Con el fin de impulsar la mejora en la ciberseguridad industrial y reconocer el esfuerzo de aquellos profesionales involucrados en esta disciplina, el CCI ha ofrecido este concurso a sus miembros, con el objetivo de motivar e incentivar el aprendizaje premiando al estudiante o al profesional por sus conocimiento y habilidades para mejorar la seguridad y reducir el riesgo de las tecnologías industriales.

LOS PREMIADOS

Ganadores por puestos:

• PRIMER PUESTO: Raúl Renales Agüero – Propuesta individual «Infraestructura Critica del Ministerio de Defensa».
• SEGUNDO PUESTO: Víctor Bello Cuevas y Alicia Gutiérrez Morán – Propuesta conjunta «Botellas Jartu».
• TERCER PUESTO: Oscar Castilla Gómez y Francisco Javier Pérez Cabello – Propuesta conjunta «Sol & Pulpa» Apoyados por Adrián Zafra (Mentor Academia).
• CUARTO PUESTO: Luis Medina – Propuesta individual «Planta de Envasado Aceite Comestible; Despacho – FRIJOLCOSTA».
• QUINTO PUESTO: Guillermo Hinestrosa Navarro – Propuesta Individual «Fábrica de cerveza artesana» Apoyado por Adrián Zafra (Mentor Academia).
• SEXTO PUESTO: Valentín Santos y Juan Fornis  – Propuesta conjunto «BananaArchitecture».
• SEPTIMO PUESTO: Francisco Daniel Ortiz Buttazzoni– Propuesta individual «Distribución Eléctrica Provincial».

LOS PREMIOS

Para los ganadores:

• • Publicación de sus escenarios en la web y medios de comunicación del Centro de Ciberseguridad Industrial.
  • Diploma de ganador indicando el puesto obtenido.
  • El concursante individual o uno de los miembros del equipo que obtenga el primer puesto obtiene una plaza en el máster profesional de ciberseguridad industrial y el resto del equipo una plaza en un taller de la Escuela del Centro de Ciberseguridad Industrial.
  • El concursante individual o los miembros del equipo que obtenga el segundo puesto obtiene una plaza en el curso multidisciplinar de ciberseguridad industrial de la Escuela del Centro de Ciberseguridad Industrial.
  • El concursante individual o los miembros del equipo que obtenga el tercer puesto obtienen una plaza en un taller de la Escuela del Centro de Ciberseguridad Industrial.

Para los profesores mentores de cada participante ganador:

• • Diploma de participación.
  • Reconocimiento en la publicación de los escenarios.

Para los 10 finalistas no ganadores:

• • Diploma de finalista.

Para los profesores mentores de los 10 finalistas no ganadores:

• • Diploma de participación.

En esta edición han participado:

• PROFESIONALES  (Cualquier ámbito – miembros CCI)
• ESTUDIANTES  (Grado universitario o FP)

*Cada PROPUESTA podía ser presentada por un participante individual o por un grupo participante, (Máximo 3 participantes)

CRONOGRAMA GENERAL DEL CONCURSO

¿Te gustaría ser miembro del Centro de Ciberseguridad Industrial? Conoce nuestras membresías:

Ecosistema para avanzar juntos en Ciberseguridad Industrial

Networking | Conocimiento | Experiencias

Cuantas veces hemos escuchado en planta “eso es cosa de IT” o “mientras la planta funcione y la producción no pare, todo está bien”. Asumimos la suposición peligrosa de que estamos seguros.

El problema no empieza el día del ataque sino antes, cuando no sabemos realmente donde somos vulnerables.

En un incidente industrial real, no se trata solo de cuantas herramientas de ciberseguridad industrial específicas tienes desplegadas en planta.

O si tienes IDS, IPS, Agentes EDR OT o firewalls desplegados segmentando la red industrial, si no que se trata también de, si sabes cuál o cuáles son tus procesos críticos de planta y cuál se detendrá primero si algo falla.

¿Tienes este dominio de tu planta industrial?

• • Visibilidad: Conoces todos tus activos industriales, has identificado los activos críticos de tu organización y las dependencias reales entre estos.
  • Prioridades: Cuál de tus líneas o sistemas no puede parar ni 5 minutos.
  • Coordinación: Sabes a quién acudir si detectas un incidente.
  • Decisión: Estás preparado para aislar un sistema, aunque implique la perdida temporal de producción.

En OT, no podemos solo enfocarnos en el cumplimiento normativo.

Necesitamos tener claro cuáles son los puntos débiles, qué sistemas están conectados a más cosas de las que creemos, que proveedor externo podría convertirse en un vector de entrada y qué podemos hacer para mejorar nuestra postura de ciberseguridad.

Porque una vez llega un incidente real, ya no hay tiempo para mapear dependencias ni debatir prioridades o responsabilidades, solo tendremos margen para tomar decisiones. Sin embargo, sé que muchas organizaciones deciden operar así cada día.

La resiliencia operativa, de la que tanto se habla últimamente, no empieza en la respuesta al incidente si no mucho antes

 Como conseguimos identificar las debilidades y saber dónde somos más frágiles antes de que alguien lo descubra por nosotros.

Con MACIN, podemos obtener una visión de nuestra resiliencia operativa, qué prácticas están sólidas, en dónde tenemos vulnerabilidades organizativas o técnicas y qué debemos reforzar primero según nuestros resultados para evitar que un incidente acabe impactándonos.

Creo que podemos resumirlo bastante, si no sabes dónde estás débil o cuáles son esas debilidades, no estás preparado y en OT, la improvisación hace que adquiramos una deuda técnica que tarde o temprano acaba pagándose con producción.

