«Hay que tener en cuenta los condicionantes de seguridad desde el diseño«

Después de trabajar en varias consultoras, siempre alrededor del sector energético, en el año 2002 entró en Unión Fenosa, integrada después con Gas Natural en Gas Natural Fenosa y, en la actualidad, Naturgy. Ha dirigido las áreas de Gestión de Aplicaciones e Infraestructuras en varios negocios del Grupo. Para Jesús Sánchez, esta experiencia de trabajo en TI, con un enfoque claro en Negocio, es clave para poder desarrollar una función como la de ciberseguridad. “El entendimiento y alineamiento con el negocio, potenciando su concienciación e implicación, es fundamental”.

¿Qué particularidades presenta el sector de la energía en cuanto a seguridad?

Nuestro sector es, en una buena parte de sus actividades, un servicio esencial para la sociedad. La disponibilidad de nuestros servicios es crítica, tal y como se ha demostrado en numerosas ocasiones, también en estos últimos tiempos. Por ello, históricamente contamos con una cultura muy arraigada en todo lo relacionado con la seguridad de las operaciones. Este ha sido el germen que ha propiciado que la cultura de ciberseguridad haya calado en nuestros negocios, en especial en aquellos que tienen una mayor importancia para la sociedad y que son de mayor sensibilidad para nuestros clientes.

Además, lógicamente, como servicio esencial estamos sometidos a una legislación y a un marco regulatorio bien definido, lo que ha servido también para impulsar el desarrollo de la ciberseguridad en el sector energético, tal y como ya ha sucedido en otros como el de banca y las telecomunicaciones.

¿Ha cambiado la percepción acerca de la ciberseguridad y de su incidencia en ámbitos como la continuidad del negocio o la reputación?

No cabe duda. Las empresas siempre tienen un foco muy importante en todo aquello que conlleva un riesgo, y el de ciberseguridad se está demostrando que es muy frecuente y puede causar mucho daño. De hecho, durante los últimos años, prevenirlo se ha convertido en algo prioritario para las compañías, en especial para las grandes empresas, que han llevado este tema a sus órganos de dirección. Es más, dichas empresas han desarrollado esta función como respuesta a un riesgo que es creciente, como demuestran los constantes incidentes y ataques sufridos por compañías y organismos públicos en todo el mundo.

Que todos tengamos una cultura y concienciación en ciberseguridad es un elemento primordial

Por ejemplo, el World Economic Forum coloca las amenazas cíber entre los cinco mayores riesgos para la economía mundial, y las grandes corporaciones lo tenemos mapeado como un aspecto clave. Por esta razón, lo reportamos a nuestros stakeholders e inversores como una línea de trabajo relevante en el aseguramiento de nuestras operaciones, nuestros resultados y nuestra reputación.

¿Cuál debe ser el rol del CISO en este escenario?

El papel que desempeña es fundamental, especialmente en la necesaria concienciación y sensibilización de los Comités de Dirección, así como en la integración de la seguridad en los procesos y las operaciones o la interiorización por parte de las personas. El responsable de seguridad tiene que ser alguien muy involucrado con los negocios, debe entenderlos y saber explicar los riesgos en los que pueden incurrir y las medidas que hay que poner en marcha para mitigarlos. Todo ello utilizando el mismo lenguaje que emplean tanto ellos como sus comités de dirección.

Esto mismo tiene también su derivada en las personas, en cada uno de los empleados y colaboradores (internos y externos) de las compañías. Todas las estadísticas coinciden: más del 90% de los ciberincidentes se producen por un fallo humano. Que todos tengamos una cultura y concienciación en ciberseguridad es un elemento primordial, tanto en la vigilancia como en la defensa y la respuesta ante estos incidentes.

En lo que respecta al global de la organización, el rol de ciberseguridad no puede ser algo centralizado: tiene que estar muy extendido, permear y tener representación en todas las áreas de negocio.

