Conocer el sector del petróleo y gas
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Definir el panorama de amenazas digital en expansión del sector de petróleo y gas (OG).
- Describir las complejidades de proteger los entornos operativos industriales globales.
- Explicar la importancia de la tecnología operativa (TO) como método de protección contra los ciberataques.
Este módulo se creó en colaboración con el Foro Económico Mundial (WEF). Obtenga más información sobre el contenido de socios en Trailhead.
Antes de empezar
Si completó el módulo Desarrollo del programa de ciberresiliencia, ya sabe qué es la resiliencia cibernética, por qué nos interesa, qué hay que hacer para establecerla y cómo los miembros de la junta directiva pueden promover y fortalecer la ciberresiliencia de una organización. Ahora profundicemos en este tema un poco más. Exploremos cómo se manifiesta en la industria de petróleo y gas (OG). A medida que una de las industrias más complejas del mundo hace una transición con múltiples facetas (de analógica a digital, de centralizada a distribuida y de basada en fósiles a bajas emisiones de carbono), controlar el riesgo cibernético y evitar las amenazas cibernéticas son tareas que rápidamente se vuelven críticas para las cadenas de valor de la compañía.
El panorama de amenazas digital
La revolución digital y la transición de fuentes de energía basadas en combustibles fósiles a bajas emisiones de carbono han transformado de manera conjunta el antiguo modelo de negocios usado durante décadas de la industria de OG en cuestión de pocos años. El futuro del sector de OG depende de la digitalización, el proceso de pasar información a un formato digital, a fin de gestionar una vasta red de operaciones y activos de energía globales para maximizar la rentabilidad, mejorar la seguridad y minimizar las emisiones.
Hoy en día, para controlar los activos de energía físicos, las compañías vinculan las redes de tecnología operativa (TO) con las de tecnología de la información (TI) que utilizan macrodatos, inteligencia artificial (IA) y automatización. TO monitorea y gestiona los activos de proceso industrial y los equipos de manufactura e industriales. TI cubre cualquier forma de tecnología: cualquier equipo, servicio o técnica usados en una compañía, institución o cualquier otra organización que administre información.
Estas vinculaciones nuevas y omnipresentes entre TO y TI son factores clave para lograr un modelo operativo más eficaz, resiliente y con bajas emisiones de carbono en el sector energético. Sin embargo, estos cambios traen riesgos cibernéticos para la infraestructura crítica, sectores cuyos activos, sistemas y redes se consideran tan vitales para un país que su inhabilitación o destrucción tendría un efecto debilitante en la seguridad general, la seguridad económica nacional, la salud pública nacional y la protección. Debido a que la infraestructura crítica y las cadenas de suministros en su totalidad están expuestas a riesgos cibernéticos, la ciberseguridad es una consideración central del modelo de negocios de la industria de OG.
Para anticiparse a los ciberataques en esta industria que cambia rápidamente, las compañías de OG deben garantizar que la mitigación de riesgos cibernéticos avance al mismo ritmo que la innovación. El riesgo cibernético es la pérdida que puede ocurrir cuando una amenaza cibernética afecta a un activo y produce un impacto material en una organización. El riesgo cibernético se puede medir como la frecuencia y el impacto probables de un evento de pérdida.
La clave para controlar el riesgo cibernético es la ciberresiliencia. Según el Instituto Nacional de Normas y Tecnología (NIST), el término ciberresiliencia se refiere a la resiliencia de la organización frente a las amenazas cibernéticas con un fuerte énfasis en la implementación eficaz de buenas prácticas de ciberseguridad y un plan de continuidad de operaciones (COOP, por sus siglas en inglés). Para progresar en el panorama de amenazas actual, los ejecutivos de la industria de OG deben mejorar continuamente la ciberresiliencia en sus organizaciones, evaluar los riesgos nuevos y los existentes, y generar diálogo entre los miembros de la junta directiva, los funcionarios corporativos y los profesionales de seguridad clave.
