El objetivo básico de la ciberseguridad debe ser garantizar la operatividad de la empresa de la forma más segura posible, encontrando un equilibrio entre la gestión de inversiones en base a riesgos de negocio y los requerimientos regulatorios. Hablamos con Jorge Sanz, profesor de U-tad (Centro Universitario de Tecnología y Arte Digital) y responsable de Ciberamenazas de PagoNxt, del Grupo Santander.
Jorge Sanz.- Hay tres pilares fundamentales para aplicar la ciberseguridad en la empresa y conseguir el objetivo: tecnología, que ayuda a la automatización de la actividad, procedimientos,que facilitan el manejo de la tecnología, además de asegurar unas buenas prácticas, y personas, quienes practican la ciberseguridad muchas veces basándose en los otros dos pilares.
“La práctica de la ciberseguridad es un maratón, no un sprint”
Los tres tienen la misma importancia, aunque la tecnología siempre es la referencia por lo que procedimientos y personas quedan en un segundo plano, lo que es un error importante y dificulta todo el proceso.
J.S.- Ha sido una evolución fuerte. Y el reto era, y sigue siendo, importante. La interconexión de los sistemas OT a la red ha implicado una serie de cambios de mentalidad respecto a la seguridad que hace años no estaban presentes, como la segmentación de redes, el control de los dispositivos, conexiones no controladas con proveedores, reducción al mínimo de las cuentas de usuario genéricas...
Siempre ha habido una estanqueidad importante entre los mundos IT y OT, sobre todo cuando el foco estaba puesto en las diferencias entre ellos. Ahora la visión se está centrando más en los elementos comunes, se trata de adaptar la operativa teniendo en cuenta los matices que marcan diferencias para elevar el nivel de madurez y de seguridad. Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta.
J.S.- La práctica de la ciberseguridad es un maratón, no un sprint; se suma que es líquida, muy variable, con lo que hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías.
“Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta”
En los próximos años habrá que seguir consolidando los equipos de ciberseguridad donde aún no lo estén, trabajando en esa adaptación para poder gestionar todos los riesgos a los que la empresa esté expuesta, para lo que será imprescindible que las áreas de negocio y ciberseguridad estén muy alineadas respecto a estrategias y presupuestos.
J.S.- Personalmente, creo que hay una relación directa. Cuanto más seguros sean nuestros procesos de negocio, no voy a decir que está garantizado que no habrá un incidente (eso no es posible), pero sí se estará mejor preparado para su contención (el impacto será más limitado), se reducirá el tiempo y el coste de la recuperación y se incrementará la confianza de todas las partes, tanto externas (clientes, proveedores...) como internas (otros departamentos, la dirección...).
J.S.- No tengo datos para afirmar si es mucho o poco, pero en mí experiencia, sin duda, esa mentalización se va incrementando año a año.
“Hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías”
El hecho de que la ciberseguridad esté ahora presente en medios de información generalistas, que sea tema de conversación fuera de los círculos tradicionales, ayuda a dar visibilidad y, como consecuencia, que se tenga más en cuenta dentro de las estrategias de las empresas.
Ciertas regulaciones, ya sean internacionales (IEC 62443), europeas (NISv2) o de mercado (TISAX), también hacen su papel.
J.S.- No tengo datos para poder contestar a la pregunta, pero sí puedo afirmar, basándome en el número de eventos sobre seguridad que hay en España, la participación, tanto de ponentes como de asistentes, y en el nivel de las temáticas que se tratan, que tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras.
J.S.- Dentro del sector industrial, la disponibilidad de los sistemas es crítica para poder continuar con los procesos productivos. El impacto es variable y se suele medir en dimensiones principales:
. Económica, incluyendo tanto el coste de la recuperación como el lucro cesante.
. Reputacional, influye mucho el tipo de ataque del que se haya sido objeto.
. Regulatorio, el ejemplo más claro es cuando hay filtración de datos personales por la RGPD.