Juli Lizcano

Consultora senior de ciberseguridad OT / ICS / IoT

 – –

Más información sobre la Plataforma MACIN aquí

Históricamente, la auditoría clásica se ha limitado a certificar el cumplimiento de la organización con relación a alguna normativa o Regulación, un mero trámite que se resume en la frase: «Hay que conseguir que certifiquen que cumplimos». Sin embargo, la auditoría moderna de ciberseguridad industrial ha evolucionado para ir mucho más allá de la simple certificación.

El enfoque estratégico de la Auditoría actual

Hoy en día, el auditor no solo revisa normas, sino que analiza un flujo conceptual enfocado en la sostenibilidad del proceso, con las siguientes fases:

1. Revisa y justifica el Mapa de Riesgos de la organización.
2. Analiza los controles mitigatorios asignados a ese Mapa, apoyándose en estándares como ISO 62443, NIST o SGCI.
3. Evalúa la implantación y el funcionamiento real y efectivo de dichos controles.
4. Emite un Informe de Auditoría que identifica las causas raíz de las debilidades y deficiencias observadas, para no quedarse solo en el síntoma.

En definitiva, este proceso se traduce en una evaluación de la Madurez. El objetivo último es alcanzar el nivel «Optimizado», el único que permite garantizar la sostenibilidad real de la organización a largo plazo.

Para realizar esta evaluación de madurez, tanto en tiempo de auditoría como de forma preventiva, nos apoyamos en herramientas potentes como MACIN. 

Esta aplicación, ofrecida y desarrollada por el CCI, revisa la estructura organizativa, el esquema de roles, responsabilidades y capacidades de actuación, analizando en detalle:

• 10 dominios y 45 objetivos lógicos de ciberseguridad.
• 175 prácticas evaluadas desde 4 dimensiones clave: Procesos, Tecnología, Personas y Resultados.
• 5 niveles de madurez: Inicial (1), Repetible (2), Definido (3), Gestionado (4) y Optimizado (5).

Valor para la Alta Dirección

El uso de la herramienta MACIN ofrece como resultado un Nivel de Madurez, provisional, que el auditor se encarga de confirmar con evidencias.

Resulta una herramienta muy valiosa, tanto para el responsable de una instalación industrial como para el auditor de sistemas de control industrial. Permite a ambos obtener una visión estratégica basada en datos verificables.

Con la ayuda de MACIN, el Informe de Auditoría tiene dos partes bien documentadas: por un lado, se detallan los Hechos Significativos (hallazgos y debilidades operativas) y, por otro, se indica de forma justificada el Nivel de Madurez a la Alta Dirección, proporcionando una visión estratégica clara sobre las barreras que deben superar para lograr una ciberseguridad industrial resiliente y sostenible.

Erik De Pablo

Experto en Auditoría de Ciberseguridad

 – –

Más información sobre la Plataforma MACIN aquí

Durante años en ciberseguridad industrial he escuchado frases como “yo creo que estamos bien”, “la auditoría salió correcta” o “tenemos muchas medidas implantadas”. Y sin embargo, cuando ocurre un incidente real, esas frases desaparecen. Porque en ese momento ya no valen las opiniones. Solo valen los datos.

Cumplir normas no significa estar preparado para un ciberincidente.

Recientemente escribí sobre algo incómodo pero necesario, cumplir normas no significa estar preparado para un ciberincidente. Cumplir ordena, ayuda y es necesario, pero prepararse es otra cosa. Prepararse es demostrar que, cuando algo falla, la organización sigue funcionando.

La auditoría es una foto, mientras que la madurez es una película

También hemos hablado de madurez organizacional. Y aquí hay otra verdad incómoda, la auditoría es una foto, mientras que la madurez es una película. Una auditoría puede decirte cómo estabas ese día. La madurez te dice cómo evolucionas, cómo reaccionas y cómo sobrevives cuando el contexto cambia.

Tener un procedimiento no significa saber ejecutarlo bajo presión

Y luego está el checklist. Todos necesitamos checklists, son útiles y necesarios, pero tener algo en un checklist no significa tener capacidad real, tener un procedimiento no significa saber ejecutarlo bajo presión, tampoco tener tecnología significa saber usarla en un incidente real.

El ICSO no debería llevar opiniones a la dirección, debería llevar evidencias

Aquí es donde el rol del ICSO cambia. Ya no es solo alguien que explica ciberseguridad, es alguien que convierte la seguridad en medible. El ICSO no debería llevar opiniones a la dirección, debería llevar evidencias, tendencias y métricas de preparación, en definitiva, datos que permitan decidir.

Porque la conversación correcta no es “¿tenemos esto implantado?”. La conversación correcta es “¿qué pasaría si mañana ocurre este escenario?”. Y la siguiente pregunta aún más importante: “¿tenemos capacidad real para responder?”.

Modelos de madurez y plataformas como MACIN empiezan a tener sentido

Aquí es donde modelos de madurez y plataformas como MACIN empiezan a tener sentido. No para poner etiquetas ni para tener rankings, sino para entender de verdad dónde estamos, qué brechas existen y qué impacto tienen sobre la resiliencia real del negocio.

El futuro de la ciberseguridad industrial no busca tener más y mejores controles. Necesita tener más claridad, más evidencia y mejor capacidad demostrable. Va de poder mirar al Consejo y hablar en términos de preparación real, no de implantación teórica.

Porque al final, en industria, la ciberseguridad no es una opinión, es una capacidad. Y las capacidades, igual que la seguridad física o la continuidad operativa, se demuestran con datos.

José Valiente

Director del CCI

 – –

Más información sobre la Plataforma MACIN aquí

En ciberseguridad, demostrar cumplimiento no es suficiente.

Políticas, procedimientos, controles y auditorías superadas aportan orden y una sensación legítima de tranquilidad a la organización y a su dirección. Sin embargo, la experiencia demuestra que el verdadero valor no aparece cuando todo funciona, sino cuando algo falla y hay que decidir. Y esos momentos de verdad no empiezan únicamente cuando nos enfrentamos al incidente, sino mucho antes, cuando definimos prioridades, aceptamos limitaciones y decidimos dónde poner el foco de la preparación, especialmente en entornos con recursos escasos y contextos complejos como los industriales y las infraestructuras críticas que sostienen nuestra sociedad en un panorama geopolítico cada vez más adverso.

