En un mundo interconectado y en constante evolución, los conceptos de "safety" (seguridad funcional, protección contra accidentes) y "security" (seguridad ante amenazas intencionales, protección contra ataques) a menudo se discuten como entidades separadas. Sin embargo, esta visión dicotómica se está volviendo cada vez más insostenible. La premisa de que "no puede haber safety sin security" no es una simple afirmación categórica, sino un principio fundamental que subyace en la infraestructura, la tecnología y las operaciones de cualquier entidad moderna. Ignorar la interdependencia de estos dos pilares es, en mi opinión, una receta para la vulnerabilidad, una invitación abierta a desastres que pueden tener repercusiones devastadoras en vidas humanas, el medio ambiente y la economía. La era actual nos obliga a reconsiderar esta relación, a entender que la protección integral solo es posible cuando ambos frentes se abordan de manera coordinada y estratégica.
La discusión sobre safety y security ha evolucionado significativamente. Tradicionalmente, la seguridad operacional se centraba en prevenir fallos mecánicos, errores humanos no intencionales y eventos accidentales. Las disciplinas de ingeniería de seguridad, higiene industrial y salud ocupacional han desarrollado metodologías robustas para mitigar riesgos como caídas, explosiones, intoxicaciones o mal funcionamiento de maquinaria. Por otro lado, la seguridad (security) se ha dedicado a proteger activos contra amenazas maliciosas, ya sean físicas (robo, sabotaje) o digitales (ciberataques, espionaje). Mientras el safety busca minimizar el daño cuando algo sale mal accidentalmente, el security busca prevenir que alguien haga que algo salga mal intencionadamente. La línea que los separa, sin embargo, se ha difuminado hasta casi desaparecer, impulsada por la digitalización omnipresente y la convergencia de mundos que antes eran distintos.
La convergencia ineludible: delimitando conceptos
Para comprender la profunda interdependencia, es vital primero tener una clara distinción conceptual entre safety y security, y luego observar cómo se superponen.
Safety: el resguardo ante lo accidental
El término "safety" se refiere a la condición de estar protegido contra eventos que causan daño no intencional. Se asocia con la prevención de accidentes, la reducción de riesgos laborales, la protección de la salud pública y la garantía de que los sistemas funcionen de manera segura. Las medidas de safety se implementan para controlar peligros intrínsecos a las operaciones o procesos, como por ejemplo, sistemas de parada de emergencia, procedimientos de mantenimiento, uso de equipos de protección personal (EPP) o el diseño ergonómico de estaciones de trabajo. Su objetivo final es la protección de las personas, el medio ambiente y los bienes materiales frente a fallos o errores que no son el resultado de una acción maliciosa. Agencias como la Administración de Seguridad y Salud Ocupacional (OSHA) en Estados Unidos o el Instituto Nacional de Seguridad y Salud en el Trabajo (INSST) en España son ejemplos claros de organismos que se centran en este ámbito.
Security: la protección contra lo intencional
"Security", por otro lado, se enfoca en la protección contra amenazas deliberadas y actos maliciosos. Esto incluye la protección contra el acceso no autorizado, el robo, el sabotaje, el terrorismo y, cada vez más, los ciberataques. Las medidas de security buscan prevenir que agentes externos o internos con intenciones dañinas comprometan sistemas, datos o instalaciones. Esto puede manifestarse en forma de controles de acceso físico, sistemas de vigilancia, firewalls, cifrado de datos, autenticación multifactor, o planes de respuesta a incidentes de ciberseguridad. La meta es mantener la integridad, la confidencialidad y la disponibilidad de los activos ante ataques intencionados. Organizaciones como el Instituto Nacional de Estándares y Tecnología (NIST) o la Agencia Europea de Ciberseguridad (ENISA) son fundamentales en la promoción de buenas prácticas de security.
La interdependencia en la era digital y física
La convergencia de la tecnología operativa (OT) y la tecnología de la información (IT) ha sido el catalizador principal de esta interdependencia. Antaño, los sistemas de control industrial (ICS) operaban en redes aisladas (air-gapped), lo que les confería una seguridad inherente por omisión. Sin embargo, la búsqueda de eficiencia, la necesidad de integrar datos y la adopción de la Industria 4.0 han llevado a la conexión de estos sistemas a redes corporativas e incluso a internet. Esta conexión, si bien ofrece enormes beneficios operativos, abre una puerta de entrada a ciberataques que antes eran impensables para la infraestructura crítica.
Infraestructuras críticas y sistemas de control industrial (ICS/OT)
Consideremos, por ejemplo, una planta de energía nuclear o una refinería de petróleo. Aquí, los sistemas de control industrial (ICS), como SCADA (Supervisory Control and Data Acquisition) o DCS (Distributed Control Systems), son responsables de monitorear y controlar procesos físicos complejos y potencialmente peligrosos. Un fallo en estos sistemas puede tener consecuencias catastróficas en términos de safety: una explosión, una liberación de sustancias tóxicas, un colapso estructural o una interrupción masiva de servicios esenciales. Si estos sistemas no están debidamente protegidos contra ciberataques (es decir, carecen de security), un actor malicioso podría manipular válvulas, apagar sistemas de seguridad o alterar parámetros de operación, causando intencionadamente un evento que compromete directamente la safety.
