“Cuando la seguridad aporta velocidad y fiabilidad, deja de ser freno y pasa a ser acelerador de la transformación”
Para empezar, ¿cómo definirías la estrategia de TI y ciberseguridad del INTA en este momento y qué papel juega la seguridad de la información dentro de ella?
La definiría como una estrategia de misión y soberanía. El INTA no solo gestiona datos; gestiona propiedad intelectual crítica, activos científico-técnicos y capacidades que, directa o indirectamente, se conectan con la defensa y la autonomía estratégica del país. Por ello, la ciberseguridad no es un “bloqueo” ni un área aislada, sino el cimiento de confianza que permite acelerar la transformación tecnológica (cloud híbrido, automatización, modernización de plataformas, analítica avanzada e IA).
En ese marco, la seguridad de la información está embebida en la estrategia de TI: la usamos para habilitar colaboración segura, proteger el dato, garantizar continuidad y asegurar trazabilidad. No buscamos solo cumplimiento (ENS/ISO) como destino; buscamos resiliencia operativa como capacidad permanente, bajo un modelo Zero Trust, donde la identidad es el nuevo perímetro y donde la visibilidad y la respuesta son tan importantes como la prevención.
Llevas más de 16 años en la organización. ¿Cómo ha evolucionado en este tiempo vuestra forma de abordar la gestión de incidentes y la preparación ante ciberataques?
La evolución ha sido clara: hemos pasado del “artesanado” tecnológico a la industrialización de la respuesta, y el factor diferencial ha sido la cultura. Antes el éxito era “que no pase nada”; hoy el éxito es que, cuando pase, el impacto sea mínimo, la contención sea rápida y la recuperación sea fiable.
En la práctica, eso se traduce en:
- Preparación: procedimientos, roles claros, ejercicios, planes de contingencia y mejora continua.
- Detección y visibilidad: de logs dispersos a telemetría centralizada, correlación y casos de uso operativos.
- Respuesta (de “apagar fuegos” a una respuesta completa): contención, análisis (incluido forense cuando aplica), erradicación, recuperación y “post-mortem” con lecciones aprendidas.
- Gobernanza: de depender de personas “héroe” a depender de procesos y métricas (MTTD/MTTR, criticidad, impacto, recurrencia).
El gran cambio mental es asumir la brecha (assume breach) como punto de partida: incidentes habrá; lo diferencial es cuánto tardas en enterarte, cuánto tardas en contener y cómo aseguras la recuperación.
El INTA está inmerso en procesos de transformación tecnológica. ¿Cómo integras la ciberseguridad para que actúe como facilitador y no como freno a esa evolución?
Para mí, “Secure by Design” es diseñar el SÍ correcto. Y para que la seguridad no sea un freno, la integramos de forma natural en el trabajo, en dos niveles. Por un lado, en el ciclo de vida: metemos seguridad en cada fase (arquitectura, requisitos, desarrollo, despliegue y operación). Eso implica: definir requisitos de seguridad desde el inicio (no al final); revisiones de arquitectura con enfoque de riesgos; controles en CI/CD cuando procede, hardening y configuración segura por defecto; observabilidad y logging estándar desde el diseño, y operación con detección, respuesta y mejora continua.
Por otro lado, en arquitectura y cultura. En el caso de la arquitectura, abstraemos la seguridad como servicios reutilizables (MFA, cifrado, gestión de secretos, control de acceso, segmentación, logging, baselines). El objetivo es que el científico o el desarrollador no tenga que preocuparse por “construir seguridad” cada vez: la seguridad está en la plataforma.
En el caso de la cultura, hablamos de gestión de riesgos, no de prohibiciones. Si algo aporta valor a la misión, buscamos el patrón seguro para habilitarlo.
Cuando la seguridad aporta velocidad y fiabilidad, deja de ser freno y pasa a ser acelerador de la transformación.
¿Cuáles son hoy tus principales prioridades en materia de ciberseguridad y qué objetivos habéis marcado a corto y medio plazo?
Las agrupo por capacidades, para asegurar foco y ejecución:
En el corto plazo, es decir, de inmediato, estaría una higiene robusta (máximo impacto rápido):
- Identidad como perímetro: MFA consistente, control y auditoría de privilegiados, acceso condicionado, revisión continua de permisos, reducción del “over-privilege”.
- Visibilidad y respuesta: cobertura real con XDR/EDR, telemetría centralizada, casos de uso bien afinados, hunting y procedimientos operativos.
- Resiliencia ante ransomware: copias inmutables, segmentación de backups, pruebas periódicas de restauración, planes de continuidad y recuperación practicados.
Si hablamos del medio plazo, la escalabilidad y contención por diseño:
- Microsegmentación para reducir el “blast radius” y limitar movimiento lateral.
- Consolidación de un gobierno del dato (clasificación, trazabilidad, controles de acceso y compartición) que nos permita escalar de forma segura en entornos colaborativos internacionales.
- Madurez del modelo de operación: automatización, métricas, auditoría continua y una postura de seguridad consistente en híbrido.
¿Qué tipo de amenazas consideras más preocupantes actualmente para organizaciones como el INTA y por qué?
En la actualidad, identifico tres grandes grupos de amenazas, con un contexto adicional importante por el perfil del INTA: en primer lugar, el ransomware y extorsión (y me refiero a doble o triple extorsión), porque no solo afecta a la confidencialidad; ataca directamente la disponibilidad y la operativa. También el espionaje y APTs, debido al valor de nuestra I+D, nuestra propiedad intelectual y el contexto geopolítico del sector aeroespacial y defensa. Y, por otro lado, la cadena de suministro (software, integradores, servicios, dependencias), porque el atacante suele buscar el eslabón más débil y el impacto puede ser sistémico.
