Podcast: La transición energética: ¿rápida, limpia… y cibersegura?

Josh Flanagan: 

Hola a todos y gracias a nuestros oyentes de todo el mundo. Bienvenidos al podcast «El Futuro en Foco» de LRQA. Mi nombre es Josh Flanagan, y hoy exploraremos uno de los mayores desafíos que enfrenta la transición energética actual: cómo lograr sistemas energéticos que no solo sean rápidos y limpios, sino también seguros y resilientes.

Me acompañan Howard Hughes, Director General de Ciberseguridad de LRQA, y Fotis Kampouris, Vicepresidente Ejecutivo para Asia Pacífico. Howard y Fotis, gracias por acompañarnos.

En este episodio, analizaremos la magnitud y el ritmo de los programas globales de transición energética, desde la energía eólica marina y el hidrógeno hasta la energía nuclear y la transformación de la red eléctrica. Exploraremos cómo la creciente digitalización está cambiando el panorama de riesgos, por qué la infraestructura energética se está convirtiendo en un objetivo cibernético cada vez más frecuente y si las organizaciones pueden, de manera realista, avanzar con rapidez sin comprometer la seguridad. También veremos qué implica un buen liderazgo y una supervisión eficaz en este ámbito, y por qué el cumplimiento normativo por sí solo ya no es suficiente cuando se construyen activos que deben operar de forma segura durante décadas.

Empezaremos contigo, Fotis. Ayúdanos a ilustrar el panorama para nuestra audiencia. ¿Podrías describir brevemente algunos de los proyectos energéticos más importantes del mundo actualmente? ¿Dónde se concentra el mayor dinamismo y cómo influye la actual volatilidad geopolítica en el desarrollo de estos proyectos?

Fotis Kampouris: 

Hola Josh, gracias por la invitación. Es una pregunta excelente y muy relevante para la situación actual. Al analizar la situación global, la magnitud de la actividad es extraordinaria. Estamos viendo enormes plantas solares y eólicas marinas en China, India, Oriente Medio y Australia, junto con importantes inversiones en interconexión de redes y almacenamiento, porque todos sabemos que generar electricidad sin transmisión crea un cuello de botella diferente.

Al mismo tiempo, como has visto en las noticias, la energía nuclear está resurgiendo, sobre todo en Europa, Estados Unidos y algunas partes de Asia, mientras que el hidrógeno y el carbono siguen pasando de ser meras aspiraciones a proyectos reales, con proyectos en desarrollo para apoyar la industria pesada y la seguridad energética.

Lo que ha cambiado es que la transición energética ya no es una cuestión de descarbonización; se está convirtiendo en una cuestión de seguridad energética. Gobiernos e inversores se preguntan de dónde provienen los componentes y equipos críticos, cuán dependientes son de rutas de suministro vulnerables y si el sistema puede seguir funcionando en un entorno geopolítico más fragmentado.

La tendencia se está haciendo evidente: necesitamos proyectos más grandes, más rápidos y más conectados, pero en un mundo mucho más volátil.

Josh Flanagan: 

Gracias, Fotis. Howard, ahora te toca a ti. En muchos casos, estos proyectos llevan tiempo en marcha. ¿Cuándo se empezó a hablar de ciberseguridad y por qué son ahora objetivos cibernéticos de alta prioridad?

Howard Hughes: 

Gracias, Fotis, y gracias, Josh. Tienen razón: estos proyectos no son nuevos en el sector. Lo que ha cambiado en los últimos años son varias cosas.

En primer lugar, la sofisticación de los ciberdelincuentes. Son muy capaces. En algunos casos, si cuentan con el respaldo de un Estado, disponen de presupuesto ilimitado. Cabe suponer que todas las herramientas y técnicas que utiliza una empresa de ciberseguridad también las utilizan los ciberdelincuentes más sofisticados. Así pues, ese es el primer punto: el adversario se ha vuelto mucho más capaz.

En segundo lugar, y existen numerosos ejemplos en todo el mundo, la primera vez que vimos un ciberataque utilizado como parte de una campaña militar más cinética fue con Stuxnet, contra las plantas de refinación nuclear iraníes hace más de una década. Se trató, en efecto, de un arma de tecnología operativa (OT, por sus siglas en inglés) utilizada como parte de una campaña militar y política. Desde entonces, ha ocurrido con regularidad. Si observamos lo que sucede actualmente en Oriente Medio, podemos ver que ciertos aspectos de la campaña cinética en la región cuentan con el apoyo de la ciberseguridad.

