Iberdrola con la ciberseguridad
Firme compromiso con la ciberseguridad
En Iberdrola, como empresa líder en innovación, transformación y digitalización, otorgamos una importancia estratégica a la ciberseguridad, esencial para evolucionar y proporcionar servicios y operaciones cada vez más seguras en todas las geografías en las que operamos y en un ecosistema y un panorama de amenazas cada vez más complejos.
Nuestros principales objetivos son:
Proteger nuestras infraestructuras críticas
Garantizar la fiabilidad y calidad del suministro energético
Proteger los datos de nuestros clientes y otros grupos de interés
Garantizar la integridad y confidencialidad de la información financiera y de negocio
Proteger la marca y reputación del Grupo Iberdrola
Esta importancia estratégica se sustenta en el compromiso e implicación de la Alta Dirección del Grupo, consciente de la importancia de liderar la transformación digital en el sector energético, y en la que es esencial una adecuada gestión de los riesgos de ciberseguridad.
Este compromiso se manifiesta expresamente a través de la Política de Seguridad y la Guía de Riesgos de Ciberseguridad, que son revisadas, actualizadas y aprobadas anualmente por el Consejo de Administración. La Política de Seguridad, enmarcada dentro de las Políticas relacionadas con la cadena de valor sostenible, promueve una sólida cultura de ciberseguridad y contribuye a reforzar nuestras capacidades de protección, detección, prevención, defensa y respuesta ante posibles ataques o incidentes.
La Guía de riesgos de ciberseguridad, enmarcada en las Bases generales de control y gestión de riesgos del Grupo Iberdrola, complementa los principios y criterios establecidos en la Política de seguridad en materia de ciberseguridad, desarrolla un marco global para el control y gestión de los riesgos de ciberseguridad de los ciberactivos (TI, OT e infraestructuras críticas) de todas las empresas del Grupo, fija el apetito y los límites de riesgo, las responsabilidades y prioridades que deben considerarse para su gestión y establece las directrices básicas para la configuración de los controles adecuados en la materia y su seguimiento periódico, con una visión global para las empresas del Grupo.
Estrategia de Ciberseguridad de Iberdrola
Misión
Posibilitar operaciones seguras, innovación y digitalización en un ecosistema y un panorama de amenazas cada vez más complejos mediante la integración de la ciberseguridad en las decisiones estratégicas y operativas de la empresa y en sus actividades diarias.
Alcance
- Personas: empleados, clientes, proveedores, terceros y partes interesadas.
- Procesos y concepto de ciberseguridad por diseño.
- Todas las tecnologías (TI, OT, IoT) que apoyan la digitalización.
- Objetivos y prioridades de negocio.
- Global, todas las ubicaciones en las que opera Iberdrola.
Pilares estratégicos
-
Gobierno -
Colaboración -
Cultura de la ciberseguridad -
Cibercontrol continuo y vigilancia -
Gestión proactiva de riesgos -
Ciberresiliencia
Pilares estratégicos de ciberseguridad
Gobierno
Un modelo de Gobernanza, que establece estándares, marcos y criterios de protección actualizados y adaptados al entorno y su evolución, así como órganos de coordinación y decisión para la integración de la ciberseguridad en los procesos de toma de decisiones:
Comités de ciberseguridad
Globales y locales, presididos por los correspondientes CISOs y en los que están representados todos los negocios y áreas, donde se comparten, discuten y aprueban estándares, marcos y modelos de ciberseguridad.
Un comité formado por el CEO del Grupo, los CEOs globales de los negocios y los CEOs de todas las subholdings
Se reúne trimestralmente para conocer, decidir e impulsar iniciativas y planes específicos de ciberseguridad en sus respectivas áreas de responsabilidad vinculados a los planes estratégicos del Grupo.
Una estructura organizativa
Cuenta con responsables de ciberseguridad (CISOs), globales y locales (Grupo, subholdings) y dentro de cada negocio y área corporativa (BISOs) con roles y funciones claramente establecidos.
