ProActivo
El país necesita de una normativa y regulación específica que impulse madurez y responsabilidad en ciberseguridad del sector energía, dicen expertos de Marsh y Protiviti.
El ciberdelito es una de las principales amenazas para cualquier sector de la economía, pero particularmente para mercados como el energético, que ocupa el segundo lugar en incidentes de ataques cibernéticos. No obstante, en el Perú aún persiste un nivel inicial y hasta incipiente de ciberseguridad en la industria energética, lo que redunda en niveles de riesgo proporcionales, indica el director asociado de Protiviti, Juan Dávila.
Al respecto, Dávila advierte que las empresas del sector energía operan infraestructuras de carácter esencial y hasta crítica, por lo cual deberían estar mejor normadas y reguladas en cuanto a los estándares mínimos de operación, lo que incluye aspectos de ciberseguridad. Esta falencia a nivel regulatorio impide una mayor madurez en ciberseguridad de todas las empresas de esta industria.
Por ello, pese a que existen organizaciones -sobre todo que tienen influencia extranjera de países altamente tecnológicos- que ya vienen demostrando una preocupación real sobre este riesgo, sigue existiendo una serie de organizaciones que no le han dado la relevancia al tema.
“Es ahí donde debemos trabajar desde el sector público y privado para poder generar esa responsabilidad social cibernética que se necesita hoy en día en cualquier país”, enfatiza Edson Villar, Líder de Consultoría en Riesgo Cibernético para Latam en Marsh Risk Consulting
Mayor conciencia
En general, las empresas de energía en el Perú, a falta de un mejor marco normativo, vienen esforzándose y toman cada vez más conciencia de la importancia de la ciberseguridad para sus operaciones.
De acuerdo con Edson Villar, poco a poco la ciberseguridad “se va tomando con mayor relevancia en este sector y es algo que se viene escuchando desde los directorios de las compañías”, indica.
Por su parte, Juan Dávila reconoce que, en algunos casos, es probable que tomadores de decisión o el directorio de las empresas de energía constituyan una barrera de inversión en ciberseguridad por su poca familiarización con este tema.
Sin embargo, resalta que “una vez que toman conocimiento de los riesgos a los cuales están expuestos por la falta de conocimiento o concientización, suelen adoptar posiciones y decisiones mucho más proclives a proteger la operación y la seguridad de las infraestructuras asociadas”, indica.
¿Mientras tanto?
Juan Dávila comenta que ante la falta de regulación específica que impulse la inversión en ciberseguridad, dependemos de los esfuerzos que hacen los responsables de seguridad en las organizaciones, y del aprendizaje sobre las experiencias negativas que han tenido organizaciones del mismo sector en otros países.
Además, agrega, existen organizaciones sin fines de lucro que se encargan de difundir temáticas y contenidos que pueden ayudar a la comprensión de los riesgos asociados, tales como ISACA y CISO Beat, entidades que agrupan a profesionales de Ciberseguridad que promueven marcos de referencia, estándares, mejores prácticas y marcos de referencia en Ciberseguridad.
Cadena de suministros seguro
Por otro lado, Edson Villar, de Marsh, advierte que el riesgo cibernético que representa la cadena de suministro para una organización o que una organización representa para la cadena de suministro es algo que en muchas oportunidades se ha dejado de lado.
“Sin embargo, hoy en día, la ciber-dependencia es una realidad y es por ello que debemos ser exigentes no solo con nuestra propia organización, sino con los terceros que se encargan de soportar procesos críticos a fin de reforzar todos los eslabones de la cadena. A esto le podemos llamar una responsabilidad social cibernética”, asegura.
Ambos especialistas estarán presentes como expositores en el 1° Congreso Cyber Security for Energy 2019, evento organizado por Perú Events a realizarse este lunes 18 de noviembre, en el Sonesta Hotel El Olivar.