¿Qué es la ciberseguridad?

Pilares fundamentales de la ciberseguridad en Iberdrola

Internet Digital Ciberseguridad

La sociedad actual depende de Internet para todas las actividades que emprende durante el día, desde el trabajo hasta el ocio, pasando por las finanzas, el almacenamiento de datos personales o la comunicación con otras personas. El papel de la ciberseguridad crece en paralelo a la preocupación por proteger nuestra información digital. Descubre su importancia, cómo nos defendemos contra ciberataques en Iberdrola y nuestros consejos para evitarlos.

Ciberseguridad
La importancia de la ciberseguridad crece en paralelo al número de usuarios, dispositivos y programas digitales y al volumen de datos expuestos en Internet.

En un mundo cada vez más volcado en Internet, la necesidad de evitar estafas en línea y mantener la ciberseguridad cobra mayor protagonismo. Cualquier persona o empresa, independientemente de su tamaño, es un potencial objetivo de ciberataque. Los usuarios de Internet dejan un rastro de información digital y las empresas tienen activos clave que los delincuentes pueden tratar de explotar. A veces se trata de dinero o información financiera, otras de datos personales y en ocasiones incluso de infraestructuras.

Conocer la importancia de la ciberseguridad y los tipos de ataques cibernéticos puede ayudarte a comprender mejor los riesgos y encontrar la manera de prevenirlos y afrontarlos. 

Definición y alcance de la ciberseguridad

La ciberseguridad es la “práctica de defender computadoras, servidores, dispositivos móviles, sistemas electrónicos, redes y datos de ataques maliciosos”, según la compañía informática Kaspersky. Es decir, se trata del conjunto de procesos y herramientas que se usan para proteger con previsión o defender cualquier dispositivo o plataforma electrónica.

El conjunto de capacidades, tecnologías, estándares, procesos y buenas prácticas diseñadas para proteger la ciberinfraestructura frente a ataques, daños o accesos no autorizados. Ciberseguridad es la capacidad de prevenir, identificar, detectar, responder y mitigar o eliminar deficiencias, vulnerabilidades, ataques y amenazas internas y externas que puedan significar un riesgo para la ciberinfraestructura de la Sociedad, con el objetivo de eliminar o minimizar los daños y perjuicios de cualquier tipo que puedan causar a la compañía.

Como si se tratara de una barrera, la ciberseguridad frena o minimiza los ataques. “Una estrategia de ciberseguridad sólida puede proporcionar una buena postura de seguridad contra ataques maliciosos diseñados para acceder, alterar, borrar, destruir o extorsionar los sistemas y datos sensibles de una organización o usuario”, apunta la empresa TechTarget. La ciberseguridad también es fundamental para prevenir los ataques dirigidos a inutilizar o interrumpir el funcionamiento de un sistema o dispositivo.

Con un número cada vez mayor de usuarios, dispositivos, tecnologías y programas, junto con el creciente despliegue de datos —muchos de los cuales son sensibles o confidenciales—, la importancia de la ciberseguridad sigue aumentando. Además, el creciente volumen y sofisticación de las estafas digitales agrava aún más el problema. Aunque estos ataques pueden afectar a distintos niveles —por ejemplo, a gobiernos, empresas o instituciones— la clave es poner especial atención al papel que tenemos los seres humanos. De hecho, según la compañía de ciberseguridad Proofpoint, “más del 99 % de los ciberataques requieren interacción humana”.

Estrategias de prevención y respuesta de Iberdrola

En Iberdrola, como empresa líder en innovación y digitalización, concedemos una gran importancia estratégica a la ciberseguridad, clave para hacer frente a los retos asociados a la transición energética. En un entorno tecnológicamente complejo como el actual, tenemos como objetivo principal la protección de las infraestructuras críticas, que son fundamentales para la protección de los datos de nuestros clientes y otros grupos de interés así como de la reputación del Grupo.

El Consejo de Administración aprobó en 2015 una Política de riesgos de ciberseguridad, que promueve el fomento de una sólida cultura de seguridad cibernética fortaleciendo nuestras capacidades de protección, detección, prevención, defensa y respuesta a posibles ataques o incidentes en línea.

