"Hace falta una colaboración público-privada más específica en materia de ciberseguridad"

¿Cómo está configurada la seguridad en Red Eléctrica de España?

En febrero de 2017, Red Eléctrica de España (REE) hizo una gran apuesta por integrar la seguridad y creó el departamento de Seguridad Corporativa, bajo la dirección del responsable de Seguridad y Enlace. En dicha área se enmarca la gestión y el gobierno de la seguridad de la información y ciberseguridad, de la que soy responsable como CISO.

A través del departamento desarrollamos el gobierno y la gestión de la seguridad, siempre con un cariz integral. Con lo cual hablamos de seguridad física, ciberseguridad de los sistemas de información (IT) y ciberseguridad de la tecnología de la operación (OT). El departamento está estructurado de manera que converjan esos tres mundos.

Con objeto de definir el modelo de seguridad ideal para el grupo Red Eléctrica, hicimos un estudio exhaustivo de diferentes modelos relacionados con el gobierno de las tecnologías de la información (como la ISO 83500, la ISO 27014, COBIT, Gartner, etc.) y entre ellos el que más encajaba con lo que buscábamos era el ES-C2M2 (Electricity Subsector Cybersecurity Capability Maturity Model), que entiende la ciberseguridad en 10 dominios.

Realizamos una adaptación de ese modelo junto con aportaciones del resto de referencias estudiadas para conseguir el modelo de seguridad integral de REE. Nuestro modelo disecciona la seguridad en 11 capacidades e integra en todas ellas la ciberseguridad y la seguridad física. Éstas son: gestión del riesgo; plan de seguridad; activos, cambios y configuración; intercambio de información; dependencias externas; personal en seguridad y capacitación; incidentes y continuación de operaciones; amenazas y vulnerabilidades; identidades y accesos; cumplimiento y normativa y conciencia situacional. Adicionalmente, y siguiendo el concepto de las tres líneas de defensa, hemos separado el gobierno y la gestión de cada una de estas capacidades de la operación de las mismas.

De esta forma, desde el departamento de Seguridad Corporativa de REE se lleva el gobierno y la gestión de la seguridad, asignando responsables de cada una de las capacidades del modelo y dejando la seguridad operativa a los departamentos técnicos: la Dirección de Tecnologías de la Información y la Dirección de Mantenimiento de Instalaciones. El modelo está echando a andar, pero creemos que este es el camino y durante 2018 nuestro objetivo es aterrizarlo e implantarlo. De hecho hemos iniciado las primeras acciones conducentes a su puesta en marcha.

Llevada a la práctica, ¿en qué beneficios se traduce esa integración de la seguridad?

El primero y más evidente es que da respuesta a un requisito demandado por la regulación nacional sobre protección de infraestructuras críticas. Pero más allá de una obligación, este modelo nos ayuda a ser más eficientes, más eficaces, controlando costes y, sobre todo, aprovechando sinergias. Para nuestra organización este es el mejor camino a seguir en aras de mejorar la protección y la resiliencia de nuestras infraestructuras.

Porque si las amenazas son cada vez más sofisticadas, más especializadas y utilizan la confluencia del mundo físico y el ciber para su materialización, las organizaciones deben protegerse bajo un marco común, estableciendo las medidas de protección según el riesgo. Por tanto, no podemos seguir trabajando en silos o de forma aislada como se venía haciendo.

Describe un modelo integral de la seguridad, pero ¿cómo se puede realizar un análisis de riesgos donde realmente confluyan amenazas físicas y tecnológicas?

Para una gestión integral de los riesgos debemos ser capaces de identificar cuáles son las amenazas de cada uno de los mundos, según los activos que los conforman. Durante el año pasado, en REE hicimos una primera iteración para llevar a cabo el tratamiento automatizado de los riesgos de ciberseguridad IT y OT, incluyendo también los sistemas de seguridad físicos, y hemos dejado para este año la segunda parte, la automatización de los riesgos de seguridad física.

Creemos que el mapa de riesgos de seguridad de una organización debe aunarlos todos, sean de la naturaleza que sean. De esta forma se consigue una única foto completa de los riesgos más relevantes a los que se enfrenta la organización. Con esta información global se puede trabajar en el tratamiento de esos riesgos, priorizando lo realmente importante.

No obstante, ¿dispone el mercado de herramientas que faciliten la integración de la seguridad?

La verdad es que no me consta que haya soluciones que permitan esa integración como tal. Puede que uno de los motivos sea que, hasta la fecha, no se ha producido una demanda que empujara a los proveedores a ver esto como una oportunidad. No obstante, en el caso de la gestión de riesgos, por ejemplo, ya son muchas las plataformas que, aunque en su origen estaban pensadas para los riesgos de ciberseguridad IT, han abierto sus catálogos de amenazas y activos al mundo OT, e incluso algunas a la parte física. Pero si hablamos de herramientas que nos ayuden a integrar la seguridad, la mayoría todavía están poco maduras y requieren customización.