Un modelo de objetivos
Están ligados a la retribución que incorpore objetivos específicos de ciberseguridad no sólo en los equipos de Ciberseguridad globales y locales, sino también, en todos los negocios y áreas corporativas (1L), y a todos los niveles, incluyendo la alta dirección y los CEOs de las empresas del Grupo.
Cultura de Ciberseguridad
Un Programa de Cultura de Ciberseguridad y programas plurianuales de concienciación dirigidos a todos los niveles, áreas y funciones de la organización para fomentar una actitud proactiva y responsable frente a los riesgos de ciberseguridad, proporcionar la concienciación, conocimientos y formación necesarios, apoyados en diferentes actividades y materiales para todos los niveles de la organización según la cultura y prácticas locales:
- Sesiones de formación sobre ciberseguridad para todo el Consejo de Administración
- Sesiones de concienciación sobre ciberseguridad para todos los directivos
- Formación en línea sobre ciberseguridad y protección de datos para todos los empleados, según los perfiles de ciberseguridad (básico, medio, avanzado) y sus roles y funciones
- Ciberejercicios (juegos de rol) para poner a prueba y formar en el marco de respuesta a incidentes
- Formación técnica/específica del negocio
- Campañas mensuales de phishing simulado dirigidas a todos los empleados y contratistas definidos y campañas de phishing de refuerzo dirigidas a los clickers
- Comunidad de Ciberseguridad, para fomentar una cultura de intercambio de conocimientos, colaboración y desarrollo profesional, cultivar la innovación y mejorar el rendimiento, conectando a expertos y usuarios de toda la Compañía, intercambiando ideas y creando sinergias para elevar el nivel de la cultura de ciberseguridad en todo el Grupo Iberdrola.
- Consejos de Ciberseguridad, materiales, boletines, etc.
Desde 2021, se vincula a la retribución del Consejo un indicador específico de Horas de Formación en Ciberseguridad ESG, con objetivos definidos que se extienden hasta 2030.
Y se ha desarrollado y desplegado un plan de "Tolerancia Cero", basado en conductas identificadas perpetradas por nuestros empleados, y apoyado en las "4 reglas de oro", con el objetivo de investigar los casos individualmente y aplicar medidas disciplinarias cuando se estime necesario.
Gestión proactiva de riesgos
Planes integrales y proactivos de gestión de riesgos, priorizando las ciberinfraestructuras críticas y los servicios esenciales y ciberactivos IT/ OT.
Iberdrola enfoca la Gestión de Riesgos de Ciberseguridad como un proceso repetible y de mejora continua que incluye la evaluación continua de los riesgos de ciberseguridad de acuerdo con las Metodologías y Modelo Mejorado de Evaluación de Riesgos de Ciberseguridad basado en un conjunto de criterios comunes, taxonomías, catálogos, controles y proceso de reporting del mapa de riesgos en todo el Grupo, y asegurando el cumplimiento normativo.
Riesgos de Ciberseguridad de Terceros
Iberdrola depende de terceros para la prestación de servicios y la ejecución de operaciones. Estas dependencias tienen el potencial de crear riesgos de ciberseguridad para la compañía que deben ser adecuadamente entendidos y mitigados.
Un Modelo de Ciberseguridad de Terceros global establece un proceso estándar y homogéneo para evaluar los niveles de riesgo y controlar el grado de cumplimiento de los requisitos de terceros, a lo largo de todo el ciclo de vida de la relación:
Ciberresiliencia
Capacidades de ciberresiliencia basadas en recursos tecnológicos de última generación y equipos globales y locales de respuesta a amenazas, inteligencia e incidentes de ciberseguridad para minimizar el impacto en los objetivos de negocio y garantizar la continuidad de los servicios esenciales:
Evaluaciones de vulnerabilidades y amenazas de ciberseguridad
La Norma y el Programa Global de Gestión de Vulnerabilidades aseguran una rápida identificación y una respuesta oportuna y sistemática ante cualquier vulnerabilidad que afecte a los activos y que pueda suponer un impacto relevante en los procesos de Iberdrola, en base a criterios de riesgo de negocio. Se definen criterios y directrices comunes para la detección y gestión de vulnerabilidades, así como el modelo de gobierno, incluyendo funciones y responsabilidades, para una adecuada coordinación en materia de detección y gestión de vulnerabilidades dentro del Grupo.