El tercer punto —y esto se relaciona con lo que dijo Fotis— es que vivimos en un mundo mucho más interconectado. La combinación de energías renovables y tradicionales debe estar interconectada; la gente quiere compartir la energía a través de la red. Con esa conectividad, y la interconexión con otras redes, habrán oído hablar de la "superficie de ataque": la superficie de ataque se amplía. El objetivo es mayor. Cuando no existía la interconexión, cuando las redes estaban fragmentadas, los ciberdelincuentes tenían que atacar individualmente a las empresas generadoras o distribuidoras de energía. Ahora, con mucha más interconexión, si atacas una red, podrías estar atacando toda la energía que esa red distribuye.

Así que, tiempos interesantes. He mencionado la tecnología operativa (OT) un par de veces. Es algo que LRQA hace actualmente. Si tuviera que hacer una crítica, sería que no la difundimos lo suficiente, y deberíamos hacerlo. Hoy realizamos pruebas de OT, y en el futuro buscaremos realizar la monitorización de OT y otros aspectos relacionados con la tecnología operativa.

Josh Flanagan: 

Gracias, Howard. Hemos visto la rapidez con la que los acontecimientos geopolíticos, incluida la reciente inestabilidad en Oriente Medio, pueden perturbar los mercados energéticos y la infraestructura. ¿Cómo debería esto replantear la forma en que las organizaciones conciben la resiliencia a largo plazo en la transición energética, especialmente para los activos que necesitan operar de forma segura durante décadas? Fotis, empezaré contigo; luego, Howard, por favor, comparte un par de puntos sobre ciberseguridad.

Fotis Kampouris: 

En efecto, Josh, mencionaste que estos activos deben operar durante diez, veinte, treinta o incluso cincuenta años, si consideramos el entorno nuclear. La reciente inestabilidad en Oriente Medio nos ha recordado que los sistemas energéticos están expuestos a amenazas tanto físicas como digitales. A menudo diseñamos estos activos para la eficiencia y la producción, pero no siempre para la resiliencia, y ese es el desafío, ya que estos sistemas deben operar de forma segura durante muchos años para garantizar la estabilidad energética.

Ahora, la resiliencia debe integrarse desde el principio, algo que antes no sucedía. Esto implica diversificar los proveedores, analizar críticamente las dependencias más fuertes, mejorar la visibilidad de las cadenas de suministro y comenzar a incorporar la resiliencia digital en el modelo operativo, como mencionó Howard anteriormente. Nuestra mentalidad debe pasar de la optimización a la durabilidad, y quienes comiencen a diseñar estos sistemas de esta manera serán los ganadores. Ahí es donde entra en juego el contexto estratégico de la ciberseguridad y la ciberresiliencia, y cómo trabajamos con nuestros clientes en este ámbito. ¿Howard?

Howard Hughes: 

Gracias, Fotis. Gran parte del problema radica en la cultura organizacional: la visibilidad en la junta directiva. No se trata de diseñar, construir e implementar algo, y luego añadir la seguridad.

Una de las cosas que LRQA puede hacer con nuestros clientes es ayudarlos a comprender conceptos como la seguridad desde el diseño, donde se integra la seguridad en la red en cada etapa del diseño, o los siete pilares del modelo de confianza cero, donde se evalúa cada capa del diseño y se garantiza que cada una de ellas sea segura.

Por lo tanto, lo primero es la cultura y la concienciación: desde la alta dirección, a nivel de la junta directiva, hasta todos los niveles. El 96 % de las brechas de seguridad exitosas el año pasado a nivel mundial se debieron al fraude por correo electrónico. Alguien hace clic en una tarjeta de regalo falsa de Amazon (hay otras tarjetas de regalo disponibles) en su correo electrónico; piensan que es inofensivo, pero de repente tienen malware en su computadora, lo que abre puertos en la red. Así que, cultura, concienciación y capacitación son fundamentales.

