El director del Global Cyber Fusión Center de Iberdrola, Andoni Valverde, ha manifestado en una entrevista a Empresa XXI que “los fundamentos regulatorios de seguridad que se implantan en Europa son positivos, pero deben garantizar que no entorpezcan la innovación”
Foto:
> Iberdrola es pionera en la gestión de ciber amenazas. ¿Es ya un riesgo global?
Sí, por supuesto. Iberdrola está inmersa en una constante modernización y creación de nuevos servicios que se basan en elementos de infraestructura que dependen de equipos digitalizados, incluidos los vehículos eléctricos, la generación distribuida y las ciudades inteligentes. A medida que ha crecido esta dependencia tecnológica, se ha evolucionado para hacer frente a las nuevas amenazas digitales, y ha traído consigo inversiones y reestructuración de nuestros procesos.
> ¿Cuáles son las principales amenazas en la actualidad?
El ciber crimen es una de las principales amenazas del mundo digitalizado. En el País Vasco, igual que en el resto del planeta, las cifras continúan en auge cada año. El ramsomware, el robo de información, así como las estafas de ingeniería social son los factores de riesgo más destacables.
> ¿Cómo afecta al sector energético?
La infraestructura eléctrica es una infraestructura crítica. Sin una generación, transmisión y distribución confiables de electricidad, otras partes de la economía no pueden funcionar. Nuestro cometido es un servicio de entrega del suministro en tiempo real, su interrupción permite la propagación de efectos en cascada a otras áreas, que puede generar un colapso y un impacto más extenso.
"El compromiso hacia la ciberseguridad es máximo en Iberdrola"
> ¿Qué opinión le merece el marco regulatorio actual en Europa?
Las regulaciones en ciberseguridad varían según el país, y estamos ya acostumbrados a trabajar con distintos marcos. Ahora estamos presenciando cómo Europa da pasos importantes en materia de regulación precisamente en resiliencia y continuidad operacional. La Directiva de Resiliencia es un buen documento de base con la que nos encontramos cómodos en cómo se manejan los conceptos de seguridad integral que aúna estrategias de seguridad física y de seguridad lógica.
> ¿Cómo se regula la amenaza?
En el ámbito ciber, el sector financiero tiene su propia directiva concreta. Para el resto de los sectores, a través de la directiva NIS 2 se establecen, en función de la criticidad de los servicios que prestan, las entidades esenciales y las importantes. Luego, además, el enfoque de riesgos tecnológicos se asocia a un principio de proporcionalidad, ya que no todas las organizaciones son iguales. El reglamento, además, pone gran énfasis en los conceptos de colaboración, desde el entendimiento de que este es un aspecto fundamental para combatir las ciber amenazas hoy día.
> Aun así, Estados Unidos va un paso por delante...
La combinación inversión, competitividad y seguridad en Estados Unidos es un cóctel cuando menos interesante. El país lidera estrategias tecnológicas de vanguardia como fueron el cloud computing dando lugar a ‘nubes’ americanas, el big data creando y/o adquiriendo modelos productos y plataformas analíticas y, ahora, la inteligencia artificial. Una filosofía de progreso con un sentimiento de seguridad nacional que da lugar a la expansión y al control. Los fundamentos regulatorios de seguridad que se implantan en Europa son positivos, pero deben garantizar que no entorpezcan la innovación.
> ¿La ciberseguridad es un factor estratégico para Iberdrola?
Efectivamente. El compromiso hacia la ciberseguridad es máximo en Iberdrola. La estructura de ciberseguridad ha evolucionado para estar mucho más cerca de los negocios con el objetivo de ser una primera línea de defensa próxima al desarrollo de las soluciones desde el primer día, y poder propiciar así un clima y una cultura de seguridad global.
> Es también una ventaja competitiva…
Totalmente. Se trata principalmente de un factor de garantía. La ciberseguridad acaba siendo un indicador de riesgo fundamental a la hora de establecer una relación contractual. La información se comparte, y las redes y las empresas de una forma u otra se conectan. No basta con ser seguro uno mismo, sino que nuestro ecosistema también debe ser seguro a todos los niveles.
> ¿Afecta a toda la cadena de suministro?
Por supuesto. Evaluamos el riesgo de ciberseguridad cuando seleccionamos un producto o servicio concreto, del mismo modo en que evaluamos el riesgo financiero o regulatorio del proveedor o fabricante que lo proporciona. La ciberseguridad es parte esencial de la gestión de riesgos y de la transformación digital de cualquier compañía. En cualquier relación con un tercero es fundamental mantener la confianza.
"Todo nuestro ecosistema debe ser seguro a todos los niveles. Es un factor de garantía."
> ¿Qué es el Global Cyber Fusion Center que usted lidera en Iberdrola?
El Global Cyber Fusion Center es una división del área de ciberseguridad creada para la defensa de todos los activos digitales del Grupo, indistintamente de su localización y del negocio. La misión de CFC es crear un modelo de ‘alianza’ de los equipos de ciber operaciones en el que los mecanismos de protección, detección y respuesta, así como la ciber inteligencia, potencien las capacidades individuales y fortalezcan así al Grupo en la lucha contra cualquier forma de ciber delito o ataque dirigido.