A lo largo de los años he visto organizaciones con altos niveles de cumplimiento que, ante decisiones de qué priorizar para prepararse adecuadamente o frente a un incidente real, dudan, reaccionan tarde o toman decisiones contradictorias. No suele ser un problema tecnológico. En la mayoría de los casos, el problema es que no se habían madurado previamente ciertas decisiones clave: dónde poner el foco, qué es realmente crítico, así como cómo y quién debe decidir cuando los recursos no alcanzan y que por más que deseemos tener las mejores tecnologías y procesos tal vez nuestro negocio, en su estado de madurez actual, no puede permitírselas y requiere priorizar inteligentemente.

Los marcos y normas ayudan a estructurar la seguridad, a definir procesos y a establecer mínimos razonables.

Sin embargo, podemos caer en el “cumpli-miento”, donde consideramos que porque cumplimos ya estamos preparados y aunque vemos que no estamos bien alineados con la realidad de la organización, se mantiene ya que con ello se pueden pasar las auditorías. Pero debemos recordar que ninguna norma decide por una organización cuando un incidente impacta directamente en la operación, en los usuarios o en la reputación.

En ese momento, las preguntas dejan de ser normativas y pasan a ser profundamente estratégicas: ¿qué proceso se debe proteger primero?, ¿qué personas deben liderar la respuesta?, ¿qué tecnología se prioriza?, ¿qué activos de información no deberían verse comprometidos bajo ningún escenario?

Es claro que debemos priorizar la vida y salud de nuestros colaboradores y usuarios, el medio ambiente, la seguridad de los equipos y medios de producción y el servicio esencial que nuestra organización presta a la sociedad y por esto debemos analizar la triada de la seguridad (confidencialidad, integridad y disponibilidad), específicamente para nuestro entorno y nuestros activos priorizando adecuadamente las acciones de protección y respuesta. Porque en estos entornos, una mala decisión en ciberseguridad puede rápidamente dejar de ser un problema de información para convertirse en un impacto físico, ambiental o social.

La madurez no consiste en tener todas las respuestas, sino en haber construido previamente los criterios para decidir.

Prepararse no es solo desplegar controles técnicos.

Es tomar decisiones conscientes sobre procesos, personas y tecnología, entendiendo que no todo puede recibir el mismo nivel de atención.

Desde la experiencia, las organizaciones más maduras son aquellas que han identificado con claridad sus activos de información críticos, aquellos cuya pérdida, indisponibilidad o alteración tendría un impacto real en el negocio, en los usuarios o incluso en la sociedad. A partir de ahí, alinean procesos, capacitan a las personas adecuadas y seleccionan la tecnología que realmente aporta valor a esa protección.

Este ejercicio de foco no es cómodo, porque obliga a priorizar y, por tanto, a renunciar incluso a modas que el mercado puede estar planteando como lo adecuado. Pero es precisamente ahí donde empieza la preparación real. Además, la madurez no está solo en priorizar una vez, sino en revisar y madurar esas decisiones con el tiempo. El contexto cambia, los servicios evolucionan y los riesgos también.

Madurar el foco de la preparación implica preguntarse periódicamente si los esfuerzos siguen alineados con lo que realmente importa. Si los procesos de respuesta reflejan la operación real o un escenario ideal. Si las personas clave están formadas y empoderadas para decidir, o si toda decisión termina escalando demasiado tarde. Y si la tecnología está al servicio de la estrategia o se ha convertido en un fin en sí misma.

Cuando estas preguntas no se hacen anticipadamente aparecen en el peor momento posible donde las decisiones tienen que ser tan rápidas que no permiten pensarlas adecuadamente.

Este enfoque cobra aún más relevancia cuando hablamos de infraestructuras críticas y servicios esenciales. En estos entornos, las decisiones no afectan únicamente a una organización, sino a personas, comunidades y a la confianza de la sociedad en servicios básicos como energía, transporte, salud, agua, telecomunicaciones, servicios financieros, entre otros, donde no pueden abordarse únicamente desde una lógica interna. La preparación y la toma de decisiones deben considerar el impacto en los usuarios, la continuidad del servicio y la responsabilidad que implica operar sistemas de los que depende la comunidad, por lo que la madurez es también una responsabilidad social que debemos abrazar más allá del cumplimiento.

En la práctica, los recursos nunca son infinitos y casi nunca son suficientes. Equipos pequeños, presupuestos ajustados, dependencia de proveedores, tecnología heredada. Esta no es una situación excepcional, es el escenario habitual.

La diferencia entre organizaciones maduras y reactivas no está en disponer de más recursos, sino en haber decidido de antemano cómo asignarlos.

Qué procesos se protegen primero, qué activos de información no son negociables y qué servicios deben mantenerse incluso en escenarios degradados. Decidir qué no se puede proteger al mismo nivel es incómodo, pero no hacerlo es irresponsable y por esto se requiere un enfoque basado en riesgo que permita esta priorización.

Cuando un incidente ocurre, el margen para reflexionar es mínimo. En ese momento, las organizaciones maduras no improvisan. Ejecutan decisiones previamente pensadas, acordadas y entrenadas.

Saben quién decide, qué y cómo se comunica, con qué criterios y con qué objetivos, por ejemplo, proteger a las personas, asegurar los procesos críticos, salvaguardar la información esencial, minimizar el impacto y mantener los servicios que la sociedad espera que sigan funcionando.

