Iberdrola com cibersegurança

Iberdrola aposta na cibersegurança

Ciberseguranca

Na Iberdrola, como empresa líder em inovação, transformação e digitalização, atribuímos uma importância estratégica à cibersegurança, que é essencial para evoluir e oferecer serviços e operações cada vez mais seguros em toda as geografias em que operamos e em um ecossistema e cenário de ameaças cada vez mais complexos.

Esse compromisso se manifesta expressamente por meio da Política de Segurança e das Diretrizes e Limites de Risco de Segurança e Resiliência, que são revisadas, atualizadas e aprovadas anualmente pelo Conselho de Administração.  

  • A Política de Segurança, enquadrada nas Políticas relacionadas à cadeia de valor sustentável, promove uma sólida cultura de segurança cibernética e contribui para fortalecer nossas capacidades de prevenção, proteção, detecção, resposta e resiliência. 
  • As Diretrizes de Risco de Segurança, enquadradas nas Bases Gerais de Controle e Gestão de Risco do Grupo Iberdrola, desenvolvem um quadro global para o controle e a gestão dos riscos de segurança cibernética dos ativos cibernéticos de todas as empresas do Grupo, definem a propensão ao risco e os limites, as responsabilidades e prioridades que devem ser consideradas para sua gestão e estabelecem as diretrizes básicas para a configuração de controles adequados sobre o assunto e seu monitoramento periódico, com uma visão global para as empresas do Grupo. 

Estratégia de Cibersegurança da Iberdrola

Missão

Possibilitar operações seguras, inovação e digitalização em um ecossistema e um panorama de ameaças cada vez mais complexos, integrando a cibersegurança nas decisões estratégicas e operacionais da empresa e em suas atividades diárias.

Alcance

  • Pessoas: colaboradores, clientes, fornecedores, terceiros e partes interessadas.
  • Processos e conceito de cibersegurança por design.
  • Modelo unificado de governança de segurança cibernética para todas as tecnologias, promovendo a digitalização e a eficiência operacional.
  • Objetivos e prioridades de negócios.
  • Global, em todos os locais em que a Iberdrola opera.

Pilares estratégicos

  • Ícone Governança
  • Ícone Colaboração
  • Ícone Cultura de cibersegurança
  • Ícone Controle cibernético contínuo e vigilância
  • Ícone Gestão proativa de riscos
  • Ícone Resiliência cibernética

Pilares estratégicos da cibersegurança

Governo

Um Modelo de Governança, baseado na abordagem das três linhas, que estabelece modelos, regras e critérios de proteção atualizados e adaptados ao ambiente e à sua evolução, bem como órgãos de coordenação e tomada de decisão para permitir operações seguras e resilientes e a criação de valor, a fim de lidar com um ambiente energético e geopolítico em constante mudança, uma superfície de ataque em expansão, ameaças cibernéticas cada vez mais sofisticadas, ataques à cadeia de suprimentos e uma regulamentação incipiente e heterogênea. 

  • Grupos de Direção de Segurança Cibernética

    Existem Grupos de Direção de Segurança Cibernética, tanto no nível da holding quanto das subholdings, presididos pelos respectivos CISOs e nos quais estão representados todos os negócios e áreas, onde são compartilhados, debatidos e validados os modelos, normas e diretrizes de segurança cibernética.
     

  • Comitês de Segurança, Resiliência e Tecnologias Digitais

    O Grupo conta com Comitês de Segurança, Resiliência e Tecnologias Digitais, tanto no nível da holding quanto das subholdings, onde são aprovados os modelos, normas e diretrizes de segurança cibernética.

  • Icono diagrama

    Uma estrutura organizacional

    Conta com responsáveis pela cibersegurança (CISOs), globais e locais (Grupo, subholdings) e dentro de cada negócio e área corporativa (BISOs) com funções e atribuições claramente definidas.

  • Um comitê formado pelo CEO do Grupo, CEOs globais dos negócios e CEOs de todas as subholdings

    Reúne-se trimestralmente para conhecer, decidir e impulsionar iniciativas e planos específicos de cibersegurança em suas respectivas áreas de responsabilidade, vinculados aos planos estratégicos do Grupo.

