Una visión práctica de cómo, desde Ciberso y con un equipo especializado, hemos llevado la adecuación al ENS en entornos OT un paso más allá, evolucionando hacia un agente de IA para GRC a partir de experiencia real de proyecto.
En el Congreso de Ciberseguridad de la ADA en Málaga he tenido la oportunidad de compartir una reflexión que considero especialmente relevante para el momento actual del sector: cómo llevar la alianza entre inteligencia artificial y cumplimiento normativo desde la teoría hasta la realidad operativa en sistemas OT.
La charla, titulada “Alianza IA–ENS: de la teoría a la realidad en sistemas OT (caso práctico EMUASA)”, parte de una idea clara: el Esquema Nacional de Seguridad no debe entenderse solo como una exigencia regulatoria, sino como una palanca real para ordenar, priorizar y gobernar la seguridad en organizaciones con procesos críticos.
Además, me parecía importante trasladar un mensaje personal y profesional: este trabajo no nace de un esfuerzo individual, sino del conocimiento construido desde Ciberso y junto a un equipo con experiencia en gobierno de la ciberseguridad, cumplimiento normativo, continuidad de negocio y ciberseguridad OT. Precisamente esa combinación de capacidades es la que permite abordar proyectos complejos con una visión integral y orientada a la operación real.
Esto se vuelve aún más importante en entornos OT, donde no hablamos solo de proteger información, sino de salvaguardar procesos físicos, continuidad de servicio e infraestructuras esenciales. En estos escenarios conviven activos IT tradicionales con componentes como SCADA, PLC, comunicaciones industriales y centros de control, lo que obliga a trabajar con una visión unificada del riesgo.
En este contexto, el caso de EMUASA nos permitió aterrizar esa visión en un proyecto real de adecuación al ENS, sobre servicios críticos vinculados a la operación de abastecimiento y saneamiento, combinando activos físicos, sistemas de información y entornos OT. Uno de los elementos diferenciales del enfoque fue utilizar el ENS como piedra angular del sistema de gestión de la seguridad e integrarlo con continuidad de negocio y análisis de riesgos bajo una misma lógica de trabajo.
A partir de ese bagaje, surge la siguiente evolución natural: el uso de agentes de IA para GRC. En nuestro caso, no se trata de una idea teórica ni de una automatización desconectada de la realidad, sino de una capacidad construida sobre aprendizaje acumulado en proyectos reales de cumplimiento, riesgo y operación.
El agente GRC orientado a ENS permite avanzar desde un modelo de cumplimiento principalmente documental hacia un modelo de gobernanza continua. Entre sus capacidades están la interpretación automatizada de requisitos ENS, la categorización de sistemas, la generación asistida de la Declaración de Aplicabilidad y del plan de adecuación, así como la trazabilidad de evidencias, controles y desviaciones en un único flujo operativo.
El valor de este enfoque no está en sustituir al experto, sino en reforzarlo. La IA actúa como un copiloto que acelera el análisis, conecta documentación, prioriza acciones y mejora la preparación de auditorías, siempre con un enfoque human in the loop, donde la validación y la decisión final siguen en manos del profesional.
Ese es, precisamente, uno de los mensajes principales de la charla: en OT, la adopción de IA solo tiene sentido si está alineada con la realidad operativa, con la criticidad del servicio y con una gobernanza sólida. No se trata de incorporar IA por tendencia, sino de utilizarla para hacer mejor lo que ya sabemos que es esencial: entender el riesgo, demostrar el cumplimiento y sostener la continuidad.
La principal lección del caso es sencilla: primero hay que comprender de verdad el problema sobre el terreno y después escalar con tecnología. En EMUASA, el aprendizaje obtenido durante el proyecto nos permitió construir una visión mucho más realista de cómo un agente puede ayudar a interpretar normativa, reducir fricción y transformar el ENS en una herramienta útil para la operación diaria.
En definitiva, la alianza entre IA, ENS y OT ya no pertenece solo al plano conceptual. Hoy ya es posible pasar de auditorías puntuales y cumplimiento estático a modelos de seguridad más vivos, trazables y continuos, siempre que la tecnología se apoye en experiencia real, contexto operativo y trabajo en equipo.
Desde Ciberso, y junto a un equipo multidisciplinar, seguimos trabajando para convertir la experiencia real en capacidades prácticas que ayuden a nuestros clientes a gobernar mejor su seguridad en entornos IT/OT.