“Demasiado grande para fallar" es una frase demasiado utilizada, pero es relevante y apropiada en el caso de la energía y los servicios públicos (P&U).
La electricidad sustenta prácticamente todos los aspectos de nuestras vidas. Sin embargo, la generación y distribución de energía están bajo una creciente amenaza debido a desastres naturales, ciberataques, infraestructura y fuerza laboral envejecidas e interrupciones en la cadena de suministro. Al mismo tiempo, el sector se enfrenta a sistemas de red complejos y descentralizados, fuentes de energía renovables y digitalización.
La propuesta de Directiva NIS 2 de la Unión Europea podría obligar a las empresas de P&U (y otras industrias) a demostrar nuevos niveles de ciberseguridad.1
Las empresas de energía y los servicios públicos, públicos y privados, siempre se han centrado en mantener las luces encendidas y el agua en funcionamiento, pero la naturaleza cambiante de los riesgos ha desplazado el énfasis de la respuesta y la recuperación a la resiliencia por diseño para mantener los servicios 24/7. Los reguladores esperan mayores estándares de resiliencia operativa, comercial y financiera en toda la cadena de suministro. La propuesta de Directiva NIS 2 de la Unión Europea podría obligar a las empresas de P&U (y otras industrias) a demostrar nuevos niveles de ciberseguridad. Si no se toman las medidas preventivas adecuadas, las empresas –y sus líderes– pueden quedar abiertas a multas y penas privativas de libertad.
En este artículo, analizamos en profundidad los principales factores que impulsan la resiliencia y analizamos cómo las empresas de P&U pueden integrar estos elementos para mantener sus servicios.
Plugged In
Un enfoque en los riesgos geopolíticos y de seguridad cibernética.
Descargar PDF (2.27 MB) ⤓
El cambio climático es una preocupación enorme y creciente para el sector. Las tormentas, los incendios forestales y de matorrales, las inundaciones, los vientos, el frío y el calor extremos y las sequías ya no son fenómenos raros sino fenómenos naturales frecuentes en muchas geografías. Estados Unidos ha sufrido 323 desastres meteorológicos y climáticos desde 1980, con daños estimados de US$2.195 billones.2 Y entre 2013 y 2020, el número de horas de interrupción por año se duplicó de cuatro a ocho.3
En la India en 2022, más de mil millones de ciudadanos han estado luchando para hacer frente a temperaturas insoportables de más de 40 ° Celsius, la primavera más calurosa en la historia registrada del país, evitando el trabajo al aire libre y causando cortes de energía, escasez de agua, racionamiento impuesto por el estado, cancelaciones de trenes, así como la reducción de la producción industrial y agrícola.4
Además de dañar la infraestructura física, estos fenómenos también pueden contener cadenas de suministro de piezas y materiales vitales. Y las empresas de P&U no sólo tienen que hacer frente a los efectos del cambio climático en sus operaciones, sino que también deben considerar el impacto de su propia organización en el medio ambiente y la sociedad, ya se trate de emisiones de carbono o de tratamiento de los trabajadores.
Descentralización y digitalización
Las redes están cada vez más distribuidas, con franjas de fuentes más pequeñas y localizadas, creando una mezcla híbrida de energía convencional/nuclear y, cada vez más, renovable a partir de pequeñas centrales hidroeléctricas, biomasa, biogás, solar, eólica y geotérmica.5 Es todo un dolor de cabeza orquestar esta compleja red de jugadores para mantener la integridad del sistema.
Al mismo tiempo, la digitalización aporta una mayor automatización y sofisticación a los sistemas de control, integrando operaciones y TI, con una creciente dependencia de una red de nube externa y de proveedores como servicio. Con una red troncal interconectada, una sola falla puede tener múltiples consecuencias y potencialmente cerrar toda la instalación.
Cualquier incidente expone instantáneamente las muchas interdependencias en la sociedad, donde una interrupción tiene una reacción en cadena que afecta a las telecomunicaciones, la industria, el transporte y el agua. Por ejemplo: si no hay red móvil o internet, es más difícil ponerse en contacto con ingenieros y otro personal de reparación. Y si la energía eléctrica está fuera y las gasolineras no están funcionando, estas mismas personas no pueden conducir para llegar a los puntos de daño. Hacer frente a las subidas de tensión es un reto adicional cuando muchos participantes participan en la red, ya que los proveedores de atención al cliente buscan distribuir energía desde varias ubicaciones.
