 y más allá con la presentación de Energising Change, su nuevo entorno de sostenibilidad que ofrece un soporte completo a la transición energética.

 

Avebiom ponencias
Avebiom ponencias
Avebiom Aebig congresos bioenergía

Avebiom, organizador del Congreso Internacional de Bioenergía 2024 junto con su partner tecnológico, Aebig, invita a investigadores, académicos, profesionales del sector a presentar sus ponencias..

Feique radiografía 0
Feique radiografía 0
Feique industria química

La evolución reciente de la producción del área química española, tras la sucesivas y recientes crisis y su impacto en los precios energéticos, registra en el periodo 2015-2023 un crecimiento...

 

Mettler Toledo visita virtual
Mettler Toledo visita virtual
Mettler Toledo pesaje industrial

Mettler Toledo ofrece una visita virtual por una planta de producción industrial de productos químicos de última generación de la mano de los expertos en pesaje de la compañía, y así obtener una visión 360...

Genebre vávulas Fire Safe
Genebre vávulas Fire Safe
Genebre válvulas control de fluidos

Cuatro válvulas bridadas de Genebre han obtenido la certificación Fire Safe por parte de la entidad TÜV Rheinland ISO 10497. En concreto son las referencias 2526A, 2528, 2528A y 2529 del apartado de...

 

PlasticsEurope economía circular
PlasticsEurope economía circular
Plastics Europe plásticos economía circular reciclaje

Plastics Europe ha publicado la nueva edición de su informe bienal 'The Circular Economy for Plastics', una versión más completa, que ofrece un análisis de la producción, transformación y gestión de...

ABB circularidad
ABB circularidad
ABB Empresas economía circular

Un nuevo informe de ABB Motion, titulado 'Circularidad, no hay tiempo que desperdiciar', revela que el 94% de las empresas industriales en España están sintiendo los efectos de la escasez de recursos...

Asepal guía
Asepal guía
Asepal guías seguridad laboral EPIs

Para maximizar la seguridad y cumplimiento normativo en el ámbito laboral, Asepal publica la guía 'Orientación técnica sobre contratación de EPI. Guía en pliegos de prescripciones técnicas'

Endesa vanadio 1
Endesa vanadio 1
Endesa almacenamiento renovables instalación solar baterías

Endesa ha puesto en servicio en la planta solar de Son Orlandis en Mallorca la mayor instalación de almacenamiento de energía renovable en baterías de flujo de vanadio en Europa. 

Revista PQ
NÚMERO 1273 // 2024
Consulte el último número de la revista

Empresas destacadas

REVISTA