El camino hacia la resiliencia: La gestión de los riesgos cibernéticos

El rol crítico que juega el sector energético en las economías modernas, con una mayor interconexión y digitalización, con el surgimiento de las redes y dispositivos inteligentes, hacen que este sector sea un blanco muy atractivo para los ciberataques que pueden resultar en la interrupción de la operación de la infraestructura, llevando a grandes pérdidas financieras y económicas o incluso a la pérdida de vidas y daños ambientales masivos. La arquitectura cambiante del sector energético permite una mayor cantidad de puntos de entrada para los ataques cibernéticos.

Los riesgos cibernéticos incluyen daños físicos e intangibles y pueden causar:
Daño físico consiste:
Es la infección del software, que puede conducir a la manipulación de los controles para interrumpir la operación de la maquinaria crítica y conducir a interrupciones del suministro, especialmente en la industria de la energía.

Los ataques cibernéticos pueden afectar los activos y los recursos informáticos, impactando la integridad y disponibilidad de la tecnología y de la información para la operación.

El daño no físico incluye:
•    Corrupción de datos (introduction de cambios no deseados a los datos originales), que conduce a una interrupción de las operaciones.
•    Robo de propiedad intelectual, que podría ser vendida a los competidores, extorsión o amenaza de extorsión.
•    Robo de información privada / financiera – que es una violación de la privacidad,
como la información de propiedad empresarial, proyecciones financieras de la compañía, pronósticos, estrategia de negocios, etc.

El reporte ilustra el rápido crecimiento de los riesgos cibernéticos resaltando ataques pasados y posibles escenarios de ataques futuros, así como las implicaciones en reclamos a los aseguradores. Recomienda acciones que los tomadores de decisiones y partes interesadas pueden tomar de manera individual y colaborativamente para mejorar la respuesta del sector a los crecientes problemas cibernéticos, como parte de un amplio movimiento hacia una mayor resiliencia.
“Lo que hace a las amenazas cibernéticas tan peligrosas es que pueden pasar desapercibidas hasta que se perciban los daños reales producto del robo de datos, apagones o destrucción de activos físicos y grandes pérdidas financieras. Esperamos que, en los próximos años, los riesgos cibernéticos aumentaran aún más y cambiaran la forma en que pensamos sobre la infraestructura integrada y el manejo de la cadena de suministro.”  Cristoph Frei, Secretario General, Consejo Mundial de Energía.

Resultados claves del reporte

1.    Las amenazas cibernéticas están entre las preocupaciones “top” de los lideres energéticos, especialmente en los países con infraestructura muy madura, como en Europa y en los Estados Unidos.  En estas regiones, se está reconociendo cada vez más la importancia de considerar los ataques cibernéticos como una de las principales amenazas a la continuidad del negocio y la necesidad de crear una cultura de concientización cibernética a escala de la organización, que se extienda más allá de los departamentos tradicionales de TI.

2.    El incremento de la interconexión y la digitalización del sector energético (incluyendo redes y aparatos inteligentes y la internet de las cosas) y su rol critico en el funcionamiento de una economía moderna hacen que el sector sea un objetivo atractivo para los ciberataques dirigidos a suspender las operaciones. Aunque la digitalización incrementa la eficiencia operacional en la industria, la creciente interconexión también complejiza la gestión del riesgo cibernético.

3.    El riesgo cibernético presenta una preocupación única en el sector energético porque un ataque sobre la infraestructura energética tiene el potencial de cruzar desde el ámbito cibernético hasta el mundo físico (un ataque cibernético podría causar, por ejemplo, una falla operacional masiva de un activo de energía). Grandes estructuras centralizadas están especialmente en riesgo debido al potencial daño por “efecto dominó”  que un ataque contra una planta nuclear, de carbón o de combustible fósil podría causar.

4.    Vendedores de tecnología pueden desempeñar un rol crítico en la promoción, o dificultando, la resiliencia de las infraestructuras energéticas. Estas empresas deben garantizar que entregan tecnologías con estándares de seguridad incorporados en sus productos. Sin esto, los sistemas de control industrial (ICS) y de supervisión y adquisición de datos (SCADA) pueden agravar el riesgo cibernético y aumentar la vulnerabilidad al ataque, de las operaciones energéticas.

5.    Cada vez más, las empresas reconocen el riesgo cibernético como central, no hay suficiente intercambio de información entre la industria, y en todos los sectores, sobre experiencias cibernéticas. Mejorar el intercambio de información en el sector y entre las partes interesadas públicas y privadas, permitiría una mayor comprensión del impacto del riesgo en las empresas de energía y en el sector en su conjunto. Adicionalmente, la percepción de los empleados de las vulnerabilidades cibernéticas debe incluirse como parte de una estrategia eficaz de seguridad cibernética. El error humano es a menudo un factor clave en el éxito de los ciberataques, debido a la insuficiente conciencia del riesgo cibernético entre el personal en todos los niveles de la organización.

6.    El seguro cibernético es un mecanismo para ayudar a compensar las potenciales pérdidas económicas de un ataque cibernético. Sin embargo, la industria de seguros debe continuar desarrollando instrumentos para abordar las pérdidas, potencialmente catastróficas, y la complejidad del riesgo cibernético. En la medida en que emerge y evoluciona el riesgo, disponemos de datos históricos limitados relacionados; por lo que se ha restringido la maduración del mercado de seguros cibernéticos. Sin embargo, el proceso de solicitar un “ciber seguro”, en sí mismo, es a menudo beneficioso para las empresas, ya que las obliga a evaluar sus prácticas cibernéticas.

