Iberdrola con la ciberseguridad

Firme compromiso con la ciberseguridad

Ciberseguridad

En Iberdrola, como empresa líder en innovación, transformación y digitalización, otorgamos una importancia estratégica a la ciberseguridad, esencial para evolucionar y proporcionar servicios y operaciones cada vez más seguras en todas las geografías en las que operamos y en un ecosistema y un panorama de amenazas cada vez más complejos.

Este compromiso se manifiesta expresamente a través de la Política de Seguridad y de las Directrices y Límites de Riesgos de Seguridad y Resiliencia, que son revisadas, actualizadas y aprobadas anualmente por el Consejo de Administración.  

  • La Política de Seguridad, enmarcada dentro de las Políticas relacionadas con la cadena de valor sostenible, promueve una sólida cultura de ciberseguridad y contribuye a reforzar nuestras capacidades de prevención, protección, detección, respuesta y resiliencia. 
  • Las Directrices de Riesgos de Seguridad, enmarcadas en las Bases Generales de Control y Gestión de Riesgos del Grupo Iberdrola, desarrollan un marco global para el control y la gestión de los riesgos de ciberseguridad de los activos cibernéticos de todas las empresas del Grupo, establecen el apetito de riesgo y los límites, las responsabilidades y prioridades que deben tenerse en cuenta para su gestión, y fijan las directrices básicas para la configuración de los controles adecuados en la materia y su seguimiento periódico, con una visión global para las empresas del Grupo. 

Estrategia de Ciberseguridad de Iberdrola

Misión

Posibilitar operaciones seguras, innovación y digitalización en un ecosistema y un panorama de amenazas cada vez más complejos mediante la integración de la ciberseguridad en las decisiones estratégicas y operativas de la empresa y en sus actividades diarias.

Alcance

  • Personas: empleados, clientes, proveedores, terceros y partes interesadas.
  • Procesos y concepto de ciberseguridad por diseño.
  • Modelo unificado de gobernanza de la ciberseguridad para todas las tecnologías, que mejora la eficiencia operativa y la digitalización.
  • Objetivos y prioridades de negocio.
  • Global, todas las ubicaciones en las que opera Iberdrola.

Pilares estratégicos

  • Icono Gobierno
  • Icono Colaboración
  • Icono Cultura de la ciberseguridad
  • Icono Cibercontrol continuo y vigilancia
  • Icono Gestión proactiva de riesgos
  • Icono Ciberresiliencia

Pilares estratégicos de ciberseguridad

Gobierno

Un modelo de gobernanza, basado en el enfoque de las tres líneas, que establece modelos, normas y criterios de protección actualizados y adaptados al entorno y a su evolución, así como órganos de coordinación y toma de decisiones que permitan operaciones seguras y resilientes y la creación de valor para hacer frente a un entorno energético y geopolítico en constante evolución, a una superficie de ataque en expansión, a amenazas cibernéticas cada vez más sofisticadas, a ataques a la cadena de suministro y a una regulación incipiente y heterogénea. 

  • Grupos de dirección de ciberseguridad

    Hay Grupos de dirección de ciberseguridad, a nivel de holding y subholding, presididos por los CISO correspondientes y en los que están representados todos los negocios y áreas, donde se comparten, debaten y validan los modelos, normas y guías de ciberseguridad.  

  • Comités de Seguridad, Resiliencia y Tecnologías Digitales

    Existen Comités de Seguridad, Resiliencia y Tecnologías Digitales, a nivel de holding y subholding, donde se aprueban los modelos, normas y guías de ciberseguridad. 

  • Icono diagrama

    Una estructura organizativa

    Cuenta con responsables de ciberseguridad (CISOs), globales y locales (Grupo, subholdings) y dentro de cada negocio y área corporativa (BISOs) con roles y funciones claramente establecidos.

  • Un comité formado por el CEO del Grupo, los CEOs globales de los negocios y los CEOs de todas las subholdings

    Se reúne trimestralmente para conocer, decidir e impulsar iniciativas y planes específicos de ciberseguridad en sus respectivas áreas de responsabilidad vinculados a los planes estratégicos del Grupo.

  • Icono documento

    Un modelo de objetivos

    Están ligados a la retribución que incorpore objetivos específicos de ciberseguridad no sólo en los equipos de Ciberseguridad globales y locales, sino también, en todos los negocios y áreas corporativas (1L), y a todos los niveles, incluyendo la alta dirección y los CEOs de las empresas del Grupo.

