El pasado día 3 de febrero tuvimos el placer de asistir a la sesión ‘Industria 4.0., ciberseguridad y buen gobierno’, organizada por Clúster TIC Galicia y Arco Atlántico, y celebrada en el Centro GaiásTech de la Ciudad de la Cultura.
En representación de APDTIC, en el evento participó André Castelo como ponente y moderador del panel de debate ‘Compliance en ciberseguridad: responsabilidades, obligaciones legales y buen gobierno’. En la mesa le acompañaron Alejandro Alonso, consultor de ciberseguridad de NTT Data, y Berta Caro, directora de buen gobierno en Tecalis.

Una iniciativa para poner en valor la ciberseguridad
Los avances tecnológicos se suceden a un ritmo vertiginoso en el ámbito industrial. Cada vez más, las empresas disponen de múltiples dispositivos y máquinas vinculados entre sí. Asimismo, existen servidores interconectados a lo largo de todo el planeta, cuya seguridad es imprescindible garantizar. A todo esto se suma el déficit de profesionales que existe en este entorno tan técnicamente cambiante.
Hay que partir de la base de que evitar al 100 % los ciberataques es casi imposible, pero sí se puede intentar reaccionar mejor y más coordinadamente cuando se produce una brecha. En resumen, se trata de un tema de candente en la actualidad, mucho más si tenemos en cuenta el nacimiento y actual expansión de la tecnología 5G.
El panel de debate sobre compliance y ciberseguridad
El principal valor de este panel reside en la triple visión que los participantes consiguieron aportar:
- El punto de vista técnico.
- La experiencia del buen gobierno.
- Los conocimientos en el área legal y de privacidad.
Así, los distintos temas tratados se analizaron desde esa triple perspectiva. Entre otras, se abordaron cuestiones tan interesantes como las siguientes:
Los entornos IT y OT
Resulta fundamental distinguir entre los entornos IT (Tecnologías de la Información) y los entornos OT (Tecnologías de la Operación). Mientras en los primeros prima la confidencialidad por encima de cualquier otra cosa, en los segundos se trata más de controlar la disponibilidad. La prioridad es que nadie sea capaz de entrar y alterar el proceso productivo.
Precisamente en este punto resulta crucial ir más allá de cualquier política o norma y centrarse en las soluciones, tal y como recalcó en la mesa Alejandro Alonso. No hay que olvidar que en el entorno OT el cambio ha sido abismal. Una transformación que, de hecho, ha provocado que surjan roces entre los responsables de seguridad IT (más avanzados) y responsables de seguridad OT (más estancados).
La necesidad de un cambio en la cultura empresarial
Los tres ponentes coincidieron casi al 100 % en señalar la conveniencia de cambiar la mentalidad en la industria. Una visión holística y una gestión más transversal se erigen como las dos principales metas a alcanzar en este sentido. Estas son las prioridades que desde el punto de vista de Berta Caro hay que tener presentes:
- Hacer partícipe y concienciar a todo el equipo de los propósitos, valores, riesgos y buenas prácticas implementadas.
- Crear estructuras más horizontales y colaborativas.
- Establecer un liderazgo más claro y efectivo.
- Proporcionar más formación en ciberseguridad a la plantilla.
- Aumentar los recursos tecnológicos y humanos enfocados a fortalecer este aspecto de la organización.
- Ampliar los códigos éticos internos y extenderlos a todos los miembros de la organización.
La puesta en valor de las figuras específicas en el campo de la ciberseguridad
Desde APDTIC, André Castelo quiso poner también el foco en la importancia de ciertas figuras específicas que se han creado y funcionan ya en el campo de la ciberseguridad. Hablamos, concretamente, de:
- El responsable de seguridad.
- El delegado de protección de datos.
Lo idóneo es que ambos perfiles estén presentes y se coordinen, sobre todo en entornos donde se traten gran cantidad de datos personales. No obstante, aún hay muchas empresas que no cuentan con estas dos figuras tan fundamentales.
Un repaso a la normativa vigente
Queda claro que se está trabajando para aumentar la regulación en ciberseguridad, tanto en el ámbito privado como en el público. Estos son algunos ejemplos, sobre los que todavía hay margen de mejora:
- Esquema Nacional de Seguridad: hay que esperar para comprobar si se adapta un poco mejor a la realidad que vivimos en la actualidad. Y, aparte, habrá que conseguir asegurar su cumplimiento, por parte de las empresas pero también de la Administración Pública.
- La Directiva NIS y la Directiva NIS 2: entre otras cuestiones, regulan las funciones del responsable de seguridad.
- La serie ISO 27000: estándares que garantizan una serie de buenas prácticas en relación con los sistemas de gestión de seguridad de la información.
- RGPD (Reglamento General de Datos): el reglamento europeo que amplía la protección de los datos personales que proporcionaba en nuestro país la LOPD (Ley Orgánica de Protección de Datos).
En definitiva, la jornada fue de gran interés y utilidad para intercambiar diferentes puntos de vista. Sin duda, la opinión más extendida entre ponentes y asistentes es que la normativa en ciberseguridad va siempre por detrás de los avances tecnológicos. Por eso, es especialmente importante hacer un esfuerzo enfocado a entender bien todos los riesgos asociados y generar normas más ágiles y eficaces.
Si te interesa la ciberseguridad y quieres saber más sobre este tema y conocer más detalles de la sesión, te animamos a visualizarla al completo aquí.