Como industria, la energía es una confluencia de subsectores — energía y servicios públicos, petróleo y gas, recursos naturales y productos químicos — que están experimentando importantes transformaciones en su forma de trabajar e interactuar con los clientes y proveedores. A esta complejidad se suman las transformaciones paralelas de las empresas en todo el espectro industrial, como la manufactura, la tecnología y la industria automotriz, todas ellas dependientes de la energía.

Hoy en día, la energía como tema se ha integrado en todo lo que hacemos como sociedad. El sector se está adaptando al mundo cambiante y está reconfigurando su cadena de valor. Ya no se trata sólo de echar gasolina o de encender las luces.

La atención se centra ahora en las energías renovables y limpias, sobre todo en su integración como fuentes de energía y en la digitalización para acelerar la transición.

Esta transformación energética no es un fenómeno aislado. Prácticamente todas las industrias de la economía mundial se ven afectadas con muchos cambios tras bambalinas, tanto desde el punto de vista de la tecnología de la información como de la tecnología operativa.

Las redes y sistemas de control conectados a todo, desde las válvulas de las plataformas petrolíferas hasta los dispositivos de medición de las centrales eléctricas, están configurados para estar “siempre encendidos”, lo que expone un riesgo de seguridad perpetuo y redefine la superficie de ataque en todo el sector.

Este artículo explora las consideraciones de ciberseguridad y las acciones clave esenciales para el sector de la energía y los recursos naturales. Ofrece una visión general de la evolución del panorama de las amenazas y analiza ideas clave para que los responsables de la seguridad y del negocio operen con eficacia el año que viene.

Consideración 1: Navegar por fronteras globales difusas

Es probable que las empresas de energía y recursos naturales sigan necesitando una audiencia y huella globales para ampliar sus operaciones, independientemente de la jurisdicción y de dónde estén ubicados. La gran pregunta para los profesionales de la seguridad de todo el sector consiste en encontrar el equilibrio adecuado entre la habilitación y el valor empresarial, asegurándose al mismo tiempo de que se mantienen en el lado correcto de los reguladores. Es una línea muy fina y un desafío evidente.


Complejidad de las jurisdicciones – En muchos casos, los países, territorios y jurisdicciones tienen diferentes marcos normativos en materia de ciberseguridad. Mientas que algunas normativas persiguen un enfoque más unificado, como lo que intenta hacer la Directiva de Seguridad de las Redes y de la Información (NIS2) en la Unión Europea (UE), otras áreas se centran más en lo local, dando lugar a diversas interpretaciones de las normativas. Esta complejidad supone un desafío para las organizaciones de este sector, que deben cumplir las normas globales o regionales y, al mismo tiempo, hacer frente a los requisitos locales.


Estabilidad de la red y aumento de la superficie de ataque – A medida que el sector de la energía se interconecta más a nivel mundial, se amplía la superficie de ataque de las ciberamenazas. La integración de varios sistemas y redes a través de las fronteras proporciona más puntos de entrada para los ciberdelincuentes, lo que pone en peligro la estabilidad de la red energética cuando es transfronteriza y está interconectada.


La cibernética se extiende más allá de las fronteras – Las ciberamenazas no se ciñen a las fronteras geopolíticas. Un ciberataque originado en un país puede afectar fácilmente a las infraestructuras críticas de otro. Coordinar las respuestas y atribuir los ataques en este entorno es complicado.


Restricciones legales al intercambiar información – Aunque la colaboración y el intercambio de información son cruciales para una ciberseguridad eficaz, las preocupaciones normativas, legales, políticas y competitivas en torno al intercambio transfronterizo de información sensible pueden obstaculizar el intercambio eficaz de información sobre amenazas.


Politización continua de los negocios – El sector de la energía y los recursos naturales es propenso a la vinculación de las actividades empresariales/económicas con intereses, agendas e influencias políticas. Las tensiones geopolíticas suelen traducirse en un aumento de las ciberamenazas, especialmente las dirigidas contra infraestructuras críticas. Al tratarse de un sector de infraestructuras críticas, la energía es un objetivo prioritario para los ciberataques fraudulentos y patrocinados por el Estado, con posibles consecuencias tanto para la cadena de suministro como para los consumidores finales.