El incidente del gusano Stuxnet es un ejemplo paradigmático de cómo un ciberataque (security breach) puede tener un impacto directo y devastador en la seguridad operativa (safety). Este malware fue diseñado para atacar sistemas SCADA, en particular los controladores lógicos programables (PLC) de Siemens, con el objetivo de sabotear el programa nuclear iraní alterando la velocidad de las centrifugadoras de uranio. Un ataque así, dirigido a infraestructuras críticas en otro contexto, podría fácilmente provocar accidentes industriales con consecuencias ambientales y humanas graves. La guía del NIST sobre la seguridad de los sistemas de control industrial (NIST SP 800-82 Revision 2: Guide to Industrial Control Systems (ICS) Security) es un recurso indispensable para abordar esta convergencia, al reconocer que la seguridad informática es ahora un componente intrínseco de la seguridad operacional.
Automoción: del fallo mecánico al hackeo
Otro sector donde la interdependencia es palpable es el de la automoción, especialmente con el auge de los vehículos autónomos y conectados. Un coche moderno es una plataforma informática sobre ruedas, con decenas de unidades de control electrónico (ECU) y millones de líneas de código. Un fallo mecánico (un problema de safety) es siempre una preocupación. Sin embargo, ¿qué sucede si un atacante obtiene control remoto de la dirección, los frenos o el motor de un vehículo? La falta de security en los sistemas informáticos del coche podría llevar directamente a un accidente grave, comprometiendo la safety de los ocupantes y de terceros. Los estándares como la ISO/SAE 21434 (Ingeniería de Ciberseguridad para Vehículos) demuestran que la industria automotriz está comprendiendo esta necesidad. La seguridad de un vehículo no se limita a su ingeniería mecánica o sus pruebas de choque, sino que abarca también la robustez de su arquitectura electrónica y de software frente a ciberamenazas. Podemos ver la evolución de esto en artículos que detallan la creciente importancia de la ciberseguridad automotriz, como los que se encuentran en el sitio web de la SAE International (SAE Mobility Magazine: Cybersecurity).
Salud: datos, equipos y bienestar del paciente
El sector de la salud es otro ámbito donde la convergencia es crítica. Los hospitales dependen cada vez más de equipos médicos conectados (IoT médico), sistemas de historias clínicas electrónicas (EHR) y redes complejas para la atención al paciente. Un ataque de ransomware a un hospital, un incidente de security, puede cifrar los datos de los pacientes, paralizar los sistemas informáticos y, lo que es más grave, afectar el funcionamiento de dispositivos médicos cruciales. Esto puede retrasar o impedir cirugías, la administración de medicamentos o diagnósticos vitales, poniendo directamente en riesgo la vida de los pacientes (un fallo de safety). La confidencialidad y la disponibilidad de los datos no son meras preocupaciones burocráticas; son elementos esenciales para garantizar una atención médica segura y efectiva. La Healthcare Information and Management Systems Society (HIMSS) es una organización que promueve la ciberseguridad en el ámbito sanitario, reconociendo su impacto directo en la seguridad del paciente (HIMSS: Cybersecurity Resources).
El factor humano: la clave en ambas disciplinas
Más allá de la tecnología, el elemento humano es una constante en la ecuación safety-security. Las personas son tanto el punto más fuerte como el más débil en cualquier sistema de protección. Un ingeniero de seguridad que descuida un protocolo, un operador que desactiva un sistema de alarma para ahorrar tiempo, o un empleado que cae en una estafa de phishing son ejemplos de cómo el error o la acción humana pueden comprometer tanto la seguridad funcional como la protección contra amenazas.
Concienciación y capacitación
La concienciación y la capacitación son fundamentales para ambos dominios. Los empleados deben estar formados en prácticas de trabajo seguras (safety) y en los riesgos de ciberseguridad (security). Un trabajador de planta debe saber cómo operar la maquinaria de forma segura, pero también debe reconocer un correo electrónico sospechoso que podría contener malware diseñado para sabotear esa misma maquinaria. La formación cruzada, donde los equipos de seguridad física y ciberseguridad colaboran estrechamente con los equipos de safety, es esencial para crear una cultura de seguridad integral. Mi opinión es que una organización que invierte solo en tecnología sin educar a su personal está construyendo un castillo de naipes.
