“Hace falta una hoja de ruta porque no se puede afrontar todo a la vez. Es muy importante planificar y priorizar en el tiempo cómo abordamos la ciberseguridad”

Javier González Perales lleva más de 35 años trabajando en el sector tecnológico. Es Licenciado en Informática por la Universidad de Deusto y, posteriormente, realizó un MBA en la Universidad del País Vasco. En los primeros años de su carrera desempeñó tareas técnicas, como programador, analista, jefe de proyectos y director técnico. Posteriormente, desarrolló labores de gestión comercial, como gerente de cuentas, principalmente industriales, en Bull España. También ha trabajado en el ámbito de la dirección comercial y de marketing en Semantic Systems.

En 2018 se incorporó al Grupo Tubacex, como director corporativo de Digitalización y director IT de las Unidades de Negocio en España. Aquí aplica todo el conocimiento adquirido en el sector servicios, para el diseño y desarrollo de un plan de transformación digital para este grupo, líder en el suministro de soluciones tubulares en acero inoxidable.

Se define como un profesional con sólida formación técnica y de gestión. Cuenta con una larga experiencia en el diseño de soluciones informáticas orientadas a la automatización y digitalización. Y, entre sus objetivos profesionales, se encuentra el impulso de la transformación digital en todas las áreas de negocio, integrando el entorno IT y el OT, y coordinando la resolución de necesidades del entorno físico industrial con la propuesta de valor del mundo digital.

La transformación digital afecta a todos los sectores. ¿Qué importancia tiene la digitalización en la industria? ¿Cómo están afrontando las compañías esta transformación?

En el mundo industrial la transformación digital se considera básica, necesaria e importante para poder mejorar en eficiencia y en servicio al cliente. Y, por supuesto, también en rentabilidad. En el caso de Tubacex, la transformación digital es algo que se ha impulsado desde el comité de dirección del grupo.

En 2019, diseñamos una hoja de ruta en materia de digitalización que respondía a los retos y necesidades que planteaban las diferentes unidades de negocio. Esa hoja de ruta es la que utilizamos ahora como libro de cabecera, que junto con el plan de gestión de negocio y los objetivos del plan estratégico del Grupo, nos permite definir la priorización de iniciativas de digitalización. De esa forma, elaboramos el plan anual de ejecución digital.

Por tanto, para nosotros, la transformación digital es realmente importante. Está presente en el plan estratégico del grupo y son proyectos que presentamos regularmente al comité de dirección.

¿Dirías que la digitalización se ha convertido en una necesidad competitiva en el ámbito de la industria?

Totalmente, sobre todo en el caso de un plan de transformación digital muy orientado al negocio, como es el nuestro. En nuestra estrategia digital no queremos, ni tenemos como objetivo, incorporar tecnologías a nuestros sistemas. Todos los proyectos están orientados a una mejora del negocio y, en todos los casos, tienen un retorno de inversión calculado, que es el que justifica la inversión.

Por tanto, esos proyectos están dirigidos, entre otras cosas, a mejorar la calidad del producto, a mejorar la relación con los clientes, a reducir el tiempo de entrega de los productos, a optimizar la gestión de caja, o a promover la sostenibilidad. Precisamente, la sostenibilidad está siendo protagonista en el grupo Tubacex de muchas iniciativas de digitalización. Es algo que entendemos necesario, pero en lo que además creemos; es imprescindible establecer una relación sostenible entre la actividad económica y el medio ambiente.

En ese sentido, ¿crees que la apuesta por la innovación y la transformación digital en el sector es algo extendido o queda todavía camino por recorrer?

En nuestro sector, el siderúrgico, no hay un patrón de estado digital. Es un sector muy tradicional, que sigue siéndolo, a pesar de haber modernizado las infraestructuras.

En estos entornos industriales, basados en proceso y control de proceso, donde todos los pedidos y productos que fabricamos son diferentes, en los que manejamos materiales a mucha temperatura y piezas de mucho peso, con largas y cambiantes rutas de fabricación, no es sencillo aplicar innovación digital y tecnológica. Esto se debe al propio proceso, a la tecnología, a la infraestructura industrial, etc. Y eso, complica y ralentiza la digitalización de las plantas.

Si hablamos de la madurez digital, todavía queda mucho por hacer. Lo importante es que cada compañía realice un análisis para saber qué es lo que el negocio necesita, redacte una hoja de ruta y, sin prisa, pero sin pausa, vaya implantando iniciativas digitales.

Cada uno tiene un estado digital diferente, un punto de partida diferente y no podrá aplicar una fórmula que esté aplicando otro.