Además, hemos establecido una estrategia de ciberseguridad global, con el objetivo de integrar esta defensa digital a las decisiones del negocio y operaciones diarias. Esta estrategia se basa en seis pilares:

Pilares estratégicos ciberseguridad
Pilares estratégicos ciberseguridad

  • Gobierno. Asignamos roles y responsabilidades claras en la gestión de riesgos digitales:
    • Normas, marcos y criterios actualizados para una protección adaptada al entorno y su evolución.
    • Órganos de coordinación y decisión para la integración de la ciberseguridad en los procesos de toma de decisión: 
      • Comités de Ciberseguridad, global y locales, presididos por los correspondientes CISOs y en los que están representados todos los negocios y áreas, donde se comparten, discuten y aprueban las normas, marcos y modelos de Ciberseguridad. 
      • Comité trimestral constituido por el CEO del Grupo, los CEOs globales de los negocios y los CEOs de todas las subholdings, en el que se discuten, deciden e impulsan iniciativas y planes específicos de ciberseguridad ligados a los planes estratégicos del Grupo.
         
  • Cultura. Identificamos y desarrollamos las habilidades y conocimientos de ciberseguridad mediante programas de concienciación y formación en las diferentes áreas y funciones de la empresa y promover una cultura de ciberseguridad en todos los niveles de la organización.
  • Gestión de riesgos. Definimos e implementamos planes integrales de gestión de los riesgos, priorizando las infraestructuras críticas y los servicios esenciales.
  • Resiliencia. Disponemos de tecnología y equipos globales y locales de respuesta ante incidentes de ciberseguridad siempre operativos minimizando el impacto sobre los objetivos de la empresa y la continuidad de los servicios esenciales.
  • Aseguramiento. Establecemos mecanismos sólidos de supervisión y garantía reforzada de las “ciberinfraestructuras” críticas y de alto riesgo para identificar y mitigar de forma proactiva los riesgos y vulnerabilidades pertinentes y garantizar el cumplimiento de las normas internas de ciberseguridad y las regulaciones externas aplicables.
  • Colaboración. Establecemos contacto estrecho interno entre los negocios y los responsables de ciberseguridad, externo con las fuerzas y cuerpos de seguridad, agencias gubernamentales, proveedores de productos y servicios, empresas, grupos de expertos para reforzar la defensa cibernética.

Para su correcto despliegue, hemos designado a un responsable global de ciberseguridad (CISO), que en coordinación con el responsable global de Seguridad, reporta periódicamente a la Comisión de Auditoría y Supervisión del Riesgo del Consejo de Administración. Además, contamos con responsables de ciberseguridad (BISOs) dentro de cada negocio y área corporativa.

Por otro lado, prestamos especial atención a la privacidad de la información de nuestros Grupos de interés. Por ello, disponemos de una Política de protección de datos personales. Además, contamos con un sistema de gestión de protección de datos para asegurar su cumplimiento. La responsabilidad sobre la protección de los datos personales recae en los negocios y funciones corporativas, bajo la coordinación y supervisión del delegado de Protección de Datos del Grupo y con el apoyo de los Servicios Jurídicos.

Cómo reportar los ciberataques

En Iberdrola hemos desarrollado el buzón de vulnerabilidades, una plataforma de contacto para comunicar posibles incidencias de seguridad en nuestras webs. A través de este formulario podemos recibir los comentarios de la comunidad de investigadores de seguridad que contribuyan a asegurar los productos y servicios para todas las sociedades del Grupo. Una vez tenemos un aviso, nos encargamos de investigar y resolver cualquier vulnerabilidad detectada en nuestras plataformas. 

La información requerida para alertar sobre ataques o incidentes son la página o sitio web afectado, una breve descripción de la vulnerabilidad, pasos para poder reproducirla y documentación que pueda ilustrar el problema.

Phishing

Phishing

Descubre cómo evitar caer en una estafa a través de e-mail, SMS o mensajería instantánea.

Vishing

Vishing

Qué implican las estafas por vía telefónica y qué tipos existen.

Smishing

Smishing

Descubre cómo se producen los engaños por mensaje de texto.

