Gestionar un complejo tecnológico de 7.500 m² con sedes en tres continentes obliga a replantear qué es una infraestructura crítica. Desde EDUCA EDTECH Group, con más de 120.000 estudiantes activos y operaciones 24/7, hemos aprendido que la continuidad operativa de un edificio ya no depende solo de sus sistemas físicos. Depende de su perímetro digital.
Un edificio es también una red
En un entorno cada vez más digital, más automatizado, lo disruptivo es volver a lo físico; por eso la ciberseguridad y el Facility Management están ‘condenados’ a entenderse. En EDUCA EDTECH Group lo sabemos bien. Desde 2022, las instalaciones centrales de nuestro grupo tecnológico-educativo, en Granada, concentran las operaciones de un grupo con presencia en Granada, Madrid, Ámsterdam, Miami, México y Bogotá. Más de 4 millones de euros de inversión en un complejo diseñado con los últimos avances tecnológicos: climatización inteligente, sistemas de monitorización, conectividad distribuida. Un entorno pensado para la eficiencia operativa. Y, por esa misma razón, un entorno con una superficie de ataque que hace diez años no existía.
Cuando la ciberseguridad es también FM
El Facility Manager tradicional gestionaba activos físicos pero la realidad es que vivimos en un mundo líquido en el que la frontera de lo digital y lo analógico cada vez es más permeable. Hoy, el Facility Manager gestiona activos físicos conectados: un sistema BMS comprometido no solo genera una incidencia de mantenimiento, puede paralizar el acceso a las instalaciones, alterar las condiciones ambientales de los servidores o inhabilitar los protocolos de seguridad perimetral. La frontera entre la gestión del edificio y la gestión de la ciberseguridad ha desaparecido. En nuestra organización, la coordinación entre el equipo de IT, el CISO y el responsable de instalaciones no es opcional, es un proceso protocolizado. Cualquier nuevo dispositivo conectado a la infraestructura del edificio -desde una cámara hasta un sensor de temperatura- pasa por un protocolo de evaluación de riesgos antes de integrarse en la red.
La amenaza no siempre llega por donde se espera
En nuestra experiencia, los vectores de ataque más frecuentes no son los más sofisticados, son los más cotidianos: un proveedor de mantenimiento que conecta un dispositivo no autorizado, una actualización de firmware pendiente en un sistema de control, un acceso remoto habilitado para diagnóstico que nadie desactivó. La complejidad de un edificio inteligente multiplica los puntos de entrada, y con ellos, la exposición. Por eso la respuesta no es solo tecnológica, es organizativa. Esto eleva la exigencia hacia el FM que, no teniendo la obligación de saber de ciberseguridad –bastantes áreas de conocimiento acumula ya-, sí que debe tener como prioridad crítica su relación con el responsable de ciberseguridad de la organización. Deben compartir un lenguaje común, protocolos conjuntos y una visión unificada de qué significa continuidad operativa cuando el edificio y la red son la misma cosa.
Resiliencia como diseño, no como reacción
Lo que hemos aprendido gestionando un campus tecnológico con operaciones continuas es que la resiliencia no se improvisa. Se diseña. Significa tener identificados los sistemas críticos cuya caída detiene la operación, establecer redundancias, y haber ensayado los escenarios de fallo antes de que ocurran, siempre de la mano del FM, que es la primera línea de defensa en numerosas ocasiones. El facility manager del futuro -y ya del presente- necesita entender de superficies de ataque tanto como de eficiencia energética. No para convertirse en un experto en ciberseguridad, sino para saber cuándo llamar al CISO y qué preguntarle.
«La frontera entre gestión del edificio y ciberseguridad ha desaparecido. Hoy, un sistema BMS comprometido es también un incidente de seguridad.»
Daniel Cabrera — Chief Information Security Officer, EDUCA EDTECH Group