Colaboración – La naturaleza global del sector energético ofrece oportunidades para realizar esfuerzos conjuntos en materia de ciberseguridad. El intercambio internacional de información sobre amenazas, mejores prácticas del sector y aprendizajes puede mejorar la posición global de la seguridad de las empresas.


Estandarización – La globalización puede impulsar los esfuerzos para establecer normas internacionales y mejores prácticas de ciberseguridad en el sector energético. La estandarización de las normas y reglamentos puede simplificar la aplicación de medidas de seguridad a través de las fronteras y de las cadenas de suministro.


Innovación – La cooperación transfronteriza puede fomentar el desarrollo de soluciones avanzadas de ciberseguridad que potencialmente pueden beneficiar a toda la industria.


Agilidad – Con redes de comunicación, los equipos de respuesta a incidentes pueden trabajar juntos en tiempo real, lo que permite respuestas más rápidas y eficaces a las ciberamenazas. Esto puede minimizar el impacto de los ataques a infraestructuras críticas.


Las empresa multinacionales de energía y recursos naturales operan a escala transfronteriza y deben gestionar simultáneamente los desafíos de un entorno empresarial en rápida globalización, regímenes normativos muy complejos y una superficie de ataque en constante evolución. Muchas organizaciones más pequeñas están menos preparadas para enfrentar estos desafíos, pero pueden aprender de sus homólogas del sector, más grandes y maduras, para no reinventar la rueda.

Consideración 2: Modernizar la seguridad de la cadena de suministro

Desde las nuevas tecnologías y procesos hasta la posibilidad de que un proveedor no siga explícitamente los protocolos de seguridad, el entorno de terceros es un vector de amenazas que siempre fluye. Dependiendo de la madurez del proveedor, las organizaciones necesitan hacer más (establecer revisiones mensuales) o quizás menos (permitir más autonomía con revisiones trimestrales) para ayudar a garantizar que estas relaciones funcionen de forma eficaz y se adhieran a todos los requisitos de cumplimiento. A pesar de los desafíos y de las prioridades contrapuestas, esforzarse por garantizar la seguridad del ecosistema de la cadena de suministro no debería ser un cuello de botella, sino un factor de negocio.


Complejidad y dependencia de la cadena de suministro – La naturaleza global del sector de la energía y recursos naturales implica complejas cadenas de suministro de las que el sector depende en gran medida. Este ecosistema de múltiples niveles de stakeholders, distribuidores y proveedores de tecnología hace casi imposible mantener la visibilidad y el control de todas las partes, lo que aumenta sustancialmente los riesgos cibernéticos.


Tecnología nueva vs. tecnología antigua – Las empresas de energía suelen depender de una combinación de tecnología de la información (TI) y operativas (TO), tanto nuevas como antiguas. La adopción de tecnologías en red añade complejidad e introduce nuevas interdependencias y potenciales vulnerabilidades. Los sistemas de TO suelen tener una vida útil y un ciclo de vida más largos que los sistemas de TI, y las tecnologías más antiguas no suelen tener las capacidades de seguridad adecuadas en comparación con las tecnologías más recientes. En resumidas cuentas, integrar diversos entornos tecnológicos (es decir, antiguos y nuevos) y las correspondientes medidas de seguridad es todo un desafío, que se complica aún más con la digitalización en curso.


El eslabón más débil – El potencial de impactos en cascada a lo largo de la cadena de suministro cuando hay diferentes niveles de madurez de ciberseguridad entre los operadores y proveedores a través de la cadena puede crear eslabones débiles. Existe una dependencia de la diligencia debida de terceros: un socio de la cadena de suministro que no sea lo suficientemente seguro también repercute en su postura de seguridad. Puede resultar difícil hacer un seguimiento de la postura y las medidas de ciberseguridad de todos los proveedores y socios con lo que una organización está vinculada en el ecosistema.


Digitalización – En un mercado energético en evolución, la transición hacia la energía verde y las cambiantes demandas de los clientes a los proveedores exigen que las organizaciones se digitalicen e innoven. Al mismo tiempo, la adopción de nuevas tecnologías también suscita preocupación por las implicaciones de seguridad que conlleva.