La cultura como baluarte
Una cultura organizacional que prioriza tanto el safety como el security es el baluarte más eficaz. Cuando la seguridad se considera una responsabilidad compartida y no solo una función del departamento de IT o de HSE (Health, Safety, and Environment), la resiliencia de la organización aumenta exponencialmente. Esto implica un liderazgo comprometido, una comunicación transparente y un sistema de reporte de incidentes que fomente el aprendizaje en lugar de la culpabilización. Una cultura robusta entiende que cada incidente, ya sea un casi accidente o una intrusión informática, es una oportunidad para fortalecer las defensas integradas.
Regulación y estándares: la necesidad de un enfoque holístico
Históricamente, los marcos regulatorios y los estándares han abordado el safety y el security de forma independiente. Sin embargo, esta situación está cambiando a medida que los organismos reguladores reconocen la necesidad de un enfoque más holístico.
Normativas ISO y su evolución
Las normas de la Organización Internacional de Normalización (ISO) son un claro ejemplo de esta evolución. La ISO 45001 se centra en los sistemas de gestión de la seguridad y salud en el trabajo (safety), mientras que la ISO 27001 aborda los sistemas de gestión de la seguridad de la información (security). Aunque distintas, cada vez más empresas buscan la certificación en ambas, y los auditores están comenzando a evaluar cómo las deficiencias en un área pueden impactar la otra. Por ejemplo, una falla en los controles de acceso físico (security) podría permitir el acceso no autorizado a equipos, lo que a su vez podría ser manipulado para crear una condición insegura (safety). Es lógico, por tanto, que la gestión de riesgos en ambos dominios se beneficie de una metodología unificada.
La visión de OSHA y agencias de ciberseguridad
Agencias como OSHA, tradicionalmente centradas en la seguridad laboral, están empezando a incorporar consideraciones de ciberseguridad en sus directrices, especialmente para sectores con alto grado de automatización. Del mismo modo, las agencias de ciberseguridad, como las mencionadas ENISA o el NIST, están desarrollando marcos que consideran el impacto de los ciberataques en la seguridad física y los procesos industriales. Un ejemplo palpable son las directrices para la protección de infraestructuras críticas, que obligan a los operadores a considerar tanto los riesgos físicos como los digitales. Las iniciativas de la Agencia Europea de Seguridad y Salud en el Trabajo (EU-OSHA) a menudo tocan estos puntos de convergencia al discutir los riesgos de las nuevas tecnologías (EU-OSHA: Seguridad y salud en el trabajo).
Mi perspectiva: un camino hacia la resiliencia integral
Desde mi punto de vista, la idea de "no puede haber safety sin security" debería dejar de ser una observación y convertirse en un principio rector para el diseño, la implementación y la operación de cualquier sistema, proceso o infraestructura. La fragmentación de los esfuerzos de safety y security ya no es sostenible. Las organizaciones que persisten en tratar estos dominios como silos separados están exponiéndose a riesgos que pueden ser existenciales.
Considero que la verdadera resiliencia solo se logra a través de un enfoque integrado. Esto significa equipos de safety, security física y ciberseguridad trabajando en conjunto, compartiendo información, realizando evaluaciones de riesgo conjuntas y desarrollando planes de respuesta a incidentes coordinados. No se trata solo de la tecnología; se trata de una mentalidad, de una arquitectura organizacional que reconozca que un fallo en la seguridad de la información puede provocar un accidente industrial, y que un fallo en la seguridad física puede comprometer la integridad de los datos. Esta interconexión es la piedra angular para cualquier sistema verdaderamente robusto y preparado para los desafíos del siglo XXI. El coste de la inacción o de la desconexión es, invariablemente, mucho mayor que la inversión en un marco de seguridad unificado y coherente.
Hacia un futuro integrado
La intrincada relación entre safety y security es más evidente que nunca. La digitalización ha entrelazado estos conceptos de una manera irreversible, haciendo que la distinción estricta sea no solo teóricamente obsoleta, sino peligrosamente impráctica. Desde las infraestructuras críticas hasta los vehículos autónomos y la atención sanitaria, los ciberataques tienen el potencial de manifestarse como eventos que comprometen directamente la seguridad funcional y la integridad física.
La adopción de un enfoque holístico, donde el safety y el security se gestionan de manera integrada, es la única vía para construir organizaciones, sistemas y sociedades verdaderamente resilientes. Esto requiere liderazgo, inversión en capacitación, desarrollo de una cultura de seguridad consciente y la implementación de marcos regulatorios y estándares que reflejen esta realidad convergente. No es una cuestión de elegir entre uno u otro; es comprender que uno es un prerrequisito para el otro. Solo cuando abordamos los riesgos intencionales con la misma seriedad y las mismas metodologías robustas que aplicamos a los riesgos accidentales, podemos aspirar a un futuro donde la seguridad, en su sentido más amplio, sea una realidad tangible y sostenible. La seguridad integral es, por tanto, una estrategia necesaria, no un lujo opcional.
Seguridad industrial Ciberseguridad Gestión de riesgos Sistemas integrados