Innovación y futuro de la ciberseguridad en la industria energética

La ciberseguridad es crucial en la industria energética debido a la creciente interconexión de sistemas y dependencia de la tecnología. Las smart grids o redes inteligentes, los sistemas de control industrial y otros dispositivos asociados a Internet ya son parte esencial de la industria, al aportar eficiencia y control. Sin embargo, estos avances requieren un examen de seguridad más exhaustivo para evitar la exposición a vulnerabilidades aprovechadas por atacantes o piratas informáticos. 

Algunas innovaciones o tendencias que se esperan en la ciberseguridad de la industria energética son: 

  • Integración de tecnologías emergentes. La adopción de tecnologías como el internet de las cosas (IoT), la inteligencia artificial (IA) y el aprendizaje automático (machine learning) pueden ayudar a la detección temprana de brechas de seguridad y optimizar respuestas.
  • Blockchain. Esta tecnología se está explorando para mejorar la seguridad de las transacciones y la gestión de datos en la cadena de suministro energética. Proporciona un registro inmutable que ayuda a prevenir fraudes y ataques. En Iberdrola nos hemos convertido en  la primera empresa en utilizar blockchain para certificar la participación en la Junta General de Accionistas.
  • Seguridad en la nube. Con la proliferación de servicios en la nube, se espera implementar medidas de seguridad sólidas y técnicas de cifrado para proteger los datos almacenados y transmitidos, así como establecer acuerdos con proveedores sólidos que proporcionen tecnologías y servicios con las debidas garantías. 
  • Automatización de respuestas. El objetivo sería alcanzar una automatización de la respuesta a amenazas. Los sistemas capaces de identificar, analizar y responder al momento podrían ayudar a minimizar el impacto de los ataques y el tiempo de reacción.
  • Entrenamiento y concienciación. Para hacer frente a la creciente sofisticación de los ataques, la formación continua de personal, a todos los niveles de la compañía, en seguridad cibernética y la concienciación sobre las mejores prácticas serán fundamentales.
  • Colaboración. El apoyo formativo y técnico entre las entidades de la industria energética, organismos gubernamentales y empresas de ciberseguridad será clave para compartir conocimientos frente a ciberataques.
  • Legislación. Es probable que las regulaciones y normativas relacionadas con la ciberseguridad en la industria energética aumenten para garantizar la protección de los activos críticos de las infraestructuras.

Consejos a usuarios para evitar la captación de sus datos

La ciberseguridad empieza en nuestra propia actividad en Internet. Estos son algunos consejos para mantener tus datos seguros:

Mantén tus contraseñas seguras y actualizadas

Las contraseñas son la primera línea de defensa para proteger tus cuentas online. Es importante utilizar claves únicas y complejas, evitar incluir información personal o palabras comunes en ellas y cambiarlas con regularidad. Por supuesto, jamás las compartas.

Actualiza tus dispositivos y su software

Mantener actualizados tus dispositivos y programas es esencial para garantizar la seguridad de tus datos. Las actualizaciones a menudo incluyen parches de seguridad cruciales para prevenir o acabar con vulnerabilidades conocidas. 

Cuidado con los correos electrónicos, los mensajes no esperados y los enlaces sospechosos

El phishing es una de las principales vías mediante las que los ciberdelincuentes intentan violar nuestros datos personales. Es fundamental ser precavido, abstenerse de abrir correos electrónicos de remitentes desconocidos y evitar hacer clic en enlaces o descargar archivos adjuntos de mensajes sospechosos, ya que podrían contener malware. Compruebe siempre la legitimidad de los mismos.

Utilice una red segura

Utiliza solo las conexiones y redes fiables (como una Red Privada Virtual (VPN)) —que cifra tu tráfico en Internet— especialmente cuando realices transacciones o introduzcas datos confidenciales. Evita las redes Wi-Fi públicas o no seguras.

Configuración de privacidad en redes sociales

Revisa y ajusta la configuración de privacidad de tus cuentas de redes sociales para controlar quién puede ver tu información personal. Asegúrate de que solo sea visible para personas de confianza. Evita publicar información sensible como tu dirección, datos familiares, número de teléfono o datos financieros.

Instalación de antivirus y antimalware

Instala y actualiza regularmente programas antivirus y antimalware en tus dispositivos para detectar y eliminar posibles amenazas.

Respaldo de datos
Haz copias de seguridad regulares de tus datos importantes. En caso de un ataque o pérdida de información, podrás restaurarlos.