Otro aspecto importante es que, dada la rapidez con la que los ciberdelincuentes adoptan la tecnología, es casi imprescindible adoptar una mentalidad específica, y es una mentalidad inquietante. Recomiendo a quienes conversen con clientes que partan de la premisa de que se producirá una brecha de seguridad y que el ciberdelincuente tendrá éxito. Por lo tanto, la pregunta es: ¿qué medidas tendríamos que tomar si sufriéramos una brecha? Recuperación, respuesta a incidentes, práctica de planes de recuperación ante desastres y continuidad del negocio. ¿Cuántos de nuestros clientes realizan simulacros de alta calidad en salas de juntas como parte de un ejercicio de recuperación ante desastres? La ciberseguridad forma parte de ello.

Así pues, se producen cambios de mentalidad a medida que los adversarios se vuelven más sofisticados, que hay más y que gran parte de esto está patrocinado por estados. Hay que asumir que contarán con herramientas y profesionales de primer nivel en esos grupos de ciberdelincuentes. Hay que prepararse para cuando se produzca una brecha de seguridad, en lugar de asumir que la defensa tendrá éxito.

Desde una perspectiva de ventas, he mencionado otras prácticas, como simulaciones y marcos de trabajo para juntas directivas, por ejemplo, el marco NIST. Si no se sabe qué se considera un buen desempeño, es importante evaluar la situación en comparación con un referente reconocido en la industria. Es fundamental realizar pruebas periódicas, tanto externas (pruebas de penetración tradicionales) como desde la perspectiva del adversario. Consideremos el concepto de "red teaming", donde un equipo se infiltra, simula ser el adversario y pone a prueba las defensas.

En resumen, existen prácticas que implementamos hoy en día y que pueden ser útiles no solo para la industria energética, sino para toda nuestra clientela.

Josh Flanagan: 

Perfecto, gracias Howard. A medida que avanzamos con las preguntas, es importante hablar sobre por qué este puede ser un tema bastante complejo. En los grandes programas de transición energética, ¿dónde suele pasarse por alto el riesgo cibernético, quiénes son los más expuestos y por qué? Fotis, te lo explicaré más adelante.

Fotis Kampouris: 

Esa es una buena pregunta. A lo largo de mi experiencia, he participado en numerosos proyectos energéticos y debo decir que este aspecto suele pasarse por alto en las primeras etapas, cuando el programa aún se analiza de forma aislada, como un ejercicio de ingeniería, adquisición y entrega, en lugar de como un activo operativo de larga duración. Como dijimos al principio, estos activos deben permanecer en servicio durante veinte, treinta, cuarenta, cincuenta años o más.

Los equipos de ingeniería están bajo presión para actuar con rapidez. Los presupuestos se someten a un escrutinio exhaustivo. Todas las decisiones importantes de diseño y proveedores se definen antes de que entren en juego los requisitos de ciberseguridad. Aquí es donde LRQA puede brindar apoyo con nuestras soluciones en materia de evaluación de proveedores, gestión de la cadena de suministro y calidad y seguridad, ya que podemos analizar todos estos elementos de forma independiente y ayudar a los diferentes compradores o proveedores a mitigar el riesgo.

Las organizaciones más expuestas suelen ser aquellas con una propiedad fragmentada. Con frecuencia, una parte diseña, otra adquiere y otra integra. En ese entorno, todos dicen que la ciberseguridad es importante, pero nadie asume la responsabilidad; se la dejan al responsable final, que normalmente es el propietario. Este es el reto para mí. El problema no es la ignorancia, sino que la ciberseguridad no se trata como un riesgo fundamental en la entrega del servicio. Y la ciberseguridad debe convertirse en un riesgo secundario.

Josh Flanagan: 

Excelente. Hemos hablado de algunos de los errores que cometen las organizaciones, pero sería bueno analizar cómo es una buena supervisión. Howard, te cedo la palabra primero.

Howard Hughes: 

Gracias. Pondré un ejemplo reciente: no se trata de una empresa energética, sino de un programa de ciberseguridad de infraestructura nacional, aún crítico, en una gran empresa de transporte.

Su junta directiva comenzaba las reuniones con una sesión informativa sobre seguridad, seguida de una sobre ciberseguridad. Literalmente, lo segundo que hacía la junta era una sesión informativa sobre ciberseguridad: ¿qué amenazas existen hoy en día? ¿Hemos sufrido alguna brecha de seguridad en el último período de presentación de informes? No se trataba de una cuestión posterior a las finanzas ni a las métricas operativas, sino de una prioridad absoluta. Seguridad, ciberseguridad, luego finanzas, personal, ventas, etc. Así que hay algunos cambios culturales. Preguntaste cómo se ve un buen programa: ese es uno de ellos. Empezar por la cultura.

