Asegurar el suministro energético es, sin duda, uno de los grandes desafíos de la humanidad. Su generación, distribución, consumo y máximo aprovechamiento, dentro de un modelo sostenible, plantean grandes desafíos en los ámbitos de la ciencia y la innovación. Una tendencia imparable del sector energético, y del conjunto de la industria, es la digitalización y la posibilidad de introducir inteligencia, haciendo un uso intensivo de las TIC.
Hoy vemos la aplicación de dispositivos masivamente conectados (Internet of Things) tanto en las esferas de los procesos industriales de producción como de gestión del punto de consumo. El Big Data se aplica en ámbitos tan distintos como la optimización de procesos o la gestión de la relación con el cliente, todo ello sobre recursos de procesamiento y almacenamiento elásticos y accesibles, en la nube.
En ocasiones, esta nueva realidad se resume en el concepto de “Smart Energy”, con elementos como la “Smart Grid” o los “Smart Meters” Además de la optimización de todo aquel proceso industrial involucrado, se busca llegar a ofrecer la oferta más personalizada posible a cada tipo de cliente, ofreciéndoles un mejor servicio, seguramente más económico y, al mismo tiempo, otorgándoles más poder de decisión que nunca. Gracias a esta relación con los clientes, las empresas industriales están adquiriendo una componente de servicio cada vez más importante.
La misma realidad bajo otra óptica: el escenario de riesgos de una organización más digitalizada se ve radicalmente alterado. La ciberseguridad emerge como un asunto para ser considerado al más alto nivel de las organizaciones. Ahora, gran parte de los procesos de generación de valor van a depender de la información. La disponibilidad, confidencialidad e integridad de los datos son críticas.
Por otro lado, hay riesgos regulatorios crecientes. El energético comparte con otros sectores el hecho de atesorar datos en cantidades crecientes, sometidos a una regulación de privacidad cada vez más restrictiva, sobre todo en el ámbito europeo. La aplicación del reglamento GDPR es inminente. Pero también se aproxima una nueva regulación para proveedores de servicios estratégicos (directiva NIS), que se superpone al ya mucho más maduro entorno regulatorio para la protección de las infraestructuras críticas donde, por razones obvias, el sector energético ha sido uno de los protagonistas.
En términos genéricos, se considera que el nivel actual de riesgo cibernético en el sector energético (electricidad, gas, petróleo y nuclear) es alto, debido a que ya se ha demostrado que la amenaza del ciberataque es real y que las medidas efectivas de ciberprotección frecuentemente no están tan maduras como sería deseable, sobre todo en las instalaciones y redes industriales. Véase el caso reciente de alguna central eléctrica ucraniana.
En este escenario, la ciberseguridad debe facilitar el desarrollo de las actividades del sector energético y de la vida de unos ciudadanos tan dependientes de él, en unos niveles de riesgo aceptable, trabajando fundamentalmente en tres frentes:
– Prevención: estar lo más preparados posible ante las amenazas existentes, por ejemplo, mediante una adecuada gestión de las vulnerabilidades, que son las que aprovechan los atacantes para materializar su amenaza.
– Contención: poder minimizar al máximo el impacto de un ataque, por ejemplo protegiendo el dato industrial en los centros de control.
– Recuperación: para poder restablecer la normalidad lo antes posible después de una contingencia sufrida, con las metodologías y procedimientos de gestión de incidentes que la compañía energética puede desplegar por sus propios medios, o solicitar ayuda a los centros de respuesta ante incidentes nacionales e internacionales.
El reto es mayúsculo para toda la industria. El sector energético puede preciarse de haber sido uno de los más proactivos y, en este momento, más maduro en el contexto industrial. Pero sin duda, no cabe bajar la guardia. En ausencia de movimiento, los riesgos no hacen sino crecer. La ciberseguridad es un proceso, una carrera continua que las organizaciones deben mantener acompañados de los mejores socios. Afortunadamente para ellos la industria nacional de ciberseguridad tiene un alto nivel, y puede ser, sin duda, un excelente compañero de viaje.
Luis Fernando Alvarez-Gascón Pérez
Director General GMV Secure e-Solutions