A medida que los proveedores de P&U realizan la transición a las empresas digitales, en las que todos los equipos, incluidos el hardware, los sensores IoT y los dispositivos personales, están conectados, y en las que muchos terceros participan en la transmisión y la facturación, la amenaza –y el consiguiente impacto– de los ciberataques ha aumentado drásticamente. Desde la pandemia, la aceleración del trabajo híbrido ha aumentado la conciencia de cómo los atacantes pueden atacar los sistemas en redes inseguras. El deterioro de las relaciones con otros países añade otra capa de amenaza.
Las organizaciones P&U han sido a menudo blanco de cibercriminales y estados-nación (a veces ambos trabajando conjuntamente) para alterar la infraestructura nacional crítica de los enemigos. Se cree que Cyber Weapon Stuxnet fue co-desarrollado por Israel y Estados Unidos para atacar instalaciones nucleares iraníes, aunque tanto Israel como Irán lo niegan.6 Stuxnet sacó sistemas SCADA dentro de instalaciones nucleares iraníes críticas.7
Otro ejemplo es NotPetya, que según los expertos se ha dirigido a Ucrania.8 McAfee afirma, “…esta variante fue diseñada para propagarse rápidamente”, dirigida a “compañías energéticas completas, la red eléctrica, las estaciones de autobuses, las estaciones de servicio, el aeropuerto, y bancos”.
Es posible que las organizaciones no sean atacadas directamente, pero acaben con daños colaterales, ya que el malware lanzado al aire libre aprovecha sus vulnerabilidades. Stuxnet puede haber tenido un objetivo específico, pero el código utilizado para desarrollar el malware original ahora se ha mejorado y se puede utilizar para atacar a un público mucho más amplio en sectores y geografías.
NotPetya puede haber tenido el sector de la energía en sus miradas, y potencialmente Ucrania. Sin embargo, ha impactado a muchas organizaciones globales, incluyendo el avión Antonov en el gigante logístico ucraniano Maersk, y el productor ruso de petróleo Rosneft.9
No es raro que los hackers hostiles realicen un seguimiento de un ciberataque con un ataque físico. La superficie de ataque es enorme debido a las enormes redes de estaciones, pilones y otras instalaciones. La falta de una fuente de alimentación de reserva hace que sea aún más difícil recuperarse haciendo que el generador vuelva a funcionar.
Stuxnet puede haber tenido un objetivo específico, pero el código utilizado para desarrollar el malware original ahora se ha mejorado y se puede utilizar para atacar a un público mucho más amplio en sectores y geografías.
Activos y mano de obra que envejecen
En un sector en el que hay muchos activos, la sustitución y el mantenimiento eficaces en función de los costos son factores constantes. El cambio climático ha recordado a las empresas de P&U la facilidad con que algunos equipos pueden resultar dañados. En el caso de los incendios forestales, en particular, las torres y líneas eléctricas caídas pueden ser responsables de la pérdida de vidas y medios de vida, lo que se traduce en fuertes multas o incluso acciones penales contra los ejecutivos por no adoptar las medidas preventivas adecuadas.
Sin las personas y habilidades adecuadas, las redes de P&U pueden tener dificultades para alcanzar los niveles de continuidad que exigen los clientes. A medida que la generación de trabajadores de más edad se acerca a la jubilación, es vital atraer nuevos talentos al sector y transmitir las décadas de experiencia de las generaciones de más edad. Y a medida que las funciones se vuelven cada vez más digitales, las capacidades tecnológicas se vuelven esenciales en combinación con la automatización.
Construyendo un marco y una cultura de resiliencia
A medida que se esfuerzan por crear organizaciones seguras y sólidas que puedan proporcionar servicios ininterrumpidos las 24 horas del día, los 7 días de la semana a las organizaciones públicas y privadas y a los ciudadanos, las empresas de P&U tratan la resiliencia como un imperativo a nivel de junta directiva.
