Este é o quinto de uma série de artigos e entrevistas sobre o assunto de Melhorando a ciber -resiliência —the ability of companies, organizations, and institutions to prepare for, respond to, and recover from cyberattacks. The series grows out of Boston Consulting Group’s work with the World Economic Forum on this topic. BCG spoke with Rosa Kariger, the chief information security officer for Iberdrola, a global energy organization, about ways to promote more effective governance of cyberrisk in the electricity ecosystem.
Read more in the Cybersecurity Series
Read more in the Cybersecurity Series
- The Cybersecurity Assistance Local Governments Need
- Gerenciando infraestrutura crítica: uma entrevista com Yosi Shneck da Israel Electric
- Cybergovernança e o papel do conselho: uma entrevista com George DeCesare de Kaiser Permanente
- Dando segurança cibernética, é devido na sala de reuniões: uma entrevista com Cheri McGuire da Standard Chartered
Sobre Rosa Kariger
About Rosa Kariger
Rosa Kariger is the chief information security officer (CISO) of Iberdrola, a Spanish multinational electricity company and leader in green energy. She is responsible for cybersecurity governance, intelligence, and oversight for the IT and operational-technology environments in all countries where Iberdrola operates—mainly Brazil, Mexico, Spain, the UK, and the US. Since joining Iberdrola in 1997, Kariger has held several positions, including internal consultant and global risk manager. Before being appointed CISO in February 2016, she was Iberdrola’s deputy chief risk officer. With more than 20 years of experience in the electricity sector, Kariger is member of several international expert groups for cybersecurity in the electric industry and is the cochair of the World Economic Forum’s Systems of Cyber Resilience: Electricity.
We have been seeing numerous news stories about cyberattacks on the power grid. What are your primary concerns with respect to cyberresilience and the grid?
The new market participants and technologies in the electricity ecosystem—for example, electric vehicles, and prosumers, or consumers with small generators—are introducing a new set of cyberrisks that need to be properly addressed. And not just by individual companies or asset owners. The participants in the ecosystem are highly interdependent, and the electricity system itself has always been complex and highly interconnected, such that if one participant is compromised, there can be a cascading effect on the rest of the system. This complexity and interdependence have been amplified by the digitization of the grid and the increased interconnectivity of industrial-control systems. Furthermore, we have to consider that these new technologies are expected to coexist with legacy systems that were not designed to face digital threats.
It is important that all participants within the ecosystem—small and large companies, traditional incumbents, and new players—properly address the cyberrisks within their own infrastructure. But they must also understand their interdependencies and be aware of the risk each participant poses to the rest. Collaboration is critical to ensure a resilient grid.
A colaboração é fundamental para garantir uma grade resiliente.
Em muitos casos, o monitoramento e o controle do risco cibernético é delegado ao departamento de TI. Como uma organização garante que sua diretoria entenda o cibernício como um risco comercial que deve ser abordado estrategicamente?
Em 2015, o Conselho de Administração da Iberdrola aprovou uma política de risco de segurança cibernética que se concentrou na promoção de profundas mudanças culturais em todo o grupo. O objetivo da política era garantir que a segurança cibernética fosse entendida como um risco comercial - e a responsabilidade de todos. Eu aprendi que o entendimento de dois fatores-chave pode ajudar os quadros a chegar a essa conclusão: que a digitalização está acontecendo não apenas no departamento de TI, mas também nas áreas de tecnologia operacional e que a fonte de ciberrasck nem sempre é a própria tecnologia, mas, em muitos casos, a maneira que a tecnologia não é usada. Áreas?
Would you explain what you mean when you say that digitization is happening not just in the IT department but also in operational-technology areas?
À medida que as empresas inovam, elas devem estar cientes dos cibernéticos representados por quaisquer tecnologias que adotem em qualquer lugar da organização. Não é suficiente para as áreas de negócios individuais simplesmente delegarem a responsabilidade pela segurança dessa tecnologia a ela. Talvez eles possam delegar a responsabilidade por alguns dos controles, mas duvido sinceramente que um engenheiro deseje um profissional de TI excessivamente envolvido nas operações reais de sistemas de controle industrial. chave. Um processo mal projetado-ou um treinamento ruim e a conscientização das atividades de funcionários e contratados-pode substituir as medidas de segurança técnica mais fortes. A solução não é apenas fornecer treinamento tradicional de segurança cibernética genérica, mas também incutir em pessoal uma compreensão profunda de como os ciberrisks podem afetar os processos de negócios específicos em que estão envolvidos. O que você acha da comunicação das complexidades de um tópico técnico, como a segurança cibernética, para executivos que podem não ter conhecimento técnico profundo? Em vez disso, os membros do conselho precisam entender as possíveis fontes de risco e como esses riscos podem afetar os negócios. Eles devem ser capazes de garantir que a estratégia em vigor para gerenciar esses riscos esteja alinhada com o apetite por risco da empresa. Faz parte do papel do CISO traduzir os desafios técnicos em linguagem de negócios e propor a abordagem correta para gerenciar os riscos. Uma vez que os membros do conselho estivessem cientes dos riscos e das soluções propostas para gerenciá -los, é especialmente importante que eles promovam um modelo de governança e supervisão que garante uma abordagem holística da cibercrição, atribui uma responsabilidade clara para o gerenciamento do CyberRisk em toda a organização, e fornece recursos adequados para fazer o trabalho do trabalho. gerenciar os riscos.
