Iberdrola con la ciberseguridad

Firme compromiso con la ciberseguridad

Ciberseguridad

En Iberdrola, como empresa líder en innovación, transformación y digitalización, otorgamos una importancia estratégica a la ciberseguridad, esencial para evolucionar y proporcionar servicios y operaciones cada vez más seguras en todas las geografías en las que operamos y en un ecosistema y un panorama de amenazas cada vez más complejos.

Nuestros principales objetivos son:
 

Proteger nuestras infraestructuras críticas

Garantizar la fiabilidad y calidad del suministro energético

Proteger los datos de nuestros clientes y otros grupos de interés

Garantizar la integridad y confidencialidad de la información financiera y de negocio

Proteger la marca y reputación del Grupo Iberdrola

Esta importancia estratégica se sustenta en el compromiso e implicación de la Alta Dirección del Grupo, consciente de la importancia de liderar la transformación digital en el sector energético, y en la que es esencial una adecuada gestión de los riesgos de ciberseguridad. 

Este compromiso se manifiesta expresamente a través de la Política de Seguridad y la Guía de Riesgos de Ciberseguridad, que son revisadas, actualizadas y aprobadas anualmente por el Consejo de Administración. La Política de Seguridad, enmarcada dentro de las Políticas relacionadas con la cadena de valor sostenible, promueve una sólida cultura de ciberseguridad y contribuye a reforzar nuestras capacidades de protección, detección, prevención, defensa y respuesta ante posibles ataques o incidentes.

La Guía de riesgos de ciberseguridad, enmarcada en las Bases generales de control y gestión de riesgos del Grupo Iberdrola, complementa los principios y criterios establecidos en la Política de seguridad en materia de ciberseguridad, desarrolla un marco global para el control y gestión de los riesgos de ciberseguridad de los ciberactivos (TI, OT e infraestructuras críticas) de todas las empresas del Grupo, fija el apetito y los límites de riesgo, las responsabilidades y prioridades que deben considerarse para su gestión y establece las directrices básicas para la configuración de los controles adecuados en la materia y su seguimiento periódico, con una visión global para las empresas del Grupo.

Estrategia de Ciberseguridad de Iberdrola

Misión

Posibilitar operaciones seguras, innovación y digitalización en un ecosistema y un panorama de amenazas cada vez más complejos mediante la integración de la ciberseguridad en las decisiones estratégicas y operativas de la empresa y en sus actividades diarias.

Alcance

  • Personas: empleados, clientes, proveedores, terceros y partes interesadas.
  • Procesos y concepto de ciberseguridad por diseño.
  • Todas las tecnologías (TI, OT, IoT) que apoyan la digitalización.
  • Objetivos y prioridades de negocio.
  • Global, todas las ubicaciones en las que opera Iberdrola.

Pilares estratégicos

  • Icono Gobierno
  • Icono Colaboración
  • Icono Cultura de la ciberseguridad
  • Icono Cibercontrol continuo y vigilancia
  • Icono Gestión proactiva de riesgos
  • Icono Ciberresiliencia

Pilares estratégicos de ciberseguridad

Gobierno

Un modelo de Gobernanza, que establece estándares, marcos y criterios de protección actualizados y adaptados al entorno y su evolución, así como órganos de coordinación y decisión para la integración de la ciberseguridad en los procesos de toma de decisiones: 

Comités de ciberseguridad

Globales y locales, presididos por los correspondientes CISOs y en los que están representados todos los negocios y áreas, donde se comparten, discuten y aprueban estándares, marcos y modelos de ciberseguridad. 

Un comité formado por el CEO del Grupo, los CEOs globales de los negocios y los CEOs de todas las subholdings

Se reúne trimestralmente para conocer, decidir e impulsar iniciativas y planes específicos de ciberseguridad en sus respectivas áreas de responsabilidad vinculados a los planes estratégicos del Grupo.

Modelo de gobernanza
Icono diagrama

Una estructura organizativa

Cuenta con responsables de ciberseguridad (CISOs), globales y locales (Grupo, subholdings) y dentro de cada negocio y área corporativa (BISOs) con roles y funciones claramente establecidos.

