Por Elías Cedillo Hernández
CEO & director general de Grupo Be IT y Buro MC
Hablar de tecnologías de la operación actualmente, es hablar de mayor interconectividad y exposición a riesgos cibernéticos, la ciberseguridad ha dejado de ser una función técnica para convertirse en una responsabilidad estratégica de los directivos. Alineando las organizaciones con marcos internacionales como ISO/IEC 27001, ISA/IEC 62443, y construir un Sistema de Gestión de la Ciberseguridad Industrial (SGCI) es una decisión que impacta directamente en la continuidad del negocio, la resiliencia operativa y la reputación corporativa.
Según Gartner, las organizaciones que integran la ciberseguridad en sus decisiones de negocio logran acelerar el valor empresarial. PwC México destaca que más del 80% de las empresas planean aumentar su presupuesto en ciberseguridad, reconociendo su impacto financiero directo. El Banco Interamericano de Desarrollo advierte que los entornos OT (tecnologías de la operación) requieren una gestión de riesgos diferenciada, debido a su criticidad para la infraestructura física y la seguridad pública.
La complementariedad para entornos IT/OT con estándares ISO/IEC 27001 establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI), aplicable a cualquier organización. Por su parte, la serie ISA/IEC 62443 aborda los desafíos específicos de los entornos OT, como plantas industriales, sistemas SCADA, y redes de control. Ambos marcos son complementarios: ISO/IEC 27001 proporciona la estructura de gestión, controles y mejora continua; mientras que ISA/IEC 62443 adapta esos controles al entorno OT, considerando restricciones de disponibilidad, seguridad física, y compatibilidad tecnológica. Integrar ambos permite una protección holística de la infraestructura digital y física, alineando la seguridad con los objetivos del negocio.
El modelo de gestión para la ciberseguridad industrial está bajo la Guía para la construcción de un SGCI, desarrollada por el Centro de Ciberseguridad Industrial (CCI), propone un modelo estructurado en seis dominios: estrategia, gestión de riesgos, cultura organizacional, normativas técnicas, resiliencia y mejora continua. Este enfoque permite a las organizaciones industriales anticiparse a los riesgos, reducir el impacto de incidentes y garantizar la sostenibilidad operativa.
Alinear la empresa con marcos internacionales de ciberseguridad y adoptar un SGCI ofrece beneficios tangibles que trascienden el ámbito técnico. En primer lugar, permite reducir significativamente los riesgos operativos y financieros, al prevenir incidentes que podrían paralizar procesos críticos o generar sanciones regulatorias. Además, fortalece el cumplimiento normativo y contractual, lo que es clave en sectores regulados como energía, salud o transporte.
Otro beneficio relevante es la mejora de la reputación corporativa. Las organizaciones que demuestran una postura proactiva en ciberseguridad generan mayor confianza entre inversores, clientes y socios estratégicos. Asimismo, la implementación de un SGCI optimiza recursos al integrar procesos de seguridad con otros sistemas de gestión, como calidad, medio ambiente o seguridad laboral, generando sinergias operativas. Finalmente, este enfoque permite capacitar al talento interno en ciberseguridad industrial, desarrollando competencias clave para enfrentar los desafíos del entorno digital.
Para que estos beneficios se materialicen, el CEO debe asumir un rol activo y estratégico en la transformación digital segura. En primer lugar, es fundamental impulsar desde la alta dirección la adopción de marcos como ISO/IEC 27001 e ISA/IEC 62443, asegurando que la ciberseguridad esté integrada en la estrategia corporativa. En segundo lugar, se recomienda establecer un SGCI como sistema transversal, autónomo y compatible con otros sistemas de gestión, permitiendo una visión integral de los riesgos.
También es clave asignar roles y responsabilidades claras, incluyendo la creación de un Comité de Ciberseguridad y la designación de un responsable del SGCI con autoridad y recursos. Promover una cultura de seguridad es otro pilar esencial: la formación continua, la concienciación del personal y la definición de normativas específicas son acciones que fortalecen la postura defensiva de la organización. Finalmente, el CEO debe asegurar la existencia de indicadores clave de desempeño, auditorías periódicas y mecanismos de mejora continua que permitan evaluar la eficacia del SGCI y adaptarlo a los cambios del entorno.
En conclusión, la ciberseguridad ya no es solo un asunto técnico. Es una decisión de liderazgo. Alinear la organización con marcos internacionales y construir un SGCI es una inversión estratégica que protege el presente y asegura el futuro. El CEO debe ser el impulsor de esta transformación, liderando con visión, compromiso y responsabilidad.
Referencia:
El Economista: Ciberseguridad como inversión clave para la continuidad del negocio
PwC México: La ciberseguridad desde la perspectiva del CFO
Banco Interamericano de Desarrollo: Gestión de riesgos cibernéticos en entornos OT
Normas y estándares de ciberseguridad: qué son y cómo elegir el adecuado
LATAM CISO Report 2024: Lecciones de la primera línea. [PDF]
Applying ISO_IEC 27001-2 and the ISA_IEC 62443 Series.pdf [PDF]
Informe 2024 sobre el estado de la tecnología operativa y ciberseguridad. [PDF]
Spanish 
English
Post comments (0)