  • Icono documento

    Modelo de objetivos

    Estão vinculados à remuneração que incorpora objetivos específicos de cibersegurança, não apenas para as equipes globais e locais de Cibersegurança, mas também para todos os negócios e áreas corporativas (1L) e em todos os níveis, incluindo a alta direção e os CEOs das empresas do Grupo.

Modelo de gobernanza

Cultura de Cibersegurança

Um Programa de Cultura de Cibersegurança e programas plurianuais de sensibilização adaptados aos públicos-alvo e apoiados por um quadro de competências em cibersegurança para promover uma atitude proativa e responsável em relação aos riscos de cibersegurança, a fim de proporcionar a sensibilização, o conhecimento e a formação necessários, apoiados por diferentes atividades e materiais para todos os níveis da organização, de acordo com a cultura e as práticas locais. 

Combinando diferentes ações e tipos de treinamento: 

  • Sessões presenciais de treinamento em segurança cibernética para o Conselho de Administração
  • Sessões de conscientização sobre segurança cibernética para gerentes 
  • Treinamento on-line sobre segurança cibernética e proteção de dados para funcionários, de acordo com perfis de segurança cibernética (básico, intermediário, avançado) e suas funções e atribuições 
  • Exercícios de cibersegurança (simulações) para testar e treinar no âmbito da resposta a incidentes 
  • Treinamento específico para negócios e especialistas/técnico  
  • Campanhas mensais simuladas de phishing direcionadas a todos os funcionários e prestadores de serviços selecionados, além de campanhas de reforço de phishing voltadas para usuários propensos a clicar 
  • Comunidade de Cibersegurança, para promover uma cultura de compartilhamento de conhecimento, colaboração e desenvolvimento profissional, cultivar a inovação e melhorar o desempenho, conectando especialistas e usuários em toda a empresa, trocando ideias e criando sinergias para elevar o nível da cultura de cibersegurança em todo o Grupo Iberdrola. 
  • Dicas de segurança cibernética, materiais, boletins informativos, etc.

E um plano de “Tolerância Zero”, baseado em comportamentos identificados por parte dos funcionários e apoiado em “4 regras de ouro”, foi desenvolvido e implementado com o objetivo de investigar casos individualmente e aplicar medidas disciplinares quando considerado necessário.

Responsabilidad ciberseguridad

Cibercontrole contínuo e vigilância

Mecanismos robustos de supervisão dos riscos das ciberinfraestruturas de alto e muito alto risco para garantir o cumprimento das normas internas de cibersegurança e da regulamentação externa aplicável, com relatórios periódicos para as Comissões de Auditoria e Supervisão de Riscos e para os Conselhos de Administração, tanto da holding quanto de cada uma das subholdings do Grupo.

Gestão Proativa de Riscos

Planos integrais e proativos de gestão de riscos, priorizando as ciberinfraestruturas críticas e os serviços essenciais e ciberativos TI/OT

A Iberdrola aborda a Gestão de Riscos de Cibersegurança como um processo repetível e de melhoria contínua, que inclui a avaliação constante dos riscos de cibersegurança, de acordo com as Metodologias e o Modelo Aprimorado de Avaliação de Riscos de Cibersegurança, fundamentado em um conjunto de critérios comuns, taxonomias, catálogos, controles e processo de reporting do mapa de riscos em todo o Grupo, assegurando, assim, o cumprimento normativo.

  • Riscos de Cibersegurança de Terceiros

    A Iberdrola depende de terceiros para a prestação de serviços e a execução de operações. Essas dependências têm o potencial de gerar riscos de cibersegurança para a companhia, que devem ser adequadamente compreendidos e mitigados.

    Um Modelo de Cibersegurança de Terceiros global estabelece um processo padrão e homogêneo para avaliar os níveis de risco e controlar o grau de conformidade com os requisitos de terceiros ao longo de todo o ciclo de vida da relação.