La Gestión de vulnerabilidades de Iberdrola tiene un alcance global, incluyendo cualquier activo IT/OT e IoT, así como cualquier sistema, aplicación o servicio basado en la nube, incluso si están alojados en una infraestructura física parcial o totalmente propiedad de un tercero.
El proceso de gestión de vulnerabilidades consta de cinco etapas:
- Identificación.
- Evaluación y priorización.
- Respuesta.
- Reevaluación.
- Mejora.
Los Programas y Planes de Gestión de Vulnerabilidades de TI y empresas garantizan la implantación de procesos para descubrir y gestionar las vulnerabilidades que afectan a las infraestructuras y activos que gestionan. Para cada una de las fases de gestión, la norma establece criterios, directrices y requisitos mínimos a tener en cuenta en estos Programas de Vulnerabilidad.
A partir de 2021, se vincula a la retribución del Consejo un indicador y objetivos ESG específicos de Cybersecurity Assessments (ampliado hasta 2030).
Gestión de Incidentes y Crisis
Iberdrola dispone de Planes Locales de Respuesta a Incidentes vinculados a los Planes de Continuidad de Negocio y al Equipo de Gestión de Crisis de cada país.
Un Plan Global de Respuesta a Incidentes Cibernéticos y un Modelo de Gestión de Crisis aseguran el mecanismo de coordinación de todo el grupo en caso de incidente o crisis global y establecen criterios y estándares comunes para los procesos en los que se dividen los planes de respuesta a incidentes:
Se han definido Comités de Crisis en cada país y a nivel global.
Un Centro Global de Fusión Cibernética pretende mejorar la globalización de las capacidades de detección y respuesta en ciberseguridad en todos los negocios y países que componen el Grupo Iberdrola, fusionando los mundos IT y OT.
El Equipo de Respuesta a Incidentes de Ciberseguridad del Grupo Iberdrola (I-CSIRT) opera 24x7 y actúa como punto único de contacto para TI y Ciberseguridad Global, para asegurar la correcta detección y gestión de amenazas, vulnerabilidades e incidentes de ciberseguridad. Este equipo coordina la detección de amenazas y la gestión de incidentes a nivel global y cuenta con el apoyo de los equipos locales I-CSIRT en los países en los que el Grupo Iberdrola está presente. Los equipos I-CSIRT, con representantes globales y locales de Ciberseguridad, aseguran la detección global de amenazas y la correlación de eventos, así como la coordinación de investigaciones específicas con las áreas de TI y/u OT relevantes en todo el Grupo (Iberdrola España, Scottish Power, Avangrid, Neoenergia e Iberdrola México).
El CSIRT utiliza un sistema central para monitorizar, detectar y gestionar cualquier incidente de ciberseguridad o evento de incumplimiento en todos los países, además de sistemas de monitorización específicos en el entorno OT.
El I-CSIRT, es miembro acreditado de los equipos FIRST.org
Enlace externo, se abre en ventana nueva. y CSIRT.es. Enlace externo, se abre en ventana nueva.
- El CSIRT incluye servicios como monitorización de eventos, vulnerabilidades (descubrimiento, priorización y remediación), peticiones y gestión de certificados, eCrime, Threat hunting e IRT/ IRF, evaluación de configuración de dispositivos seguros y pruebas de desarrollo de software.
- Un Servicio de Inteligencia y Respuesta a Ciberamenazas proporciona inteligencia global proporciona capacidades globales para la detección temprana de eventos que puedan resultar en una situación de riesgo para la ciberinfraestructura de la Compañía.
