Compañías de la industria energética registran una importante expansión digital de sus operaciones. Junto a los beneficios que implica ello, comprende también un crecimiento del riesgo ante los ataques cibernéticos, señalan expertos de Deloitte y PWC. ¿Qué deben hacer las empresas del sector para responder a este nuevo entorno? Expertos participarán en el 1er. Congreso Cyber Security for Energy 2019 este 18 de noviembre.
El sector Energía a nivel global pasa por una agresiva transformación digital. Las empresas de este rubro introducen nuevas tecnologías en sus procesos, con lo que buscan hacer más eficiente y ágil sus operaciones de generación, transmisión o distribución de energía. Esto, pese a sus importantes beneficios, también ha dado lugar a un aumento del riesgo de sufrir un ataque cibernético.
“Hoy, hay una imperiosa necesidad de implementar soluciones o productos digitales en la industria de Energía, por lo que, de hecho, las energías actuales son más abiertas, se conectan más, están inmersas en el mundo del Internet: es como estar abriendo la puerta de tu casa a la ciberdelincuencia”, indica Alexander García, sostiene el director de Ciberseguridad y Privacidad en PWC.
Antiguamente las redes industriales eran cerradas y no permitían conectarse a internet, sostiene García; pero eso ha cambiado.
Así, en un entorno más interconectado, las redes industriales del sector Energía han reportado en los últimos años un aumento en ataques cibernéticos a causa de esta digitalización, indica por su parte el Partner-Risk Advisory de Deloitte Spanish Latin America, Christiam Garratt.
Garratt sostiene que, debido a la cantidad de dispositivos conectados en las redes, el riesgo de sufrir ciberataques crece, ya que “estos dispositivos para redes industriales no fueron diseñados para ser seguros necesariamente, sino para ser rápidos y brindar alta disponibilidad”.
“El entorno digital actual y altamente conectado nos lleva a que se realice una gestión de los ciber riesgos punta a punta en la cadena de suministro”, comenta el experto.
Recuerda que el incidente más relevante ocurrió en el 2010, cuando Stuxnet (un gusano informático) atacó la planta nuclear iraní. Desde ese entonces, indica, “cada vez las organizaciones se han dado cuenta la importancia de la gestión de ciber riesgos en entornos industriales”.
De acuerdo con el experto de Deloitte, las las intrusiones e infecciones de malware a las redes industriales pueden ocurrir de diferentes maneras, dos de las más comunes es mediante técnicas de ingeniería social como phishing y software desactualizado
Estrategia, el mejor aliado
El experto en ciberseguridad de PWC Perú asegura que actualmente las empresas energéticas, a su vez que invierten agresivamente en tecnología de la información, lo complementan con considerables inversiones en ciberseguridad. Asimismo, indica que hay un buen promedio de empresas de Energía en la región y en Perú que cuentan con funciones y expertos en ciberseguridad.
“Es imprescindible que haya una correspondencia adecuada entre inversión digital e inversión en ciberseguridad”, recomienda.
Asimismo, resalta que más que la inversión, lo importante es que esta vaya acompañada de una estrategia. “Lo más importante es que la ciberseguridad tenga un rol estratégico en la operación del negocio”, dice. “Si eres una empresa de energía que va a implementar mucha tecnología y eso va a ser crítico para el negocio, debe tener una estrategia de ciberseguridad fuerte”, agrega.
Un paso adelante
Christiam Garratt, de Deloitte, considera que todas las empresas deben tener las capacidades de poder identificar a tiempo las amenazas. “Estar un paso adelante con las medidas proactivas permite permite a la organización estar preparada antes de que un ataque se concrete”, dice.
Asimismo, indica que es clave que se cuente con un procedimiento de respuesta ante incidentes cibernéticos y recursos necesarios.
“En caso ocurriera algún incidente, este podrá ser contenido y lograr una pronta recuperación de los servicios brindados por la organización”, señala.
Para Garratt, cambiar la manera en que se ve la ciberseguridad es importante. “El modelo de seguridad en capas es una buena práctica, adicional a ello se debería dejar el pensamiento de asegurar solo el perímetro; el perímetro es importante, pero una vez vulnerado, los controles también deben estar en los dispositivos finales”, asegura.
Ambos expertos serán parte del 1er. Congreso Cyber Security for Energy, evento organizado por Perú Events que se llevará a cabo este lunes 18 de noviembre en el Sonesta Hotel El Olivar.
Datos clave:
-Los impactos en un empresa de Energía pueden ser el robo de datos, fraude financiero, interrupción del servicio, afectación de infraestructura, reputación, financiero, etc.
-Upstream/downstream. Una empresa que genera energía puede paralizar su producción, lo que implica pérdida de dinero y contratos incumplidos que pueden provocar demandas penales. Una empresa que distribuye energía puede verse impactada por la interrupción del servicio.