ENTREVISTA

Elena Matilla, CISO de Red Eléctrica de España

"Hace falta una colaboración público-privada más específica en materia de ciberseguridad"

28/02/2018 - Enrique González Herrero
Las respuestas de Elena Matilla al preguntarle por algunos de los temas candentes en materia de ciberseguridad le delatan como una profesional con una enorme visión del negocio y capacidad de análisis. Una virtud sin duda muy valiosa para quien tiene bajo su responsabilidad la gestión y el gobierno de la seguridad de la información de un operador estratégico como Red Eléctrica de España, que desde el año pasado ha apostado de manera decidida por la integración de la seguridad.

¿Cómo está configurada la seguridad en Red Eléctrica de España?

En febrero de 2017, Red Eléctrica de España (REE) hizo una gran apuesta por integrar la seguridad y creó el departamento de Seguridad Corporativa, bajo la dirección del responsable de Seguridad y Enlace. En dicha área se enmarca la gestión y el gobierno de la seguridad de la información y ciberseguridad, de la que soy responsable como CISO.

A través del departamento desarrollamos el gobierno y la gestión de la seguridad, siempre con un cariz integral. Con lo cual hablamos de seguridad física, ciberseguridad de los sistemas de información (IT) y ciberseguridad de la tecnología de la operación (OT). El departamento está estructurado de manera que converjan esos tres mundos.

Con objeto de definir el modelo de seguridad ideal para el grupo Red Eléctrica, hicimos un estudio exhaustivo de diferentes modelos relacionados con el gobierno de las tecnologías de la información (como la ISO 83500, la ISO 27014, COBIT, Gartner, etc.) y entre ellos el que más encajaba con lo que buscábamos era el ES-C2M2 (Electricity Subsector Cybersecurity Capability Maturity Model), que entiende la ciberseguridad en 10 dominios. Realizamos una adaptación de ese modelo junto con aportaciones del resto de referencias estudiadas para conseguir el modelo de seguridad integral de REE. Nuestro modelo disecciona la seguridad en 11 capacidades e integra en todas ellas la ciberseguridad y la seguridad física. Éstas son: gestión del riesgo; plan de seguridad; activos, cambios y configuración; intercambio de información; dependencias externas; personal en seguridad y capacitación; incidentes y continuación de operaciones; amenazas y vulnerabilidades; identidades y accesos; cumplimiento y normativa y conciencia situacional. Adicionalmente, y siguiendo el concepto de las tres líneas de defensa, hemos separado el gobierno y la gestión de cada una de estas capacidades de la operación de las mismas.

De esta forma, desde el departamento de Seguridad Corporativa de REE se lleva el gobierno y la gestión de la seguridad, asignando responsables de cada una de las capacidades del modelo y dejando la seguridad operativa a los departamentos técnicos: la Dirección de Tecnologías de la Información y la Dirección de Mantenimiento de Instalaciones. El modelo está echando a andar, pero creemos que este es el camino y durante 2018 nuestro objetivo es aterrizarlo e implantarlo. De hecho hemos iniciado las primeras acciones conducentes a su puesta en marcha.

Llevada a la práctica, ¿en qué beneficios se traduce esa integración de la seguridad?

El primero y más evidente es que da respuesta a un requisito demandado por la regulación nacional sobre protección de infraestructuras críticas. Pero más allá de una obligación, este modelo nos ayuda a ser más eficientes, más eficaces, controlando costes y, sobre todo, aprovechando sinergias. Para nuestra organización este es el mejor camino a seguir en aras de mejorar la protección y la resiliencia de nuestras infraestructuras. Porque si las amenazas son cada vez más sofisticadas, más especializadas y utilizan la confluencia del mundo físico y el ciber para su materialización, las organizaciones deben protegerse bajo un marco común, estableciendo las medidas de protección según el riesgo. Por tanto, no podemos seguir trabajando en silos o de forma aislada como se venía haciendo.

Describe un modelo integral de la seguridad, pero ¿cómo se puede realizar un análisis de riesgos donde realmente confluyan amenazas físicas y tecnológicas?

Para una gestión integral de los riesgos debemos ser capaces de identificar cuáles son las amenazas de cada uno de los mundos, según los activos que los conforman. Durante el año pasado, en REE hicimos una primera iteración para llevar a cabo el tratamiento automatizado de los riesgos de ciberseguridad IT y OT, incluyendo también los sistemas de seguridad físicos, y hemos dejado para este año la segunda parte, la automatización de los riesgos de seguridad física.

Creemos que el mapa de riesgos de seguridad de una organización debe aunarlos todos, sean de la naturaleza que sean. De esta forma se consigue una única foto completa de los riesgos más relevantes a los que se enfrenta la organización. Con esta información global se puede trabajar en el tratamiento de esos riesgos, priorizando lo realmente importante.

Para leer la entrevista completa, acceda a este enlace.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual