Inicio / Protege tu empresa / Blog / Entrevista con… Miguel Villena, CEO de Tomsa Destil

Entrevista con… Miguel Villena, CEO de Tomsa Destil

Publicado el 07/09/2015, por INCIBE
Entrevista con… Miguel Villena, CEO de Tomsa Destil

Miguel Villena es Ingeniero Industrial por la universidad de Sevilla, director general y socio fundador de TOMSA DESTIL. Su carácter emprendedor se hace manifiesto desde su época de estudiante donde ya es partícipe de la creación de una oficina de proyectos dedicada a la redacción de proyectos industriales, ingeniería básica y supervisión de construcción y montaje.

Lleva toda una vida dedicada al mundo de la destilación, habiendo visto la industria desde los dos lados del cristal. Durante su carrera ha sido director de 5 destilerías y ha diseñado, construido y puesto en marcha innumerables de ellas en los cinco continentes.

Actualmente se centra en la creación de nuevos mercados para TOMSA DESTIL y en la investigación de procesos de destilación de segunda generación.

TOMSA DESTIL es una empresa española especializada en el diseño y dirección de proyectos relacionados con la producción y destilación de alcohol y sus derivados. Su experiencia y especialización le ha permitido tener una gran presencia internacional, habiendo suministrado más de 400 plantas de producción en los 5 continentes.

TOMSA DESTIL tiene su sede central en Madrid, pero cuenta con oficinas en Estados Unidos, Iberoamérica y la India, y una red comercial que le permite estar presente a nivel mundial.

Miguel Villena

Con más de 150 años de experiencia, el equipo profesional de TOMSA DESTIL lleva a cabo tanto el diseño y la dirección de los proyectos como el propio suministro de las instalaciones.

¿Cuál es la clave del éxito de su empresa para que sus plantas y proyectos industriales estén presentes en todo el mundo?

Bueno esta pregunta es difícil de resumir en unas pocas palabras, puesto que si hubiera una clave en concreto todos tendríamos el éxito asegurado.

Por supuesto contar con un equipo humano comprometido con la empresa y profesional es indispensable, sea cual sea el mercado al que te diriges. Ese es un aspecto cuyo control por parte de la empresa es muy discutible.

Sí que hay otros aspectos que se pueden tener bajo un mayor control y creo que entre nuestras fortalezas destacaría las siguientes:

  • Atender las solicitudes de todos los potenciales clientes, aunque la probabilidad de que se convierta en un pedido real sean remotas.
  • Máximo nivel tecnológico de nuestros procesos.
  • Cumplimiento responsable y firme de compromisos y promesas (Calidad, plazos, precios, asistencia, etc.), sin excepciones.
  • Precios competitivos, basados en costes ajustados, y fidelización de subcontratistas y proveedores gracias a un excelente trato en las relaciones, seriedad en los acuerdos, y atenciones que reciben. Tratar bien a los proveedores es tan importante como tratar bien a los clientes.

Como para cualquier otra organización, la información corporativa de su empresa tiene un valor muy alto. Pero además entiendo que en su caso particular, el know-how de su negocio y el conocimiento técnico de sus profesionales deben tener un valor estratégico, por lo que la protección de la información relacionada con sus proyectos industriales será fundamental. ¿Es así?

Efectivamente, nos movemos en un sector en el que la mayoría de los competidores son capaces de obtener el producto final deseado con mayor o menor esfuerzo, la diferencia radica en ofrecer el mejor proceso en términos de eficiencia energética, consumos de materia prima, reducción de residuos, costes de mantenimiento etc. Esto al fin y al cabo es know-how tecnológico.

¿Qué medidas ha tomado su empresa para proteger esta información y ese conocimiento?

Para nosotros la protección de este know-how es crítico para la continuidad del negocio. Es una de las razones por las que TOMSA DESTIL no vende tecnología, vendemos equipos terminados pero no la tecnología que hay detrás, nadie que no seamos nosotros puede decir que utiliza la tecnología de TOMSA DESTIL.

Además de las medidas legales a la hora de definir contratos y acuerdos de confidencialidad utilizamos herramientas como sistemas IRM para proteger nuestros documentos críticos. Nos permite compartir la información manteniendo bajo nuestro control quién puede acceder y qué puede hacer con esos ficheros. Este tipo de herramientas han supuesto una gran ayuda para mejorar la colaboración.

Para protegernos de ataques contamos con herramientas de Firewall tanto a nivel perimetral como en los equipos personales y por supuesto antivirus en todos los equipos.

Corríjame si me equivoco, pero entiendo que sus plantas de producción de alcohol contarán con sistemas de control industrial y sistemas SCADA que monitorizan y controlan los procesos productivos de las plantas que diseñan y suministran. ¿Contemplan algún protocolo específico relacionado con la seguridad de esos elementos?