Modelo de ciberseguridad de terceros

Ciberresiliência

Capacidades de ciberresiliência baseadas em recursos tecnológicos de última geração e equipes globais e locais de resposta a ameaças, inteligência e incidentes de cibersegurança, para minimizar o impacto nos objetivos de negócios e garantir a continuidade dos serviços essenciais:
 

Avaliações de vulnerabilidades e ameaças de cibersegurança

  • A Norma e o Programa Global de Gestão de Vulnerabilidades asseguram uma rápida identificação e uma resposta oportuna e sistemática a qualquer vulnerabilidade que afete os ativos e que possa representar um impacto relevante nos processos da Iberdrola, com base em critérios de risco de negócios. São definidos critérios e diretrizes comuns para a detecção e gestão de vulnerabilidades, bem como o modelo de governança, incluindo funções e responsabilidades, para uma adequada coordenação na detecção e gestão de vulnerabilidades dentro do Grupo.
  •  
  • A Gestão de vulnerabilidades da Iberdrola possui um alcance global, incluindo qualquer ativo TI/OT e IoT, bem como qualquer sistema, aplicação ou serviço baseado na nuvem, mesmo que estejam hospedados em uma infraestrutura física, parcial ou totalmente, de um terceiro.
  •  
  • O processo de gestão de vulnerabilidades é composto por cinco etapas:
    • Identificação
    • Avaliação e priorização
    • Resposta
    • Reavaliação
    • Melhoria
     
  • Os Programas e Planos de Gestão de Vulnerabilidades de TI e empresas garantem a implementação de processos para descobrir e gerir as vulnerabilidades que afetam as infraestruturas e ativos que gerenciam. Para cada uma das fases de gestão, a norma estabelece critérios, diretrizes e requisitos mínimos a serem considerados nesses Programas de Vulnerabilidade.
  •  
  • A partir de 2021, foram vinculados à remuneração do Conselho um indicador e objetivos ESG específicos de Cybersecurity Assessments (com vigor até 2030).

Gestão de Incidentes e Crises

  • Iberdrola dispone de Planes Locales de Respuesta a Incidentes vinculados a los Planes de Continuidad de Negocio y al Equipo de Gestión de Crisis de cada país. A Iberdrola possui Planos Locais de Resposta a Incidentes vinculados aos Planos de Continuidade de Negócios e à Equipe de Gestão de Crises de cada país.
  •  
  • Um Plano Global de Resposta a Incidentes Cibernéticos e um Modelo de Gestão de Crises asseguram o mecanismo de coordenação de todo o grupo em caso de incidente ou crise global, estabelecendo critérios e padrões comuns para os processos nos quais os planos de resposta a incidentes são divididos:
  •  
  • Foram definidos Comitês de Crises em cada país e a nível global.
  •  
  • Um Centro Global de Fusão Cibernética tem como objetivo melhorar a globalização das capacidades de detecção e resposta em cibersegurança em todos os negócios e países que compõem o Grupo Iberdrola, integrando os mundos TI e OT.
  •  
  • A Equipe de Resposta a Incidentes de Cibersegurança do Grupo Iberdrola (I-CSIRT) opera 24x7 e atua como ponto único de contato para TI e Cibersegurança Global, garantindo a detecção e gestão adequadas de ameaças, vulnerabilidades e incidentes de cibersegurança. Essa equipe coordena a detecção de ameaças e a gestão de incidentes a nível global, com o apoio das equipes locais I-CSIRT nos países onde o Grupo Iberdrola está presente. As equipes I-CSIRT, com representantes globais e locais de Cibersegurança, asseguram a detecção global de ameaças e a correlação de eventos, além da coordenação de investigações específicas com as áreas de TI e/ou OT relevantes em todo o Grupo (Iberdrola Espanha, Scottish Power, Avangrid e Neoenergia).
  •  
  • O CSIRT utiliza um sistema central para monitorar, detectar e gerenciar qualquer incidente de cibersegurança ou evento de não conformidade em todos os países, além de sistemas de monitoramento específicos no ambiente OT.
     


  •  VER INFOGRÁFICO: O mapa da cibersegurança na Iberdrola [PDF]
  •  
  • O I-CSIRT é membro acreditado das equipes FIRST.orgEnlace externo, se abre en ventana nueva.  e CSIRT.es.Enlace externo, se abre en ventana nueva. 
    • O CSIRT inclui serviços como monitoramento de eventos, vulnerabilidades (descoberta, priorização e remediação), solicitações e gestão de certificados, eCrime, Threat Hunting e IRT/IRF, avaliação de configuração de dispositivos seguros e testes de desenvolvimento de software.
    • Um Serviço de Inteligência e Resposta a Ciberameaças fornece inteligência global e capacidades globais para a detecção precoce de eventos que possam resultar em uma situação de risco para a ciberinfraestrutura da Companhia.