Icono documento

Un modelo de objetivos

Están ligados a la retribución que incorpore objetivos específicos de ciberseguridad no sólo en los equipos de Ciberseguridad globales y locales, sino también, en todos los negocios y áreas corporativas (1L), y a todos los niveles, incluyendo la alta dirección y los CEOs de las empresas del Grupo.

Modelo objetivos

Cultura de Ciberseguridad

Un Programa de Cultura de Ciberseguridad y programas plurianuales de concienciación dirigidos a todos los niveles, áreas y funciones de la organización para fomentar una actitud proactiva y responsable frente a los riesgos de ciberseguridad, proporcionar la concienciación, conocimientos y formación necesarios, apoyados en diferentes actividades y materiales para todos los niveles de la organización según la cultura y prácticas locales:

Estrategia integral
  • Sesiones de formación sobre ciberseguridad para todo el Consejo de Administración
  • Sesiones de concienciación sobre ciberseguridad para todos los directivos
  • Formación en línea sobre ciberseguridad y protección de datos para todos los empleados, según los perfiles de ciberseguridad (básico, medio, avanzado) y sus roles y funciones
  • Ciberejercicios (juegos de rol) para poner a prueba y formar en el marco de respuesta a incidentes
  • Formación técnica/específica del negocio 
  • Campañas mensuales de phishing simulado dirigidas a todos los empleados y contratistas definidos y campañas de phishing de refuerzo dirigidas a los clickers
  • Comunidad de Ciberseguridad, para fomentar una cultura de intercambio de conocimientos, colaboración y desarrollo profesional, cultivar la innovación y mejorar el rendimiento, conectando a expertos y usuarios de toda la Compañía, intercambiando ideas y creando sinergias para elevar el nivel de la cultura de ciberseguridad en todo el Grupo Iberdrola.
  • Consejos de Ciberseguridad, materiales, boletines, etc. 

Desde 2021, se vincula a la retribución del Consejo un indicador específico de Horas de Formación en Ciberseguridad ESG, con objetivos definidos que se extienden hasta 2030.

Y se ha desarrollado y desplegado un plan de "Tolerancia Cero", basado en conductas identificadas perpetradas por nuestros empleados, y apoyado en las "4 reglas de oro", con el objetivo de investigar los casos individualmente y aplicar medidas disciplinarias cuando se estime necesario. 

Responsabilidad ciberseguridad

Gestión proactiva de riesgos

Planes integrales y proactivos de gestión de riesgos, priorizando las ciberinfraestructuras críticas y los servicios esenciales y ciberactivos IT/ OT.

Iberdrola enfoca la Gestión de Riesgos de Ciberseguridad como un proceso repetible y de mejora continua que incluye la evaluación continua de los riesgos de ciberseguridad de acuerdo con las Metodologías y Modelo Mejorado de Evaluación de Riesgos de Ciberseguridad basado en un conjunto de criterios comunes, taxonomías, catálogos, controles y proceso de reporting del mapa de riesgos en todo el Grupo, y asegurando el cumplimiento normativo.

Riesgos de Ciberseguridad de Terceros

Iberdrola depende de terceros para la prestación de servicios y la ejecución de operaciones. Estas dependencias tienen el potencial de crear riesgos de ciberseguridad para la compañía que deben ser adecuadamente entendidos y mitigados.

Un Modelo de Ciberseguridad  de Terceros global establece un proceso estándar y homogéneo para evaluar los niveles de riesgo y controlar el grado de cumplimiento de los requisitos de terceros, a lo largo de todo el ciclo de vida de la relación:

Modelo de ciberseguridad de terceros

Ciberresiliencia

Capacidades de ciberresiliencia basadas en recursos tecnológicos de última generación y equipos globales y locales de respuesta a amenazas, inteligencia e incidentes de ciberseguridad para minimizar el impacto en los objetivos de negocio y garantizar la continuidad de los servicios esenciales:

