La ciberseguridad es la segunda gran preocupación de las empresas españolas, solo por detrás de los riesgos de operaciones y por delante de la cadena de suministro y los riesgos reputacionales (con los que está muy relacionado también), según el Instituto Nacional de Ciberseguridad (INCIBE). Prueba de ello es que este organismo reportó 31.540 incidencias de ciberseguridad en empresas españolas en 2024: mientras las incidencias que afectaron a ciudadanos particulares crecieron en un año un 12%, las sufridas por las empresas se incrementaron en un 43%. Pero ¿qué pasa si ponemos el foco en uno de los sectores estratégicos de nuestra economía como es el energético?
Pues que a este escenario se suman los desafíos específicos del sector. El sector de la energía, los recursos naturales y los productos químicos (ENRC) es uno de los sectores más críticos, interconectados y expuestos a riesgos cibernéticos y está sujeto a una serie de requisitos regulatorios intrincados en torno a la tecnología, la ciberseguridad y el medio ambiente, como la Directiva NIS2, la normativa NERC CIP, la Ley 8/2011 y el Real Decreto 43/2021 en materia de ciberseguridad de infraestructuras críticas y el Reglamento de Inteligencia Artificial (RIA).
“Y, claramente, los CISO deben cumplir con estas normativas mientras enfrentan el espectro de desafíos geopolíticos y crecientes ataques cibernéticos, que pueden tener consecuencias devastadoras para la organización, sus grupos de interés y la sociedad en general”, asegura Eduardo González, socio responsable de Energía y Recursos Naturales de KPMG en España.
Es por ello que, en este entorno, los CISO deben adoptar una actitud proactiva y estratégica para impulsar la conciencia digital de sus equipos a niveles cada vez más altos. Porque, según el informe Consideraciones sobre ciberseguridad para 2025, el 70% de los CEO del sector ENRC prevé que el cibercrimen y la inseguridad cibernética impactarán en la prosperidad de sus organizaciones en los próximos tres años.
En este sentido, “los CISO deberán ir un pasó más allá porque, con la convergencia de la tecnología de TI y la tecnología operativa (OT), los CISO se enfrentan al reto de proteger todo el ecosistema tecnológico. Pero, además de su rol de liderazgo estratégico, deberán comenzar a romper los silos que tradicionalmente ha habido entre TI y OT y asegurar que estos equipos trabajan conjuntamente para construir una resiliencia duradera”, afirma Javier Aznar, socio de Technology Risk y Ciberseguridad de KPMG en España.
Esta responsabilidad ampliada exige un nuevo conjunto de habilidades: los CISO deben comunicar eficazmente el impacto empresarial de la ciberseguridad a la alta dirección, asegurar presupuestos adecuados y fomentar una cultura de resiliencia que permee en toda la organización. En este sentido, hay señales de cambio positivo en cómo la ciberseguridad se está integrando más en las organizaciones: el 59% de las organizaciones afirma que la ciberseguridad se tiene en cuenta desde las primeras etapas de planificación del proceso de toma de decisiones para la inversión en tecnología.
Por otro lado, debido al mayor escrutinio regulatorio y la importancia estratégica de la ciberseguridad, los CISO tienen más presión que nunca para lograr resultados sólidos de ciberseguridad en las organizaciones. Pero también es cierto que las funciones que tradicionalmente han desempeñado los CISO, ahora están cada vez más dispersas y hay varios aspectos de la seguridad y la privacidad que ahora caen bajo la supervisión de otros líderes empresariales, como el director de Seguridad (CSO) para la seguridad física y el fraude, la infraestructura de TI para la seguridad perimetral y la gestión de identidad y acceso (IAM), y el Director de Datos (CDO) para la privacidad.
Con todo ello, el papel del CISO está preparado para un cambio profundo y pasar de ser el único guardián de la ciberseguridad a convertirse en el arquitecto de un marco de seguridad resiliente y ágil. Y, en este sentido, el mayor apoyo de la alta dirección en la inversión continua en ciberseguridad es realmente útil: el 72% de los CEO del sector señaló que han aumentado su inversión en ciberseguridad para proteger las operaciones y la propiedad intelectual.
Una mayor inversión que ha venido provocada también por el auge de los dispositivos y productos inteligentes que ha transformado la red eléctrica moderna en una extensa red interconectada de sensores y software, lo que exige un cambio radical en la forma en que los CISO de las empresas del sector energético abordan la seguridad de los dispositivos digitales.
Por ejemplo, “los sistemas de control, sensores, contadores, controladores lógicos programables o PLCs (por sus siglas en inglés), inversores y conversores, redes de comunicación, Remote Terminal Units (RTUs), etc -que a menudo cuentan con capacidades de seguridad limitadas- pueden convertirse en puntos de entrada accesibles a los sistemas de tecnología operativa heredados, lo que incrementa considerablemente la superficie de ataque potencial. Y, ante ello, el enfoque de seguridad necesario para que estos dispositivos cumplan con los requisitos básicos es muy diferente de los métodos utilizados hace tan sólo una década”, recuerda Eduardo González, socio responsable de Energía y Recursos Naturales de KPMG en España.
Así, “los CISO deben considerar ahora todo el ciclo de vida de estos productos inteligentes, desde el diseño y el desarrollo hasta la implantación y el mantenimiento. Las estrategias de seguridad deben tener en cuenta la cadena de suministro y el ecosistema en los que operan estos dispositivos”, sostiene Javier Aznar, socio de Technology Risk y Ciberseguridad de KPMG en España.
Además, con la introducción de normas reglamentarias como la NIS2, la Ley de Ciberresiliencia (CRA), el Reglamento de IA y la ISA/IEC 62443, las compañías tienen que cumplir con los nuevos requisitos y, al mismo tiempo, hacer frente a los posibles impactos. Además, las tendencias geopolíticas, como las mencionadas anteriormente y el aumento de las alianzas entre naciones y grupos activistas, siguen afectando a la seguridad de los productos digitales y ampliando la superficie de ataque de las infraestructuras críticas. En cualquier caso, los CISO deben estar preparados para estas dinámicas y adaptar sus estrategias en consecuencia.
De nuevo, la evolución del panorama normativo refuerza la necesidad de contar con estrategias de ciberseguridad para salvaguardar tanto los activos físicos como los digitales. Al dar prioridad a la resiliencia, las organizaciones del sector energético pueden reducir las vulnerabilidades y seguir siendo sólidas desde el punto de vista operativo frente a ciberamenazas sofisticadas.
A través de esta postura, los CISO pueden (y deben) posicionarse como habilitadores estratégicos del negocio, porque protegen el núcleo de las operaciones críticas y al mismo tiempo viabilizan la transformación digital, regulatoria y sostenible del sistema energético. En lugar de solo «defender», el CISO debe habilitar con visión de negocio y resiliencia digital.
Deja un comentario