Cultura de Ciberseguridad

Un Programa de Cultura de Ciberseguridad y programas de sensibilización plurianuales y adaptados a los públicos destinatarios, respaldados por un marco de competencias en ciberseguridad para fomentar una actitud proactiva y responsable ante los riesgos de ciberseguridad, con el fin de proporcionar la concienciación, los conocimientos y la formación necesarios, apoyados en diferentes actividades y materiales para todos los niveles de la organización de acuerdo con la cultura y las prácticas locales. 

Combinación de diferentes acciones y tipos de formación: 

  • Sesiones presenciales de formación en ciberseguridad para el Consejo de Administración 
  • Sesiones de sensibilización sobre ciberseguridad para directivos 
  • Formación online sobre ciberseguridad y protección de datos para los empleados, según los perfiles de ciberseguridad (básico, medio, avanzado) y sus roles y funciones 
  • Ejercicios de ciberseguridad (juegos de rol) para poner a prueba y formar en el marco de respuesta a incidentes 
  • Formación específica para empresas y expertos/formación técnica  
  • Campañas mensuales de phishing simuladas dirigidas a todos los empleados y a determinados contratistas, así como campañas de refuerzo de phishing dirigidas a los usuarios que hacen clic 
  • Comunidad de ciberseguridad, para fomentar una cultura de intercambio de conocimientos, colaboración y desarrollo profesional, cultivar la innovación y mejorar el rendimiento, conectando a expertos y usuarios de toda la empresa, intercambiando ideas y creando sinergias para elevar el nivel de la cultura de ciberseguridad en todo el Grupo Iberdrola. 
  • Consejos, materiales, boletines informativos, etc. sobre ciberseguridad.  

Además, se ha desarrollado y puesto en marcha un plan de «tolerancia cero», basado en comportamientos identificados por parte de los empleados y respaldado por «4 reglas de oro», con el objetivo de investigar los casos de forma individual y aplicar medidas disciplinarias cuando se considere necesario.

Responsabilidad ciberseguridad

Cibercontrol continuo y vigilancia

Mecanismos robustos de supervisión de riesgos de las ciberinfraestructuras de muy alto y alto riesgo para garantizar el cumplimiento de las normas internas de ciberseguridad y de la normativa externa aplicable, de los que se informa periódicamente a las Comisiones de Auditoría y Supervisión de Riesgos y a los Consejos de Administración, tanto del Holding como de cada una de las subholdings del Grupo.  

Gestión proactiva de riesgos

Planes integrales y proactivos de gestión de riesgos, priorizando las ciberinfraestructuras críticas y los servicios esenciales y ciberactivos IT/ OT.

Iberdrola enfoca la Gestión de Riesgos de Ciberseguridad como un proceso repetible y de mejora continua que incluye la evaluación continua de los riesgos de ciberseguridad de acuerdo con las Metodologías y Modelo Mejorado de Evaluación de Riesgos de Ciberseguridad basado en un conjunto de criterios comunes, taxonomías, catálogos, controles y proceso de reporting del mapa de riesgos en todo el Grupo, y asegurando el cumplimiento normativo.

  • Riesgos de Ciberseguridad de Terceros

    Iberdrola depende de terceros para la prestación de servicios y la ejecución de operaciones. Estas dependencias tienen el potencial de crear riesgos de ciberseguridad para la compañía que deben ser adecuadamente entendidos y mitigados.

    Un Modelo de Ciberseguridad  de Terceros global establece un proceso estándar y homogéneo para evaluar los niveles de riesgo y controlar el grado de cumplimiento de los requisitos de terceros, a lo largo de todo el ciclo de vida de la relación:

Modelo de ciberseguridad de terceros

Ciberresiliencia

Capacidades de ciberresiliencia basadas en recursos tecnológicos de última generación y equipos globales y locales de respuesta a amenazas, inteligencia e incidentes de ciberseguridad para minimizar el impacto en los objetivos de negocio y garantizar la continuidad de los servicios esenciales:

