- La ciberseguridad se ha convertido en un tema capital para las empresas del sector del agua.
- Los ataques cibernéticos a operadoras de agua han aumentado en frecuencia, sofisticación y severidad.
- Las gestoras de agua están dedicando más esfuerzos a reforzar sus áreas de ciberseguridad.
- Normativas europeas y nacionales, como la directiva NIS2 y el ENS, son clave para mejorar la protección de infraestructuras críticas.
Creciente amenaza de ciberataques
La ciberseguridad se ha convertido en un tema crucial para las empresas del sector del agua. En los últimos años, se han incrementado los ataques a las operadoras de agua, conscientes de la importancia de este sector para el desarrollo económico y social de las regiones. Desde el primer ciberataque registrado en Queensland, Australia, en el año 2000, hasta los recientes incidentes en Israel y Florida, la preocupación por la seguridad en el sector hídrico ha crecido significativamente.
Tecnologías y nuevas vulnerabilidades
Las nuevas tendencias tecnológicas en el ciclo integral del agua, como la automatización, los sistemas de alerta temprana y el telecontrol, aportan grandes ventajas y avances. Sin embargo, también introducen nuevos vectores de ataque para los ciberdelincuentes. Según el informe Water Technology Trends 2024 de Idrica, las gestoras de agua están dedicando más tiempo y esfuerzos a reforzar sus áreas de ciberseguridad.
Aumento de los ciberataques en España
En 2023, España registró 107,777 incidentes de ciberseguridad, un 94% más que el año anterior, según el Informe Anual de Seguridad Nacional 2023. Este incremento se debe a que los atacantes poseen mayores capacidades técnicas y operativas, agravado por la alta dependencia de la sociedad de las tecnologías de la información y las comunicaciones. La vulnerabilidad del ciberespacio es la segunda mayor amenaza para España, solo superada por las campañas de desinformación.
Estrategias de ciberseguridad
Begoña González, responsable de Seguridad de la Información de Idrica, destaca la necesidad de que las operadoras de agua establezcan estrategias orientadas a reforzar su ciberseguridad. Identifica seis medidas clave:
- Evaluaciones de Riesgo: Realizar evaluaciones regulares para identificar vulnerabilidades y amenazas potenciales.
- Monitoreo Continuo: Implementar sistemas para detectar actividades sospechosas en tiempo real.
- Capacitación y Concientización: Formar a los empleados sobre las mejores prácticas de ciberseguridad.
- Redundancia y Resiliencia: Establecer sistemas redundantes y planes de recuperación ante desastres.
- Actualizaciones y Parches: Mantener los sistemas actualizados con los últimos parches de seguridad.
- Encriptación y Autenticación: Utilizar encriptación de datos y autenticación robusta para proteger la información sensible.
Medidas jurídicas y normativas
Los gobiernos y entidades pertinentes están reforzando sus medidas jurídicas para mitigar la situación. Normativas como la ACN en Italia, el ENS en España, la ANSSI en Francia y la BIO en Holanda son ejemplos de esfuerzos nacionales. La directiva NIS2 proporciona un marco legal para impulsar la ciberseguridad en la Unión Europea, garantizando una correcta equipación de los Estados miembros para responder a incidentes, promoviendo la cooperación entre ellos y fomentando una cultura de seguridad en sectores vitales.
Idrica, consciente de la importancia de implementar medidas adecuadas para gestionar los riesgos de seguridad, ha certificado su sistema de información en la ISO 27001 y el Esquema Nacional de Seguridad (ENS). Además, en abril de 2024, se publicó una guía para facilitar a las empresas certificadas con el ENS el cumplimiento de la NIS2, proporcionando un mapeo entre ambas normativas.
Certificación internacional
Dentro de su vocación internacional, Idrica se ha propuesto obtener la certificación del SOC2 (Controles de Servicio y Organización) en 2024, enfocada al mercado americano, consolidando así su compromiso con la ciberseguridad a nivel global.