El sector de energía y recursos naturales es una confluencia de subsectores que abarca la energía y los servicios públicos, el petróleo, el gas, los recursos naturales y los productos químicos. Todos estos rubros están experimentando transformaciones significativas en su forma de trabajar e interactuar con sus clientes y proveedores.
Se trata de un escenario complejo, al que se suman las complejas transformaciones que llevan adelante las organizaciones en todo el espectro industrial, como sucede con las empresas manufactureras, las tecnológicas y las automotrices, que dependen fuertemente de la energía para operar.
El tema energético se ha incorporado en todo el accionar que las sociedades hoy llevan adelante. Y la industria está adaptándose a un mundo cambiante reconfigurando su cadena de valor. Ya no se trata solo de suministrar combustibles o encender las luces: la energía es mucho más.
Por ello, el foco se ha volcado hacia las energías renovables y más limpias; más concretamente a la integración entre las fuentes de energía y la digitalización como forma de acelerar la transición.
Esta transformación energética no es un fenómeno aislado. Casi todas las industrias de la economía global se ven afectadas, generando grandes cambios tanto desde el punto de vista de la tecnología de la información como operativo.
Las redes y sistemas de control están conectados a todo. Desde válvulas en plataformas petroleras hasta dispositivos de medición en centrales eléctricas, que están en modo "siempre activo", amplificándo así los riesgos de seguridad y redefiniendo la superficie de ataque en toda la industria.
Este artículo explora las consideraciones en ciberseguridad y las acciones clave que resultan cruciales para el sector de la energía y los recursos naturales. Proporciona una visión general sobre el panorama de amenazas y ofrece información para que los líderes empresariales y de seguridad sean aún más eficaces.
Consideración 1: Navegando a través de fronteras globales muy difusas
Para ampliar sus operaciones, independientemente de la sede o su alcance, es probable que las empresas de energía y recursos naturales necesiten presencia global.
Teniendo esto en cuenta, la pregunta que surge para los profesionales de la seguridad es cómo alcanzar un equilibrio entre la necesidad de recursos para operar eficientemente (business enablement) y el valor operativo (business value), garantizando, al mismo tiempo, una operacion fluida y adecuada desde el punto de vista de los reguladores.
Complejidades jurisdiccionales – En muchos casos, los países, territorios y jurisdicciones tienen diferentes marcos regulatorios para la ciberseguridad. Mientras que algunas regulaciones apuntan a un enfoque más unificado, como es el caso de la Directiva de Seguridad de las Redes y la Información (NIS2) en la Unión Europea (UE), otras tienen un énfasis más local, lo que puede llevar a más de una interpretación en las regulaciones.
Esta complejidad regulatoria adicional desafía a las organizaciones de la industria a cumplir con los estándares globales y/o regionales mientras abordan los requisitos locales.
Estabilidad de la red y aumento de la superficie de ataque – A medida que la industria energética se interconecta más a nivel mundial, la superficie de ataque para las amenazas cibernéticas se expande.
La integración de múltiples sistemas y redes que superan las fronteras proporciona más puntos de entrada para los ciberdelincuentes, lo que desafía la estabilidad de la red en un entorno energético interconectado transfronterizo.
Las amenazas cibernéticas cruzan las fronteras – Las amenazas cibernéticas no obedecen las fronteras geopolíticas. Un ciberataque originado en un país puede impactar fácilmente en la infraestructura crítica de otro. En este escenario, la coordinación de respuestas y la atribución del ataque son tareas sumamente complejas.
Restricciones legales sobre el intercambio de información – Si bien la colaboración y el intercambio de información son cruciales para implementar medidas de ciberseguridad efectivas, existen preocupaciones regulatorias, legales, políticas y competitivas sobre el intercambio de información confidencial entre diferentes jurisdicciones, lo que puede obstaculizar la interacción y una inteligencia efectiva contra las amenazas.
Politización continua de los negocios – El sector de la energía y los recursos naturales es propenso a entrelazar su actividad con intereses e influencias políticas y sus agendas. Las tensiones geopolíticas a menudo resultan en un aumento de las amenazas cibernéticas, especialmente dirigidas a infraestructuras críticas.
Colaboración– Debido a su naturaleza global, el sector energético ofrece una gran oportunidad para realizar esfuerzos conjuntos en materia de seguridad. Compartir la inteligencia sobre amenazas, las mejores prácticas de la industria y las lecciones aprendidas a nivel internacional pueden mejorar la seguridad general de las empresas.
Estandarización – La globalización puede impulsar los esfuerzos para establecer estándares internacionales y mejores prácticas en ciberseguridad en el sector energético. La estandarización de normas y reglamentos puede simplificar la aplicación de medidas de seguridad más allá de las fronteras y para las cadenas de suministro.