Evaluaciones de vulnerabilidades y amenazas de ciberseguridad

  • La Norma y el Programa Global de Gestión de Vulnerabilidades aseguran una rápida identificación y una respuesta oportuna y sistemática ante cualquier vulnerabilidad que afecte a los activos y que pueda suponer un impacto relevante en los procesos de Iberdrola, en base a criterios de riesgo de negocio. Se definen criterios y directrices comunes para la detección y gestión de vulnerabilidades, así como el modelo de gobierno, incluyendo funciones y responsabilidades, para una adecuada coordinación en materia de detección y gestión de vulnerabilidades dentro del Grupo.
  •  
  • La Gestión de vulnerabilidades de Iberdrola tiene un alcance global, incluyendo cualquier activo IT/OT e IoT, así como cualquier sistema, aplicación o servicio basado en la nube, incluso si están alojados en una infraestructura física parcial o totalmente propiedad de un tercero.
  •  
  • El proceso de gestión de vulnerabilidades consta de cinco etapas: 
    • Identificación.
    • Evaluación y priorización.
    • Respuesta.
    • Reevaluación.
    • Mejora.
     
  • Los Programas y Planes de Gestión de Vulnerabilidades de TI y empresas garantizan la implantación de procesos para descubrir y gestionar las vulnerabilidades que afectan a las infraestructuras y activos que gestionan. Para cada una de las fases de gestión, la norma establece criterios, directrices y requisitos mínimos a tener en cuenta en estos Programas de Vulnerabilidad.
  •  
  • A partir de 2021, se vincula a la retribución del Consejo un indicador y objetivos ESG específicos de Cybersecurity Assessments (ampliado hasta 2030).

Gestión de Incidentes y Crisis

  • Iberdrola dispone de Planes Locales de Respuesta a Incidentes vinculados a los Planes de Continuidad de Negocio y al Equipo de Gestión de Crisis de cada país.
  •  
  • Un Plan Global de Respuesta a Incidentes Cibernéticos y un Modelo de Gestión de Crisis aseguran el mecanismo de coordinación de todo el grupo en caso de incidente o crisis global y establecen criterios y estándares comunes para los procesos en los que se dividen los planes de respuesta a incidentes: 
  •  
  • Se han definido Comités de Crisis en cada país y a nivel global.
  •  
  • Un Centro Global de Fusión Cibernética pretende mejorar la globalización de las capacidades de detección y respuesta en ciberseguridad en todos los negocios y países que componen el Grupo Iberdrola, fusionando los mundos IT y OT.
  •  
  • El Equipo de Respuesta a Incidentes de Ciberseguridad del Grupo Iberdrola (I-CSIRT) opera 24x7 y actúa como punto único de contacto para TI y Ciberseguridad Global, para asegurar la correcta detección y gestión de amenazas, vulnerabilidades e incidentes de ciberseguridad. Este equipo coordina la detección de amenazas y la gestión de incidentes a nivel global y cuenta con el apoyo de los equipos locales I-CSIRT en los países en los que el Grupo Iberdrola está presente. Los equipos I-CSIRT, con representantes globales y locales de Ciberseguridad, aseguran la detección global de amenazas y la correlación de eventos, así como la coordinación de investigaciones específicas con las áreas de TI y/u OT relevantes en todo el Grupo (Iberdrola España, Scottish Power, Avangrid, Neoenergia e Iberdrola México).
  •  
  • El CSIRT utiliza un sistema central para monitorizar, detectar y gestionar cualquier incidente de ciberseguridad o evento de incumplimiento en todos los países, además de sistemas de monitorización específicos en el entorno OT.
     

  •  
  •  VER INFOGRAFÍA: El mapa de la ciberseguridad en Iberdrola [PDF]
  •  
  • El I-CSIRT, es miembro acreditado de los equipos FIRST.orgEnlace externo, se abre en ventana nueva.  y CSIRT.es. Enlace externo, se abre en ventana nueva. 
    • El CSIRT incluye servicios como monitorización de eventos, vulnerabilidades (descubrimiento, priorización y remediación), peticiones y gestión de certificados, eCrime, Threat hunting e IRT/ IRF, evaluación de configuración de dispositivos seguros y pruebas de desarrollo de software.
    • Un Servicio de Inteligencia y Respuesta a Ciberamenazas proporciona inteligencia global proporciona capacidades globales para la detección temprana de eventos que puedan resultar en una situación de riesgo para la ciberinfraestructura de la Compañía. 