Transparencia y colaboración – La gestión de riesgos de ciberseguridad asociados con proveedores externos, incluyendo la evaluación de sus prácticas de seguridad, puede ser desafiante, pero es posible que la interdependencia obligue a las organizaciones a buscar transparencia y colaboración. La transparencia de la postura y las medidas de seguridad, las violaciones de datos y las vulnerabilidades crea una cultura en la que se identifican los puntos débiles y se pueden abordar de forma proactiva y colectiva, lo que permite eliminar los eslabones débiles de la cadena de suministro.


Intercambio de información – Los esfuerzos de la colaboración en el sector energético también pueden adoptar la forma de intercambio de información sobre amenazas y mejores prácticas entre los stakeholders, lo que puede conducir a mejoras colectivas en la defensa frente a las ciberamenazas.


Visibilidad e innovación – La integración de nuevas tecnologías en la cadena de suministro puede mejorar la eficiencia operativa, pero también permitirá a las empresas mejorar su visibilidad y capacidad de monitoreo. Esto puede conducir a una mejor detección de incidentes y a una mayor resiliencia, al mismo tiempo que se mitigan los riesgos de ciberseguridad, reforzando así la seguridad de la cadena de suministro.


En la actualidad, muchas organizaciones del sector están en las primeras fases de la gestión de los riesgos cibernéticos hasta el segundo nivel de la cadena de suministro, pero en muchos casos, este proceso no continúa hasta el tercer y cuarto nivel. Es probable que la evolución de la normativa, como la Directiva NIS2 de la UE, obligue a las organizaciones, así como a terceros distribuidores y proveedores, a adoptar medidas adecuadas para gestionar los riesgos de ciberseguridad con el fin de ayudar a prevenir y minimizar el impacto de los incidentes.

Consideración 3: Alinear de la ciberseguridad con la resiliencia organizacional

Las organizaciones de energía y recursos naturales necesitan mejorar y adaptarse de forma continua. Ser resiliente significa estar mejor equipado para hacer frente a un incidente sin demoras, de manera exhaustiva y con un impacto mínimo o al menos controlado en el negocio. A medida que las organizaciones navegan por el cambiante y volátil panorama actual de la ciberseguridad, la resiliencia no debe verse como una serie de proyectos puntuales o intermitentes. Al contrario, debe ser una estrategia adaptable que complemente la agenda de ciberseguridad de la organización, proteja los intereses del cliente, se alinee con los objetivos empresariales y se centre en ofrecer valor a largo plazo.


Resiliencia operativa – Las organizaciones del sector están muy familiarizadas con garantizar altos niveles de ejecución y resiliencia operativa, ya que prestan servicios críticos y cualquier interrupción puede tener un impacto significativo. Las empresas deben darse cuenta de que no sólo sus áreas de TI son el objetivo de los ciberataques, sino que también lo son sus entornos industriales y la empresa en su conjunto. La ciberresiliencia requerirá que las organizaciones cambien su forma de pensar para activar nuevas capacidades y medidas de seguridad.


Complejidad de los entornos industriales – Los entornos industriales como la energía, el almacenaje y las energías renovables se encuentran entre los tipos de infraestructura más complejos y desempeñan un papel importante como columna vertebral de la actividad social y económica. La falta de una comprensión plena de las funciones, interconexiones y dependencias de todos los sistemas puede obstaculizar los esfuerzos de resiliencia.


Resiliencia de la cadena de suministro – La gran dependencia de terceros, cuartos e incluso quintos socios en la cadena de suministro de las empresas de energía y recursos naturales dificulta especialmente la recuperación de incidentes y la resiliencia general.


Panorama de amenazas – El panorama de amenazas en constante expansión exige que estas organizaciones evalúen y actualicen continuamente sus planes de defensa y respuesta para garantizar que siguen siendo eficaces frente a las amenazas cambiantes y en avance.