Innovación – La cooperación internacional puede fomentar el desarrollo de soluciones avanzadas en ciberseguridad, lo que podría beneficiar a todos los sectores.
Agilidad – Con las redes de comunicación globales, los equipos de respuesta a incidentes pueden trabajar juntos en tiempo real, lo que permite acciones más rápidas y efectivas contra las amenazas cibernéticas. De esta manera, es posible minimizar el impacto de los ataques a las infraestructuras críticas.
Las empresas multinacionales de energía y recursos naturales operan a través de múltiples fronteras y deben gestionar simultáneamente los desafíos para un entorno empresarial que se globaliza rápidamente, regímenes regulatorios altamente complejos y una superficie de ataque en constante evolución.
Muchas organizaciones más pequeñas están menos preparadas para enfrentar estos desafíos de manera efectiva; sin embargo, tienen mucho que aprender de sus contrapartes más grandes y maduras en la industria, evitando así la necesidad de "reinventar la rueda".
Consideración 2: Modernizar la seguridad de la cadena de suministro
Desde las nuevas tecnologías y procesos hasta la posibilidad de que un proveedor no siga explícitamente sus protocolos de seguridad, el entorno de terceros es un vector de amenazas en constante cambio.
Dependiendo de la madurez del proveedor, las organizaciones necesitan hacer más (instituyendo revisiones mensuales, por ejemplo), o tal vez menos (permitiendo una mayor autonomía y realizando revisiones trimestrales), para ayudar a garantizar que estas relaciones funcionen de manera eficiente y cumplan con todos los requisitos de cumplimiento.
A pesar de los desafíos y las prioridades contrapuestas, el esfuerzo por garantizar que el ecosistema de la cadena de suministro sea seguro no debe ser un cuello de botella, sino un facilitador comercial.
Complejidad y dependencia de la cadena de suministros – Debido a su naturaleza global, el sector de la energía y los recursos naturales depende en gran medida de cadenas de suministro complejas. Este ecosistema multinivel de partes interesadas y proveedores hace que sea casi imposible mantener la visibilidad y el control sobre todos los involucrados, lo que aumenta sustancialmente los riesgos cibernéticos.
Tecnología nueva versus tecnología antigua – Las empresas de energía a menudo dependen de una combinación de tecnología de la información (TI) y tecnologías operativas (OT) antiguas y nuevas. La adopción de tecnologías en red añade complejidad e introduce una serie de interdependencias y vulnerabilidades potenciales. Los sistemas de OT suelen tener una vida útil más larga que los sistemas de TI, y las tecnologías más antiguas suelen carecer de capacidades de seguridad adecuadas en comparación con las tecnologías más nuevas. El reto es integrar los diferentes paisajes tecnológicos (es decir, lo antiguo y lo nuevo) y las medidas de seguridad correspondientes, lo que es aún más complicado en un contexto de avance continuo de la digitalización.
El eslabón más débil – Si hay operadores y proveedores con diferentes niveles de madurez en ciberseguridad a lo largo de la cadena de suministro, puede haber eslabones débiles, lo que aumenta el riesgo potencial de impactos en cascada. La ineptitud de uno de los socios puede afectar su propia seguridad; es decir, en este contexto, existe una gran dependencia de las acciónes que realicen terceros. Al mismo tiempo, es un gran desafío realizar un seguimiento de las medidas de ciberseguridad de todos los proveedores y socios con los que se vincula una organización en un ecosistema.
Digitalización – El sector energético es un mercado en evolución, en el que la transición a la energía verde y el cambio en las demandas de los clientes respecto a los proveedores imponen la necesidad de que las organizaciones se digitalicen e innoven. Al mismo tiempo, la adopción de nuevas tecnologías suscita preocupación por las implicancias en materia de seguridad.
Transparencia y colaboración – La gestión de los riesgos de ciberseguridad asociados con los proveedores externos, incluida la evaluación de sus prácticas de ciberseguridad, puede ser un desafío. Sin embargo, es probable que la interdependencia obligue a las organizaciones a buscar claridad y colaboración. La transparencia en materia de medidas de seguridad contra las violaciones de datos y otras vulnerabilidades crea una cultura en la que las debilidades pueden identificarse y abordarse de manera proactiva y colectiva, lo que permite eliminar los eslabones débiles de la cadena de suministro.
Intercambio de información – Los esfuerzos de colaboración en todo el sector energético pueden materializarse en compartir tanto la inteligencia sobre amenazas como de mejores prácticas, proporcionando mejoras colectivas para la defensa contra las amenazas cibernéticas.
