Más allá del cortafuegos: Asegurar lo que importa en GEA
7 de julio de 2025
Empresas como GEA procesan y almacenan grandes cantidades de datos sensibles. Sin embargo, los incidentes de seguridad, desde los ataques de ransomware hasta las intrusiones físicas y el espionaje industrial, están en constante expansión. La protección eficaz de los datos de sus socios comerciales por parte de GEA, así como de su propia información patentada, se está convirtiendo en una ventaja competitiva. Hablamos con Iskro Mollov, Director de Seguridad de la Información de GEA, sobre lo que se necesita para proteger una empresa global en un mundo volátil.
Iskro Mollov, Director de Seguridad de la Información, GEA (Imagen: GEA)
No solo explotamos nuestras propias plantas, sino que también construimos plantas y maquinaria para los clientes. Basándonos en nuestra exposición y experiencia, podemos ofrecer soluciones de seguridad de la información punteras y, a menudo, muy individualizadas, orientadas a los requisitos normativos en vigor.
Iskro Mollov
Director de Seguridad de la Información, GEA
¿Qué es la seguridad de la información?
Iskro Mollov (IM): En términos generales, la seguridad de la información consiste en proteger la información de la empresa, incluidos, por supuesto, los datos digitales. Puede referirse a información sensible de clientes, proveedores y socios comerciales, así como nuestra propia información, como la propiedad intelectual, nuestro posicionamiento financiero y estratégico y la información personal de nuestros empleados. Proteger esta información es, ante todo, una tarea de gobernanza integral. Su objetivo es evitar los ataques de piratas informáticos, prevenir el espionaje, garantizar el cumplimiento de la normativa y los contratos, salvaguardar los sistemas críticos y prevenir cualquier tipo de interrupción de la actividad empresarial. Nuestras partes interesadas exigen, con razón, garantías de que su información está segura, no solo como parte de las operaciones normales, sino especialmente durante circunstancias extraordinarias, como un ciberataque o una catástrofe natural.
¿Cómo gestiona GEA la seguridad de la información?
IM: En GEA, analizamos todas las áreas y funciones de forma holística para comprender los riesgos de seguridad de la empresa. Basándonos en ello, aplicamos medidas de seguridad eficaces. La seguridad es especialmente relevante para la tecnología de la información (TI), la tecnología operativa (TO), nuestros productos y procesos de desarrollo de productos, la presencia en Internet, los activos y emplazamientos físicos, los proveedores y los RR.HH. Fundamentalmente, la seguridad también conlleva un gran componente cultural: Una organización verdaderamente segura necesita inculcar una cultura en que la seguridad sea algo natural para todos los empleados, independientemente de su función, en lugar de considerarla un dominio exclusivo de los especialistas.
¿Cuáles son sus principales responsabilidades como Director de Seguridad de la Información (CISO) en GEA y las de su equipo?
IM: Tengo tres responsabilidades generales e interrelacionadas. La primera es revisar y mejorar continuamente la gobernanza de seguridad de la información en GEA. En nuestro equipo estamos impulsando múltiples medidas para lograrlo. Esto incluye la dirección de nuestros sistemas de gestión de la seguridad de la información (SGSI) en todo el mundo, la obtención de certificaciones de seguridad y la conformidad, así como supervisar la gestión de los riesgos de seguridad, la formación de empleados, la gestión de la identidad y el acceso, la respuesta a los incidentes de seguridad, la medición del rendimiento, las auditorías y las pruebas de penetración. También probamos regularmente nuestros sistemas y productos digitales mediante ataques simulados de piratas informáticos.
La segunda es garantizar la continuidad del negocio. Es decir, mantener a GEA funcionando sin problemas incluso en circunstancias extraordinarias. Esto incluye estar preparados para diferentes tipos de posibles interrupciones de nuestras operaciones, como ransomware, interrupciones de la producción y de la cadena de suministro, desastres naturales, pérdida de servicios públicos, disturbios sociales, pandemias o problemas legales.
La tercera es la gestión de crisis. Las crisis empresariales pueden adoptar muchas formas y en el pasado hubo pocas debido a la pandemia de Covid y a los conflictos internacionales (militares). Un escenario relevante para el que nos estamos preparando diligentemente es, por supuesto, un ataque de ransomware con impacto global. En última instancia, la gestión de crisis es una tarea compleja e intensa que puede implicar a muchas funciones corporativas diferentes, lo que requiere una enorme coordinación.
¿Cómo es su equipo?
IM: ¡Bastante diverso, diría yo! Nuestro equipo de Seguridad de la información, Continuidad de negocio y Gestión de crisis está compuesto por profesionales de todo el mundo y con muy diversas trayectorias. Contamos con expertos en diversos aspectos de la seguridad, como la seguridad física, informática, OT y de los productos, así como la gestión de continuidad de las actividades y la gobernanza general de seguridad y gestión de riesgos. Su formación académica también es muy heterogénea, incluyendo licenciaturas en ingeniería, informática y administración de empresas.
¿Por qué la seguridad de la información es tan crucial para el éxito empresarial hoy en día?
