Me llamo Sergi Gil. Soy ingeniero industrial y llevo más de 20 años trabajando con sistemas de automatización y control industrial – PLCs, SCADAs, DCS – en plantas de industria alimentaria, química y refinación.
Empecé mi carrera diseñando cuadros eléctricos, programando autómatas y poniendo en marcha líneas de producción. Durante más de una década, mi trabajo consistió en hacer que las plantas funcionasen: desde el primer cable hasta la última línea de código en el PLC.
En 2017, después de ver de cerca cómo la digitalización industrial avanzaba mucho más rápido que la seguridad de esos mismos sistemas, decidí especializarme en proteger lo que había pasado años construyendo.
Qué hago hoy
Actualmente lidero el área de ciberseguridad industrial (OT/ICS) en Govertis Advisory Services (parte de Telefónica Tech), donde diseño e implemento proyectos de seguridad para grandes empresas industriales.
Mi trabajo se centra en:
- Planes Directores de Seguridad IT+OT alineados con ISO 27001, IEC 62443 y NIS2
- GAP analysis IEC 62443: evaluación de madurez, definición de zonas y conductos, establecimiento de Security Levels Target
- Análisis de riesgos OT con metodología basada en IEC 62443-3-2 y escenarios de amenaza específicos para entornos industriales
- Oficina Técnica GRC-OT: desarrollo del corpus documental de seguridad para programas IACS – políticas, procedimientos, normas, registros
- Adecuación a NIS2 para operadores de servicios esenciales en entornos industriales
Mi diferencial
No audito sistemas que no entiendo. Los he construido, programado y puesto en marcha durante dos décadas antes de dedicarme a protegerlos.
Cuando analizo un riesgo en una instalación, no estoy leyendo una norma en abstracto. Estoy viendo la planta, los equipos, el proceso y las consecuencias reales de cada decisión. Sé lo que pasa cuando un PLC pierde comunicación con el HMI en mitad de un batch, porque lo he vivido. Y sé por qué ese controlador lleva 15 años sin un parche – porque probablemente yo habría tomado la misma decisión en su momento.
Esa es la diferencia entre aplicar una checklist y entender de verdad lo que estás protegiendo.
Formación
- Ingeniería Superior Industrial – Electromecánica (UPC)
- Ingeniería Técnica Industrial – Química Industrial (UPC)
- Ingeniería Técnica Informática – Sistemas (UOC)
- Máster en Industria 4.0 (UOC)
- Máster en Ciberseguridad (UCAM / Telefónica-ElevenPaths)
- Máster Profesional en Ciberseguridad Industrial (CCI)
Certificaciones
- Lead Auditor ISO/IEC 27001
- Categoría Profesional Nivel Negro – CPN (Centro de Ciberseguridad Industrial)
Actividad sectorial
- Expresidente del Grupo de Trabajo de Ciberseguridad del Col·legi d’Enginyers Industrials de Catalunya (EIC)
- Miembro CPN del Centro de Ciberseguridad Industrial (CCI)
- Ponente en Tizona Conf. 2022 (Burgos) – «Desmitificando OT, tocado y hundido» + Taller «Auditando OT»
- Ponente en 8.8 Real 2022 (Santiago de Chile) – «Sistemas de Control Industrial inseguros por naturaleza»
Por qué este blog
He decidido compartir lo que veo en proyectos reales de ciberseguridad industrial, sin filtros. Después de años trabajando en silencio, creo que toca contribuir al sector con experiencias prácticas, no con teoría de manual.
Aquí encontrarás reflexiones sobre lo que funciona y lo que no en la protección de entornos OT, análisis de IEC 62443 desde la trinchera, opiniones sobre NIS2 y CRA, y las lecciones que solo se aprenden pisando planta.
Si trabajas en ciberseguridad industrial o gestionas la seguridad de entornos OT, espero que este espacio te resulte útil. Y si quieres contactar, estoy en LinkedIn o puedes escribirme desde la página de contacto.