En el proceso presupuestario, tradicionalmente la ciberseguridad se ha considerado como una cuestión secundaria. La mejor práctica es integrar la ciberseguridad en un programa de transformación desde el principio. No se trata solo de un uno por ciento de los ingresos, o cualquier otra métrica que se pueda utilizar, sino de: ¿cuánto nos cuesta mantener este sistema seguro? ¿Cuánto nos cuesta mantener nuestras operaciones en marcha para que, idealmente, no suframos una brecha de seguridad, pero si la sufrimos, se active la continuidad del negocio y podamos seguir prestando servicio a nuestros clientes?

Añadiría un último punto: informes a nivel de junta directiva, visibilidad constante, tanto de lo bueno como de lo malo. No hay que temer a las señales de alerta. Nos han pedido que elaboremos muchos informes a nivel de junta directiva con un nivel de detalle muy preciso; la junta quería conocer los detalles de la última brecha de seguridad. Así que se trata de un cambio cultural, un cambio de mentalidad, pero es perfectamente factible, y somos el tipo de empresa que busca asociarse con proveedores de energía para ofrecer esa capacidad.

¿Qué opinas, Fotis? ¿Algo más que quieras añadir?

Fotis Kampouris: 

Gracias, Howard. Has abordado muy bien el aspecto de la cultura y la responsabilidad. Quizás añadiría la competencia, ya que los riesgos evolucionan tan rápido que resulta muy difícil contar con todos los expertos y especialistas necesarios internamente. Aquí es donde LRQA puede intervenir, con nuestra ventaja de gestión de riesgos integrada a lo largo de todo el ciclo de vida —desde el diseño y la adquisición hasta las operaciones y la evolución— para acompañar al cliente y ayudarle a comprender lo que sucede a diario.

Josh Flanagan: 

Gracias, es una perspectiva muy valiosa. Una conclusión importante es que esto puede resultar bastante abrumador para ciertas empresas y ciertos proyectos. En lo que respecta a la ciberresiliencia, ¿por dónde sería un buen punto de partida para quienes nos escuchan, Howard?

Howard Hughes: 

Tradicionalmente —y sigue siendo cierto— se elige un marco de cumplimiento y se evalúa su desempeño en función de él. Estos marcos existen desde hace mucho tiempo. NIST es una buena base de evaluación. ISO 27000 también lo es. Elija uno, evalúese según esas métricas y cuente con el apoyo de su equipo.

Tradicionalmente, se configuraba un sistema y se probaba. Se decía: "Voy a realizar cuatro pruebas de penetración este año. Voy a realizar una búsqueda de vulnerabilidades este año". Un área donde se está produciendo esta transformación en la industria es la necesidad de pensar de forma continua. Debemos acertar todos los días; el atacante solo necesita acertar una vez. Si un atacante patrocinado por un Estado quiere infiltrarse en un sistema, solo necesita acertar una vez. Nosotros debemos acertar todos los días.

Por lo tanto, es importante la monitorización continua de la superficie de ataque: revisar su infraestructura de forma continua en lugar de realizar pruebas solo unas pocas veces al año o una prueba de penetración cada trimestre. Considere un enfoque continuo para la monitorización.

Quienes hayan visto las noticias en las últimas dos semanas sobre los últimos modelos lanzados por Anthropic, Mythos, a través del programa Glasswing, descubrieron vulnerabilidades en redes de infraestructura nacional críticas con más de veinte años de antigüedad.

Parte de esto es simplemente higiene básica. Si encuentras un problema en tu infraestructura, debes solucionarlo ese mismo día, a esa hora, en ese mismo minuto, porque está expuesta, y si tú la encontraste, puedes estar seguro al 100% de que el atacante también la encontrará.

Luego, la práctica de simulación. Una vez que hayas alcanzado un nivel de conformidad adecuado y tengas una hoja de ruta para seguir mejorando, simular continuamente brechas de seguridad en tu sistema es fundamental. Contrata a una empresa externa como LRQA para que piense en lo impensable. No realices un ataque tradicional; piensa en un ataque ligeramente diferente que quizás no hayas considerado y practícalo una y otra vez.