Pruebas de respuesta a incidentes
Se planifican y realizan periódicamente varios ejercicios de simulación al año con diferentes alcances (técnico / no técnico, a nivel de negocio, a nivel de país / subholding), como parte de las actividades de formación y concienciación, pero también para poner a prueba los planes de respuesta existentes, identificar las lecciones aprendidas y las áreas de mejora y permitir mejoras continuas. Esto incluye la realización periódica de un Ejercicio Global de Roleplay en el que se simula un incidente y/o crisis importante que afecte globalmente al Grupo.
Adicionalmente, Iberdrola participa regularmente en ejercicios de simulación organizados localmente por organismos gubernamentales locales.
Notificación de sucesos/incidentes
Los empleados de Iberdrola disponen de procedimientos claros a seguir si detectan cualquier evento o incidente (malware, phishing, violación de información y datos personales, robo de dispositivos, etc.) o si observan algo sospechoso en sus puestos de trabajo, correo electrónico, dispositivos móviles, etc.
Para cualquier cuestión general de seguridad existe un buzón de ciberseguridad, así como un número de teléfono al que los empleados pueden llamar 24 horas al día, 7 días a la semana. Para cuestiones relacionadas con la ciberseguridad, como correos electrónicos sospechosos, comportamientos extraños de los equipos, etc., el servicio de asistencia informática funciona 24x7 y cuenta con procedimientos documentados de gestión y escalado de incidentes.
Cibercontrol continuo y vigilancia
Mecanismos robustos de supervisión de riesgos de las ciberinfraestructuras de muy alto y alto riesgo para garantizar el cumplimiento de las normas internas de ciberseguridad y de la normativa externa aplicable, de los que se informa periódicamente a las Comisiones de Auditoría y Supervisión de Riesgos y a los Consejos de Administración, tanto del Holding como de cada una de las subholdings del Grupo.
Colaboración
Colaboración permanente y estrecha, tanto a nivel interno entre las empresas y los responsables de ciberseguridad, como a nivel externo con reguladores, agencias gubernamentales, proveedores, empresas y think tanks. Iberdrola colabora con agencias de inteligencia nacionales y grupos especializados de las fuerzas de seguridad en el intercambio de información e inteligencia en tiempo real sobre amenazas e incidentes, e integra la información/inteligencia recibida de las agencias de seguridad nacionales y aprovecha otras fuentes de información externas (por ejemplo, rating externo de ciberseguridad, ciberataques que afecten a empresas homólogas o a terceros, etc.) para anticiparse a posibles amenazas y ataques a los ciberactivos de nuestra compañía TI/OT.
¿Qué es la ciberseguridad?
Pilares fundamentales de la ciberseguridad en Iberdrola.
Phishing
Descubre cómo evitar caer en una estafa a través de e-mail, SMS o mensajería instantánea.
Vishing
Qué implican las estafas por vía telefónica y qué tipos existen.
Smishing
Descubre cómo se producen los engaños por mensaje de texto.
Indicadores de ciberseguridad
Un Cuadro de Mando Global con métricas e indicadores clave de ciberseguridad y privacidad proporciona información global relevante sobre ciberseguridad.
El cuadro de mandos está en continua evolución y puesta a punto, incluyendo fuentes adicionales, métricas y nuevas vistas de la información dirigidas a los principales interesados en la toma de decisiones.
Indicadores de ciberseguridad ESG
Desde 2021, se incluyen dos indicadores y objetivos específicos de ciberseguridad (ampliados hasta 2030) en los indicadores ESG [PDF] del Grupo Iberdrola y subholdings que están vinculados a la retribución del Consejo:
Confianza certificada por estándares de Ciberseguridad - Certificaciones de Iberdrola
Iberdrola demuestra su compromiso con la ciberseguridad y con la generación de confianza tanto interna como externa, formalizando el cumplimiento de estándares internacionales de ciberseguridad y ampliando este alcance en los próximos años:
Scottish Power
Iberdrola IEI