Evaluar nuestro estado de madurez con herramientas como MACIN (Evaluación de Madurez en la Ciberseguridad Industrial) nos ayuda a verificar que nos hemos hecho las preguntas correctas, que vamos en el camino adecuado y a definir el nivel de madurez objetivo en cada uno de los controles según las prioridades específicas para el entorno de la organización, su nivel de riesgo y su impacto en los públicos de interés. 

En conclusión, las normas establecen un punto de partida, y nos recuerdan lo que debemos hacer, la organización debe definir el foco, las prioridades y el nivel de madurez esperado, ya que la madurez se demuestra cuando hay que decidir, antes y durante el incidente, especialmente cuando están en juego nuestros entornos industriales, servicios esenciales y la confianza de la sociedad. Decidir con criterio es lo que realmente protege a las organizaciones, a los usuarios y a los servicios de los que todos dependemos.

Desde la experiencia, dejo algunas prácticas que ayudan a mejorar la calidad de estas decisiones y a madurar la preparación:

• Involucrar a la dirección y la operación en la definición de prioridades y nivel de madurez esperado es fundamental, especialmente cuando están en juego la producción y servicios esenciales. La seguridad no puede decidirse solo desde lo técnico.
• Revisar periódicamente los activos de información críticos y su relación con los procesos reales para evitar proteger “lo que siempre se ha protegido” por inercia.
• Entrenar y simular escenarios realistas, incluyendo fallos de personas, procesos y tecnología, permite detectar decisiones que aún no están tomadas.
• Y, sobre todo, asumir que decidir en ciberseguridad industrial implica responsabilidad. Decidir es proteger a otros, no solo a la organización.

Diego Andrés Zuluaga Urrea

Coordinador CCI en Colombia

 – –

Más información sobre la Plataforma MACIN aquí

Cómo MACIN convierte la ciberseguridad industrial en un apoyo estratégico (con dos casos prácticos)

En ciberseguridad industrial (OT/ICS) hay una trampa muy común: confundir “tener controles” con “tener capacidad”. Muchas organizaciones pueden “pasar” un checklist porque existe un procedimiento, un SOC, una herramienta de tickets o una política de parches. Pero cuando llega un incidente real —con presión por continuidad, sistemas legacy, terceros conectados y ventanas de parada limitadas— aparece la pregunta que de verdad importa:

¿Esto funciona de forma consistente en planta… o solo existe en papel?

Ahí es donde MACIN aporta valor: te ayuda a pasar de una verificación binaria (“sí/no”) a una medición de madurez que refleja si la organización tiene capacidad real, repetible y mejorable. Y eso, para Dirección, tiene un efecto inmediato: priorizar inversiones, justificar decisiones y demostrar avance con evidencia, no con percepciones.

¿Por qué en OT el checklist se queda corto?

Un checklist es útil para arrancar, pero suele fallar en tres puntos clave:

1. Mide existencia, no eficacia.
   “Hay un procedimiento” no significa que se ejecute bien bajo presión, ni que esté adaptado a OT.
2. No captura interdependencias.
   En industrial, la capacidad depende de procesos + personas + tecnología + resultados. Si una pata falla, el control “no aguanta”.
3. No prioriza por impacto operativo.
   Todo parece urgente; sin madurez, es fácil invertir donde más “se ve”, no donde más riesgo se reduce.

MACIN ha sido construida por profesionales con amplia experiencia y trabajo de campo para aportar valor y poderlo convertir en palanca de reporte a la Dirección.

• MACIN no es un informe más; es un instrumento para gobernar un programa OT. Te permite:
  • obtener una línea base clara (por dominios y prácticas mapeados contra marcos de referencia),
  • identificar brechas de “papel vs operación”,
  • construir un roadmap priorizado (qué hacer primero y por qué),
  • alinear OT, IT y dirección con un lenguaje común,
  • y repetir la medición para demostrar mejora continua.

Puesto en términos de Dirección: reduce incertidumbre, mejora la toma de decisiones y ayuda a proteger continuidad, seguridad y producción con acciones trazables.

Y como la mejor forma de poderlo comprobar es con ejemplos o casos y uso, vamos a particularizar su uso en dos contextos:

Caso 1: Gestión de incidentes OT

Lo que “ve” un checklist vs lo que “ve” la madurez (MACIN – Dominio 8)

Escenario realista: un proveedor intenta conectarse fuera de ventana a una estación de ingeniería. El SOC detecta actividad anómala. Operación pide prudencia para no afectar producción.

Visión checklist (binaria):

• “Existe procedimiento de respuesta a incidentes”
• “Hay SOC/CSIRT y escalado”
• “Se registran incidentes en tickets”
• “Se hizo algún simulacro”

Conclusión checklist: “Gestión de incidentes implementada”.

Análisis bajo la lógica de revisión de madurez MACIN (capacidad real):

MACIN baja al detalle de las capacidades que deben funcionar de punta a punta:

• Detección y triaje con lógica OT: clasificación, severidad e interpretación con contexto (8.1.1 – 8.1.3).
• Decisión y escalado sin improvisación: cuándo un evento pasa a incidente, a quién se escala y cómo se opera el ciclo (8.2.1 – 8.2.5).
• Respuesta ejecutable en planta: roles entrenados, playbooks OT, actividades por fase y criterios de continuidad (8.3.1 – 8.3.4).
• Comunicación y coordinación: partes interesadas, notificación y coordinación con terceros preservando evidencias (8.4.1 – 8.4.3).
• Lecciones aprendidas: análisis proporcional, mejoras que se cierran y ejercicios que validan eficacia (8.5.1 – 8.5.3).

Diferencia clave: el checklist demuestra que “existe un plan”; la madurez evidencia si ese plan se puede ejecutar y si mejora con cada ciclo.

Caso 2 : Gestión de vulnerabilidades en OT

Del “tenemos política de parches” a “sabemos qué tratar, cuándo y cómo” (MACIN – Dominio 3)

Escenario realista: se publica una vulnerabilidad crítica que afecta a un software de HMI/engineering. En OT no se puede escanear agresivamente, el parche requiere parada y el proveedor tarda en validar. Mientras tanto, hay riesgo.

