Cómo pueden adaptarse los CISO de las empresas de energía y servicios públicos para hacer posible un futuro digital

Los ciberdelincuentes tienen como objetivo el sector de energía y servicios públicos, que se ha vuelto más vulnerable por la disrupción del COVID-19, según un reciente estudio de EY.

La financiación del cibernética no está a la altura de las necesidades

Los líderes de ciberseguridad en energía y servicios públicos tienen dificultades para conseguir los recursos que necesitan. Uno de cada dos (50%) señala que está trabajando con presupuestos insuficientes para gestionar los desafíos de ciberseguridad que han surgido en los últimos 12 meses. Un más modesto 42% de los líderes de otros sectores, en promedio, comparten la misma preocupación.

El problema no es que las finanzas y el equipo ejecutivo subestimen la importancia de la ciberseguridad. "Las juntas directivas entienden ahora que la ciberseguridad es un riesgo clave, pero eso no se traduce necesariamente en que liberen presupuesto adicional", afirma Kris Lovejoy, EY Global Consulting Cybersecurity Leader. "En parte, esto se debe a que ha habido un fallo por parte de algunos responsables de seguridad a la hora de articular claramente cómo afrontar el aumento del riesgo de ciberseguridad".

En la actualidad, los encuestados están buscando ahorros y tomando decisiones difíciles. Entre los que dicen que su presupuesto es insuficiente para sus necesidades, el 55% afirma que se ha visto obligado a revisar las arquitecturas heredadas y a identificar oportunidades de reducción de costos, y la mitad (49%) ha reducido sus actividades de innovación para centrarse en tareas no estratégicas (véase la figura 1).

El resultado es una profunda consternación: casi la mitad (43%) de los líderes de ciberseguridad en energía y servicios públicos creen que es sólo cuestión de tiempo que su organización sufra una brecha importante que podría haberse evitado si hubiera recibido una inversión adicional. Esta proporción es más alta que en los otros sectores encuestados, donde, de media, el 37% de los líderes cree que la falta de financiación está haciendo que una brecha sea inevitable.

Los equipos de ciberseguridad son vistos como adversarios y no como socios

Una ironía desagradable para los CISO de este sector es que cuanto más carecen de fondos, más se les exigen responsabilidades. Más de la mitad (59%) de los encuestados afirman que la ciberseguridad está siendo más examinada que nunca.

Una explicación sencilla podría ser que la empresa no confía en las capacidades de la función, independientemente del nivel de presupuesto que reciba. Sólo el 45% de los encuestados creen que su equipo de dirección ejecutiva describiría la ciberseguridad como "protegiendo a la empresa". Mientras que en otros sectores, una media del 61% confía en que obtendrían este respaldo.

Parte del problema podría ser que la ciberseguridad rara vez se ve como un socio estratégico. Menos de la mitad (46%) de los encuestados del sector confían en la capacidad del equipo de ciberseguridad para hablar el mismo idioma que sus compañeros en la empresa. Sólo el 31% cree que se les considera partidarios de la innovación.

La falta de compromiso entre los equipos de ciberseguridad y las funciones clave, por ejemplo, RR.HH., desarrollo de productos e I+D, es evidente en la debilidad de su relación. Sólo el 12% describe su relación con el desarrollo de productos e I+D como de alta confianza y consulta; la cifra cae al 7% cuando se trata de sus interacciones con las líneas de negocio, que incluirían a aliados críticos como logística, ingeniería y producción.

En ausencia de fuertes vínculos con el negocio, es probable que haya poca comprensión de cómo la ciberseguridad podría desempeñar un papel positivo en la transformación o digitalización de la tecnología operativa (OT, por sus siglas en inglés). Y, en un entorno en el que los presupuestos son ajustados, las juntas directivas están dando prioridad a las funciones en las que hay una ruta clara desde la inversión hasta el valor añadido.

El adversario es más fuerte y más imprevisible

Las empresas de servicios públicos se enfrentan a una amenaza más amplia y sofisticada que en el pasado. La mayoría de los encuestados nos dicen que han visto un aumento en el número de ataques disruptivos en el último año (véase la figura 3), y el 40% advierte que los hackers están experimentando constantemente con nuevas estrategias, como dirigirse a los eslabones débiles de la cadena de suministros, que pueden anular los sistemas de seguridad establecidos.

El aumento de los ataques puede explicarse en parte por la disrupción de la pandemia. El World Economic Forum ha advertido, por ejemplo, que los atacantes están apuntando específicamente al sector de energía y servicios públicos porque creen que es nuevamente vulnerable debido a los impactos de COVID-19, como el paso al trabajo a distancia.

Otro desafío es que el sector se ha embarcado en un viaje masivo de transformación digital en los últimos años, con las empresas de energía y servicios públicos conectando IT con OT para modernizar la infraestructura y controlar sus plantas y redes. Como explica Clinton Firth, EY Global Cybersecurity Lead, Energy: "La transformación digital crea nuevas y poderosas oportunidades pero, al fusionarse los diferentes entornos, la superficie de ataque aumenta. Eso está causando mucho estrés".

Preparar la respuesta a través de una huella creciente

Las empresas de energía y servicios públicos se enfrentan a un desafío específico del sector para proteger IT y OT a medida que estos sistemas convergen. Pero muchos CISO del sector también están preocupados por las vulnerabilidades de las actividades de aprovisionamiento de su organización: El 44% afirma que la solución de las nuevas vulnerabilidades en la cadena de suministros es una de sus principales prioridades. El trabajo a distancia es otro problema, ya que el 43% de los líderes de ciberseguridad de energía y servicios públicos priorizan las medidas para abordar el riesgo introducido por los cambios que les impone COVID-19.

El sector es un objetivo atractivo por el impacto que un ataque tiene en la sociedad. De este modo, actores sofisticados patrocinados por el Estado tienen como objetivo el sector, y la función de ciberseguridad tendrá que luchar para competir con adversarios como estos. Los CISO necesitan asumir que sus organizaciones serán atacadas, y asegurarse de tener un plan de respuesta a incidentes bien ensayado que involucre a la cadena de suministros antes de que el ataque ocurra.

Hoy en día, los hackers están explotando las vulnerabilidades del sector más que nunca, y los CISO deben asumir que el ritmo de los ataques no hará más que aumentar. Si son capaces de superar las barreras a las que se enfrentan en torno a la seguridad por diseño, los CISO no solo pueden minimizar la disrupción de estos ataques, sino también construir una reputación como facilitadores estratégicos de la digitalización.