Con 6,5 GW de capacidad instalada de generación (3,3 GW de eólica, 2,2 GW de hidroeléctrica y 1 GW de fotovoltaica) Naturgy pasa por ser una referencia del mercado de la energía renovable en España. Con unas previsiones de acabar el año 2024 con alrededor de 8 GW de capacidad instalada operativa, la empresa energética cuida al máximo su estrategia de ciberseguridad, concienciando de ello a través de las numerosas iniciativas que pone en marcha desde su Fundación. Rafael Saorín, CISO de Generación renovable en Naturgy, comparte algunos de sus retos y desafíos en materia de ciberseguridad.
¿Cuáles son los principales retos en materia de ciberseguridad a los que se enfrenta el sector eléctrico, dada la digitalización de sus redes?
La digitalización trae muchos beneficios, pero también muchos nuevos retos asociados. Este es el caso, por ejemplo, de cómo garantizar la calidad de suministro y la producción de Naturgy Renovables teniendo que proteger una superficie de ataque superior a la que teníamos antes. Además, también hay que adaptarse a una regulación que cada vez es más exigente. Tampoco podemos olvidar a la cadena de suministro, que está sometida a los mismos riesgos, y al final la vigilancia de proveedores y su inclusión en procesos de ciberseguridad es otro reto a afrontar. Desde Ciberseguridad tenemos que ser garantes de la digitalización, ser impulsores de la misma, pero en ningún caso ser stopper.
Ha mencionado que se ha ampliado la superficie de ataque, el perímetro ha ido mucho más allá. ¿Cómo afronta su organización esta nueva realidad?
Sí, sí que se ha ampliado. Antes era una caja mucho más cerrada, más estanca, ahora hay mucha más apertura con la conectividad. Le hacemos frente a través de una política de explotar grandes plataformas tecnológicas, maximizando, por ejemplo, el uso de las suites que ofrecen los grandes proveedores, como puede ser Microsoft, por ejemplo. También potenciando mucho el uso de Zero Trust, es una herramienta muy importante en ese sentido; aplicando Inteligencia Artificial (IA) y automatización al servicio de las operaciones de seguridad, sobre todo en el ámbito del SOC, y luego también con el despliegue de tecnología de protección específica para redes industriales. A nivel de lo que es gobierno de la ciberseguridad, incorporando a la ciberseguridad en los proyectos desde el diseño, el security by design, y también vigilando la gestión de la ciberseguridad en nuestra cadena de suministro.
Las suites en entornos cloud, como es el caso de Microsoft 365, son vistas a veces como un potencial riesgo, pero usted lo plantea como un refuerzo de la ciberseguridad…
Microsoft es un líder tecnológico que está apostando por la Ciberseguridad y ofrece soluciones en Cloud tanto a nivel de usuario como a nivel de otras tecnologías que ofrecen a nivel de seguridad. El uso de Cloud ya lo tenemos un poco asumido como una solución habitual. También ten en cuenta que teniendo una solución operativa de Zero Trust, las soluciones cloud enganchan muy bien y se complementan a la perfección. En general, el uso de grandes plataformas, en este caso la de Microsoft, te permite ser mucho más resiliente. De hecho, utilizar grandes plataformas es una tendencia.
¿Cómo plantean esa esa necesidad de ser resilientes?
En seguridad no existe el riesgo cero y están los que han sido atacados y los que lo van a ser. Es necesario asumir que vas a ser atacado con éxito, por muchas herramientas de detección y de protección que implementes. Y ante esa realidad, lo único que puede minimizar el impacto en la continuidad del negocio y es una buena política de resiliencia. En nuestro caso, Naturgy le da mucha importancia a disponer de planes de continuidad, planes de gestión de crisis, procedimientos de recuperación, una buena política de backups… y no solo disponer de los procedimientos, sino también realizar ejercicios y ensayos periódicos que garanticen su éxito.
¿Y cómo encaja la incorporación de la IA, tanto en esa ciberresiliencia como en la ciberseguridad?
Estamos en un estadio temprano. Es un tema incipiente y nosotros principalmente lo estamos enfocando al ámbito del threat hunting, todo el tema de ciberamenazas, y sobre todo la automatización de procesos en las operaciones de ciberseguridad de nuestro SOC. Esto nos permite descargar a los equipos de tareas más repetitivas y que aportan menos valor y que el equipo en sí se pueda dedicar su tiempo a tareas con más valor añadido.
¿Cómo de fácil o difícil es adoptar esa filosofía Zero Trust cuando se cuenta con infraestructuras heredadas?