Estas serían algunas de las mejores prácticas que sugiero que analicemos.

Josh Flanagan: 

Gracias a ambos por sus valiosas aportaciones. Para concluir: ¿cuál es, en su opinión, el cambio de mentalidad que las organizaciones deben adoptar para proteger la transición energética? Empezaremos contigo, Fotis.

Fotis Kampouris: 

Antes de hablar de la organización, quisiera ir un poco más allá. La transición energética es la fase de crecimiento más fundamental a la que nos dirigimos, y también necesitamos el apoyo de los gobiernos. Los gobiernos deben simplificar y conectar mejor los diferentes marcos normativos, porque, cuando hablamos de una red en torno a la ciberseguridad, pensemos en una red eléctrica entre Francia y el Reino Unido, o entre Japón y Corea: las diferentes regulaciones y estándares dificultan enormemente la conexión y la comunicación en un mismo idioma. Por lo tanto, necesitamos ese tipo de cambio en el marco regulatorio, por parte de los gobiernos y las diferentes instituciones reguladoras.

En lo que respecta a las organizaciones, para avanzar a esa velocidad, deben empezar a tratar la ciberseguridad y la resiliencia como algo que debe solucionarse ahora, en lugar de implementarse posteriormente. Debe formar parte de la prestación de servicios desde el primer día. El coste de un error en ciberseguridad puede ser perjudicial: se puede perder energía, se pueden interrumpir las cadenas de suministro y, lo que es más importante, se puede sufrir un daño a la reputación. Hemos visto lo que ha ocurrido en Oriente Medio y los problemas que ha generado en las últimas semanas.

Para mí, el cambio de mentalidad es muy sencillo: velocidad y seguridad no son prioridades contrapuestas. Debemos actuar con rapidez, pero también debemos recordar que vivimos en un mundo muy volátil, y la resiliencia es lo que nos permite hacerlo.

Howard, te cedo la palabra.

Howard Hughes: 

Estuve tentado de mencionar la cultura nuevamente —creo que es fundamental para mí—, pero elegiré otra cosa: el ritmo al que hay que avanzar. Supongamos que los actores de amenazas patrocinados por estados y organizaciones criminales tienen un presupuesto ilimitado. No necesitan asistir a reuniones ni pedir permiso. Encuentran un objetivo, cuentan con las herramientas y técnicas adecuadas, y quieren actuar con rapidez.

Por lo tanto, se trata de encontrar un socio como LRQA, integrarlo a su ecosistema y permitir que LRQA le ayude a avanzar con agilidad. No espere al próximo trimestre para instalar su nuevo servidor de correo. No espere al próximo año para presupuestar el reemplazo de sus firewalls. No dé por sentado que realizar cuatro pruebas de penetración al año es un buen resultado; eso era lo que se consideraba bueno en la década de 1990. Ahora debe pensar: "Voy a realizar una prueba mañana".

Acabamos de lanzar las pruebas de penetración con IA, que utilizan un agente para realizar pruebas de forma más eficaz, rápida y ágil, con muy poco o ningún preaviso; en otras palabras, "Quiero una prueba mañana", en lugar de programarla para el mes que viene. Se trata de explicar a nuestros clientes la urgencia de esta situación, porque cada día que pasan es un día más en que el ciberdelincuente realiza reconocimientos en su red, creando malware personalizado, potencialmente una vulnerabilidad de día cero nunca antes utilizada, contra la cual sus defensas no podrán protegerse.

Para mí, todo se reduce a la cultura y al ritmo del cambio.

Josh Flanagan: 

Gracias a ambos. Con esto concluimos el episodio de hoy. Gracias por compartir sus ideas y gracias a todos por escuchar.

Hoy hemos explorado cómo la transición energética no es solo una cuestión de velocidad y escala, sino también de resiliencia. A medida que los sistemas energéticos se vuelven más interconectados y están más expuestos a riesgos geopolíticos y cibernéticos, las organizaciones deben considerar la ciberseguridad como una prioridad fundamental desde el primer día, no como algo secundario.

Si desea obtener más información sobre cómo LRQA ayuda a las organizaciones a gestionar el riesgo a lo largo del ciclo de vida de la transición energética y sobre nuestra oferta de ciberseguridad, visite lrqa.com o póngase en contacto con nosotros.

Gracias por escuchar y nos vemos en el próximo episodio.