El 89% de las energéticas tienen definida una estrategia de ciberseguridad

En un entorno marcado por la evolución hacia un nuevo modelo energético que está acelerando la adopción de tecnologías de la información,las empresas del sector tienen clara la visión y la hoja de ruta a seguir en el ámbito de la ciberseguridad. Un 89% de las compañías de energía dispone de planes estratégicos detallados por iniciativas, métricas e indicadores, y avanzan hacia un modelo de Organización Protegida Digitalmente.

Además, la alta dirección está fuertemente involucrada en la estrategia. La inmensa mayoría de las empresas desarrollan programas de concienciación y formación precisos para sus profesionales, y el 67% cuenta con una dotación presupuestaria suficiente para ejecutar el programa de transformación necesario. 

En la otra cara de la moneda, solo el 44% tienen sus procesos clave y su dependencia tecnológica identificados y protegidos en su totalidad. El resto de las compañías conoce sus puntos de mejora y está avanzando para llegar a proteger todos sus procesos críticos.

Estos son algunos datos sobre el sector energético que revela el Informe sobre Madurez Digital en España 2020-2021, centrado en Ciberseguridad y elaborado por Minsait y SIA, compañías de Indra, y que ha sido presentado hoy en el Club Español de la Energía. El estudio se ha desarrollado a partir de entrevistas personales con responsables de un centenar de grandes empresas de diversos sectores y organismos de España y resto de Europa, así como con algunos de los mayores expertos en ciberseguridad.

Margen de mejora

A pesar del elevado grado de madurez que presentan las empresas del sector en términos generales, todavía es necesario reforzar las medidas en ámbitos relevantes como la protección del dato y la gestión de activos de hardware y software. De hecho, el 56% de las compañías reconoce tener margen de mejora en la implantación de tecnologías de encriptación, clasificación y etiquetado de la información, y un 44% gestiona aún sus inventarios a través de procesos manuales.

Esta necesidad se hace aún más patente cuando solo el 22% ha implementado alguna medida para gestionar de forma centralizada la identidad digital de sus empleados, usuarios con privilegios especiales en los sistemas de información, o de sus clientes, si bien es cierto que la mayoría cuenta con alguna herramienta y sigue avanzando hacia la gestión centralizada de la identidad. 

La creciente complejidad en la operación de los activos y el ecosistema de proveedores, así como la mayor demanda de canales digitales con clientes, ha provocado un aumento de los ataques y la tendencia a establecer alianzas estables a largo y medio plazo con socios especializados que ofrezcan una visión integral ante los desafíos planteados en un sector hiperespecializado y en continuo cambio.

Gracias a estos acuerdos, el 78% de las organizaciones del sector se apoya en un Centro de Operaciones de Ciberseguridad, imprescindible para detectar los ataques y poder reaccionar ante incidentes. Estas alianzas también jugarán un papel clave en el avance hacia la convergencia segura de los entornos de Tecnologías de la Información y Tecnologías de Operación (IT/OT), que ya está materializando el 75% de las energéticas mediante evaluaciones de seguridad para identificar riesgos en cada entorno.

El Informe de Madurez Digital en Ciberseguridad plasma que las empresas tienen conciencia del desafío al que se enfrentan y han realizado un notable esfuerzo en el último año. Sin embargo, el dinamismo de las amenazas cibernéticas y la dificultad que entraña su gestión integral a lo largo de todos los procesos productivos de las energéticas (algo que requiere un enfoque multidisciplinar), son dos de los grandes obstáculos que frenan el avance. Del éxito que obtengan depende la protección que precisan para crecer y hacer negocios en la red en los próximos años.

En las más de 400 páginas del informe, los expertos en ciberseguridad de SIA revisan las mejores prácticas y medidas a tomar para proteger una empresa y adelantan una hoja de ruta que pasa por identificar los riesgos, poner en marcha acciones para proteger activos críticos, determinar una estrategia para detectar ataques, contar con especialistas para poder reaccionar eficazmente ante incidentes y asegurar las capacidades para recuperarse.