Sí, una parte crítica de las plantas industriales son sus sistemas de control. Actualmente es impensable que una instalación industrial pueda funcionar sin un sistema de control automático, las plantas se quedan paradas si el sistema de control no está funcionando, con la pérdida económica que esto supone.

Tradicionalmente las redes industriales han estado separadas del resto de redes de una compañía y los mecanismos de seguridad eran bastante laxos.

Esto ha dejado de ser cierto hace ya algunos años. Todos los clientes, sin importar su tamaño, están exigiendo que su planta esté comunicada con sus sistemas de control de la producción, herramientas ERP, acceso remoto, etc etc, ya sea utilizando pasarelas de comunicación o bien gracias a nuevos protocolos industriales que trabajan sobre TCP/IP. Es decir las redes industriales ya son una subred dentro de una compañía y no una red independiente.

Si a esto se le suma que cualquier herramienta actual de DCS o SCADA permiten operar la planta con un cliente ligero a través de un navegador web el riesgo es más que evidente. Un atacante no necesita conocer qué fabricante de PLCs se utiliza en la planta o el protocolo de comunicación con el mismo, el propio sistema le está dando todas las facilidades para el acceso.

Hay una serie de medidas técnicas para prevenir intrusos, monitorizar redes, logs, etc. que vosotros conocéis mucho mejor que yo. Pero también hay unas medidas muy sencillas de llevar a cabo que sin embargo no se cumplen en todos los clientes que hemos visitado y que nosotros siempre incluimos en nuestros proyectos. Por nuestra parte siempre aplicamos reglas de acceso en los sistemas SCADA, con distintos niveles de seguridad y configuración de tiempos muertos de manera que se haga un log-out automático del usuario. Eliminar contraseñas y usuarios por defecto. Si el cliente no nos lo pide de forma explícita bloqueamos los acceso vía web al sistema SCADA y si fuera necesario habilitarlo restringimos las IPs permitidas. Además evitamos cualquier tipo de comunicación aérea (Wi-fi, IR, GPRS etc) ya sea de la instrumentación o de la red de datos.

TOMSA DESTIL ha diseñado y suministrado plantas de producción en los cinco continentes. La seguridad física y el control del acceso a las instalaciones industriales han sido aspectos tradicionalmente contemplados. ¿Han detectado ustedes de un tiempo a esta parte si sus clientes se muestran más preocupados por la ciberseguridad de sus instalaciones industriales?

Sí, la preocupación por la seguridad de las instalaciones industriales ha crecido de forma muy rápida en los últimos años. Hace cinco o diez años la preocupación por la seguridad de los sistemas de control se limitaba a la disponibilidad de los mismos, de manera que se diseñaban arquitecturas de control redundantes comenzando por sistemas de alimentación redundantes ininterrumpidos, pasando por la redundancia de los controladores y llegando a redes redundantes con topología en anillo con sistemas de monitorización de los equipos.

Nos encontramos ahora en una fase más avanzada donde la preocupación no es la falla del hardware si no el hecho de ver nuestra instalación comprometida porque un atacante nos ha "secuestrado" el sistema cambiando nuestras contraseñas, o porque está interfiriendo en el protocolo de comunicaciones entre nuestro controlador y el servidor DCS, o simplemente está inundando de tráfico la red lo que supone un riesgo enorme para sistemas que tienen que actuar en tiempo real.

Los clientes son cada vez más conscientes de estos riesgos y es común que exijan medidas de prevención y detección. Los mecanismos de ciberseguridad han pasado de ser un anexo en nuestras ofertas de control a ser parte fundamental de la misma.

Por último, ¿en su opinión qué papel cree que va a jugar la ciberseguridad en su sector de negocio?

Estamos viendo como el concepto tradicional del integrador de sistemas de control con un perfil entre eléctrico e industrial se está profesionalizando de manera que en la ejecución de los proyectos intervienen además perfiles del sector de la informática y las telecomunicaciones.

La instalación de un sistema de control no termina una vez que la planta está funcionando, requiere de una coordinación muy estrecha con el departamento de seguridad de la información del cliente. Esto implica que para mantener el nivel puntero de nuestras instalaciones industriales tenemos que ser nosotros los que ofrezcamos soluciones de seguridad a los clientes y demostrar que vamos siempre un paso por delante, limitarse a seguir las pautas que nos pueda exigir el cliente en temas de seguridad nos haría perdernos en el anonimato de lo habitual.

La ciberseguridad industrial es ya una de las exigencias para poder ser líderes en el sector industrial.

Etiquetas: 
Empresa
Testimonios
Artículos relacionados
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones
Carteles con flechas Reactiva-Proactiva
INCIBE | 07/03/2023
¿Por qué adoptar un enfoque proactivo en nuestra organización?
Manos con imagen de correo electrónico
INCIBE | 28/02/2023
Los riesgos y las medidas de seguridad del correo electrónico