El ciberriesgo en la industria energética: 5 pasos a tener en cuenta

Ignorar los ciber riesgos ya no es una opción y, menos aún, para compañías de importancia calve como las que conforman la industria energética. Una ciber estrategia mal planificada puede derivar en riesgos físicos o corporativos, la interrupción del negocio o el robo de datos sensibles.

Riesgos físicos para la industria y las personas

El sector de la energía es estratégico. Nuestro mundo no funciona sin electricidad. A medida que la digitalización y la automatización han ido penetrado esta industria, los ciberriesgos han aumentado. En el futuro cercano, se multiplicarán de la mano de Internet de las Cosas (IoT, por sus siglas en inglés). Ataques industriales mediante malware como Stuxnet han demostrado que un riesgo cibernético puede conllevar daños físicos en la infraestructura.

Además, un problema en una planta energética derivado de un ataque informático tiene consecuencias automáticas en las personas y el resto de las industrias. Un informe de Lloyd’s of London de 2015 pronosticaba cómo con unos pocos ciberataques a infraestructuras energéticas concretas podía, en pocos minutos, dejarse sin electricidad a más de 90 millones de estadounidenses. Ese mismo año, un ciberataque en Ucrania dejó sin luz a buena parte del país durante seis horas.

El ciberriesgo es real también en las renovables

No ser objetivo directo de un ciberataque no exime a una compañía de los riesgos. Y es que la mayoría de ataques no son específicos, sino extensivos. Entre los ejemplos más recientes, virus como WannaCry o NotPetya, que afectaron a todo tipo de industrias y organizaciones.

“Las compañías de energía renovable pueden inclinarse a pensar que los ciberriesgos se derivan de cuestiones políticas y los hackers no tienen interés en atacar sus plantas. Sin embargo, durante el pasado año presenciamos ataques directos de activistas a parques eólicos. ¿Qué les impide tomar la vía de los ciberataques?”, reflexiona Myles Milner, ejecutivo de cuentas de la división de energía renovable en Willis Towers Watson.

Los riesgos se multiplican en la cadena de suministro

La industria energética es compleja y, como tal, son muchos los actores que participan en ella. La cadena de suministro de, por ejemplo, una planta solar, es larga y complicada. En ella se multiplican los puntos de entrada para los ciberataques. Proveedores de componentes y tecnología, subcontratas, empresas gestoras… todas deben ser conscientes de los riesgos y elaborar estrategias para reducirlos.

Una estrategia robusta frente al ciberriesgo

Según el experto de Willis Towers Watson, el primer paso para construir una organización resiliente frente a los ciberataques es analizar los puntos débiles, las puertas de entrada para los ataques, y establecer estrategias para reforzarlos, así como transferir los riesgos a soluciones aseguradoras.

El segundo desafío es destinar los recursos necesarios para la ciber estrategia. Para Myles Milner, estos deben ir destinados a un equipo que mezcle lo técnico con la consultoría y la transferencia de riesgos. Además, a la hora de establecer la estrategia, se debe tener en cuenta que los ciber riesgos y los impactos varían en función de la organización. Por ejemplo, una planta energética está más expuesta a los daños físicos y la interrupción de las operaciones, mientras una empresa comercializadora debe enfocarse más en la protección de los datos de sus clientes.

5 pasos para abordar los ciberriesgos en la industria energética 

Así, desde el Power and Renewable Market Review 2019, se recomienda seguir cinco pasos para abordar los ciberriesgos en la industria energética.

1. Identificación de vulnerabilidades, segmentos más expuestos y escenarios posibles.
2. Cuantificación de la pérdida máxima probable (PLM, por sus siglas en inglés) en cada uno de esos escenarios.
3. Valoración de las diferentes opciones técnicas para hacer frente a los ciberriesgos.
4. Identificación de las consecuencias y riesgos que pueden ser transferidos al mercado asegurador y contratación de una póliza acorde.
5. Formación de los trabajadores y los directivos para asegurar que toda la organización sea consciente de los riesgos.

“Los ciber seguros tradicionales se suelen centrar en ciberriesgos como el robo de datos o el compromiso de la privacidad. Los productos especializados no tradicionales cubren los riesgos físicos y de negocio. Todos estos productos permiten que una empresa energética esté cubierta, entre otros aspectos, frente a multas y sanciones y la interrupción del suministro”, concluye Myles Milner.

Compartir este artículo