J.S.- La respuesta corta es fácil: no. Se suele decir que en la gestión de riesgos hay 4 actividades fundamentales:
. Aceptación: el riesgo es inherente a la propia existencia del activo/servicio/proceso que se quiera ejecutar
. Mitigación: suele ser el siguiente paso después de la aceptación, que es ver cómo mitigar el riego, reducirlo al máximo.
. Eliminación: en ocasiones, el riesgo al que se expone la empresa no compensa respecto al beneficio de la medida/funcionalidad que se quiere implementar con lo que, al no hacerse, el riesgo desaparece.
. Traspaso: el ejemplo más claro de este son los seguros.
J.S.- Hay normativa, algunas generalistas como la ISO 27001, que proporciona unas directrices genéricas sobre varios controles para asegurar la confidencialidad, integridad y disponibilidad de los sistemas/servicios/procesos de negocio. O la IEC62443, que se centra más en los ámbitos industriales para lograr una implementación segura de éstos, TISAX es una normativa específica del sector de la automoción, que entra muy en detalle en cómo implementar un control de seguridad, con parámetros medibles, para la evaluación final.
“En España tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras”
Dependiendo del nivel de detalle que se desarrolle, será necesario que se actualice de forma periódica. Como se dijo anteriormente, el mundo de la ciberseguridad cambia deprisa y debe adaptarse a las nuevas tecnologías, amenazas y riesgos que van surgiendo por la evolución natural del negocio.
J.S.- El área de la ciberseguridad tiene una demanda muy grande y hay muchos profesionales que están trabajando y buscan especializarse o actualizarse en las últimas novedades y tecnologías. Es por eso que desde U-tad para este curso académico hemos decidido lanzar en modalidad online el ‘Máster FP en ciberseguridad’, del cual soy profesor, para de esta forma, ofrecer una formación más flexible y satisfacer así esta necesidad del mercado laboral.
La empresa Laitex ha completado con éxito un ambicioso proyecto en la planta de Oulu, Finlandia, promovido por Stora Enso. Este proyecto se centró en la optimización del manejo de biomasa y destacó por su enfoque en la sostenibilidad.
El pasado domingo 28 de abril, un corte masivo en el suministro eléctrico afectó a amplias zonas del territorio español, incluyendo áreas industriales críticas como el Campo de Gibraltar, el polo petroquímico de Tarragona y el eje Cantábrico.
AEDyR reunirá a más de 120 ponentes nacionales e internacionales para abordar los grandes retos del sector en su XIV Congreso Internacional, que se celebrará en Tenerife entre el 24 y el 26 de junio de 2025.
Aimplas, instituto tecnológico del plástico, organizará los próximos 27 y 28 de mayo la V edición del Seminario Internacional sobre Legislación de Plásticos Okplast, un encuentro esencial para la industria de los plásticos que se centrará en el análisis y...
Enagás y Calcinor han firmado un acuerdo de colaboración para desarrollar conjuntamente proyectos para la gestión sostenible de CO2 desde las respectivas áreas de actividad de las dos compañías, con un potencial de reducción de emisiones de CO2...
La sexta edición de Pumps & Valves, feria internacional de sistemas de bombas, válvulas y equipamiento para procesos industriales, se presenta como un punto de encuentro especializado donde fabricantes y distribuidores podrán dar a conocer...
El objetivo del proyecto Exhaustion, impulsado por Aimplas, es reducir el tiempo de ensayo de predicción de vida a fatiga de diversos materiales plásticos mediante el desarrollo de una metodología que emplee técnicas termográficas.
El próximo 29 de abril de 2025, ISA Sección Española celebrará una reunión técnica presencial sobre la transferencia fiscal en tuberías en la ETSI Algeciras, Universidad de Cádiz, a partir de las 16:30 horas.
La compañía Pepperl+Fuchs, en colaboración con Bosch Digital Twins Industries y Syntax, mostrará en la Hannover Messe 2025 (HMI2025) una solución innovadora de mantenimiento predictivo y digitalización de plantas industriales.
La Casa Real ha confirmado que el rey Felipe VI asumirá nuevamente la presidencia del Comité de Honor del Congreso Nacional de Hidrógeno Verde, que celebrará su tercera edición en Huelva del 4 al 6 de febrero de 2026.
Comentarios