Los miembros de la junta directiva y los funcionarios corporativos de la industria de OG tienen una función importante que desempeñar en la promoción de la ciberresiliencia en sus organizaciones. Los miembros de la junta directiva son fiduciarios corporativos responsables de supervisar las estrategias de gestión, así como de identificar y planificar las respuestas ante riesgos que afectan a una compañía en su totalidad y su valor para las partes interesadas y los accionistas. Los miembros de la junta directiva deben equilibrar la ventaja competitiva asociada con la digitalización del entorno operativo industrial de su compañía frente a la mayor exposición a amenazas cibernéticas que buscan interrumpir las operaciones.
Los funcionarios corporativos tienen la responsabilidad de informar sobre la capacidad de la organización para gestionar la ciberresiliencia. El director de seguridad de la información (CISO) es a menudo la persona dentro de la organización que tiene la función de supervisar el programa de ciberresiliencia de la compañía, cuyo objetivo es proteger la infraestructura digital contra las amenazas cibernéticas y garantizar la continuidad de las operaciones de negocio.
Se espera que las conexiones de dispositivos industriales lleguen a los 37 000 millones en 2025, lo cual significa que la digitalización está transformando rápidamente la industria de OG de un negocio basado en productos básicos que funciona con equipos analógicos a una industria automatizada controlada de forma remota e impulsada por IA que toma decisiones basadas en riesgos más rápido que nunca. Un ejemplo de conexión de dispositivo industrial en la industria de OG es el sensor que monitorea los niveles de inventario de los tanques de petróleo y despacha de forma automática a los camiones cuando los tanques deben vaciarse. Estos sensores también monitorean el rendimiento de las bombas sobre la superficie para alertar a los equipos de mantenimiento sobre problemas, y proporcionan a los empleados señales de advertencia por motivos de seguridad para evitar lesiones y accidentes mortales. Las notificaciones en tiempo real de los sensores de tanques de petróleo permiten el bombeo continuo a la vez que optimizan el traslado de inventario y minimizan los costos del tiempo de inactividad.
Al mismo tiempo, en medio de esta transformación digital, los atacantes ven cada vez más el sector energético como un objetivo propicio al que dirigir ataques cibernéticos con fines financieros, delictivos o geopolíticos. Aun así, muchas compañías de OG no están acostumbradas a pensarse como empresas digitales y, por lo tanto, carecen de tecnologías, sistemas, personal y protocolos de ciberseguridad para proteger los entornos operativos industriales.
Proteger los entornos operativos industriales
La ciberseguridad en el sector de OG es intrínsecamente difícil debido a la complejidad de conducir una organización de gran tamaño con diferentes negocios, activos y personal ubicados en todo el mundo, y por trabajar con una compleja cadena de suministros de clientes y proveedores. La transformación de muchas compañías de OG de un estado de sistemas operativos aislados a negocios totalmente integrados genera una compleja cadena de suministros y mayores interdependencias entre los negocios en los niveles superiores, medios e inferiores.
Esa interdependencia digital hace que el impacto de potenciales ataques cibernéticos sea mayor. Además, cuando se crearon los equipos heredados no se tuvieron en cuenta las vulnerabilidades de seguridad o las necesidades de interconectividad de los entornos operativos modernos, lo cual presenta desafíos para la modernización de la tecnología subyacente de la industria.
Sin tecnologías y protocolos de ciberseguridad sólidos, las compañías tardan en priorizar la implementación de una ciberhigiene adecuada, y soluciones de monitoreo y defensa para dispositivos vulnerables, por lo que no podrán competir con aquellas que cuentan con protección cibernética, y que ofrecen productos y servicios de forma confiable y eficiente. En muchos casos, las compañías enfrentan desafíos de ciberhigiene porque los sistemas se interconectan, pero la responsabilidad está fragmentada o compartida entre muchos socios con prioridades diversas. Muchas organizaciones se sienten abrumadas por la complejidad de la ciberseguridad, y esto es particularmente cierto a la hora de proteger los entornos de TO y TI.