Evaluaciones de vulnerabilidades y amenazas de ciberseguridad

  • La Norma y el Programa Global de Gestión de Vulnerabilidades aseguran una rápida identificación y una respuesta oportuna y sistemática ante cualquier vulnerabilidad que afecte a los activos y que pueda suponer un impacto relevante en los procesos de Iberdrola, en base a criterios de riesgo de negocio. Se definen criterios y directrices comunes para la detección y gestión de vulnerabilidades, así como el modelo de gobierno, incluyendo funciones y responsabilidades, para una adecuada coordinación en materia de detección y gestión de vulnerabilidades dentro del Grupo.
  •  
  • La Gestión de vulnerabilidades de Iberdrola tiene un alcance global, incluyendo cualquier activo IT/OT e IoT, así como cualquier sistema, aplicación o servicio basado en la nube, incluso si están alojados en una infraestructura física parcial o totalmente propiedad de un tercero.
  •  
  • El proceso de gestión de vulnerabilidades consta de cinco etapas: 
    • Identificación.
    • Evaluación y priorización.
    • Respuesta.
    • Reevaluación.
    • Mejora.
     
  • Los Programas y Planes de Gestión de Vulnerabilidades de TI y empresas garantizan la implantación de procesos para descubrir y gestionar las vulnerabilidades que afectan a las infraestructuras y activos que gestionan. Para cada una de las fases de gestión, la norma establece criterios, directrices y requisitos mínimos a tener en cuenta en estos Programas de Vulnerabilidad.
  •  
  • A partir de 2021, se vincula a la retribución del Consejo un indicador y objetivos ESG específicos de Cybersecurity Assessments (ampliado hasta 2030).

Gestión de Incidentes y Crisis

  • Iberdrola dispone de Planes Locales de Respuesta a Incidentes vinculados a los Planes de Continuidad de Negocio y al Equipo de Gestión de Crisis de cada país.
  •  
  • Un Plan Global de Respuesta a Incidentes Cibernéticos y un Modelo de Gestión de Crisis aseguran el mecanismo de coordinación de todo el grupo en caso de incidente o crisis global y establecen criterios y estándares comunes para los procesos en los que se dividen los planes de respuesta a incidentes: 
  •  
  • Se han definido Comités de Crisis en cada país y a nivel global.
  •  
  • Un Centro Global de Fusión Cibernética pretende mejorar la globalización de las capacidades de detección y respuesta en ciberseguridad en todos los negocios y países que componen el Grupo Iberdrola, fusionando los mundos IT y OT.
  •  
  • El Equipo de Respuesta a Incidentes de Ciberseguridad del Grupo Iberdrola (I-CSIRT) opera 24x7 y actúa como punto único de contacto para TI y Ciberseguridad Global, para asegurar la correcta detección y gestión de amenazas, vulnerabilidades e incidentes de ciberseguridad. Este equipo coordina la detección de amenazas y la gestión de incidentes a nivel global y cuenta con el apoyo de los equipos locales I-CSIRT en los países en los que el Grupo Iberdrola está presente. Los equipos I-CSIRT, con representantes globales y locales de Ciberseguridad, aseguran la detección global de amenazas y la correlación de eventos, así como la coordinación de investigaciones específicas con las áreas de TI y/u OT relevantes en todo el Grupo (Iberdrola España, Scottish Power, Avangrid y Neoenergia).
  •  
  • El CSIRT utiliza un sistema central para monitorizar, detectar y gestionar cualquier incidente de ciberseguridad o evento de incumplimiento en todos los países, además de sistemas de monitorización específicos en el entorno OT.
     

  •  
  •  VER INFOGRAFÍA: El mapa de la ciberseguridad en Iberdrola [PDF]
  •  
  • El I-CSIRT, es miembro acreditado de los equipos FIRST.orgEnlace externo, se abre en ventana nueva.  y CSIRT.es. Enlace externo, se abre en ventana nueva. 
    • El CSIRT incluye servicios como monitorización de eventos, vulnerabilidades (descubrimiento, priorización y remediación), peticiones y gestión de certificados, eCrime, Threat hunting e IRT/ IRF, evaluación de configuración de dispositivos seguros y pruebas de desarrollo de software.
    • Un Servicio de Inteligencia y Respuesta a Ciberamenazas proporciona inteligencia global proporciona capacidades globales para la detección temprana de eventos que puedan resultar en una situación de riesgo para la ciberinfraestructura de la Compañía. 

