La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector.
Javier Ordúñez forma parte del Comité Técnico de Ciberresiliencia de ISMS Forum, donde trabajan en la generación de conocimiento práctico y en la difusión de buenas prácticas orientadas a fortalecer la capacidad de las organizaciones para anticipar, resistir y recuperarse ante incidentes, especialmente aquellos con impacto en la continuidad operativa. Su trayectoria profesional en los últimos años ha estado estrechamente vinculada a la resiliencia operativa y a la gestión de crisis, asumiendo diferentes responsabilidades en esta materia dentro de su organización
Mar Tie, por su parte, cuenta con una amplia experiencia en seguridad física y responsabilidad directa sobre la seguridad de las instalaciones y aporta una visión complementaria centrada en la protección de infraestructuras, activos críticos y entornos operativos.
Desde su experiencia, ¿por qué la ciberseguridad ha pasado de ser una cuestión estrictamente tecnológica para convertirse en una prioridad de negocio y continuidad operativa?
Porque probablemente estemos ante una de las pocas amenazas capaces de comprometer gravemente la continuidad de una organización en muy poco tiempo. A diferencia de otros riesgos, un incidente de ciberseguridad puede materializarse de forma simultánea en múltiples frentes: tecnológico, operativo, reputacional e incluso legal.
Hoy en día, un ataque puede dejar inoperativos sistemas críticos, bloquear el acceso a instalaciones, interrumpir la cadena de suministro o impedir la prestación de servicios esenciales. Esto convierte a la ciberseguridad en un riesgo existencial en determinados escenarios.
Por ello, ha dejado de ser una cuestión técnica para convertirse en una prioridad de negocio: no se trata solo de proteger sistemas, sino de garantizar que la organización pueda seguir funcionando.
Mar Tie, subdirectora de Seguridad de las Instalaciones en Mapfre.
¿Qué riesgos están viendo hoy con más frecuencia en organizaciones que dependen de infraestructuras, edificios conectados o entornos de trabajo digitalizados?
Destacamos la creciente convergencia entre entornos IT y OT, que amplía la superficie de ataque de forma significativa. Entre los riesgos más relevantes observamos: Accesos indebidos a sistemas de gestión de edificios (BMS) y a los edificios en sí. Dispositivos IoT desplegados sin controles adecuados. Ataques ransomware con impacto transversal. Accesos remotos de proveedores sin supervisión suficiente. Falta de segmentación entre redes corporativas y operacionales
A ello se suma un escenario especialmente crítico como es el riesgo de blackout, ya sea provocado por causas físicas o como consecuencia de un ciberincidente. La interrupción del suministro eléctrico o de sistemas energéticos puede paralizar completamente la operativa de edificios e infraestructuras, generando un efecto cascada sobre toda la organización.
Muchas empresas siguen asociando la ciberseguridad únicamente a sistemas informáticos o protección de datos. ¿Qué aspectos suelen quedar fuera de esa visión?
Quedan fuera, en gran medida, todos los sistemas que gestionan el entorno físico: climatización, energía, control de accesos o videovigilancia. Estos activos forman parte del ecosistema digital, pero no siempre se gestionan bajo criterios de ciberseguridad.
También se tiende a infravalorar la dependencia de terceros, la falta de visibilidad sobre activos conectados o la ausencia de integración entre seguridad física y lógica. Desde la alta dirección, es clave entender que el riesgo es transversal y afecta al conjunto de la operación, no solo a los sistemas de información.
En el ámbito de los edificios y espacios de trabajo, ¿qué papel juegan sistemas como el control de accesos, videovigilancia, BMS o IoT dentro del mapa de riesgos?
Son elementos críticos dentro del perímetro real de la organización. Estos sistemas pueden convertirse en vectores de entrada si no están adecuadamente protegidos, pero además tienen la capacidad de generar impacto directo sobre la operativa.
Por ejemplo, la manipulación de un sistema BMS puede afectar al funcionamiento del edificio; un control de accesos comprometido puede alterar la seguridad física; y dispositivos IoT vulnerables pueden facilitar accesos no autorizados a la red corporativa.
En definitiva, son activos que tradicionalmente se han gestionado desde el ámbito operativo, pero que hoy forman parte inseparable del riesgo cibernético.
¿Hasta qué punto un incidente de ciberseguridad puede comprometer la operativa física de una organización?
En muchos casos, de forma total. La interdependencia entre sistemas digitales y físicos hace que un incidente de ciberseguridad pueda traducirse directamente en una crisis operativa.