Habéis sido premiados por el proyecto “Cogniplant” que persigue transformar la planta de Amurrio en una planta inteligente y que, entre otras cosas, os va a permitir reducir el consumo energético. Habéis introducidos intru datos, machine learning… a permitir ngs , además, aspectos como monitorización, análisis de datos, machine learning… ¿Cuáles han sido los cambios más importantes en la compañía a nivel tecnológico? ¿Qué proyectos destacarías?

Cogniplant es un proyecto muy innovador, que consiste en digitalizar completamente nuestra fábrica de acero. Esto ha supuesto la digitalización de toda la planta, la modernización de todas las plataformas de hardware y software, y también estamos aplicando técnicas de analítica avanzada de datos. Se trata de modelar todo el proceso de la acería con el fin de, aplicando inteligencia al tratamiento de datos, poder determinar los mejores patrones de fabricación. Y los resultados que estamos empezando a recoger son muy esperanzadores y nos animan a seguir trabajando en esta línea.

A nivel industrial, el proyecto del que estamos más orgullosos es la digitalización de todos los procesos industriales en las tres fábricas de Llodio y Amurrio, que nos va a permitir implantar soluciones digitales muy innovadoras, como es el caso de Cogniplant. Estamos muy orgullosos porque la gestión del cambio, en un entorno industrial como el nuestro, se hace realmente difícil: tenemos, en muchas ocasiones, maquinaria de distintas generaciones, trabajamos a turnos, contamos con muchos operarios… La gestión del cambio en el uso de herramientas lleva mucho tiempo; más, incluso, que configurar el software para instalarlo. Y lo cierto es que estamos consiguiendo muy buenos resultados.

Además, trabajamos en todos los dominios de negocio, no solo en el de operaciones, que es al que hacía referencia. De hecho, estamos implantado soluciones de mantenimiento predictivo, con el objetivo de reducir paradas no previstas. En logística, estamos aplicando herramientas de planificación avanzada de planta. También hemos automatizado el flujo de relación con proveedores.

En el área de clientes, estamos desarrollando herramientas que nos permiten integrarlos en nuestra cadena de suministro, de forma que digitalizamos todo el intercambio de documentación y conseguimos una relación comercial mucho más eficiente.

Por otro lado, en el ámbito económico y financiero, tenemos todo un plan de despliegue de herramientas fintech, para mejorar la financiación del grupo y, además, estamos trabajando para reducir y mejorar la gestión de caja. Y, en el área de recursos humanos, tratamos de integrar al empleado, mediante herramientas de integración y colaboración con él.

En definitiva, todos estos ejemplos, lo que demuestran es que el plan de digitalización de Tubacex tiene una visión holística de las áreas de negocio y que estamos actuando en todas ellas.

¿Cómo impacta en el proceso de digitalización la ciberseguridad?

Para nosotros, la ciberseguridad es una asignatura obligatoria y le estamos prestando mucha atención. El consejo de administración del grupo y el comité de dirección creen firmemente en la necesidad de invertir recursos en este ámbito. Y esto se traduce en que, en los últimos años, estamos desarrollando una actividad incremental.

Para nosotros es fundamental asegurar la disponibilidad de nuestras infraestructuras y de nuestros servicios IT.

Cada vez son más las amenazas, no solo por la situación geopolítica, sino por la aparición de un sector económico nuevo: el de los cibercriminales. Ya no son personas individuales, son grupos empresariales dedicados al cibercrimen y tenemos que prepararnos para defender los activos de nuestras organizaciones.

¿Crees que, en general, las organizaciones son conscientes de la importancia de la seguridad de la información?

Tengo la impresión de que, en algunos casos, es necesario un susto para que una empresa se implique e invierta más decididamente en ciberseguridad. No creo que, en general, haya una gran madurez en este ámbito. Seguramente, las empresas más grandes están más preparadas porque, obviamente, tienen más recursos y más capacidad. Pero, queda mucho por hacer para que el mundo industrial llegue a un nivel de madurez en ciberseguridad suficiente para que duerman tranquilos los gestores.

La Industria se enfrenta a grandes retos en el ámbito de la seguridad de la información y el elevado nivel de riesgo es un factor determinante en OT. ¿Cómo estáis afrontando esos desafíos? ¿Cómo abordáis la interoperabilidad IT/OT?

Estamos trabajando en ello. En un grupo industrial como el nuestro, con 2500 empleados, 20 fábricas y presencia en más de 30 países, el propio plan de digitalización debe incorporar un apartado de ciberseguridad y debe tener una hoja de ruta. No se puede afrontar todo a la vez. Es muy importante planificar y priorizar en el tiempo cómo abordamos la ciberseguridad.