Bueno, es proponérselo. En Naturgy, hace ya varios años, decidimos apostar por una transformación de la conectividad y la ciberseguridad en general, yendo desde un modelo más tradicional y centralizado hacia el modelo SASE, que era nuestro objetivo. Desde el primer momento, apostamos por desplegar Zero Trust. Mucha gente lo deja para el final porque parece que es un poco más complicado, pero nosotros apostamos por ello. En ese sentido, hemos sido un poco early adopters del Zero Trust dentro del modelo SASE y ha sido un caso de éxito. Hemos demostrado que es viable esa estrategia y es factible implementar Zero Trust en el ámbito de la empresa.
¿Cuál ha sido el mayor reto en ese proceso?
Siempre es complicado. Al final, uno de los principales problemas es conocer muy bien las aplicaciones. Tienes que conocer qué aplicaciones tienes, qué usuarios acceden a las aplicaciones, cambiar también la mentalidad del usuario en la forma de trabajar. Es un cambio bastante brusco, porque antes era un modelo en el que la red te daba acceso si eras personal interno y ahora ya no, lo que se valida o se gestiona es la identidad. Ya no solo por ser empleado puedes acceder a las cosas, sino que ahora tienes que ser tú como identidad. Tu identidad es la que te dice primero si eres tú, y luego a qué tienes que acceder o a qué podrías acceder, más allá de que después tengas que validarte en las propias aplicaciones. Sin duda requiere conocer bien la casa a nivel de los sistemas y de qué usuarios requieren qué.
¿Cómo ha visto evolucionar el perfil del CISO en los últimos años?
Creo que ha cambiado bastante los últimos años. Se ha pasado de un perfil muy técnico a un perfil más ejecutivo, más cercano a la Alta Dirección de la empresa o del negocio. Evidentemente tiene tener nociones tecnológicas, pero su principal valor va más por saber hablar el lenguaje del Consejo de Administración, que sea capaz de elaborar un plan de ciberseguridad y de convencer a la Alta Dirección para que lo esponsorice dentro de la organización y lo doten de las partidas presupuestarias necesarias.
Ahora se les escucha más pero ha sido necesario convertirse en profesionales multidisciplinares, que además de tecnología sepan de otras áreas de negocio, ¿no?
Es fundamental. Al final, el CISO hoy en día es el nexo de unión entre la ciberseguridad y su parte más operativa y la dirección y la parte más ejecutiva. Si los de arriba no están convencidos, si la Dirección General no está convencida, es muy difícil implantar ciberseguridad más allá de las propias tecnologías. Al final la seguridad va de procesos que velan por los procesos de negocio, que es lo que quieres proteger en última instancia.
¿Cómo de importante es la gestión del cambio en este tipo de proyectos?
Uno de los pilares básicos de un plan de ciberseguridad de una empresa tiene que ser el foco en las personas. Más formación, más concienciación. Al final siempre el eslabón más débil de la cadena de toda la ciberseguridad son las personas, los empleados. Y es básico, no solo los internos, incluso los externos. En un plan de ciberseguridad bien hecho y consistente, es fundamental poner mucho foco en concienciar a todas las personas de la empresa, desde los de más arriba hasta cualquier otro perfil más operativo.
Y hablando de eslabones débiles, por lo comentado anteriormente se deduce que otro eslabón débil puede estar en la cadena de suministro, ¿no es así?
Así es. La cadena de suministro es un aspecto crucial a considerar en cualquier estrategia de ciberseguridad y más en entornos industriales. Al final, hay mucha operación y mucho mantenimiento basado en proveedores. Los proveedores son parte de la resiliencia de la empresa y de sus procesos de negocio y, como tal, hay que incluirlos en los planes de contingencia, en las simulaciones y en los ejercicios que realizamos al respecto. En nuestro caso también incluimos cláusulas de ciberseguridad en los contratos que tenemos con nuestros proveedores. Además, validamos o chequeamos mediante evaluaciones de seguridad periódicas que esas cláusulas de los contratos se cumplen o en qué grado se cumplen. Es necesario que los proveedores vayan cada vez más madurando en temas de seguridad, si no se convierten en un claro agujero de seguridad.
¿Cómo valora la contribución de la Asociación @aslan al sector de la innovación y la transformación digital?
En nuestro sector y en la seguridad es muy importante contar con foros en los que intercambiar experiencias, información, conocimiento sobre todo, y sin duda @aslan está haciendo una labor encomiable en ese sentido, porque ofrece una red muy extensa de colaboración y un amplio abanico de actividades.
¿Qué actividades de las que organiza la Asociación le parecen más interesantes y provechosas para su organización?
Pues es difícil elegir, está el Congreso anual, los coloquios, las publicaciones también son interesantes… es complicado. A mí me gusta mucho la idea de los Tours Tecnológicos que hace @aslan, por ir llevando esos espacios de encuentro a diferentes ciudades, no simplemente hacerlo siempre en una ciudad grande. Pero bueno, en general es complicado elegir con el amplio abanico de actividades que ofrece.
Naturgy
CISO de Generación renovable