Pero el vector transversal sigue siendo la identidad: credenciales robadas, robo de sesión, ingeniería social, abuso de privilegios, “MFA fatigue”, etc. Una credencial comprometida es la llave maestra. En este entorno, el riesgo no es solo pérdida de datos: es integridad y continuidad de misión.
Uno de los grandes retos sigue siendo el factor humano. ¿Cómo trabajáis la concienciación y la cultura de seguridad entre los profesionales del INTA?
Lo abordamos como lo que es: gestión del comportamiento y creación de cultura de seguridad, no solo formación. No queremos usuarios pasivos; queremos sensores activos.
En la práctica, contamos con píldoras cortas y frecuentes, muy orientadas a decisiones del día a día; simulacros realistas y campañas con feedback, siempre sin culpabilizar (buscamos aprendizaje y mejora, no señalamiento); referentes internos o “security champions” en áreas clave para traducir la seguridad a la operativa real, y mensajes claros y conectados con la misión: proteger el acceso, cuidar el dato y reportar incidentes es proteger el avance científico y tecnológico del país.
Cuando el “por qué” se entiende y los controles son fáciles de usar, la cultura cambia.
Tecnologías como la automatización, la analítica avanzada o la inteligencia artificial están cada vez más presentes en ciberseguridad. ¿Qué papel crees que van a jugar —o juegan ya— en vuestro entorno y en la mejora de la capacidad de respuesta ante incidentes?
Van a ser —y ya son— multiplicadores de fuerza. La IA no sustituye al analista, actúa como copiloto del SOC y acelera la respuesta. En un SOC moderno, la combinación IA + automatización (SOAR) permite: reducir ruido (priorizar alertas, correlacionar eventos, detectar anomalías), acelerar triaje (resumir evidencias, proponer hipótesis y guiar playbooks); ejecutar contención en segundos, con control y trazabilidad (aislar endpoints, revocar tokens, bloquear IoCs, aplicar restricciones temporales), y mejorar hunting, UEBA y análisis de comportamiento.
Además, esto es clave porque los atacantes también usan IA; es una carrera de algoritmos. Por eso, el control humano y la gobernanza siguen siendo el volante: gobernanza del dato, auditoría, seguridad del modelo y mitigación de riesgos como sesgos o “alucinaciones”.
¿Cómo consigues equilibrar la necesidad de alta disponibilidad, innovación y colaboración con los requisitos de seguridad que exige un entorno tan sensible?
El equilibrio se logra con zonificación, segmentación y reglas simples, no con “prohibiciones genéricas”. No todo requiere el mismo nivel de restricción; aplicamos políticas granulares por criticidad.
- Zonificación: máxima apertura donde la colaboración científica lo requiere; máxima protección para el núcleo crítico y activos sensibles.
- Arquitectura resiliente: redundancia, continuidad, backups probados, diseño para fallar sin caer.
- Identidad y mínimo privilegio: control de acceso condicionado y trazabilidad.
- Observabilidad total: si no lo ves, no lo puedes defender.
La observabilidad nos permite ser más permisivos en innovación porque sabemos que podemos detectar y aislar anomalías con rapidez. Así, disponibilidad e innovación conviven con seguridad.
Desde esa experiencia acumulada, ¿qué particularidades tiene la gestión de incidentes de ciberseguridad en una organización como el INTA frente a otros entornos más convencionales?
La gran particularidad es la convergencia IT, OT y Scientific. Gestionamos desde servidores y puestos estándar hasta instrumentación de laboratorio, entornos de ensayo y sistemas altamente especializados. Aquí un incidente no solo afecta a un “servicio corporativo”; puede afectar a una prueba, a un laboratorio o a una capacidad crítica ligada a proyectos complejos.
Esa heterogeneidad exige: diagnóstico a veces artesanal (cada entorno tiene sus peculiaridades); ejecución industrial (contención rápida, trazabilidad, procedimientos), y coordinación robusta con el ecosistema nacional (por ejemplo, CCN-CERT) para intercambio de inteligencia y respuesta alineada.
Y hay un punto clave: contener sin romper la misión. En este tipo de organización, la respuesta debe equilibrar rapidez y precisión.
Según tu punto de vista, ¿qué diferencias clave existen entre la gestión de la ciberseguridad en el sector público y en el privado?
En el sector público suele haber un marco normativo más exigente (ENS) y procesos de contratación más complejos, lo que puede limitar velocidad de adquisición o cambios. Pero hay una ventaja enorme: la resiliencia colectiva y la colaboración interinstitucional. Se comparte inteligencia de amenazas con más apertura y estructura, y se construyen capacidades comunes.
En el INTA, además, el objetivo no es el beneficio, es la salvaguarda de un activo nacional. Eso cambia el enfoque: la ciberseguridad es protección de misión, continuidad y soberanía tecnológica, y se gestiona con un horizonte de largo plazo.
Para cerrar, ¿qué consejo le darías a otros CIOs que están reforzando su estrategia de ciberseguridad en entornos complejos y con recursos limitados?
Tres lecciones aprendidas muy prácticas:
- Foco en lo esencial: no intentes proteger todo igual. Prioriza identidad, exposición externa, backups probados y visibilidad (telemetría/XDR).
- Automatiza o muere: con recursos limitados, la única forma de escalar es estandarizar y automatizar (baselines, parches, logging, playbooks).
- Comunica en valor, no en miedo: traduce los logs a impacto en negocio/misión (riesgo, disponibilidad, continuidad, reputación). Solo así la dirección verá la ciberseguridad como inversión y no como gasto.