Usar TO para proteger la compañía de ataques cibernéticos
Para comprender mejor la importancia de TO a la hora de protegerse de los ataques cibernéticos, analicemos un ejemplo. Erika es miembro de la junta directiva en una refinería de OG. Sin saberlo, con el transcurso de varios años, un adversario malicioso vulneró las defensas cibernéticas de la refinería con malware específico de TO para atacar los sistemas de seguridad utilizados en la producción de OG. El malware (forma abreviada de “software malicioso” en inglés) es un archivo o código que, por lo general, llega por medio de una red e infecta, explora, roba o tiene prácticamente cualquier tipo de comportamiento que desea el atacante.
Después de operar durante 3 años sin ser detectados por el equipo de seguridad de la compañía de OG, los atacantes activaron su malware para interrumpir los sistemas de seguridad de la refinería. Pero cuando se implementó el ataque, un error del malware provocó el corte de la planta en lugar de causar un daño material grave como estaba previsto.
Inmediatamente después del ataque, el personal de seguridad de la planta y los terceros no consideraron que el corte abrupto fuera la consecuencia directa de un ataque cibernético y, por lo tanto, no investigaron esta posibilidad como causa raíz del corte. Con el malware todavía activo, un mes después los atacantes hicieron un segundo intento para interrumpir el sistema de seguridad de la refinería, pero esta vez intentaron paralizar infraestructura incluso más crítica. Por suerte, los atacantes volvieron a fallar debido a otro error. Durante la investigación posterior, el equipo de seguridad de la planta solicitó la asistencia de especialistas de TO para investigar los cortes. Después de una segunda investigación, los expertos en seguridad detectaron que atacantes estaban manipulando los sistemas de TO de la planta.
Recuperarse del incidente de seguridad y reanudar el funcionamiento total llevó 70 días y tuvo un costo de decenas de millones de dólares. Los ataques como estos son bastante comunes y podrían haberse detectado con la implementación de medidas y un plan de respuesta ante incidentes probado. Si estas medidas se hubieran implementado, el tiempo perdido y las consecuencias del ataque hubiesen sido significativamente menores.
Los errores del adversario evitaron que se produjeran daños materiales en este incidente, pero la gobernanza de la junta directiva puede (y debe) hacer que las organizaciones sean más resilientes contra las amenazas cibernéticas de TO en la infraestructura de seguridad crítica. Como miembro de la junta directiva, Erika tiene la responsabilidad de promover la implementación de este enfoque para minimizar las posibilidades de que ocurra otro incidente como este.
Seis principios de riesgo cibernético para la industria de OG
En algunos casos, la junta directiva de una organización es la entidad responsable en última instancia de la seguridad y protección de las decisiones financieras, legales, estratégicas y éticas de una compañía. En las organizaciones más pequeñas, los líderes cibernéticos correspondientes pueden usar estos principios para mejorar la ciberresiliencia. Ahora repasemos la orientación que necesitan los miembros de la junta directiva para desempeñar su función de supervisión y obtener información práctica a fin de mejorar la ciberresiliencia.
Los funcionarios corporativos encargados de la ciberresiliencia deben comunicar claramente a las juntas directivas el motivo de la importancia de la ciberresiliencia en lo que respecta a la seguridad y al éxito de su organización. Este módulo proporciona a los funcionarios corporativos y gerentes actividades recomendadas para ayudar a implementar los principios de ciberresiliencia y simplificar la comunicación sobre los riesgos con los miembros de la junta directiva.
Según el Foro Económico Mundial (WEF), existen seis principios que ayudan a los ejecutivos en las compañías de OG a madurar su enfoque de ciberseguridad. Obtendrá más información acerca de estos principios en la siguiente unidad.
Recursos
-
Trailhead: Desarrollo del programa de ciberresiliencia
-
Sitio externo: Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA): Sectores de infraestructura crítica
-
Trailhead: Amenazas a la ciberseguridad y factores de amenaza
-
Sitio externo: Investigación de Juniper: Las conexiones industriales de IoT alcanzarán los 37 000 millones en todo el mundo en 2025, bajo el concepto de “Fábrica inteligente”
-
Sitio externo: Deloitte: La Internet de las cosas en el sector del petróleo y gas