Visión checklist (binaria)

• “Tenemos política de parches”
• “Hacemos escaneos periódicos”
• “Tenemos un registro de vulnerabilidades”
• “Aplicamos parches cuando se puede”

Conclusión checklist: “Gestión de vulnerabilidades implementada”.

Análisis bajo la lógica de revisión de madurez MACIN (capacidad real):

MACIN convierte esa situación en un conjunto de prácticas que, si maduran, evitan el “caos” de cada CVE:

1) Gobernar el proceso (no solo reaccionar)

• Definir objetivos, criterios, recursos; documentar/aprobar el proceso; comunicar y revisar necesidades (3.1.1 – 3.1.4).
  Pregunta clave: ¿tenemos reglas claras para OT (qué se puede escanear, qué no, y cómo se decide)?

2) Identificar, evaluar y priorizar con contexto OT

• Fuentes de información, recolección continua, pruebas manuales/automatizadas seguras, interpretación, evaluaciones y priorización/comunicación (3.2.1 – 3.2.6).
  Pregunta clave: ¿priorizamos por “CVSS alto” o por impacto real en el proceso (exposición, criticidad del activo, compensaciones disponibles, ventana de parada)?

3) Tratar la vulnerabilidad sin romper operación

• Analizar opciones e impacto operativo, planes de tratamiento, ejecución de mitigaciones, registro de excepciones y comunicación del riesgo residual (3.3.1 – 3.3.5).
  Ejemplo de madurez: si no se puede parchear ya, se define tratamiento: segmentación temporal, control estricto de acceso remoto, hardening, reglas específicas, monitorización, y una excepción formal con caducidad y plan.

4) Medir efectividad y mejorar

• Monitorizar cumplimiento/efectividad, comunicar estado y establecer planes de mejora (3.4.1 – 3.4.3).
  Resultado de negocio: menos “sustos” repetidos, menos deuda técnica invisible y decisiones trazables (por qué se acepta, mitiga o parchea).

Diferencia clave: el checklist te dice “hay política”; la madurez te dice si existe una capacidad sostenida para gestionar vulnerabilidades OT con realismo operativo, decisiones documentadas y resultados medibles.

Estos dos casos pueden servir de ejemplo para poder evidenciar las diferentes visiones que proporcionan la revisión basada en Checklist y la evaluación de madurez. En esta nueva actualización de MACIN además, se han establecido criterios de madurez para cuatro pilares esenciales que deben ser coherentes y consistentes:

1) Procesos: convertir intención en operación repetible.

Qué aporta: el eje de Procesos te dice si la organización tiene una forma estandarizada y gobernada de hacer las cosas (definir, ejecutar, revisar, mejorar).
En OT esto es crítico porque, si el proceso es débil, todo se vuelve “ad-hoc” cuando hay urgencias (paradas, incidencias, cambios, soporte de proveedores).

Qué “desenmascara” frente al checklist: que “exista un procedimiento” no implica que haya criterios claros, fases, roles, escalado, revisión y mejora. Un proceso maduro se nota porque reduce improvisación y acelera decisiones sin romper continuidad.

2) Personas: pasar de héroes a capacidades institucionales

Qué aporta: el eje de Personas mide si hay roles definidos, competencias, formación y entrenamiento suficiente para ejecutar el proceso (no solo entenderlo).
En ciberseguridad industrial, la brecha habitual no es “falta de gente”, sino falta de entrenamiento cruzado (SOC–OT–operación–mantenimiento) y dependencia de individuos clave.

Qué “desenmascara” frente al checklist: un organigrama no equivale a una capacidad. La madurez en personas se ve cuando la organización responde bien incluso si “no está la persona X” y cuando se entrena para escenarios OT reales.

3) Tecnologías/Herramientas: tener medios útiles, integrados y mantenidos

Qué aporta: el eje de Tecnologías pone foco en si las herramientas existen, están bien configuradas, integradas y se mantienen vivas (casos de uso, reglas, cobertura, automatización).
En OT es frecuente tener herramientas “heredadas” o “infrautilizadas”, o usar soluciones IT sin adaptar a restricciones OT.

Qué “desenmascara” frente al checklist: comprar una herramienta no crea capacidad si no hay tuning, integración, procedimientos operativos y una estrategia de despliegue por criticidad.

4) Resultados: demostrar efectividad (y poder mejorar)

Qué aporta: el eje de Resultados es el que más rompe con el checklist: obliga a mirar qué se consigue y cómo se demuestra (métricas, trazabilidad, cobertura, lecciones aprendidas, reducción de repetición).
Es el “cierre del círculo”: sin resultados, no hay retroalimentación real ni priorización basada en evidencia.

Qué “desenmascara” frente al checklist: puedes “cumplir” y aun así no saber si detectas a tiempo, si tu respuesta reduce impacto o si repites incidentes por las mismas causas.

Por tanto, como hemos podido ver a lo largo de los ejemplos y del análisis de los pilares en los que se basa MACIN, podemos obtener como conclusiones las siguientes:

• MACIN te ayuda a saber dónde estás de verdad (no dónde crees estar).
• Te ayuda a decidir qué hacer primero (priorización con sentido operativo).
• Te ayuda a demostrar progreso (evidencia y mejora continua).

Te ayuda a alinear equipos (OT/IT/dirección, con un marco común).

Javier Cao Avellaneda

Coordinador del Centro de Ciberseguridad Industrial

 – –

Más información sobre la Plataforma MACIN aquí

A menudo existe una confusión peligrosa de dos conceptos vitales en la gestión empresarial: pensar que el «cumplimiento normativo» (compliance) es sinónimo de «madurez organizacional».  Nada más lejos de la realidad. Creemos que porque pasamos la auditoría (cumplimiento), como si fuera la prueba definitiva de que «hemos llegado» a la excelencia, estamos listos para competir o enfrentar la Crisis (madurez).  Es un error común en muchas organizaciones.