Pruebas de respuesta a incidentes

  • Se planifican y realizan periódicamente varios ejercicios de simulación al año con diferentes alcances (técnico / no técnico, a nivel de negocio, a nivel de país / subholding), como parte de las actividades de formación y concienciación, pero también para poner a prueba los planes de respuesta existentes, identificar las lecciones aprendidas y las áreas de mejora y permitir mejoras continuas. Esto incluye la realización periódica de un Ejercicio Global de Roleplay en el que se simula un incidente y/o crisis importante que afecte globalmente al Grupo.
  •  
  • Adicionalmente, Iberdrola participa regularmente en ejercicios de simulación organizados localmente por organismos gubernamentales locales. 

Notificación de sucesos/incidentes

  • Los empleados de Iberdrola disponen de procedimientos claros a seguir si detectan cualquier evento o incidente (malware, phishing, violación de información y datos personales, robo de dispositivos, etc.) o si observan algo sospechoso en sus puestos de trabajo, correo electrónico, dispositivos móviles, etc.
  •  
  • Para cualquier cuestión general de seguridad existe un buzón de ciberseguridad, así como un número de teléfono al que los empleados pueden llamar 24 horas al día, 7 días a la semana. Para cuestiones relacionadas con la ciberseguridad, como correos electrónicos sospechosos, comportamientos extraños de los equipos, etc., el servicio de asistencia informática funciona 24x7 y cuenta con procedimientos documentados de gestión y escalado de incidentes. 

Cibercontrol continuo y vigilancia

Mecanismos robustos de supervisión de riesgos de las ciberinfraestructuras de muy alto y alto riesgo para garantizar el cumplimiento de las normas internas de ciberseguridad y de la normativa externa aplicable, de los que se informa periódicamente a las Comisiones de Auditoría y Supervisión de Riesgos y a los Consejos de Administración, tanto del Holding como de cada una de las subholdings del Grupo.  

Colaboración

Colaboración permanente y estrecha, tanto a nivel interno entre las empresas y los responsables de ciberseguridad, como a nivel externo con reguladores, agencias gubernamentales, proveedores, empresas y think tanks. Iberdrola colabora con agencias de inteligencia nacionales y grupos especializados de las fuerzas de seguridad en el intercambio de información e inteligencia en tiempo real sobre amenazas e incidentes, e integra la información/inteligencia recibida de las agencias de seguridad nacionales y aprovecha otras fuentes de información externas (por ejemplo, rating externo de ciberseguridad, ciberataques que afecten a empresas homólogas o a terceros, etc.) para anticiparse a posibles amenazas y ataques a los ciberactivos de nuestra compañía TI/OT.

Indicadores de ciberseguridad

Un Cuadro de Mando Global con métricas e indicadores clave de ciberseguridad y privacidad proporciona información global relevante sobre ciberseguridad.  

El cuadro de mandos está en continua evolución y puesta a punto, incluyendo fuentes adicionales, métricas y nuevas vistas de la información dirigidas a los principales interesados en la toma de decisiones.

Indicadores de ciberseguridad ESG

Desde 2021, se incluyen dos indicadores y objetivos específicos de ciberseguridad (ampliados hasta 2030) en los indicadores ESG [PDF] del Grupo Iberdrola y subholdings que están vinculados a la retribución del Consejo:

Indicadores

Confianza certificada por estándares de Ciberseguridad - Certificaciones de Iberdrola

Iberdrola demuestra su compromiso con la ciberseguridad y con la generación de confianza tanto interna como externa, formalizando el cumplimiento de estándares internacionales de ciberseguridad y ampliando este alcance en los próximos años: