Por Kathya Santoyo
En un entorno donde la convergencia entre tecnología operativa (OT) y tecnología de la información (IT) redefine el riesgo industrial, Roue se ha propuesto cerrar la brecha no solo con herramientas, sino con visión estratégica, formación de talento y cultura organizacional.
Así lo expone Rafa Moreno Noguez, CEO de la empresa, en entrevista exclusiva para Global Energy. Bajo su liderazgo, la firma lanzó el Programa Ejecutivo Internacional 2025: Liderazgo, Resiliencia y Ciberseguridad OT para la Alta Dirección, en colaboración con el Cybersecurity Hub del Tecnológico de Monterrey. El objetivo es construir comunidad, impulsar la preparación ejecutiva y fortalecer la postura de ciberseguridad en sectores críticos.
“En ROUE no solo queremos que nos vean como una empresa de servicios. Tenemos un compromiso real con el desarrollo de habilidades, desde los equipos operativos hasta la alta dirección”, explicó Moreno.
La firma, que nació hace 11 años con un enfoque en industrias estratégicas como petróleo, gas, energía renovable y manufactura, ha apostado por un modelo integral. “No se trata solo de implementar soluciones tecnológicas, sino de asegurar que estas sean adoptadas con una estrategia clara y sostenible”, detalló.
ROUE desarrolló este tipo de programas con el respaldo de fabricantes como Cisco, Checkpoint y Claroty, entre otros. “La intención es fortalecer a la industria nacional, ayudando a que las empresas mexicanas cumplan con normativas internacionales y sigan siendo parte de las cadenas de suministro globales”, señaló el directivo.
Asimismo, resaltó que su firma cuenta con dos expertos certificados por la International Society of Automation (ISA) en ciberseguridad industrial, lo cual representa un porcentaje significativo si se considera que en México existen muy pocos con dicha certificación.
Ciberseguridad industrial desde la perspectiva del usuario final
La estrategia de ROUE parte del reconocimiento de que las amenazas en ciberseguridad industrial requieren un enfoque distinto al de TI tradicional. “El reto no solo es la protección, sino la convergencia efectiva entre IT y OT. Por ello, impulsamos programas que fomentan el intercambio de conocimiento, el entendimiento mutuo y la construcción de acuerdos entre funciones clave”, afirmó.
En ese contexto, se celebró el panel titulado Ciberseguridad industrial desde la perspectiva del usuario final, última sesión del Programa Ejecutivo Internacional, esta vez celebrado en Monterrey, Nuevo León.
Moderado por Berenice Rodríguez, Gerente de Ciberseguridad para IoT Industrial en Roue Consultores, el evento contó con los testimonios de Gustavo Berber Meza, Gerente Global de Ciberseguridad OT; Luis Ricardo Ballesteros Beascoa, Gerente Senior de Digitalización e IT; Adrian Espinosa, Director de IT de North Latam; y Enrique Poceros, Chief Technology Officer en Roue Consultores.
La discusión se estructuró en cuatro bloques: el primero abordó el impacto del riesgo y cómo justificar el retorno de inversión en ciberseguridad ante el comité ejecutivo: Adrián Espinosa explicó que más allá del impacto económico, su organización mide de forma sistemática el impacto operativo, la seguridad física y el efecto ambiental. “Esos son nuestros principales indicadores para hacer conciencia en el equipo directivo de cada país y también con todos nuestros empleados”, afirmó.
Por su parte, Gustavo Berber Meza subrayó que lo esencial es traducir los riesgos técnicos en impactos tangibles: “Hay que hablar en términos de producción. ¿Cuántas toneladas vamos a perder si se detiene una planta? ¿Qué impacto tendrá eso en nuestras más de 100 marcas? Esos datos son los que permiten que la alta dirección nos apoye”.
Ricardo Ballesteros agregó una visión prospectiva: “La ciberseguridad también es un habilitador para el futuro. No puedes aspirar a una transformación digital si no tienes las bases bien establecidas”.
Lecciones aprendidas: incidentes que marcaron a las organizaciones
La conversación giró en torno a experiencias que han marcado puntos de inflexión dentro de las organizaciones. Ninguno de los panelistas reportó incidentes catastróficos, pero todos coincidieron en la necesidad urgente de estar preparados. Uno de los participantes relató un caso en el que una falla de coordinación interna generó confusión durante la visita de un cliente. Aunque no se trató de un ciberataque, la situación evidenció brechas en la relación entre IT y OT. “Fue una oportunidad para reflexionar sobre qué hubiera pasado si el incidente hubiera sido real, y cuán preparados estamos para responder”, señaló.
Otro panelista mencionó que, si bien su organización no ha enfrentado incidentes graves, analizan de manera constante casos de otras compañías para generar conciencia interna. “Cuando visitamos las plantas, usamos ejemplos reales de lo que ha ocurrido en otras industrias para abrir conversaciones y definir responsables claros del seguimiento de los controles”, indicó.
Finalmente, se reforzó la idea de que los mayores aprendizajes también surgen en la gestión cotidiana. “Hay que trabajar en la conciencia. El verdadero riesgo está en pensar que la ciberseguridad es responsabilidad de otros, cuando en realidad es un esfuerzo compartido entre todas las funciones”, concluyó uno de los líderes participantes.
