Imagina que un lunes por la mañana tu sistema de control de accesos deja de responder. El proveedor tarda horas en acusar recibo. Mientras tanto, nadie sabe si el fallo es técnico o algo peor. Esa situación, que algunos facility managers ya han vivido en sus propias instalaciones, tiene un origen muy concreto: se tomó la decisión de conectar, pero no se preguntó cómo. Digitalizar el FM no tiene vuelta atrás, y no debería tenerla. Pero hacerlo bien exige algo más que elegir el sistema con mejor demo.
Tu edificio ya vive en la red
Hace no tanto, gestionar un edificio significaba controlar lo que se podía ver y tocar: mantenimiento, limpieza, espacios, consumos. Hoy, buena parte de esa gestión pasa por sistemas que intercambian datos en tiempo real: lockers de paquetería que reportan cada movimiento al sistema central, control de accesos que vive en la nube, climatización que aprende de patrones de uso, contadores que envían lecturas sin que nadie tenga que ir a leerlos. Todo eso tiene un valor enorme para la operación, y nadie que haya trabajado con ello quiere renunciar a él. Pero cada uno de esos sistemas abre una ventana hacia la red de la empresa. Y una ventana mal cerrada es una oportunidad para quien no debería entrar.
El riesgo no está en la tecnología. Está en quién la diseña.
Aquí es donde muchos debates sobre ciberseguridad en FM pierden el foco. El problema no es conectarse: es hacerlo con un proveedor que no ha pensado en lo que pasa después. La diferencia entre un sistema seguro y uno que genera un problema real está en decisiones concretas que se toman mucho antes de la instalación: dónde se guardan los datos y bajo qué legislación, cómo se cifra cada comunicación, qué acceso real tiene el proveedor a tu red una vez que el sistema está en marcha, qué ocurre si hay una actualización de firmware y nadie avisa. Esas preguntas no son técnicas. Son preguntas de gestión, y el facility manager tiene todo el derecho —y la responsabilidad— de hacerlas.
No necesitas ser experto en tecnología para poder alinearte con el equipo de IT
Un FM no necesita entender de arquitecturas de software para tomar buenas decisiones tecnológicas. Necesita saber qué pedir. Que el proveedor tenga certificaciones como ISO 27001 es la evidencia de que existe un protocolo definido para gestionar la seguridad de tus datos si algo falla. Que opere bajo el marco regulatorio europeo —GDPR, NIS2— reduce el riesgo de que los datos de la empresa acaben bajo jurisdicciones que no controlas. Que el sistema esté diseñado para seguir funcionando aunque pierda conexión con la nube es la diferencia entre un incidente menor y un edificio bloqueado.
En entornos donde las auditorías de seguridad son exigentes —banca, salud, industria, consultoría… — hemos comprobado que la confianza con los proveedores tecnológicos no se construye en el momento de la venta. Se construye en la operación diaria, en la transparencia ante una incidencia y en la capacidad de demostrar, con documentación real, que se han hecho los deberes.
El facility manager, y el equipo de IT que lo respalda, que pregunta dónde están sus datos y cómo se protegen no están siendo excesivos. Está haciendo su trabajo.
Carmen Velasco, Head of Marketing & Growth en Columat