Establecer en planta un plan avanzado en seguridad OT es necesario, sin embargo, hay que abordarlo en un momento en el que toda la infraestructura que rodea a esa fábrica (seguridad perimetral, atención a incidentes de seguridad, análisis de vulnerabilidades, sistema de alertas de seguridad, etc.) esté sólidamente montada. No tiene sentido afrontar la parte OT, si no tengo bien resuelta toda la parte IT. Hay mucho por hacer hasta que se llega a ese punto, pero, en nuestro caso, ha llegado el momento.

En los últimos meses, se ha constatado un aumento muy importante en el número de ataques y crecen especialmente aquellos dirigidos a infraestructuras industriales. En este sentido, ¿qué aspectos son los que más te preocupan?

En este momento, el principal vector de ataque es el correo electrónico y uno de los ataques más preocupantes para mí es el conocido como “fraude al CEO”.

Nos enfrentamos a continuas amenazas, que llegan a través del email, y que tienen como principal objetivo el robo de credenciales para entrar en nuestras redes y sistemas. La intención de los cibercriminales es robar información, desplegar malware o realizar fraudes. Por eso, estamos poniendo mucha atención en el correo.

En nuestro caso, la seguridad perimetral la tenemos muy trabajada. Y, aunque, por supuesto, también hay muchas amenazas en este ámbito, la defendemos muy bien. Ahora, es el usuario el eslabón más débil de la cadena y un vector de ataque importantísimo. Por eso, tenemos programado invertir, entre otras cosas, en la seguridad de los dispositivos móviles.

Has mencionado al usuario como uno de los principales vectores de ataque en la actualidad. ¿Entienden vuestros empleados y usuarios la importancia de abordar todos estos cambios con seguridad? Y, en este sentido, ¿qué relevancia le dais en Tubacex a la formación y concienciación en materia de ciberseguridad?

Como hemos comentado, el usuario es el eslabón más débil de la cadena y, en Tubacex, tenemos más de mil usuarios a nivel mundial. Pero, tengo que decir que reciben de buen grado la aplicación de medidas de seguridad, a pesar de que, en algunos casos, son restrictivas e incómodas.

Nuestros usuarios son conscientes de los riesgos que sufrimos y saben que tenemos que aplicar este tipo de medidas. En este sentido, lo que más nos cuesta es conseguir hábitos seguros de tratamiento de la información. Y aquí es donde entra la concienciación y la sensibilización. Estamos trabajando en este ámbito y en 2023 le vamos a dar mucha importancia. Nuestro Plan Director de Seguridad incorpora para este año muchas actividades relacionadas con formación y concienciación.

Por supuesto, es imprescindible que los equipos de trabajo estén concienciados en seguridad de la información. Pero, ¿qué importancia consideras que tiene la implicación de la alta dirección?

Es fundamental su implicación, en primer lugar, porque son usuarios, y algunas personas manejan información confidencial y realizan transacciones muy importantes para la compañía. Por eso, también necesitan formación y concienciación en esta materia. Pero, además, necesitamos recursos, que se aprueban en el comité de dirección.

En nuestro caso, hay un tercer punto a tener en cuenta que es la normativa que nos aplica por ser una empresa cotizada en bolsa. Más allá de los requisitos que cualquier industria puede tener en ciberseguridad, en Tubacex estamos sometidos a ciertas normativas y regulaciones que comprometen al consejo de administración en mayor medida. De hecho, va a haber nuevas regulaciones, que se van a aprobar próximamente a nivel europeo, y que comprometen más a los consejeros. Eso hace que les tengamos que formar, informar y reportar, porque tienen que ser conscientes de los riesgos y, también, de lo que se está ejecutando dentro del Plan Director de Seguridad.

¿Cuál es la visión de futuro de TUBACEX con respecto a la ciberseguridad?

A nivel de seguridad perimetral, nuestro principal objetivo es mantener el buen nivel que tenemos de atención a alertas. Ya hemos estandarizado la seguridad en todas las empresas del grupo; contamos con las mismas herramientas, la misma tecnología y el mismo servicio de ciberseguridad.

También vamos a poner más atención en la formación y concienciación, y en la seguridad en el puesto de trabajo y en los dispositivos móviles. Ahí vamos a centrar nuestros esfuerzos a corto plazo.

Y, por supuesto, vamos seguir muy alerta porque recibimos ataques y no estamos libres de que alguno de ellos tenga éxito. Las técnicas de los cibercriminales mejoran porque invierten en ser más efectivos. Nosotros tenemos que hacer lo mismo para prevenir esos ataques y defendernos.

by