La ciberseguridad debe trabajar unida a TI y ser un acompañamiento clave, tal y como ocurre en los procesos de digitalización

Además, es también muy importante la relación con el área de TI. Hay que tener en cuenta que la ciberseguridad es una disciplina eminentemente tecnológica y, en mi experiencia, debe trabajar muy unida a TI y ser un acompañamiento clave, tal y como ocurre en todos los procesos de digitalización. Por ejemplo, en Naturgy lo tenemos integrado —ciberseguridad está dentro de TI— y este es un modelo que se está imponiendo cada vez más.

¿Ha cambiado el modo de prepararse y responder ante los ataques?

Ha evolucionado todo: los ataques, su frecuencia, su peligrosidad y sus técnicas; y todo ello, además, avanzando hacia un creciente nivel de sofisticación y efectividad. Por esa razón es clave que la ciberseguridad se “digitalice” y que podamos contar con tecnologías como la automatización o la robotización, o el uso de big data, inteligencia artificial o cloud. De lo contrario, sería imposible responder a las amenazas actuales y las futuras.

En Naturgy procesamos miles de eventos (información que es útil a efectos de seguridad) por segundo, y eso es imposible hacerlo sin tecnología y sin digitalizar los procesos de vigilancia, detección, protección y respuesta.

¿La seguridad se gestiona de forma interna o contáis con partners externos especializados?

Es imposible que una empresa tenga todos los profesionales de ciberseguridad en cada una de las disciplinas y especialidades. En Naturgy contamos con un magnífico equipo de ciberseguridad, tanto en cada uno de los negocios como también en la corporación, pero, lógicamente, nos apoyamos en partners externos. Por un lado, en las grandes compañías tecnológicas y de consultoría, que nos ayudan sobre todo en los servicios gestionados y en temas más estratégicos, y, por el otro, en proveedores de nicho muy especializados. Precisamente, en este contexto España ha desarrollado bastantes capacidades y existen ya varias compañías líderes y competitivas a nivel nacional e internacional.

Además, creemos también mucho en la generación de alianzas con socios, de tal forma que podamos cubrir un expertise lo más completo posible y logremos generar cada vez más conocimiento y talento cíber en nuestra compañía.

En cualquier caso, en este ámbito es muy importante reseñar el enorme gap que existe entre las necesidades de las compañías en cuanto a perfiles de ciberseguridad, tanto de las empresas cliente como de las consultoras, y la oferta real que se puede encontrar en el mercado. Precisamente, la Estrategia Nacional de Ciberseguridad, Orden de 26 de abril de 2019 aprobada por el Consejo de Seguridad Nacional, identifica este tema como uno de sus cinco objetivos clave y lo desarrolla en sus líneas de acción prioritarias.

¿Qué papel tienen las personas dentro de vuestra estrategia de seguridad?

Para nosotros las personas son clave, son la primera línea de defensa ante las ciberamenazas. Ningún plan de ciberseguridad debe obviar este tema, que tiene que ser la prioridad principal. De hecho, nosotros, internamente, contamos con la experiencia de gente concienciada que ha resultado fundamental a la hora de parar un incidente o incluso un ataque.

Para nosotros las personas son clave, son la primera línea de defensa ante las ciberamenazas

En Naturgy trabajamos tres aspectos clave en este ámbito. Por un lado, le damos mucha importancia a la formación, buscamos que sea muy práctica y dirigida, y fácil de entender por parte de las personas que la reciben. Recientemente hemos completado un ciclo de formación, por el que han pasado todos los empleados y que forma parte del pack de cursos corporativos que se ha de realizar, y ahora estamos en una segunda vuelta.

El segundo aspecto clave está relacionado con la concienciación, que tratamos que sea constante, aunque sin aburrir a la gente. La idea es ofrecer píldoras periódicas a los empleados, buscando para ello aquellos momentos que son más adecuados y en los que las personas estamos más sensibles.

El tercer ámbito de actuación es el desarrollo de simulaciones a través de ejercicios, tanto individuales como en grupo, de actuación ante incidentes. Hablamos de ataques ficticios en los que los empleados pueden ver qué ocurre si entra un correo determinado, si se actúa de una u otra forma…  Esto es algo muy cercano y que impacta mucho en las personas.