Confianza y reputación – Mantener la confianza de los clientes en fundamental para los profesionales de la seguridad en el sector energético. Los incidentes cibernéticos no sólo interrumpen las operaciones, sino que también erosionan la confianza de los clientes. Gestionar el impacto en la confianza de los clientes y en la reputación requiere un enfoque proactivo y transparente de la ciberseguridad.




Perspectiva – La resiliencia implica una comprensión y gestión más exhaustivas de los riesgos, incluyendo no sólo las amenazas a la ciberseguridad, sino también otros factores que podrían interrumpir las operaciones. Este enfoque holístico ayuda a las organizaciones a adoptar una forma diferente de pensar e identificar una gama más amplia de riesgos.


Adaptabilidad – La capacidad de adaptación y respuesta a los cambios en el panorama de las amenazas, los avances tecnológicos y la evolución del entorno empresarial son las principales características de la resiliencia. Esta capacidad permite a las empresas del sector energético anticiparse a los nuevos desafíos y adaptarse y adoptar rápidamente nuevas estrategias y capacidades operativas y de ciberseguridad, como la mejora de la detección y el monitoreo.


Colaboración – Las iniciativas de resiliencia suelen implicar la colaboración con socios de otros sectores. Establecer asociaciones sólidas y compartir información entre sectores mejora la preparación colectiva y las capacidades de respuesta.


Cumplimiento – Un enfoque centrado en la resiliencia no sólo ayuda a las organizaciones a cumplir las normativas de ciberseguridad, sino que también las posiciona para abordar requisitos de cumplimiento más amplios relacionados con la continuidad del negocio, la recuperación ante desastres y la gestión de riesgos en general.


Con la actual inestabilidad mundial, las infraestructuras críticas seguirán siendo un objetivo popular. El sector energético tiene una experiencia histórica en resiliencia operativa, pero el liderazgo debe cambiar de mentalidad hacia una resiliencia holística, incluyendo la ciberseguridad.



Ciberseguridad en el mundo real de la energía

En general, el sector energético ha sido blanco frecuente de ciberataques debido a su carácter crítico y a sus conexiones con otras industrias.

Por ejemplo, un reciente ataque a un oleoducto causó importantes trastornos en múltiples industrias, provocando escasez, aumentos de precios e interrupciones en la cadena de suministro. El ataque también provocó interrupciones operativas y del servicio en otras industrias que dependen de la infraestructura afectada, como el sector de las aerolíneas, ya que una parte importante del combustible para aviones se suministraba a través del oleoducto.

El incidente puso de manifiesto la vulnerabilidad de las infraestructuras críticas y suscitó inquietud sobre la resiliencia general del sector energético. Como resultado, muchas empresas se vieron presionadas para aumentar sus inversiones en ciberseguridad e intensificar las evaluaciones de vulnerabilidad y los tests de penetración para identificar puntos débiles y subsanar cualquier laguna de seguridad.

Muchas empresas de infraestructuras críticas también han creado o reforzado Centros de Operaciones de Seguridad (SOC) y Equipos de Respuesta a Incidentes de Ciberseguridad (CIRT) para vigilar y responder a posibles incidentes de seguridad, minimizar los daños y restablecer las operaciones con prontitud.

Se recomienda a las empresas de energía y recursos naturales que adopten un enfoque múltiple para gestionar la ciberseguridad, combinando tecnología, capacitación, capacidades de respuesta, intercambio de información y planes de resiliencia.

Al redactar estas consideraciones cibernéticas, quedó claro que la IA está surgiendo antes y con más fuerza de lo previsto. Esta tecnología presenta tanto oportunidades como amenazas para el sector de la energía y los recursos naturales, que se analizarán con más detalle en otro artículo.

Principales prioridades para los profesionales de la seguridad

  • Garantizar una cibergobernanza y una gestión de riesgos sólidas.
  • Inventario y gestión de activos, tanto de TI como de TO, para supervisar, controlar y proteger los activos críticos.
  • Aumentar la ciberresiliencia: documentar, capacitar, preparar, evaluar y mejorar de forma continua.
  • Implantar un programa de gestión de riesgos de la cadena de suministro/terceros.
  • Dar la bienvenida a la innovación y probar y adoptar nuevas tecnologías cuando proceda.
  • Utilizar los requisitos normativos como una oportunidad para mejorar la ciberseguridad.
  • Pensar de forma diferente; estar abierto a nuevas ideas, estrategias y tácticas operativas.