> ¿Cómo opera?
Por medio de modelos de relación entre los equipos de ciberseguridad, CSIRT y SOC de las áreas corporativas y de los negocios en las subholding del Grupo.
> ¿Cómo valora la situación actual del sector de la ciberseguridad en la CAPV?
El País Vasco cuenta con una tradición empresarial más que reseñable en ciberseguridad. Aquí han nacido empresas, startups e iniciativas que han marcado fuertemente el ecosistema del talento, los servicios y los productos de ciberseguridad del panorama actual a nivel nacional e internacional. De acuerdo con la recién publicada tercera edición del Libro Blanco de la Ciberseguridad en Euskadi, el País Vasco sobresale hoy en número de empresas de ciberseguridad por millón de habitantes en comparación con España y Europa.
> ¿La industria vasca está concienciada de los riesgos cyber?
En los últimos años, se han puesto en marcha importantes programas de ayuda, financiación, sensibilización y fortalecimiento de la resiliencia de las empresas locales, logrando reducir el impacto de las ciber amenazas y un mayor nivel de concienciación y de inversión por parte de la industria vasca. Actualmente existe un nivel de concienciación generalizado, aunque hay que seguir trabajando.
> ¿Para una pyme, la inversión necesaria es muy exigente?
Toda empresa, indistintamente del tamaño, necesita proteger sus activos digitales y la información que maneja, la de sus proveedores y, por supuesto, la de sus clientes. Los ataques ocurren todos los días en todos los sectores independientemente del tamaño de las empresas. Con lo incierto de los datos, y es que no todo queda registrado y aún menos denunciado, la mayoría de las empresas que sufren un ciber ataque de ransomware pertenecen al segmento pyme y, como consecuencia, más del 60 por ciento de estas acaba cerrando. Se debe entender que la seguridad no está únicamente al alcance de las grandes compañías y que existen productos y servicios escalables.
> Y aun así existe cierta resistencia…
Es imprescindible un asesoramiento experto, ya que hay empresas especializadas en dotar de seguridad a este segmento. Con servicios acotados, pero bien implantados y gestionados, es posible alcanzar un nivel adecuado de seguridad. Estamos hablando de proteger el correo, los accesos remotos si existen, de sistemas de antivirus modernos, plataformas actualizadas, de copias de seguridad y prácticas de ciber higiene. Todo ello como una actividad bien estructurada, acorde a la empresa, a sus particularidades y al contexto de su negocio.
> ¿Cuál es el papel de las administraciones?
El papel es importante y se está avanzando. Conscientes de lo estratégico de la ciberseguridad en los próximos años y su potencial impacto – con mentalidad defensiva – y también considerándolo una oportunidad – como uno de los elementos tractores de futuro – el Gobierno Vasco ha establecido los fundamentos para aunar esfuerzos y ha inaugurado recientemente la Agencia Vasca de Ciberseguridad, lo que contribuirá a producir inercia en ciberseguridad, profesionales, iniciativas, innovación e inversión.
"Euskadi tiene una buena ‘cantera’ pero el mercado es terriblemente global"
> ¿Cuál es el siguiente paso?
La demanda de profesionales de ciberseguridad podría considerarse uno de los principales retos. Euskadi tiene una buena ‘cantera’ gracias a la visión y el foco que ponen en esta materia los distintos centros educativos. Sin embargo, el mercado es terriblemente global y la competencia por los profesionales muy amplia. La educación y formación en ciberseguridad debe llegar a todos los niveles de las sociedades introduciéndola en edades tempranas, así como ampliando conocimiento de perfiles tecnológicos y no tecnológicos.
> ¿Nuestro talento está preparado para afrontar estos riesgos?
Actualmente, nos encontramos en un momento de procesos y personas. Esto es, desde la comprensión y el contexto de las propias empresas, desarrollar modelos de seguridad transversales a la organización mediante el alineamiento de todas las áreas y departamentos para identificar, proteger, detectar y responder sistemáticamente en tiempo y forma. Y para esto, son indispensables personas bien formadas, que, con su experiencia en ciberseguridad, sean capaces de establecer los procesos y de liderar las estrategias necesarias de cada organización.
> ¿Qué casos de éxito tenemos en el País Vasco?
Siempre pienso en mi trayectoria por S21sec y CounterCraft, que me ha permitido tener compañeros y amigos que se han desarrollado profesionalmente en Euskadi, y que actualmente forman parte de los equipos de ciberseguridad de las empresas del IBEX 35, en proveedores y fabricantes de primer orden nacional e internacional y, por supuesto, en entidades y organizaciones vascas públicas y privadas.
> ¿Y en el ámbito nacional?
El caso de Málaga es, tal vez, de los más sonados, que ha atraído nada más y nada menos que al propio Google, que ha implantado en esta región el centro de ciberseguridad más importante que tiene en Europa. En esta historia no se debe olvidar que quien llamó la atención del gigante tecnológico fue VirusTotal, una startup creada a principios de los 2000 por un emprendedor local.
Todos los derechos reservados Industria y Comunicación S.A.