IM: La seguridad de la información ha pasado de tener un rol de apoyo a ser una función dedicada que proporciona una ventaja competitiva en nuestra industria. Si se hace bien, una gobernanza superior de seguridad de la información puede ser un factor decisivo para conseguir nuevos negocios. Lamentablemente, los incidentes cibernéticos van en aumento, al igual que el espionaje. Por ejemplo, nueve de cada 10 organizaciones de todo el mundo experimentaron al menos un ataque de ransomware en 2024. Y fenómenos como el ransomware como servicio solo requieren unos pocos dólares y un esfuerzo mínimo para un ataque potencialmente devastador. Casi todas las empresas de ingeniería mecánica y de procesos, así como muchas otras, están adoptando acertadamente la conectividad, la IA y las soluciones basadas en la nube para cosechar los beneficios de la digitalización. El inconveniente: Esto va acompañado de una ampliación de la superficie de ataque. Además, las cadenas de suministro mundiales se han vuelto más vulnerables y todos hemos visto cómo el entorno geopolítico se ha inestabilizado en los últimos años.
El panorama normativo también se está volviendo más complejo: Amplias normas como la Ley de ciberresiliencia y la NIS2 en la UE, se dirigen directamente a los operadores y constructores de plantas. GEA es ambas cosas. No solo explotamos nuestras propias plantas, sino que también construimos plantas y maquinaria para los clientes. Se trata de una combinación ventajosa para nosotros desde el punto de vista de la seguridad de la información: Nos proporciona una amplia experiencia del mundo real en relación con un amplio abanico de requisitos, posibilidades y retos potenciales en numerosas industrias. Basándonos en nuestra exposición y experiencia, podemos ofrecer soluciones de seguridad de la información punteras y, a menudo, muy individualizadas, orientadas a los requisitos normativos en vigor.
¿Ha notado una mayor concienciación y demanda de seguridad de la información por parte de los clientes?
IM: Absolutamente, este tema sigue creciendo en relevancia. Esto se refleja claramente en los comentarios que recibimos de los colegas de ventas de todas nuestras divisiones y regiones; todos ellos destacan la creciente importancia de la seguridad de la información en las interacciones con los clientes. Los clientes necesitan nuestra ayuda para hacer crecer sus negocios. Ofrecer una excelente gobernanza de la seguridad es clave para construir y mantener su confianza y permite a GEA ganar nuevos clientes.
¿Por qué la certificación es un tema tan importante en la seguridad de la información?
IM: Muchos clientes prefieren explícitamente hacer negocios con empresas que estén certificadas, por ejemplo, según la norma ISO/IEC 27001. Se trata de una norma internacional para los sistemas de gestión de seguridad de la información. Especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión integral para la seguridad de los datos dentro de una organización. Y para un número cada vez mayor de clientes, es un requisito previo obligatorio. Las certificaciones acreditadas son un estándar para la seguridad de la información y proporcionan a nuestros clientes una visión objetiva y transparente de los estrictos estándares de seguridad que mantenemos en GEA. Son concedidos exclusivamente por las principales instituciones de inspección, como en nuestro caso la alemana TÜV Rheinland.
En 2021, GEA consiguió la primera certificación paraguas ISO/IEC 27001. Esto se amplió año tras año a más centros y entidades jurídicas de GEA. La recertificación más reciente en 2024, esta vez según la versión más reciente de 2022 de la norma ISO/IEC 27001, cubre todas las actividades empresariales en 53 centros de GEA en todo el mundo. Se trata de un logro importante, ya que la norma ISO/IEC 27001 es la principal norma internacional para los sistemas de gestión de la seguridad de la información, respetada en todos los sectores. Nuestros centros de producción y el proceso de desarrollo de productos también están certificados de acuerdo con las normas IEC 62443 2-1 y 4-1, las principales normas de seguridad para automatización industrial y sistemas de control. También son certificaciones paraguas de grupo las que ofrecemos en más de nuestros centros año tras año.
Certificación paraguas ISO/IEC 27001
Certificación IEC 62443-4-1
Ha hecho grandes progresos en la certificación. ¿Y ahora qué?
IM: Nuestro objetivo es que todos los centros y productos relevantes de GEA cuenten con la certificación de seguridad para 2027 como parte de nuestro Programa de Seguridad Global en GEA. Además, para mejorar aún más nuestras calificaciones con las normas ESG internacionales, tenemos el objetivo de lograr un alcance de certificación que cubra a más del 75% de los empleados para finales de 2025. Otra tarea de alta prioridad es preparar a GEA para más reglamentos inminentes. Por ejemplo, la Ley de ciberresiliencia (CRA) de la UE exigirá a los fabricantes que tengan en cuenta la ciberseguridad a lo largo de todo el ciclo de vida del producto, siguiendo normas estrictas y con amplios requisitos de información.
Pero aún más importante que esos temas internacionales es apoyar a nuestros clientes y ayudarles a estar más seguros, conformes y preparados para el futuro. Así, por un lado, proporcionando productos y servicios digitales seguros de GEA y, por otro, ofreciendo productos y servicios de seguridad dedicados como parte de nuestra oferta, como GEA Asset Care.
¿Hacia dónde se dirige la seguridad de la información en GEA a largo plazo?
IM: Eso es sencillo: GEA se compromete a reforzar sin descanso su gobernanza de seguridad de la información para fomentar la innovación y confianza. Al igual que nuestra reputación de excelencia en ingeniería, queremos que nuestros altos estándares en seguridad de la información sean una razón clave por la que los clientes eligen GEA. A medida que sigamos destacando en este ámbito, podríamos aprovechar los profundos conocimientos que hemos adquirido para ayudar a otras industrias. La complejidad de nuestro negocio y el entorno legislativo con el que tratamos nos sitúan en una posición fuerte en este sentido.
