Para los servicios públicos de transmisión y distribución (T&D) de hoy en día, una mayor conectividad conlleva un mayor riesgo de ataques por parte de actores maliciosos (y a veces estatales). A esto se suma un aumento significativo del tipo y volumen de usuarios, lo que amplía el potencial de una brecha grave que puede afectar no solo el funcionamiento de las organizaciones, sino que el servicio -esencial- que reciben los consumidores.

Los recientes ataques de FireEye y SolarWinds descubiertos en diciembre pasado, tras meses de penetración en las redes de empresas y organismos públicos, todavía se están desvelando. Pero está claro que son graves, tanto que han llevado a los directores ejecutivos de las mayores empresas de utilities estadounidenses a discutir las posibles amenazas a la red eléctrica, aún más después de los ataques a la infraestructura crítica de los oleoductos en Estados Unidos. Si añadimos a esto las condiciones meteorológicas extremas y otras catástrofes naturales, las empresas de servicios públicos están en modo de respuesta de emergencia más a menudo, durante más tiempo y de forma más compleja. Esto significa que sus estrategias y enfoques de seguridad deben ser probados y herméticos. Deben ser cada vez más ágiles y capaces de adaptarse a modelos operativos no tradicionales, como los trabajadores a distancia. Todos estos pasos pueden ayudarles a reducir el riesgo y a acelerar el análisis y la recuperación de los ataques como FireEye y SolarWinds.

En el contexto actual, ¿cómo gestionar la seguridad con un enfoque end-to-end, es decir, a través de todo el negocio? En primer lugar, hay que pensar en sacarla del departamento de TI de las organizaciones. Algunas empresas de utilities están creando la función de director de seguridad (Chief Security Office - CSO) para reunir los problemas de seguridad de TI, TO, cadena de suministro y de información privilegiada bajo un mismo techo. En algunos casos, la seguridad fí- sica también forma parte del ámbito del CSO. Este enfoque de la centralización de la seguridad puede ser una manera eficaz de avanzar. Pero para impulsar realmente una cultura empresarial en este aspecto, hay que establecer una responsabilidad compartida con la empresa: la dirección debe compartir explícitamente la responsabilidad de la seguridad y de cualquier infracción, comportamiento impulsado por incentivos y objetivos comunes.

Así también, se debe pasar de una mentalidad de cumplimiento a un enfoque de capacidad: “¿Cómo construyo una capacidad efectiva de extremo a extremo que pueda evolucionar junto con -o incluso por delante de- las demandas de seguridad?”. Esto también coincide con la dirección que están tomando muchos reguladores en diferentes países del mundo. El objetivo final es aumentar la resistencia de la seguridad y que las empresas de servicios públicos asuman la responsabilidad de incorporar la seguridad al diseño de sus infraestructuras y sistemas. Se trata de un cambio, un paso hacia un enfoque más previsor y proactivo que es cada vez más esencial a medida que la escala y la naturaleza de las amenazas siguen aumentando. Reaccionar ya no es suficiente.

En tercer lugar, para ser eficaz en materia de seguridad es clave la planificación. Con demasiada frecuencia, la seguridad es un complemento y se presupuesta después de todo lo demás, por lo que el financiamiento suele ser nominal. Se debe convertir en una prioridad que forme parte del presupuesto desde el inicio. Luego, debe siempre mantenerse al principio de la lista de la proyección de inversiones. Las empresas chilenas de servicios públicos tienen un importante desafío en este sentido y, de acuerdo con la última versión del estudio de Accenture, Techvision, solo un 20% afirma que este año experimentará con ciberseguridad. Lo que es peor, ciberseguridad ni siquiera aparece entre las tecnologías que escalarán -es decir, que aplicarán a nivel de todo el negocio- durante 2021. La situación mundial es al revés: entre las tecnologías que más esperan escalar este año los ejecutivos globales se encuentra la ciberseguridad y ninguna empresa respondió estar en etapas iniciales de experimentación.

Las organizaciones de utilities deben impulsar la ciberseguridad en todos los procesos y sistemas, incluidas las comunicaciones con el personal de campo. Por ejemplo, durante las operaciones regulares y de emergencia, el personal del centro de control se comunica con los operadores de campo a través de una variedad de caminos que suelen estar protegidos (si es que están protegidos) mediante la encriptación del punto final. Tanto si las comunicaciones utilizan redes celulares o de malla, VoIP, satélite, telefonía tradicional o un híbrido, se deben establecer vías de comunicación seguras de respaldo. Esto puede reducir el riesgo de vigilancia y/o robo de datos.

En un país como Chile, con una geografía diversa, es importante también saber enfrentar los fenómenos climáticos de forma segura. Según una investigación reciente de Accenture, solo una cuarta parte de los ejecutivos de las empresas de servicios públicos a nivel mundial se siente muy bien preparada para hacer frente a fenómenos meteorológicos extremos. Dado que la respuesta a las emergencias es un proceso orquestado y planificado de antemano -que se repetirá-, las consideraciones de seguridad deben ser una de las máximas prioridades en la gestión de crisis en el negocio de T&D. ¿Cómo diseñar la seguridad? El liderazgo debe reunir a todos los stakeholders interesados en la “seguridad” -que deben incluir las operaciones de T&D, las telecomunicaciones, la dirección de TI y TO, junto con el personal de seguridad y cumplimiento- para ayudar a presupuestar los problemas de seguridad durante el diseño, no “a posteriori”. Además, hay que hacer de la seguridad una competencia de toda la empresa, animando a todas las partes interesadas a establecer relaciones sólidas y a compartir la responsabilidad. Cuando llega la tormenta, las relaciones cuentan.

Si hay algo que podemos garantizar es que la tormenta -o el huracán, el ciclón, el incendio forestal o el ciberataquevolverá a golpear. La lección de FireEye, SolarWinds y otros ataques es que, al igual que el resto de las organizaciones, las empresas de utilities deben aspirar a una resiliencia de seguridad proactiva e integral. Y hoy, producto de la pandemia, con carácter de urgencia. El momento y la oportunidad es ahora.