Visibilidad e innovación – La integración de nuevas tecnologías en la cadena de suministro puede mejorar la eficiencia operativa, así como permitir a las empresas mejorar sus capacidades de visibilidad y supervisión. Esto puede conducir a una mayor eficacia en la detección de incidentes y ganar resiliencia, al tiempo que mitiga los riesgos de ciberseguridad, reforzando así la seguridad a lo largo de toda la cadena de suministro.
Hoy en día, muchas organizaciones de la industria se encuentran en las primeras etapas de la gestión de los riesgos cibernéticos, abriéndose camino hasta el segundo nivel de la cadena de suministro, pero en muchos casos, este proceso no continúa hasta el tercer y cuarto nivel. Es probable que la evolución de las normativas, como la Directiva NIS2 de la UE1, exija a las organizaciones, así como a los proveedores y proveedores externos, que tomen las medidas adecuadas para gestionar los riesgos de ciberseguridad, ayudando a prevenir o minimizar el impacto de los incidentes.
1 La Directiva NIS2 (Directiva de Redes y Sistemas de Información) es una regulación de la Unión Europea que tiene como objetivo fortalecer la ciberseguridad y la resiliencia de las redes y sistemas de información en toda la región. Adoptada como sucesora de la Directiva NIS original (a partir de 2016), la NIS2 se propuso en diciembre de 2020 y se aprobó en 2022. Su objetivo es hacer frente a los nuevos retos del panorama cibernético mejorando la cooperación y la coordinación entre los Estados miembros y ampliando los requisitos de seguridad a un conjunto más amplio de sectores.
Consideración 3: Alinear la ciberseguridad con la resiliencia organizacional
Las organizaciones de energía y recursos naturales necesitan mejorar y adaptarse continuamente. La resiliencia significa tener una mejor preparación para hacer frente a los incidentes de forma rápida, integral y con un impacto mínimo, o al menos controlado, en el negocio. A medida que las organizaciones navegan por el panorama volátil y en constante cambio de la ciberseguridad, la resiliencia no puede abordarse como una serie de proyectos puntuales o intermitentes. Al contrario. Debe ser una estrategia adaptativa que complemente la agenda de ciberseguridad de la organización, proteja los intereses de los clientes, esté alineada con los objetivos de negocio y se centre en la entrega de valor a largo plazo.
Resiliencia operativa – Como proveedores de servicios esenciales, de los cuales cualquier interrupción puede tener impactos significativos, las organizaciones del sector están muy familiarizadas con la resiliencia y el desafío de garantizar altos niveles de ejecución operativa. Es importante que estas empresas se den cuenta de que no solo su TI, sino también sus entornos industriales y la organización en su conjunto, pueden convertirse en objetivos de ciberataques. Por lo tanto, la resiliencia cibernética requiere que las organizaciones cambien su forma de pensar para activar nuevas competencias y medidas de seguridad.
Complejidad de los entornos industriales – Los entornos industriales, como la generación y el almacenamiento de electricidad y las energías renovables, se encuentran entre los tipos de infraestructura más complejos y desempeñan un papel esencial, constituyendo la columna vertebral de la actividad social y económica. La falta de una comprensión completa de las funciones, la interconectividad y las dependencias de todos los sistemas puede obstaculizar los esfuerzos de resiliencia.
Resiliencia de la cadena de suministro – La cadena de suministro impone una gran dependencia de los proveedores. Esto hace que la recuperación de incidentes y la resiliencia general sean particularmente difíciles para las empresas de energía y recursos naturales.
Panorama de amenazas – Las amenazas se expanden continuamente, lo que requiere que las organizaciones evalúen y actualicen continuamente sus planes de defensa y respuesta para garantizar que sigan siendo efectivos contra las amenazas que cambian y avanzan sin parar.
Confianza y reputación – Mantener la confianza de los clientes es fundamental para la industria energética. Sin embargo, cuando ocurren incidentes cibernéticos, no solo interrumpen las operaciones, sino que erosionan la credibilidad de la organización. Gestionar el impacto reputacional y la confianza de los clientes requiere un enfoque proactivo y transparente de los problemas de ciberseguridad.
Perspectivas – La resiliencia implica una comprensión y gestión integral de los riesgos, que incluyen no solo las amenazas de ciberseguridad, sino también otros factores que pueden interrumpir las operaciones. Este enfoque holístico ayuda a las empresas a adoptar diferentes formas de pensar y, en consecuencia, a identificar una gama más amplia de riesgos.