«Aprobar una inspección no es lo mismo que tener la capacidad de evolucionar»

Podemos tener una empresa inmadura (caótica, reactiva, dependiente de héroes individuales) que, con mucho esfuerzo y estrés, logra «limpiar la casa» justo a tiempo para pasar una auditoría. Pero…  ¡Al día siguiente, el caos vuelve!

Si miramos la Gestión Empresarial como un viaje por una autopista (analogía visual que nos ilustra la imagen que acompaña este post), la diferencia se vuelve cristalina:

El cumplimiento se audita, pero la madurez se pone a prueba.

Una auditoría es como un «chequeo médico» o una revisión técnica de vehículos (VTV en Argentina, ITV en España): es binaria (blanco o negro). Revisa el pasado y el presente para confirmar que no hay errores graves y que cumplimos las normas vigentes.

La Auditoría es el control de tránsito

Actúa como el control de tránsito y tablero de control del vehículo. Es el puesto de control que verifica que cumplimos las normas para circular. Y, crucialmente, es también el tablero interno que revisa la «salud del motor» y verifica una foto estática del presente: ¿Cumplimos las reglas hoy? ¿Tenemos los recursos mínimos para operar ahora sin estrellarnos?   Verifica el CUMPLIMIENTO y el estado actual.

La Evaluación de Madurez es el GPS.

No busca culpables, busca evolución. Es como una prueba de nivel para un atleta: mide qué tan experto, cuán entrenado, sofisticado y eficiente eres. No se trata de un «Sí/No», no es binaria, sino de escalar niveles, de mejorar y de superarte a ti mismo día a día.

Es lo que nos confirma que, más allá de la velocidad a la que vayamos (determinada por la organización), estamos en el RUMBO CORRECTO. La madurez no se trata de «no tener multas», se trata de saber claramente hacia dónde vamos y tener la capacidad de adaptarnos si el camino cambia de repente. No aspiramos solo a pasar el control, aspiramos a disfrutar el viaje, mejorar y optimizar el proceso, y por supuesto llegar al destino.

¿Por qué es crítica esta diferencia?

Porque el cumplimiento ordena, pero en la Gestión de incidentes es donde la verdad sale a la luz. Muchas organizaciones sufren de «parálisis por análisis». Tienen manuales perfectos para el auditor, pero cuando ocurre un incidente real, nadie sabe qué hacer. Ahí es donde la madurez demuestra su valor: es la capacidad de decidir y actuar bajo presión. Incluso para un auditor, la evaluación de la madurez es una herramienta clave, pues revela brechas y oportunidades de mejora que el simple cumplimiento muchas veces esconde.

Al evaluar la madurez sobre sus 4 dimensiones (Personas, Procesos, Tecnología y Resultados), trazamos una hoja de ruta hacia el futuro.

No te conformes con «pasar el control». Construye la capacidad para disfrutar el viaje.

Necesitamos a ambas: Auditoria y Evaluación de Madurez. Simplemente no confundamos el «chequeo médico» con tener la condición física para correr un maratón.

¿Sienten que a veces se invierte demasiada energía en la “foto de la auditoría” y poca en la “película de la madurez”? ¿En tu organización, se enfocan más en pasar el control o en ajustar el GPS?

Gerardo Fabián González

Profesor en la Escuela Profesional de Ciberseguridad Industrial del CCI

 – –

Más información sobre la Plataforma MACIN aquí

En muchas organizaciones industriales duermen tranquilos porque cumplen con normas o marcos reconocidos como IEC 62443, C2M2 o NIST CSF. El cumplimiento es verdad que aporta orden, estructura y un lenguaje común, pero no necesariamente proporciona capacidad de respuesta cuando las cosas se tuercen.

En un ciberincidente industrial real, el problema no es que falte cumplir con uno o varios controles. El problema es la parálisis en la toma de decisiones.

La madurez no se mide cuando todo va bien. Se mide a nivel de:

– Personas: ¿saben qué responsabilidad asumir bajo presión?
– Procesos: ¿funcionan cuando el escenario no es el previsto?
– Tecnología: ¿apoya la decisión o es un obstáculo?
– Resultados: ¿reduce el impacto operativo, económico o reputacional?

La plataforma MACIN (Evaluación de Madurez en la Ciberseguridad Industrial) no pregunta “¿esto está implantado?”, plantea si estamos listos (personas, procesos y
tecnología) para responder a un incidente OT si ocurre mañana a las 3 de la madrugada.

La madurez en ciberseguridad industrial no se demuestra cuando todo está bajo control, se demuestra cuando hay que decidir, con información incompleta, presión y consecuencias reales.

Si tu organización afirma que cumple, quizá la pregunta correcta no sea qué control falta, la pregunta imprescindible será si existe capacidad real de decidir bien cuando más importa. Porque el cumplimiento se audita, pero la madurez se pone a prueba.

José Valiente
Director de CCI

Resumen 

En 2025, el Centro de Ciberseguridad Industrial (CCI) consolidó su papel como referente en seguridad OT. Con una comunidad que supera los 9.000 profesionales el CCI ha reforzado su misión: impulsar la ciberresiliencia industrial desde un enfoque técnico, estratégico y colaborativo.

Este balance resume los hitos del año y presenta la estrategia del CCI para 2026, centrada en la ciberresiliencia de la cadena de suministro industrial y en el despliegue del SG2CI como marco operativo para el rol ICSO.

