¿Sabía que el pasado año la industria de la energía de los EEUU tuvo el mayor número de amenazas de seguridad comunicadas? Según el Centro Nacional de Integración para las Comunicaciones y la Ciberseguridad (NCCIC), un centro de gestión y respuesta a incidentes de control 24×7 sobre cuestiones de ciberseguridad perteneciente al Gobierno Federal de EE.UU., la industria de la energía fue objeto del 56 % de los ataques comunicados en 2013 —en 2012, la cifra alcanzó el 41%-. Puesto que el nivel de las amenazas de ciberseguridad y seguridad física continúa aumentando, empresas como Iberdrola USA están adoptando enfoques innovadores para mitigar los riesgos financieros y operativos, así como los relacionados con la reputación y el cumplimiento de las normas.
Enfoque integrado en relación con la mitigación de riesgos, la protección y la respuesta a estas cuestiones
Nuestras operaciones afectan a aproximadamente tres millones de clientes de gas natural y electricidad, a 60 proyectos de energías renovables y, al mismo tiempo, tenemos presencia en el mercado de la energía de 24 estados. Una empresa de esta escala y complejidad requiere un robusto sistema de funciones de seguridad corporativa para proporcionar seguridad a sus empleados y a sus bienes. Como Jefa de Seguridad que informa directamente al Director General, dirijo un equipo que tiene la responsabilidad de garantizar la seguridad de nuestros 5.000 empleados en Estados Unidos así como de nuestras operaciones realizadas en todo el país.
Debido al aumento del número de amenazas que se ha producido en los últimos años, así como a la existencia de la Orden Ejecutiva y la Directiva Presidencial para proteger la infraestructura crítica establecida en 2013, Iberdrola USA tomó la decisión estratégica de unificar todas las funciones de cumplimiento de las cuestiones relacionadas con la seguridad en un solo equipo. Esto incluye la comunicación de la estructura de informe directamente al Director General de la empresa. Adicionalmente, integramos los equipos de ciberseguridad y seguridad física para así identificar y mitigar las amenazas de seguridad en relación con todos los bienes. Mi equipo integrado proporciona apoyo a todas las unidades de negocio para un grupo unificado de seguridad corporativa.
Otro requerimiento en relación con nuestra seguridad corporativa es la observación de las regulaciones y los estándares establecidos por la Comisión Federal de Regulación de la Energía (FERC) y la Corporación Norteamericana de Fiabilidad de la Energía Eléctrica (NERC). Estas agencias estadounidenses establecen los estándares para la fiabilidad y la protección de la infraestructura crítica (también conocida por sus siglas en inglés, CIP), así como la protección adicional para ciberbienes asociada con subestaciones de transmisión, generación y sistemas de control de la energía. Para garantizar el cumplimiento de las normas, hemos designado un equipo para controlar con regularidad la evolución de los estándares y elaborar todos los informes requeridos. El incumplimiento de las normas puede suponer multas de alcance, ¡que van desde 1.000 hasta 1.000.000 de dólares estadounidenses por día! Sin embargo, los riesgos potenciales para las personas y la infraestructura crítica suponen una preocupación aún mayor.
Nuestro enfoque holístico garantiza que Iberdrola pueda trabajar con seguridad en cualquier parte del mundo. Guiamos a nuestros asociados comerciales para asegurar sus bienes a través de un enfoque basado en riesgos, mitigando los riesgos comerciales mediante una gobernancia centralizada y estratégica, así como mediante supervisión. Empleamos un enfoque de respuesta unificada ante incidentes y gestión de amenazas en relación con ciberbienes y bienes físicos, al tiempo que gestionamos el cumplimiento de las normas establecidas por la NERC. Asimismo, hemos inculcado en nuestra cultura empresarial la responsabilidad individual para que los empleados comuniquen los incumplimientos conocidos o sospechados de las leyes y las regulaciones aplicables, o bien de cualquier desviación que se produzca en relación con las políticas y el código ético de la empresa.
Soluciones innovadoras para la protección de las personas y los bienes
De conformidad con los requerimientos de seguridad física establecidos por las agencias reguladoras y los estándares globales de Iberdrola, hemos conformado un plan de seguridad con rentabilidad a largo plazo basado en las mejores prácticas aprendidas de la experiencia de nuestros colegas. Comenzando en 2012, la estandarización del control de acceso y la videovigilancia se pusieron en práctica en sedes de los Estados Unidos, Reino Unido y Brasil.
En el mes de abril de ese año, el equipo de seguridad física comenzó a revisar opciones para acelerar el despliegue de dichos sistemas. Nuestra serie de componentes de seguridad abarca desde un simple cierre con llave o acceso mediante tarjeta hasta videovigilancia y análisis, cámaras térmicas y elementos de refuerzo físico. Cada sede necesitaba una configuración específica de dichos componentes basada en el nivel de riesgo, pero la naturaleza modular del sistema hace que resulte posible su escalabilidad y su disponibilidad para crear sistemas personalizados e individuales para cada localización o instalación.
Comenzamos efectuando una revisión de todas nuestras sedes físicas, incluyendo las oficinas generales, centros de datos, centros de pago presenciales para clientes, centros de control de energía de carácter crítico y subestaciones. Utilizando criterios de caracterización basados en riesgo, categorizamos cada sitio y desarrollamos una «matriz de estándares de despliegue» para definir los componentes de seguridad específicos adecuados para cada localización. Por ejemplo, ahora contamos con los medios necesarios para diferenciar una sede de primera línea como es el caso de un centro de control de energía, que puede requerir la presencia de todos los sistemas de seguridad disponibles en nuestro sistema, de una instalación de almacenamiento desocupada categorizada como sede de «nivel cuatro», lo que implica un número significativamente menor de medidas de seguridad.
Puesto que las amenazas contra la industria de la energía adoptan formas distintas, desde fallos de equipo a desastres naturales e incluso ataques de naturaleza criminal, Iberdrola decidió crear un sistema de primera categoría para controlar la seguridad física. Nuestro sistema integrado cumple o excede todos los mandatos gubernamentales para la industria a través de una estructura de tecnología de protección elaborada conjuntamente por nuestros asociados de vanguardia. Nos centramos en reforzar la fiabilidad y la eficiencia para nuestros clientes al tiempo que aportamos el nivel más elevado disponible de seguridad para los empleados y protección de los bienes.