Por ejemplo, un ataque que afecte a los sistemas de control de accesos puede impedir la entrada de empleados o proveedores a una instalación crítica; o al contrario, dejar la instalación completamente accesible a cualquier. Del mismo modo, la indisponibilidad de un sistema de gestión de edificios puede comprometer la climatización, el suministro energético o incluso la seguridad del inmueble.
En sectores como el industrial, sanitario o de infraestructuras críticas, este tipo de impacto puede paralizar completamente la actividad o afectar a la prestación de servicios esenciales. Un ejemplo claro sería el de un Centro de Proceso de Datos (CPD): la interrupción o manipulación de los sistemas de climatización podría provocar un sobrecalentamiento de los equipos y comprometer su funcionamiento, afectando de forma directa a los servicios que soporta.
¿Está ganando el Facility Management peso como actor clave en la continuidad operativa?
Sí, y de forma muy tangible. El Facility Management está directamente implicado en la gestión de activos y servicios que son críticos para la continuidad de la operación: energía, accesos, seguridad física, mantenimiento o infraestructuras técnicas.
Esto se traduce en responsabilidades concretas dentro de la gestión del riesgo, como: Mantener actualizado el inventario de activos físicos y conectados y someterlos a pruebas de vulnerabilidad. Asegurar la correcta operación de sistemas críticos, especialmente todo lo relativo al entorno de comunicaciones. Coordinar la gestión de proveedores que actúan sobre estos activos. Participar en planes de continuidad y ejercicios de simulación de crisis. Detectar incidencias operativas con posible origen o impacto cibernético.
En este sentido, el FM deja de ser únicamente un área de soporte para convertirse en un actor clave en la prevención y respuesta ante incidentes.
Javier Ordúñez miembro del Comité Técnico del Cyber Resilience Centre de ISMS Forum y subdirector de Resiliencia Operativa y Gestión de Crisis en Mapfre.
¿Por qué es importante que los profesionales de FM trabajen coordinados con IT, seguridad, riesgos o compliance?
Porque los riesgos ya no están segmentados por funciones. La falta de coordinación entre áreas genera zonas grises que pueden convertirse en vulnerabilidades.
La colaboración permite tener una visión integral del riesgo, mejorar la detección y respuesta ante incidentes, alinear políticas y asegurar una gestión coherente de activos y accesos. En entornos complejos y altamente conectados, la resiliencia solo se consigue mediante una aproximación transversal.
¿Qué papel desempeñan los proveedores y terceros en este contexto?
La cadena de suministro es uno de los principales puntos críticos para las organizaciones. De hecho, de poco sirve contar con sistemas propios robustos y resilientes si los terceros que gestionan o acceden a las infraestructuras no lo son.
En el ámbito del Facility Management, esta dependencia es especialmente relevante, ya que muchos servicios esenciales están externalizados y los proveedores suelen tener acceso directo —físico o remoto— a sistemas críticos.
Por ello, la gestión del riesgo de terceros se convierte en un elemento clave, incluyendo evaluaciones de seguridad, requisitos contractuales claros, control y monitorización de accesos e integración en los planes de continuidad y respuesta. En definitiva, la resiliencia debe extenderse a toda la cadena de suministro.
¿Qué señales deberían observar los responsables de FM para detectar una exposición creciente al riesgo?
Algunos indicadores relevantes incluyen el incremento de activos conectados sin inventario actualizado. Accesos remotos sin controles robustos. Sistemas obsoletos o sin mantenimiento. Falta de segmentación de redes. Dependencia elevada de proveedores sin supervisión. Ausencia de planes de continuidad o pruebas de crisis y de vulnerabilidad. Estas señales suelen anticipar un aumento de la exposición al riesgo si no se abordan de forma proactiva.
¿Cómo imaginan la evolución de la relación entre Facility Management y ciberseguridad en los próximos años?
Estamos ante un cambio estructural. La digitalización de los edificios y la creciente interconexión de sistemas hacen que la ciberseguridad sea un componente inherente a la gestión de infraestructuras.
Además, organismos como el World Economic Forum vienen señalando de forma recurrente los ciberataques y las interrupciones de infraestructuras críticas como algunos de los principales riesgos globales. Este contexto refuerza la necesidad de abordar de forma integrada los entornos físicos y digitales.
En los próximos años veremos una mayor integración entre Facility Management, IT y seguridad, la aparición de perfiles más híbridos y un enfoque cada vez más centrado en la resiliencia operativa. La colaboración entre Facility Management y ciberseguridad no será puntual, sino estructural dentro de la gestión empresarial
