8 minutos de lectura 30 set. 2021

Cyber criminals are targeting the P&U sector, which has been made more vulnerable by COVID-19 disruption, according to a recent EY survey.


            Olas golpeando en el muelle

Cómo pueden adaptarse los CISO de las empresas de energía y servicios públicos para hacer posible un futuro digital

Por Alex Campbell

EY EMEIA Cybersecurity, Associate Partner

Asesor de ciberseguridad para grandes organizaciones. Líder de pensamiento en confianza digital. Amante del vino. Padre de dos hijos.

Colaboradores
8 minutos de lectura 30 set. 2021

Los ciberdelincuentes tienen como objetivo el sector de energía y servicios públicos, que se ha vuelto más vulnerable por la disrupción del COVID-19, según un reciente estudio de EY.

En resumen
  • Los CISO del sector de energía y servicios públicos están más preocupados que nunca por la amenaza de la ciberseguridad.
  • La mitad de los encuestados advierten que sus presupuestos no son suficientes para cubrir los desafíos que han surgido en los últimos tiempos.
  • A medida que los actores de las amenazas lanzan ataques cada vez más sofisticados, los CISO intentan posicionarse como facilitadores de la transformación.

Un ciberataque contra la red eléctrica o el suministro de agua puede paralizar la sociedad. Desde que comenzó la pandemia de COVID-19, y el cambio al trabajo remoto e híbrido dio a los actores de las amenazas nuevas vías para explotar, los equipos de ciberseguridad del sector de energía y servicios públicos han estado en máxima alerta.

Según la última Encuesta Global sobre Seguridad de la Información (GISS, por sus siglas en inglés) de EY, más de la mitad (53%) de los líderes de ciberseguridad en energía y servicios públicos nunca han estado tan preocupados como ahora por su capacidad para gestionar la amenaza.

Tienen buenas razones para sentirse inquietos. El ataque al sistema eléctrico ucraniano, que dejó a miles de personas sin electricidad a temperaturas bajo cero en 2016, fue una primera señal de lo que está por venir. En Europa, durante los primeros meses del primer aislamiento por COVID-19, los hackers utilizaron la cadena de suministros para infiltrarse en los sistemas de IT de las empresas alemanas de electricidad, agua y energía. Más recientemente, en febrero de 2021, los ciberdelincuentes accedieron a una planta de agua de Florida, cambiando los niveles químicos del agua, antes de ser detectados. De hecho, según la GISS, solo en los últimos 12 meses, 8 de cada 10 CISO en energía y servicios públicos han visto un aumento de los ataques disruptivos, el más alto entre todos los sectores de nuestra encuesta.

Los CISO están bajo presión para gestionar el riesgo de ciberseguridad y ayudar a mantener un servicio ininterrumpido que depende en gran parte de su capacidad para integrar la seguridad por diseño. Sin embargo, según la GISS de este año, su trabajo se está viendo considerablemente dificultado. La culpa la tienen tres factores: unos presupuestos que no han estado a la altura de la amenaza cambiante, una percepción anticuada de la ciberseguridad en la empresa y la creciente sofisticación de los ciberdelincuentes.

La financiación del cibernética no está a la altura de las necesidades

Los líderes de ciberseguridad en energía y servicios públicos tienen dificultades para conseguir los recursos que necesitan. Uno de cada dos (50%) señala que está trabajando con presupuestos insuficientes para gestionar los desafíos de ciberseguridad que han surgido en los últimos 12 meses. Un más modesto 42% de los líderes de otros sectores, en promedio, comparten la misma preocupación.

El problema no es que las finanzas y el equipo ejecutivo subestimen la importancia de la ciberseguridad. "Las juntas directivas entienden ahora que la ciberseguridad es un riesgo clave, pero eso no se traduce necesariamente en que liberen presupuesto adicional", afirma Kris Lovejoy, EY Global Consulting Cybersecurity Leader. "En parte, esto se debe a que ha habido un fallo por parte de algunos responsables de seguridad a la hora de articular claramente cómo afrontar el aumento del riesgo de ciberseguridad".

Las juntas directivas entienden ahora que la ciberseguridad es un riesgo clave, pero eso no se traduce necesariamente en que liberen presupuesto adicional.
Kris Lovejoy
EY Global Consulting Cybersecurity Leader

En la actualidad, los encuestados están buscando ahorros y tomando decisiones difíciles. Entre los que dicen que su presupuesto es insuficiente para sus necesidades, el 55% afirma que se ha visto obligado a revisar las arquitecturas heredadas y a identificar oportunidades de reducción de costos, y la mitad (49%) ha reducido sus actividades de innovación para centrarse en tareas no estratégicas (véase la figura 1).