Tendencias de ciberseguridad industrial en 2025

La evolución del panorama de amenazas y la presión regulatoria han marcado el año:

• Aumento del ransomware industrial y de las campañas de APTs dirigidas a infraestructuras críticas.
• Mayor impacto de marcos regulatorios como NIS2 y el Cyber Resilience Act (CRA).
• Avance real en la madurez de la seguridad OT, con más organizaciones adoptando modelos de gobierno y resiliencia.

• Crecimiento del rol ICSO como actor clave en la gestión de riesgos industriales.

Estas tendencias han impulsado la necesidad de ciberresiliencia medible, compartida y accionable.

Hitos del CCI durante 2025

1. Nuevas plataformas para la ciberresiliencia industrial

El CCI ha ampliado su ecosistema con herramientas orientadas a medir, mejorar y operacionalizar la seguridad OT:

• MACIN: nueva plataforma para evaluar la madurez y ciberresiliencia industrial.
• Evolución de RECIN y ESCIM, reforzando su capacidad de análisis, evaluación y respuesta.

2. Contenidos y conocimiento de referencia

• Consolidación del podcast CCI y de El Rincón del Compliance.
• Crecimiento del Catálogo de publicaciones técnicas, estudios sectoriales y guías prácticas.
• Mayor presencia en foros internacionales y eventos especializados.

3. Comunidad y formación

• Más de 600 alumnos en la Escuela Profesional, con más de 30 sesiones formativas.
• Expansión del Programa Academia, conectando talento joven con la industria.
• Primer desayuno de ICSOs y encuentros de alto nivel para compartir experiencias reales.

2026: el año de la ciberresiliencia de la cadena de suministro industrial

La pregunta clave que marcará el año es: ¿Cómo protegemos lo esencial cuando depende de otros?

La estrategia del CCI para 2026 se centrará en:

1. Ciberresiliencia compartida entre clientes y proveedores

Impulsar modelos colaborativos que permitan evaluar, mejorar y coordinar la seguridad en toda la cadena de suministro industrial.

2. Despliegue del SG2CI

El SG2CI será el “sistema operativo” para el ICSO, integrando:

• Gobierno
• Diseño
• Operación
• Resiliencia
• Madurez

3. Nuevos estudios y marcos prácticos

El CCI desarrollará:

• Estudios sectoriales de alto impacto.
• Escenarios de riesgo avanzados.
• Marcos prácticos para decidir mejor antes, durante y después de un incidente.

4. Más colaboración, más formación, más comunidad

• Mayor presencia internacional
• Formación continua y especializada
• Activación de la comunidad para compartir conocimiento y experiencias reales

Conclusión: la seguridad industrial requiere un esfuerzo colectivo

La ciberseguridad industrial ya no es una tarea individual, ni aislada, requiere colaboración, madurez y visión estratégica. En CCI, gracias a expertos multidisciplinares, coordinadores y colaboradores, trabajamos en recursos y espacios para el ecosistema.

En la Escuela Profesional de Ciberseguridad Industrial del CCI, entendemos que el contexto actual demanda profesionales que no solo conozcan la teoría, sino que sepan aplicarla en escenarios reales y complejos. Por ello, hemos diseñado un calendario formativo para este primer semestre que responde directamente a los desafíos más urgentes del sector.

Un entorno marcado por la regulación y la digitalización segura

El nuevo marco normativo, especialmente con la llegada de la Directiva NIS2 y la CRA, ha cambiado las reglas del juego. La ciberseguridad ya no puede gestionarse de forma aislada; ahora requiere un liderazgo claro desde la alta dirección. Por esta razón, una de nuestras prioridades este semestre es capacitar a los líderes a través de nuestro T08. Taller de implicaciones de Ciberseguridad NIS2. Este programa está diseñado para ayudar a que los directivos comprendan sus obligaciones de supervisión y cumplimiento, sin necesidad de tener un perfil técnico profundo. Se trata de integrar la cultura de seguridad en el ADN de la compañía para asegurar su sostenibilidad a largo plazo.

Además, en un momento donde la adopción de tecnologías como IIoT, Cloud Computing e IA es masiva, aprender a proteger estas herramientas desde sus etapas más tempranas es vital. Nuestro T07. Taller de Ciberseguridad en el Ciclo de Vida de un proyecto de digitalización industrial te enseñará el «cómo y el dónde» aplicar medidas eficaces desde el diseño.

Especialización por sectores críticos: agua, electricidad y ferroviario

La ciberseguridad industrial no se aplica de la misma forma en una subestación eléctrica que en una red ferroviaria. Cada sector tiene sus propios protocolos, riesgos y necesidades operativas. Este semestre, ofrecemos formación especializada que incluye:

• Sector Eléctrico (Curso C03): enfocado en la protección de sistemas SCADA y redes de transporte y distribución frente a ciberriesgos tecnológicos.
• Sector Agua (Curso C05): analizamos las claves de seguridad en proyectos de digitalización para minimizar impactos que podrían tener consecuencias desastrosas.
• Sector Ferroviario (Curso C04-1): un recorrido práctico por el ciclo de vida de la automatización ferroviaria, cubriendo desde el diagnóstico hasta la gestión de riesgos específicos.

Gestión de incidentes y análisis forense: cuando la prevención no es suficiente

Incluso con las mejores medidas, el riesgo cero no existe. La capacidad de respuesta define a las organizaciones resilientes. Este semestre reforzamos las habilidades prácticas con talleres de alta intensidad para dar respuesta profesional a los siguientes retos:

Dominar la respuesta ante ataques

Aprender a gestionar eficientemente incidentes de alto impacto es una experiencia imprescindible y nuestro T06. Taller gestión de incidentes de ciberseguridad industrial, puede ayudarte con ese objetivo mediante el análisis y estudio de ciberejercicios y situaciones reales.

El valor del análisis forense industrial

Cuando ocurre un incidente, determinar las causas es fundamental. Nuestro T05. Taller de análisis forense en sistemas de automatización proporciona las herramientas necesarias para tratar evidencias electrónicas en sistemas críticos de control industrial.