Adaptabilidad – Una de las características distintivas de la resiliencia es la capacidad de adaptarse y responder a los cambios en el panorama de amenazas, los avances tecnológicos y los desarrollos en el entorno empresarial. Esto permite a las empresas energéticas adelantarse a los desafíos emergentes y adaptarse rápidamente mediante la adopción de nuevas estrategias y capacidades operativas y de ciberseguridad, como la mejora de la detección y el seguimiento.
Colaboración – Las iniciativas de resiliencia a menudo implican la colaboración con socios de otros sectores. Las alianzas y el intercambio de información intersectorial son actitudes que aumentan la preparación colectiva y la capacidad de respuesta.
Cumplimiento – Un enfoque centrado en la resiliencia ayuda a las organizaciones a cumplir con las regulaciones de ciberseguridad y las posiciona para abordar requisitos de cumplimiento más amplios en torno a la continuidad del negocio, la recuperación ante desastres y la gestión general de riesgos.
La inestabilidad mundial no muestra signos de llegar a su fin. En este escenario, la infraestructura crítica tiende a seguir siendo el objetivo preferido de los ataques. La industria energética tiene experiencia histórica en resiliencia operativa, pero los líderes deben reposicionar su pensamiento hacia una resiliencia que sea holística e incluya la ciberseguridad.
Ciberseguridad en el mundo real en la industria energética
En general, el sector energético ha sido un objetivo frecuente de los ciberataques, debido a su carácter crítico y a sus conexiones con otras industrias.
Por ejemplo, un ataque reciente a un oleoducto causó interrupciones significativas en varias industrias, lo que derivó en escasez, aumento de precios e interrupciones en la cadena de suministro. El ataque también provocó paradas operativas e interrupciones del servicio en sectores que dependen de la infraestructura que fue afectada, como las aerolíneas, ya que el oleoducto dañado suministraba una parte significativa del combustible para aviones.
El incidente puso de manifiesto la vulnerabilidad de las infraestructuras críticas y suscitó preocupación por la resiliencia general del sector energético. Como resultado, muchas empresas se han visto presionadas para aumentar sus inversiones en ciberseguridad y aumentar las evaluaciones de vulnerabilidades y las pruebas de penetración, con el objetivo de identificar las debilidades y corregir las brechas de seguridad.
Muchas empresas de infraestructura crítica también han establecido o fortalecido sus Centros de Operaciones de Seguridad (SOC) y Equipos de Respuesta a Incidentes de Ciberseguridad (CIRT) para monitorear y responder a posibles incidentes de seguridad, minimizar los daños y restaurar las operaciones rápidamente.
Se alienta a las empresas de energía y recursos naturales a adoptar un enfoque de varios niveles para gestionar la ciberseguridad, combinando tecnología, capacitación, capacidad de respuesta, intercambio de información y planes de resiliencia.
A medida que se desarrollaban estas consideraciones cibernéticas, quedó claro que la inteligencia artificial (IA) está emergiendo con más fuerza, y mucho antes de lo previsto. Esta tecnología presenta tanto oportunidades como amenazas para el sector de la energía y los recursos naturales, temas que se analizarán con más detalle en un artículo separado.
Prioridades para los profesionales de la seguridad
- Garantizar una gobernanza cibernética y gestión de riesgos sólidas.
- Realizar la gestión de inventarios y activos, incluidos los de TI y OT, para supervisar, controlar y proteger los activos críticos.
- Desarrollar la resiliencia cibernética: documentar, capacitar, preparar, evalúar y mejorar continuamente.
- Implementar un programa de gestión de riesgos para la cadena de suministro/terceros.
- Adoptar la innovación, realizar pruebas y adoptar nuevas tecnologías cuando sea conveniente.
- Utilizar los requisitos normativos como una oportunidad para aumentar la ciberseguridad.
- Pensar de manera diferente, abriéndose a nuevas ideas, estrategias y tácticas operativas.
Cómo se conecta todo esto con lo que hacen los profesionales de KPMG
Además de evaluar su programa de ciberseguridad y asegurarse de que esté alineado con las prioridades de su negocio, los profesionales de KPMG pueden ayudar a las empresas de energía y recursos naturales a desarrollar soluciones digitales avanzadas, brindando asesoramiento sobre la implementación y el monitoreo de riesgos continuos y asistiendo en el desarrollo de respuestas adecuadas a los incidentes cibernéticos.
Los profesionales de KPMG están capacitados para aplicar ideas innovadoras a las necesidades de ciberseguridad más apremiantes de la industria y desarrollar estrategias personalizadas que se adapten a su propósito. Con tecnología segura y confiable, los profesionales de KPMG ofrecen una amplia gama de soluciones, que incluyen evaluaciones de nube cibernética, automatización de la privacidad, optimización de la seguridad de terceros, seguridad de IA y detección y respuesta administradas.