            Gráfico GISS PU 1

El resultado es una profunda consternación: casi la mitad (43%) de los líderes de ciberseguridad en energía y servicios públicos creen que es sólo cuestión de tiempo que su organización sufra una brecha importante que podría haberse evitado si hubiera recibido una inversión adicional. Esta proporción es más alta que en los otros sectores encuestados, donde, de media, el 37% de los líderes cree que la falta de financiación está haciendo que una brecha sea inevitable.

Los equipos de ciberseguridad son vistos como adversarios y no como socios

Una ironía desagradable para los CISO de este sector es que cuanto más carecen de fondos, más se les exigen responsabilidades. Más de la mitad (59%) de los encuestados afirman que la ciberseguridad está siendo más examinada que nunca.

Una explicación sencilla podría ser que la empresa no confía en las capacidades de la función, independientemente del nivel de presupuesto que reciba. Sólo el 45% de los encuestados creen que su equipo de dirección ejecutiva describiría la ciberseguridad como "protegiendo a la empresa". Mientras que en otros sectores, una media del 61% confía en que obtendrían este respaldo.

Parte del problema podría ser que la ciberseguridad rara vez se ve como un socio estratégico. Menos de la mitad (46%) de los encuestados del sector confían en la capacidad del equipo de ciberseguridad para hablar el mismo idioma que sus compañeros en la empresa. Sólo el 31% cree que se les considera partidarios de la innovación.


            Gráfico GISS PU 2

La falta de compromiso entre los equipos de ciberseguridad y las funciones clave, por ejemplo, RR.HH., desarrollo de productos e I+D, es evidente en la debilidad de su relación. Sólo el 12% describe su relación con el desarrollo de productos e I+D como de alta confianza y consulta; la cifra cae al 7% cuando se trata de sus interacciones con las líneas de negocio, que incluirían a aliados críticos como logística, ingeniería y producción.

En ausencia de fuertes vínculos con el negocio, es probable que haya poca comprensión de cómo la ciberseguridad podría desempeñar un papel positivo en la transformación o digitalización de la tecnología operativa (OT, por sus siglas en inglés). Y, en un entorno en el que los presupuestos son ajustados, las juntas directivas están dando prioridad a las funciones en las que hay una ruta clara desde la inversión hasta el valor añadido.

El adversario es más fuerte y más imprevisible

Las empresas de servicios públicos se enfrentan a una amenaza más amplia y sofisticada que en el pasado. La mayoría de los encuestados nos dicen que han visto un aumento en el número de ataques disruptivos en el último año (véase la figura 3), y el 40% advierte que los hackers están experimentando constantemente con nuevas estrategias, como dirigirse a los eslabones débiles de la cadena de suministros, que pueden anular los sistemas de seguridad establecidos.


            Gráfico GISS PU 3

El aumento de los ataques puede explicarse en parte por la disrupción de la pandemia. El World Economic Forum ha advertido, por ejemplo, que los atacantes están apuntando específicamente al sector de energía y servicios públicos porque creen que es nuevamente vulnerable debido a los impactos de COVID-19, como el paso al trabajo a distancia.

Otro desafío es que el sector se ha embarcado en un viaje masivo de transformación digital en los últimos años, con las empresas de energía y servicios públicos conectando IT con OT para modernizar la infraestructura y controlar sus plantas y redes. Como explica Clinton Firth, EY Global Cybersecurity Lead, Energy: "La transformación digital crea nuevas y poderosas oportunidades pero, al fusionarse los diferentes entornos, la superficie de ataque aumenta. Eso está causando mucho estrés".

La transformación digital crea nuevas y poderosas oportunidades pero, al fusionarse los diferentes entornos, aumenta la superficie de ataque. Esto está causando mucho estrés.
Clinton M. Firth
EY Global Cybersecurity Lead, Energy

En algunas áreas, la convergencia hace que el entorno sea más complejo de proteger, proporcionando a los atacantes millones de puntos de entrada potenciales. El despliegue de contadores inteligentes y las iniciativas de hogares conectados son ejemplos de ello.

Además, los grupos delictivos más sofisticados y con más recursos comprenden el potencial del ransomware en una industria en la que los cierres operativos pueden convertirse rápidamente en una emergencia nacional. Los grupos patrocinados por el Estado también ven en los ciberataques a las infraestructuras críticas de sus rivales un arma poderosa. De hecho, el 40% de los líderes del sector de servicios públicos creen que actores afiliados al Estado están detrás de las brechas que han sufrido, en comparación con sólo el 24% de los CISO de otros sectores que dicen lo mismo.