Metodología práctica de la Escuela Profesional CCI en formación en Ciberseguridad Industrial

Todas nuestras formaciones de calendario para el próximo semestre se imparten en modalidad síncrona online, lo que permite una interacción directa con expertos que viven el día a día de la industria. No son solo clases; son puntos de encuentro en grupos reducidos para fomentar el intercambio de experiencias.

Al finalizar, recibirás un certificado acreditativo de la Escuela del CCI y obtendrás credenciales profesionales que reconocen tu compromiso con la ciberseguridad industrial.

Resumen de beneficios para tu organización y tu carrera:

1. Conocimiento práctico basado en la experiencia de profesionales expertos del sector de la ciberseguridad OT.
2. Acceso a Plataformas y valiosas publicaciones desarrolladas por CCI
3. Material de apoyo exclusivo y ejercicios prácticos.

El contexto actual no espera. Las amenazas evolucionan y la normativa presiona. Es el momento de liderar el cambio en tu organización y sumar un valor diferencial a tu expertise profesional.

¿Quieres asegurar tu plaza en las ediciones de este semestre? Las plazas son muy limitadas en cada formación para asegurar la calidad de la enseñanza.

¿Quieres conocer más detalles?

Por eso, desde el Centro de Ciberseguridad Industrial (CCI), aprovechamos nuestra felicitación navideña para recordar algo esencial: la ciberseguridad industrial crece cuando lo hace su comunidad.

1. El conocimiento es el regalo que más crece cuando se comparte

La ciberseguridad industrial siempre evoluciona, siempre exige aprender y siempre nos necesita conectados. Por eso, compartir no es perder ventaja: es construirla.

Desde CCI, seguiremos impulsando espacios, recursos y plataformas donde el conocimiento se comparte: Talleres, guías, escenarios de alto impacto, comunidad de ICSOs, encuentros “La Voz de la Industria”, estudios sectoriales y, por supuesto, nuestra red de profesionales, coordinadores y expertos que hace posible que el aprendizaje siga siendo un regalo mutuo.

2. Evolucionar juntos

Cada planta, cada integrador, cada proveedor vive incidentes, dudas, decisiones y aprendizajes que pueden ayudar a otros. Lo que para una organización es un hallazgo puntual, para la comunidad puede ser una pista, una alerta o una solución.

Ese tránsito, del dato a la información, y de la información a la inteligencia, sucede sobre todo cuando se comparte. La comunidad es el motor que convierte experiencias aisladas en un mapa común de riesgos, tendencias y buenas prácticas.

3. Compartir es proteger

En otros ámbitos, compartir información puede ser opcional. En entornos OT, no.
La industria recibe ataques cuyo impacto puede ser físico: paradas de producción, daños a equipos, afectación a servicios esenciales y riesgos para las personas. Cuando alguien descubre una vulnerabilidad, una mala práctica o un incidente, que ese aprendizaje se comparta es tan importante como aplicar un parche o mejorar la configuración de un firewall.

El conocimiento compartido se convierte en una capa de protección que ninguna tecnología ofrece por sí sola.

4. Colaborar reduce la incertidumbre y amplía capacidades

Los equipos de ciberseguridad industrial no son ilimitados. Tampoco lo es su tiempo o su capacidad de análisis. A medida que OT se vuelve más compleja y la convergencia IT/OT se acelera, ninguna organización domina todas las facetas: normativas, arquitecturas, amenazas, automatización, formación, respuesta a incidentes, gestión de proveedores…

Compartir conocimiento permite:

• • Reducir tiempos de investigación.
  • Tomar mejores decisiones estratégicas.
  • Acelerar la madurez de toda la industria.
  • Elevar la capacidad de detectar y responder.

En definitiva, colaborar no es una opción defensiva; es el multiplicador de la competitividad y la resiliencia.

5. Ser comunidad es el mayor activo de la ciberseguridad industrial

Nuestra felicitación navideña muestra el recorrido que hace un profesional del sector cuando comparte conocimiento, evoluciona, colabora y se siente parte de algo más grande que su organización.

En un entorno donde cada eslabón importa, la comunidad es el factor que convierte a las ingenierías, integradores, fabricantes y operadores en una red capaz de resistir y avanzar.

En estas fiestas, celebremos lo que nos une: el espíritu de comunidad

Ya está disponible nuestro Calendario de Eventos CCI 2026, un recorrido internacional por los principales ecosistemas industriales donde la ciberseguridad es estratégica. Este año reforzamos nuestra presencia en Latinoamérica, Europa y varias regiones clave de España.

Nuestra misión sigue intacta: fortalecer sinergias, compartir experiencias reales y crear comunidad en torno a la protección de los entornos industriales. Los eventos La Voz de la Industria y nuestras congresos CCICON LATAM y CCICON EUROPE serán, una vez más, puntos de encuentro imprescindibles para CISOs, responsables OT, fabricantes, integradores y consultores especializados.

A continuación, os compartimos las fechas oficiales:

¿Por qué asistir?

Cada uno de estos eventos está diseñado para ofrecer:

• Casos reales y aprendizajes prácticos directamente desde la industria.

• Visión actualizada sobre normativas, buenas prácticas y tendencias (ISA/IEC 62443, IIoT,  ciberseguridad con IA, gestión de riesgos, seguridad OT, protección de la cadena de suministro, entre otros).

• Espacios de networking para conectar con profesionales, organizaciones y líderes del sector.

• Novedades tecnológicas de la mano de fabricantes y proveedores especializados.

 Te esperamos en 2026

Te invitamos a reservar las fechas y acompañarnos en esta ruta internacional de ciberseguridad industrial. Cada evento es una oportunidad única para aprender, compartir y avanzar en la protección de nuestras industrias.

Consulta toda la información actualizada:

Eventos