El Reino Unido cuenta con una resistencia nacional Strategy10 diseñada para hacer frente al clima extremo, el terrorismo, las pandemias, los ciberataques, la inestabilidad geopolítica, y accidentes. La Red Nacional del país adopta un enfoque de “Sistemas Totales”.11 y en Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) proporciona una base técnica para mejorar el diseño, construcción, operación y mantenimiento de edificios y sistemas de infraestructura.12
Una estrategia de resiliencia debe presentar las siguientes características:
Modelado de eventos climáticos extremos
Los planificadores de P&U deberían mejorar la planificación de sus escenarios para hacer frente a las amenazas del cambio climático. Los acontecimientos históricos ya no son un predictor fiable del futuro, por lo que los modelos deben incorporar más datos en tiempo real y utilizar innovaciones como gemelos digitales para pronosticar la probabilidad y la gravedad del impacto en la infraestructura y los servicios interdependientes.
Preparación de equipos y personas
La preparación es igualmente crítica, invirtiendo en una infraestructura más nueva y robusta, abasteciéndose de inventario y teniendo personal y contratistas adicionales disponibles de guardia para realizar reparaciones lo más rápido posible. Es posible que los profesionales de adquisiciones tengan que reconsiderar sus ambiciones de justo a tiempo, dado el enorme coste potencial y las molestias que supone un corte. Esto implica decisiones de coste-beneficio: Si se prepara en exceso, se añadirán gastos de forma significativa; si no se prepara, se arriesga a interrupciones inaceptables, clientes insatisfechos y facturas de reparaciones masivas. Igualmente, ciertos tipos de inventarios, como los transformadores de red super, son tan específicos para diferentes partes de una red que es imposible mantener todos los artículos en stock.
Ciberseguridad
Y, por supuesto, la ciberdefensa se está convirtiendo en una gran prioridad, con una necesidad urgente de establecer culturas con conciencia cibernética y protocolos de entrada estrictos. También es vital identificar y anular las amenazas potenciales y restaurar los sistemas en caso de que sean atacados. Algunos están barriendo la antigua tecnología heredada y cambiando a la nube para eliminar tantas vulnerabilidades potenciales como sea posible.
Creación de una cultura de resiliencia
Por último, la incorporación del conocimiento en el sistema puede ayudar a evitar el riesgo de «persona clave» cuando las organizaciones dependen de las capacidades únicas de los individuos. La planificación estratégica de la fuerza de trabajo identifica las habilidades y los líderes necesarios y el entorno de trabajo que atraerá a una fuerza de trabajo nueva y diversa. Es probable que sea crucial invertir en capacitación técnica y construir nuevas rutas para la contratación y los contratistas/trabajadores de la economía de negocios.
Endurecimiento
Hay muchos pasos que las empresas de P&U pueden tomar para hacer que su infraestructura física sea más resistente, como la instalación de postes más fuertes, la puesta a tierra de líneas aéreas, el recorte de árboles y la elevación de subestaciones por encima de los niveles de inundación previstos. La planificación de escenarios a más largo plazo puede guiar el pensamiento para considerar las condiciones climáticas probables en las próximas décadas.
Las inversiones en sustitución y mantenimiento deben equilibrar los costes iniciales ahora y los gastos potencialmente significativos más adelante para remediar el daño. Los estudios tienden a mostrar que las mejoras son muchas veces más baratas que las reparaciones -un estudio de los EE.UU. Concluyó que cada US$1 invertido en mitigación de desastres o “endurecimiento” evitaba US$6 en costos de reconstrucción-.13 En un caso, mediante la instalación de nuevos monitores de transformadores, una empresa evitó una interrupción de servicio para 15.000 clientes, ahorrando aproximadamente US$1 millones en gastos de restauración.14
Existe un creciente interés en el mantenimiento predictivo, mediante el uso de sensores sofisticados, drones y otras IoT, que, en combinación con análisis avanzados, pueden ayudar a determinar cuándo puede fallar el equipo e iniciar una acción proactiva. Las plataformas predictivas basadas en la nube utilizan AI y automatización para mejorar constantemente su capacidad de detectar defectos de activos y evitar el tiempo de inactividad de los equipos. Y al combinarlos con pronósticos precisos de condiciones meteorológicas extremas, las empresas pueden estar mejor preparadas.