Recomendaciones claves del reporte

Todas las partes interesadas deben desempeñar un rol activo en la gestión del riesgo cibernético.
●  Empresas de energía: deben reconocer los riesgos cibernéticos como un riesgo central para el negocio, aumentar la conciencia sobre estos y construir estrategias robustas, para enfrentarlos, que incluyan aspectos técnicos y de capacitación de los empleados. Adoptar un marco común de ciberseguridad en el sector puede ayudar a identificar las áreas claves para estos riesgos y aquellos sistemas que deben ser protegidos prioritariamente. Esto asegurará que una comunidad energética más amplia, esté incluida en las medidas de resiliencia

 ●     Compañías de tecnología pueden jugar un rol innovador. Deben incorporar características y consideraciones de seguridad al desarrollar las tecnologías y trabajar con el sector de la energía para utilizar las últimas tecnologías para monitorear la naturaleza de los ciberataques.

● Gobiernos: los responsables de las políticas públicas deben apoyar fuertes respuestas de las empresas a los riesgos cibernéticos estimulando la incorporación de estándares o imponiendo regulaciones específicas. Sin embargo, la regulación y los requerimientos de información no deberían ser demasiado complejos para este riesgo tan dinámico. Deben apoyar que se comparta la información entre países, sectores y dentro de la industria e igualmente, mejorar la cooperación internacional para establecer marcos de referencia para la seguridad cibernética. Las entidades reguladoras deben garantizar que los costos de las inversiones en ciberseguridad también se reflejen en la tarifa.

●  Aseguradoras y sector financiero: deben adaptar la cobertura para hacer frente a la evolución continua del ciberiesgo. El sector debe estar informado sobre la constante evolución de los desarrollos tecnológicos, ya que estos entregan información sobre los riesgos asegurados. Ellos deben monitorear la cobertura de los riesgos cibernéticos con los productos de seguros existentes y adaptarlos cuando fuera necesario, por ejemplo, por medio de precios o limitándolos y centrándose en la gestión de los nuevos riesgos que surjan, desarrollando productos de seguros apropiados y entendiendo mejor como los riesgos cibernéticos afectan sus actuales portafolios. Por lo tanto, deben monitorear la evolución de los riesgos cibernéticos y enfocarse en el diseño de los mecanismos para manejar los riesgos actuales y emergentes.

Además, deben ayudar a las compañías a mejorar la forma en que se registran y cuantifican los riesgos cibernéticos. Por último, el sector financiero y el de seguros deben responder a la evolución de las necesidades de la ciber-regulación.

● Asociaciones de industriales deben apoyar y estimular compartir la información y la adopción de las mejores prácticas, realizar evaluaciones por pares y colaborar con las empresas y el sector para desarrollar una cultura cibernética robusta y activa.

Construyendo resiliencia a las amenazas cibernéticas

La historia de los ciberataques demuestra que las empresas no pueden enfrentarse a la ciberdelincuencia por sí solas. Todas las partes interesadas deben trabajar conjuntamente en 4 áreas para abordar eficazmente los riesgos cibernéticos:

1.     Factores técnicos y humanos.
2.     Compartir información sobre riesgos cibernéticos.
3.     Evaluación de riesgos y cuantificación.
4.     Desarrollar estándares y mejores prácticas.

Los riesgos cibernéticos están aquí para quedarse y los ataques seguirán creciendo en frecuencia, sofisticación y daño. Las empresas deben considerar la gestión de los riesgos cibernéticos de la misma forma que cualquier otro riesgo empresarial.

Las empresas de energía deben adoptar un enfoque proactivo continuo de la resiliencia cibernética que vaya más allá de simplemente evitar o cerrar las brechas en la seguridad. De hecho, es de su mejor interés construir una resiliencia de toda la organización a las amenazas cibernéticas.

Tradicionalmente, la resiliencia cibernética se ha centrado en la tecnología para crear protección. Estas medidas incluyen controles tecnológicos, minimización de superficies de ataque, detección y prevención de intrusos, de software malicioso y encriptamiento. La resiliencia tradicional también debe ir acompañada de un enfoque para mitigar la creciente sofisticación de los ciberataques modernos.

La mitigación de los riesgos cibernéticos será siempre un desafío, y no es posible construir una ciberseguridad perfecta. Sin embargo, pasar de un “enfoque único de tecnología” a un “enfoque de toda la organización” protegerá de mejor manera los sistemas de energía de los riesgos cibernéticos. Las empresas deben desarrollar una respuesta organizacional a la resiliencia, que utilice tanto la tecnología como la intuición humana para reconocer y responder a los ataques cibernéticos. Por lo tanto, incrementar la resiliencia a los riesgos cibernéticos requiere la aplicación de soluciones tecnológicas tradicionales y controles humanos, pero debe guiarse por una estrategia de gestión del riesgo cibernético.

Las empresas deben centrarse en la educación, la capacitación y en las comunicaciones corporativas regulares para asegurar que todos los empleados tengan un alto grado de conciencia sobre el riesgo cibernético. Muchas, si no la mayoría, de las brechas cibernéticas pueden ser rastreadas hasta el error humano. Por ejemplo, se estima que más del 90% de los ciberataques exitosos se lanzan a través de campañas de “phishing” (suplantación de identidad). Los empleados deben estar capacitados para mantener prácticas adecuadas de gestión de los riesgos cibernéticos, ya que suelen estar en mejores condiciones para identificar posibles ataques cibernéticos.

Las simulaciones periódicas de eventos cibernéticos, por ejemplo, son procesos críticos para probar y mejorar las capacidades de respuesta de una organización. El desarrollo de una ciberseguridad robusta, de la cultura y los comportamientos propios de la conciencia cibernética, dentro y entre las organizaciones, es clave para aumentar la resiliencia a las amenazas cibernéticas.

La ciberseguridad debe integrarse en los planes de negocios y en las actividades operacionales desde el principio, más que como una reflexión posterior.