Cómo se conecta esto con lo que hacemos en KPMG

Además de evaluar el programa de ciberseguridad de la empresa y garantizar que esté alineado con las prioridades de su negocio, los profesionales de KPMG pueden ayudar a las organizaciones de energía y recursos naturales a desarrollar soluciones digitales avanzadas, asesorar sobre la implementación y supervisión de los riesgos en curso y ayudar a diseñar la respuesta adecuada ante incidentes cibernéticos.

Los profesionales de KPMG son expertos en aplicar un pensamiento de vanguardia a las necesidades de ciberseguridad más apremiantes para este sector y en desarrollar estrategias personalizadas que se ajusten al propósito de la organización. Con tecnología segura y de confianza, los profesionales de KPMG ofrecen una amplia gama de soluciones, incluyendo evaluaciones cibernéticas en la nube, automatización de la privacidad, optimización de la seguridad de terceros, seguridad de IA y detección y respuesta gestionadas.

Contenido relacionado

man smiling at camera
man smiling at camera
Ciberseguridad category
Consideraciones sobre ciberseguridad 2024: Tecnología, medios y telecomunicaciones
Consideraciones sobre ciberseguridad 2024: Tecnología, medios y telecomunicaciones
Consideraciones sobre ciberseguridad 2024: Tecnología, medios y telecomunicaciones

Cómo navegar entre la innovación y las amenazas en un mundo hiperconectado

Cómo navegar entre la innovación y las amenazas en un mundo hiperconectado

Cómo navegar entre la innovación y las amenazas en un mundo hiperconectado

Algunas consideraciones en ciberseguridad
Algunas consideraciones en ciberseguridad
Ciberseguridad category
Algunas consideraciones en ciberseguridad.
Algunas consideraciones en ciberseguridad.
Algunas consideraciones en ciberseguridad.
Tiempo de lectura: 5

Innovación tecnológica plantea beneficios y retos de la en la industria de Tecnología, Medios y Telecomunicaciones.

Innovación tecnológica plantea beneficios y retos de la en la industria de Tecnología, Medios y Telecomunicaciones.

Innovación tecnológica plantea beneficios y retos de la en la industria de TMT.

KPMG entre las mejores consultoras de Energía y Medio Ambiente
KPMG entre las mejores consultoras de Energía y Medio Ambiente
Energía category
KPMG entre las mejores consultoras de Energía y Medio Ambiente
KPMG entre las mejores consultoras de Energía y Medio Ambiente
KPMG entre las mejores consultoras de Energía y Medio Ambiente

En su ranking global, la revista Forbes reconoce a KPMG como una de las mejores consultoras del mundo en Energía y Medio Ambiente. ¡Chequéelo!

En su ranking global, la revista Forbes reconoce a KPMG como una de las mejores consultoras del mundo en Energía y Medio Ambiente. ¡Chequéelo!

Forbes nombra a KPMG entre las mejores consultoras en el área de Energía y Medio Ambiente.

Spiral blue texture
Spiral blue texture
Energía y Recursos Naturales category
Revisa el Informe Statistical Review of World Energy 2024
Revisa el Informe Statistical Review of World Energy 2024
Revisa el Informe Statistical Review of World Energy 2024

Una colaboración de KPMG con el Energy Institute (EI)

Una colaboración de KPMG con el Energy Institute (EI)

KPMG se complace en colaborar con el Energy Institute (EI)

Contáctanos

Ronald Heil publicaciones de blog
Ronald Heil
Global Cyber Security Leader for Energy and Natural Resources and Partner
KPMG International
Perfil |
Erick Palencia publicaciones de blog
Erick Palencia
Socio Advisory - Consulting y Líder en Ciberseguridad
KPMG en Chile
Perfil | | Phone
Nolbeto Pezzati publicaciones de blog
Nolberto Pezzati
Socio de Auditoría - Minería, E&RN & Mercados Industriales
KPMG en Chile
Perfil | | Phone