Una forma de crear resiliencia es a través de la redundancia, de modo que diferentes líneas de transmisión puedan operar independientemente unas de otras; si una falla, las otras continúan funcionando. La supervisión es esencial para este enfoque, ya que detecta cualquier problema operativo –como ciberataques o fallos mecánicos– y permite a los sistemas aislarlos para que fallen de forma segura a fin de evitar una interrupción más amplia del sistema.
La generación distribuida construye más fuentes alternativas en la red, incluyendo un uso creciente de microrredes. El almacenamiento de energía puede aumentar la resistencia, proporcionando una fuente de energía alternativa, actuando tanto como carga como generador.
Invertir en un futuro fiable y de confianza
La resiliencia no solo mantiene las luces encendidas; genera confianza e impulsa la ventaja competitiva..
En una organización centrada en la resiliencia, el liderazgo tiene una clara responsabilidad por proteger la prestación de servicios, respaldada por sólidos conocimientos de datos que pueden informar la inversión en resiliencia a largo plazo, cumplir con los requisitos regulatorios en evolución y ayudar a garantizar una acción preventiva rápida en caso de fallas. La planificación de la resiliencia tiene tres áreas principales:
Preparar
Gestión de servicios empresariales
Marcos de control de resiliencia
Tolerancia y gestión de escenarios
Valores
Evaluación de la resiliencia del servicio sin estrés
Evaluación de la gestión de amenazas de servicio
Evaluación de la resiliencia del servicio estresado
Acción
Informes, soluciones y evaluación de inversiones
Mejora del servicio
Planificación y gestión de la recuperación
Cómo puede ayudar KPMG
Los profesionales de KPMG Power and Utility tienen una amplia experiencia en la creación de organizaciones más sólidas y pueden ayudarle a:
- Haga de la resiliencia y la confianza fundamentos de su estrategia organizacional y propuesta de valor
- Sea ágil y flexible a la hora de mantener los resultados empresariales después de eventos disruptivos
- Mantenga su empresa conectada interna y externamente, antes y después de la interrupción
- Haga que su redundancia esté basada en datos y habilitada para la tecnología para generar información oportuna, reducir costes y mejorar la escalabilidad
Esto le proporcionará una visibilidad y un control claros de los servicios, los recursos y los riesgos, con lo que se garantiza una estabilidad de los servicios en tiempos de interrupción. También puede dar soporte al negocio, a los clientes y a los mercados financieros para que la resistencia pueda convertirse en una ventaja competitiva crítica y en un motor de confianza.
Contáctenos
- Encontrar ubicación de oficinas kpmg.findOfficeLocations
- kpmg.emailUs
- Redes sociales @ KPMG kpmg.socialMedia
1 European Commission, Commission welcomes political agreement on new rules on cybersecurity of network and information systems, May 2022.
2 National Centers for Environmental Information, Billion-Dollar Weather and Climate Disasters, Accessed 10 June 2022.
3 U.S. Energy Information Administration, U.S. electricity customers experienced eight hours of power interruptions in 2020, November 2021.
4 Bloomberg, Climate Change Turned Up India’s Heat. But by How Much?, May 2022.
5 Power Grid International, A look towards the future: Integrating DERMS and ADM, May 2019.
6 The New Yorker, World War Three, By Mistake, December 2016.
7 Foreign Policy, Stuxnet’s Secret Twin, November 2013.
8 Wired, What is the Petya ransomware spreading across Europe? WIRED explains, July 2017.
9 BBC, Global ransomware attack causes turmoil, June 2017.
10 UK Government, National Resilience Strategy: Call for Evidence , July 2021.
11 National Grid, Our Whole System approach, March 2021.
12 National Institute of Standards and Technology, Resilience, accessed June 2022.
13 Federal Insurance and Mitigation Administration, Natural Hazard Mitigation Saves Interim Report, June 2018.
14 T&D World, Ushering in the Next Era of Grid Modernization, December 2021.