Cómo pueden responder los líderes de energía y servicios públicos

Para tener éxito en un entorno interno y externo desafiante, los CISO de servicios públicos necesitan tomar medidas, integrar la seguridad por diseño y considerar el riesgo y la seguridad desde el principio.

Hacer un caso más amplio para la financiación

Los actores de la amenaza han comenzado a atacar el sector con una frecuencia cada vez mayor, explotando la justificada preocupación por cualquier interrupción del suministro de energía o agua de la población. La investigación sugiere, sin embargo, que la financiación de la ciberseguridad no ha estado a la altura del creciente riesgo.

En la actualidad, los responsables de ciberseguridad de este sector dicen que citar la reducción de riesgos y las amenazas emergentes es su forma preferida de justificar nuevos fondos (42%). A medida que aumentan los ataques, deben destacar la importancia de la respuesta y la recuperación, además de la prevención, para construir un argumento más amplio para los recursos. "Hay que aceptar que va a haber ataques y que algunos tendrán éxito, por lo que el argumento comercial es un presupuesto que va más allá de la prevención", explica Firth.

Actualizar el lenguaje y los puntos de referencia de ciberseguridad

Las funciones de ciberseguridad se esfuerzan por establecer relaciones estrechas en toda la empresa – a menudo entre los equipos de ingeniería que supervisan los sistemas y datos operativos más críticos. Para superar estas diferencias no basta con aprender a utilizar una terminología y unos marcos de referencia específicos, sino que también hay que reconocer que existen culturas distintas en diferentes sectores de la empresa.

Firth sugiere que los CISO adopten múltiples perspectivas para tender puentes. "El problema es que muchos CISO se formaron en el ámbito de IT, y hoy en día existe un choque de paradigmas entre IT y OT", explica. "Por un lado, tienes a los ingenieros centrados en la disponibilidad y la seguridad, en sistemas que potencialmente tienen décadas de antigüedad. Por otro lado, hay un CISO que les insta a parchear el sistema de inmediato por cuestiones de confidencialidad e integridad. Es un verdadero punto de tensión".

Por un lado, tienes a los ingenieros centrados en la disponibilidad y la seguridad, en sistemas que potencialmente tienen décadas de antigüedad. Por otro lado, tienes a un CISO que les insta a parchear el sistema de inmediato por cuestiones de confidencialidad e integridad. Es un verdadero punto de tensión.
Clinton M. Firth
EY Global Cybersecurity Lead, Energy
Preparar la respuesta a través de una huella creciente

Las empresas de energía y servicios públicos se enfrentan a un desafío específico del sector para proteger IT y OT a medida que estos sistemas convergen. Pero muchos CISO del sector también están preocupados por las vulnerabilidades de las actividades de aprovisionamiento de su organización: El 44% afirma que la solución de las nuevas vulnerabilidades en la cadena de suministros es una de sus principales prioridades. El trabajo a distancia es otro problema, ya que el 43% de los líderes de ciberseguridad de energía y servicios públicos priorizan las medidas para abordar el riesgo introducido por los cambios que les impone COVID-19.

El sector es un objetivo atractivo por el impacto que un ataque tiene en la sociedad. De este modo, actores sofisticados patrocinados por el Estado tienen como objetivo el sector, y la función de ciberseguridad tendrá que luchar para competir con adversarios como estos. Los CISO necesitan asumir que sus organizaciones serán atacadas, y asegurarse de tener un plan de respuesta a incidentes bien ensayado que involucre a la cadena de suministros antes de que el ataque ocurra.

Hoy en día, los hackers están explotando las vulnerabilidades del sector más que nunca, y los CISO deben asumir que el ritmo de los ataques no hará más que aumentar. Si son capaces de superar las barreras a las que se enfrentan en torno a la seguridad por diseño, los CISO no solo pueden minimizar la disrupción de estos ataques, sino también construir una reputación como facilitadores estratégicos de la digitalización.

Resumen

Ante la creciente amenaza de la ciberseguridad, los CISO de energía y servicios públicos se ven frenados por varios desafíos, como unos presupuestos que ya no son adecuados para su finalidad, una reputación anticuada entre los socios comerciales y los nuevos enfoques de los ciberdelincuentes. Si toman medidas ahora, pueden convertirse en facilitadores de un futuro seguro y digitalizado.

Acerca de este artículo

Por Alex Campbell

EY EMEIA Cybersecurity, Associate Partner

Asesor de ciberseguridad para grandes organizaciones. Líder de pensamiento en confianza digital. Amante del vino. Padre de dos hijos.

Colaboradores