Pruebas de respuesta a incidentes

  • Se planifican y realizan periódicamente varios ejercicios de simulación al año con diferentes alcances (técnico / no técnico, a nivel de negocio, a nivel de país / subholding), como parte de las actividades de formación y concienciación, pero también para poner a prueba los planes de respuesta existentes, identificar las lecciones aprendidas y las áreas de mejora y permitir mejoras continuas. Esto incluye la realización periódica de un Ejercicio Global de Roleplay en el que se simula un incidente y/o crisis importante que afecte globalmente al Grupo.
  •  
  • Adicionalmente, Iberdrola participa regularmente en ejercicios de simulación organizados localmente por organismos gubernamentales locales. 

Notificación de sucesos/incidentes

  • Los empleados de Iberdrola disponen de procedimientos claros a seguir si detectan cualquier evento o incidente (malware, phishing, violación de información y datos personales, robo de dispositivos, etc.) o si observan algo sospechoso en sus puestos de trabajo, correo electrónico, dispositivos móviles, etc.
  •  
  • Para cualquier cuestión general de seguridad existe un buzón de ciberseguridad, así como un número de teléfono al que los empleados pueden llamar 24 horas al día, 7 días a la semana. Para cuestiones relacionadas con la ciberseguridad, como correos electrónicos sospechosos, comportamientos extraños de los equipos, etc., el servicio de asistencia informática funciona 24x7 y cuenta con procedimientos documentados de gestión y escalado de incidentes. 

Planes de continuidad y resiliencia

  • Se definen planes de respuesta a incidentes de ciberseguridad alineados con los planes de continuidad del negocio, que se prueban periódicamente en función de la criticidad de los procesos y activos, y se revisan para garantizar la continuidad de los servicios prioritarios y los activos cibernéticos críticos.

Colaboración

Colaboración permanente y estrecha, tanto a nivel interno entre las empresas y los responsables de ciberseguridad, como a nivel externo con reguladores, agencias gubernamentales, proveedores, empresas y think tanks. Iberdrola colabora con agencias de inteligencia nacionales y grupos especializados de las fuerzas de seguridad en el intercambio de información e inteligencia en tiempo real sobre amenazas e incidentes, e integra la información/inteligencia recibida de las agencias de seguridad nacionales y aprovecha otras fuentes de información externas (por ejemplo, rating externo de ciberseguridad, ciberataques que afecten a empresas homólogas o a terceros, etc.) para anticiparse a posibles amenazas y ataques a los ciberactivos de nuestra compañía TI/OT.

Indicadores de ciberseguridad

Un Cuadro de Mando Global con métricas e indicadores clave de ciberseguridad y privacidad proporciona información global relevante sobre ciberseguridad.  

El cuadro de mandos está en continua evolución y puesta a punto, incluyendo fuentes adicionales, métricas y nuevas vistas de la información dirigidas a los principales interesados en la toma de decisiones.

Indicador de ciberseguridad ESG

En 2024, se incluyen en los indicadores ESG del Grupo Iberdrola y sus subholdings un nuevo indicador específico de ciberseguridad y unos objetivos (ampliados hasta 2030) vinculados a la remuneración del Consejo de Administración, basados en: 

Confianza certificada por estándares de Ciberseguridad - Certificaciones de Iberdrola

Iberdrola demuestra su compromiso con la ciberseguridad y con la generación de confianza tanto interna como externa, formalizando el cumplimiento de estándares internacionales de ciberseguridad y ampliando este alcance en los próximos años:

  • Se ha establecido un Sistema de Gestión de la Seguridad de la Información (SGSI) a nivel de todo el Grupo en Global Cybersecurity, Corporate IT y Cybersecurity Spain, certificado según la norma ISO 27001, que se ampliará a otras organizaciones
  • Otras certificaciones
    • ISO 27001
      • Iberdrola España - Clientes
      • Iberdrola España – Redes
      • IEI – CLientes
      • Scottish Power – Digital / Digital Smart Metering
    • ISO 22301
      • Iberdrola SA – Cybersecurity (Global Fusion Center Operation)
      • Iberdrola SA – General Secretary (Shareholder General Meeting management process)
      • Scottish Power - Generation
  • ENS:
    • Iberdrola España – Clientes

Scottish Power

Iberdrola IEI

Iberdrola S.A. / España