¿Cómo está incidiendo la explosión de IoT y la evolución de la tecnología operacional?

Hay que tener en cuenta que los sectores de la electricidad y el gas son pioneros en el uso de IoT y de la sensorización. Es una disciplina que, para nosotros, empezó hace muchos años y que con la digitalización no ha hecho más que acrecentarse.

Llevamos sensorizando nuestra red y nuestros activos desde hace décadas y esto ha hecho que asumamos la explosión del IoT como un paso más de evolución. Durante todo este tiempo se ha ido integrando la sensorización en el negocio de una forma ordenada, y la ciberseguridad ha acompañado desde el principio a estos procesos.

Se dice que el IoT acrecienta los ciberriesgos, pero no es así. Lo que hay que hacer es tener en cuenta los condicionantes de seguridad desde el diseño de estos procesos, y esto se aplica también a todo lo relacionado con la digitalización. Esa es nuestra cultura en el mundo industrial: diseñamos pensando en la ciberseguridad.

Uno de los grandes retos es la gestión de la ciberseguridad en proveedores o intervinientes en la cadena de suministro

Este es un tema clave. Tradicionalmente, la ciberseguridad se ha visto como algo aislado, pero realmente no es así, debe estar presente en toda la cadena de suministro. Aquello que desarrolles de forma interna debes tenerlo también en cuenta con tus proveedores, con los productos y servicios que compras. Las empresas deben considerar la ciberseguridad en la cadena de suministro como parte intrínseca de su ciberseguridad.

Hay un gap muy importante en cuanto a los perfiles de seguridad disponibles y las necesidades de las compañías

En este ámbito, nosotros vemos tres vías de actuación. Por un lado la concienciación, teniendo en cuenta a todas las personas que de una forma u otra colaboran en tus procesos y forman parte de tu cadena de suministro, sean empleados de la compañía o no. Otro punto es la definición de marcos contractuales que establezcan responsabilidades e implementen las políticas de seguridad necesarias en cada fase de la cadena.

El tercer ámbito es el relacionado con la certificación de ciberseguridad de productos y servicios, como ya existe en otras disciplinas o sectores críticos, como, por ejemplo, el sanitario. Dada la creciente complejidad de las cadenas de suministro, es necesario automatizar las mediciones y evaluaciones específicas, con el objetivo de valorar en todo momento la situación de riesgos de ciberseguridad en la cadena de suministro.

¿Habría que fomentar más la cooperación en todo lo relacionado con la ciberseguridad?

Este es un punto clave y en el que todavía queda mucho por avanzar. La cooperación transversal entre compañías, organismos públicos y privados, nacionales e internacionales, es un elemento prioritario en la lucha contra las ciberamenazas y por un mundo digital más seguro. Un magnífico ejemplo de por dónde debemos ir lo constituyen iniciativas como el Foro Nacional de Ciberseguridad, de reciente creación. Este espacio de colaboración ha logrado integrar a muchos agentes, tanto del ámbito público (la Administración y los organismos de ciberseguridad públicos) como del privado (a través de organismos y asociaciones empresariales que las representan).

Es muy positivo que las empresas puedan compartir información y experiencias, y establecer mecanismos de colaboración e iniciativas conjuntas, ya que puede aportar mucho a todos los intervinientes, incluyendo a las pequeñas y medianas empresas, donde todavía existe un gran déficit de capacidades en el ámbito cíber.

Otro ejemplo importante es ISMS Forum, donde realizamos una gran labor en ámbitos como la formación, colaboración, compartición de experiencias y conocimientos en los últimos avances y desarrollos en materia de seguridad de la información. Ya contamos con más de 1250 profesionales y 250 empresas asociadas, y organizamos un gran número de eventos que gozan de un gran prestigio a nivel nacional e internacional.

Estamos allí donde haya una necesidad o inquietud en este sector, y esa labor, en una disciplina como esta, donde queda tanto por hacer, es muy reconocida por la comunidad.