Testes de resposta a incidentes

  • São planejados e realizados periodicamente vários exercícios de simulação por ano, com diferentes alcances (técnico/não técnico, a nível de negócios, a nível de país/ subholding), como parte das atividades de formação e conscientização, mas também para testar os planos de resposta existentes, identificar lições aprendidas e áreas de melhoria, além de permitir melhorias contínuas. Isso inclui a realização periódica de um Exercício Global de Roleplay, que realiza a simulação de um incidente e/ou crise importante que afeta globalmente o Grupo.
  •  
  • Adicionalmente, a Iberdrola participa regularmente de exercícios de simulação organizados localmente por órgãos governamentais.

Notificação de eventos/incidentes

  • Os colaboradores da Iberdrola dispõem de procedimentos claros a seguir caso detectem qualquer evento ou incidente (malware, phishing, violação de informações e dados pessoais, roubo de dispositivos, etc.) ou se observarem algo suspeito em seus postos de trabalho, e-mails, dispositivos móveis, etc.
  •  
  • Para qualquer questão geral de segurança, existe um canal de cibersegurança, assim como um número de telefone ao qual os colaboradores podem ligar 24 horas por dia e 7 dias por semana. Para questões relacionadas à cibersegurança, como e-mails suspeitos, comportamentos estranhos dos equipamentos, etc., o serviço de assistência informática funciona 24x7 e conta com procedimentos documentados de gestão e escalonamento de incidentes.

Planos de Continuidade e Resiliência

  • Planos de Resposta a Incidentes de Cibersegurança alinhados com os Planos de Continuidade de Negócios são definidos, testados periodicamente, de acordo com a criticidade dos processos e ativos, e revisados para garantir a continuidade dos serviços prioritários e dos ativos cibernéticos críticos.

Colaboração

Colaboração constante e estreita, tanto a nível interno entre as empresas e os responsáveis pela cibersegurança, como externo com reguladores, agências governamentais, fornecedores, empresas e think tanks. A Iberdrola colabora com agências de inteligência nacionais e grupos especializados das forças de segurança no intercâmbio de informações e inteligência em tempo real sobre ameaças e incidentes, e integra as informações/inteligência recebidas dessas agências de segurança nacionais, aproveitando também outras fontes externas de informação (por exemplo, classificação externa de cibersegurança, ciberataques que afetem empresas semelhantes ou terceiros, etc.) para antecipar possíveis ameaças e ataques aos ciberativos de nossa companhia TI/OT.
 

Indicadores de cibersegurança

Um Painel Global de Cibersegurança, com métricas e indicadores-chave de cibersegurança e privacidade, fornece informações globais relevantes sobre cibersegurança.

O painel está em constante evolução e ajuste, incluindo fontes adicionais, métricas e novas visualizações das informações, direcionadas aos principais interessados na tomada de decisões.

Indicador de cibersegurança ESG

Em 2024, um novo indicador específico de segurança cibernética e metas (estendidas até 2030) foi incluído nos indicadores ESG do Grupo Iberdrola e das suas subholdings, os quais estão vinculados à remuneração do Conselho de Administração com base em: 

Confiança certificada por padrões de Cibersegurança - Certificações da Iberdrola

A Iberdrola demonstra seu compromisso com a cibersegurança e com a geração de confiança, tanto interna quanto externa, formalizando o cumprimento de padrões internacionais de cibersegurança e expandindo esse alcance para os próximos anos:

  • Foi estabelecido um Sistema de Gestão da Segurança da Informação (SGSI) em todo o Grupo, abrangendo a Cibersegurança Global, a TI Corporativa e a Cibersegurança Espanha, certificado segundo a norma ISO 27001, a ser estendido a outras organizações.

  • Other certifications:
    • ISO 27001
      • Iberdrola España - Clientes
      • Iberdrola España – Redes
      • IEI – Clientes
      • Scottish Power – Digital / Digital Smart Metering
    • ISO 22301
      • Iberdrola SA – Cybersecurity (Global Fusion Center Operation)
      • Iberdrola SA – General Secretary (Shareholder General Meeting management process)
      • Scottish Power - Generation
  • ENS:
    • Iberdrola España – Clientes

Scottish Power

Iberdrola IEI

Iberdrola S.A. / España