Enrique Poceros compartió el caso de una empresa del sector energético que, en medio de un incidente de ciberseguridad, estuvo a punto de emitir una comunicación oficial que habría derivado en su desconexión del sistema eléctrico nacional.
“A veces el riesgo no está en actuar tarde, sino en responder de forma precipitada, sin haber evaluado a fondo las consecuencias. Es fundamental coordinarse con las áreas legales, de comunicación social y cumplimiento antes de tomar decisiones críticas”, subrayó.
En cuanto a los indicadores que más influyen en las decisiones de priorización, Ballesteros explicó que su compañía opera bajo la premisa de que ya son objetivo de ataques: “Tenemos indicadores que nos muestran eso. Hemos evolucionado desde phishing en IT hasta identificar factores de riesgo específicos en OT. No se trata solo de resolver lo inmediato, sino de balancear la inversión para cerrar brechas críticas y planificar una transición sostenida”.
Espinosa, en línea con esa postura, indicó que su enfoque principal es el tiempo perdido: “Es una correlación de múltiples variables, no solo de ciberseguridad. Cuando le hablas al negocio en términos de tiempo perdido y sus consecuencias económicas, de seguridad y medio ambiente, se genera mayor conciencia”.
Poceros aportó la experiencia desde el acompañamiento a organizaciones: “Estamos pasando de metodologías cualitativas a cuantitativas. Evaluamos el impacto y la viabilidad de cada iniciativa, para priorizar las que reduzcan el riesgo a un nivel tolerable para la organización”.
¿Quién decide qué hacer en una crisis?
Otro bloque clave de la conversación se centró en la distribución de responsabilidades entre áreas de TI, ciberseguridad y operaciones. Adrián Espinosa compartió que, en su experiencia, aún persiste una separación clara entre IT y OT, aunque el rol del CISO ha comenzado a ampliarse hacia el entorno operativo. “Estamos estandarizando los controles y las métricas. Aunque antes eran dos mundos distintos, hoy compartimos la responsabilidad de proteger”, señaló.
Por su parte, Gustavo Berber destacó la importancia de contar con figuras específicas que conecten el ámbito de OT con el de ciberseguridad corporativa, permitiendo así una gestión más integrada. “Tenemos que acercarnos a las plantas, integrarlas, y desde IT lograr la visibilidad necesaria para protegerlas de manera efectiva”, afirmó.
Ricardo Ballesteros sumó que, más allá del organigrama, el nivel de empoderamiento del CISO es fundamental para lograr una estrategia robusta. “Funciona como vigía global. Tiene bajo su encargo la estandarización de políticas, los procesos de certificación y la coordinación de respuesta ante incidentes”, concluyó.
Desde la visión de Roue Consultores, Enrique Poceros expuso cómo algunas organizaciones están moviendo al CISO para que reporte directamente al CEO o al Chief Risk Officer. “La dependencia digital de las operaciones exige que el CISO tome decisiones estratégicas para asegurar la continuidad”.
Como parte de los aprendizajes compartidos, Gustavo Berber enfatizó la necesidad de desarrollar playbooks específicos por planta y por tipo de riesgo, recomendación clave para una preparación efectiva frente a incidentes. “No se trata solo de decidir si se pagaría o no un ransomware, sino de tener claridad sobre cómo actuar: qué políticas aplicar, qué recursos activar y en qué orden hacerlo”, aconsejó.
Enrique Poceros complementó la idea subrayando que no todos los perfiles son adecuados para manejar crisis. “Es fundamental identificar a las personas más aptas. Hay quienes operan muy bien en lo cotidiano, pero bajo presión no responden igual. Ese criterio debe estar contemplado desde la planificación”, puntualizó.
Convergencia IT/OT
La mesa también abordó la convergencia entre IT y OT. Gustavo Berber compartió un caso exitoso de implementación de tecnología IoT, en donde superar la resistencia inicial del personal de planta requirió trabajo emocional, formación conjunta y apoyo de fabricantes para demostrar la viabilidad y seguridad del proyecto.
Ballesteros describió su estrategia para integrar talento OT al equipo de IT: “En lugar de esperar que el personal IT aprenda OT, traemos perfiles OT al equipo de ciberseguridad. Tienen la credibilidad, el idioma y las cicatrices necesarias para ser puentes efectivos”.
Los panelistas coincidieron en que el rol de ciberseguridad debe evolucionar de ser un ente restrictivo a uno facilitador. “Si lo único que haces es decir no, matas al negocio. Hay que ser empáticos y entender el impacto”, afirmó Espinosa.
Para cerrar, se les pidió a los participantes que definieran el legado que buscan dejar en sus organizaciones. Berber expresó que busca que las plantas operen con autonomía, siguiendo políticas claras sin depender del equipo de ciberseguridad. “Queremos pasar de ser policías a ser asesores”.
Adrián Espinosa destacó la importancia de construir una cultura organizacional en la que la ciberseguridad tenga el mismo nivel de prioridad que la productividad o la seguridad física. “Tiene que ser parte del ADN”, subrayó.
Poceros subrayó que el legado debe medirse por cómo responde una organización ante una crisis: “Lo que importa es cómo lo ejecutas, que lo hagas bien, que haya preparación y que eso dé tranquilidad”.
Ballesteros concluyó: “Más que un legado, lo que queremos es contribuir a la trascendencia del negocio. La tecnología es un habilitador y debemos poner el conocimiento, procesos y herramientas adecuados al servicio de esa misión”, concluyó.