And what does it mean to say that the source of cyberrisk is not always the technology itself but, in many cases, the way that technology is used?
From a security perspective, people and business processes—not just technology itself—are key. A poorly designed process—or poor training and awareness of employees’ and contractors’ activities—can override the strongest technical-security measures. The solution is not only to provide traditional generic cybersecurity training but also to instill in personnel a deep understanding of how cyberrisks can affect the specific business processes they are engaged in.
One important aspect of improving governance around cyberresilience is improving the board’s understanding of it. What are your thoughts on communicating the complexities of a technical topic like cybersecurity to executives who may not have deep technical knowledge?
In my opinion, the board does not need an understanding of complex technical topics to be aware of how cyberrisks can affect the company’s strategy or goals. Instead, board members need to understand the potential sources of risk and how those risks might impact the business. They should then be able to ensure that the strategy in place to manage these risks is aligned with the company’s risk appetite. It is part of the CISO’s role to translate the technical challenges into business language and propose the right approach for managing the risks. Once board members are aware of the risks and the proposed solutions for managing them, it is especially important that they promote a governance and oversight model that ensures a holistic approach to cyberresilience, assigns clear accountability for managing cyberrisk throughout the organization, and provides proper resourcing and funding to get the job done.
It is part of the CISO’s role to translate the technical challenges into business language and propose the right approach for managing the risks.
Muitos quadros e líderes seniores procuram métricas que quantificam e medem a eficácia de um programa de segurança cibernética. Você pode descrever qualquer uma das métricas ou KPIs de cibernisk que Iberdrola adotou? Realizamos isso em diferentes níveis, usando uma abordagem pirâmide. Isso nos ajuda a rastrear nossa maturidade em um nível alto, para que possamos garantir que nossas estratégias de médio e longo prazo priorizem corretamente as áreas que exigem mais atenção. Essas métricas nos ajudam a avaliar até que ponto as iniciativas de segurança cibernética foram implantadas, bem como sua eficácia na redução do cyberRisk.
Iberdrola is using several types of metrics to monitor the progress and effectiveness of the cybersecurity measures we have implemented and the evolution of cyberrisks. We carry this out at different levels, using a pyramid approach.
This starts with periodic maturity self-assessments of cybersecurity capabilities and key controls across the entire group, including all countries, businesses, and corporate areas. This helps us track our maturity at a high level so that we can make sure that our medium- and long-term strategies correctly prioritize the areas that require more attention.
At a tactical level, we continuously monitor select technical metrics and associated registered events. These metrics help us evaluate the extent to which cybersecurity initiatives have been deployed, as well as their effectiveness in reducing cyberrisk.
também é importante ter métricas que medem o risco comercial. Fazemos isso avaliando o impacto potencial nos negócios de prováveis cyberrisks, considerando a probabilidade de certas ameaças, dada a eficácia de nossos controles existentes de segurança cibernética. Obtemos essas métricas aplicando uma metodologia global cibernética comum que ajuda o grupo e as unidades de negócios individuais a avaliar os riscos associados à tecnologia que usam para apoiar seus processos críticos.
Como você observou, no setor de eletricidade, as consequências relacionadas a um ataque cibernético em uma organização podem cascata e afetar vários outros negócios, indústrias, organizações e cidadãos. A implementação de novas tecnologias - a Internet das coisas, a inteligência artificial - aumentou o nível de interdependência e complexidade nesse ecossistema. Como você garante a cibernética quando pode não estar completamente sob seu controle? Quão importante é para os líderes se envolverem na cibercrição não apenas em suas próprias empresas, mas também em todo o ecossistema? Essas interdependências existentes foram amplificadas por tecnologias digitais e por novos participantes que são cada vez mais relevantes para a cibersiliência da grade. É por isso que a colaboração é tão crítica agora. Além disso, acho que nossa indústria deve aproveitar os protocolos de colaboração existentes, atualizando -os para incluir novas estratégias que podem abordar ameaças digitais emergentes. Somente combinando nossos esforços no gerenciamento de ameaças físicas e digitais, podemos avançar holisticamente a resiliência da grade. Qual é a perspectiva de Iberdrola em manter um foco de segurança enquanto inova e integrava novas tecnologias?
The various organizations in our industry—generators, transmission system operators, and distribution system operators—have always collaborated with one another and with national intelligence and law enforcement agencies to protect critical infrastructure against environmental events and physical attacks. These existing interdependencies have been amplified by digital technologies and by new participants that are increasingly relevant to the grid’s cyberresilience. That is why collaboration is so critical now.
Boards must promote collaboration with the public sector, third parties, technology providers—even with those in other industries, such as telecommunications. Moreover, I think that our industry should leverage existing collaboration protocols, updating them to include new strategies that can address emerging digital threats. Only by combining our efforts in the management of both physical and digital threats can we holistically advance the resilience of the grid.
Iberdrola is continually innovating and devising new ways to leverage technology in the energy space—especially green technologies. What is Iberdrola’s perspective on maintaining a security focus while innovating and integrating new technologies?
At Iberdrola, we recognize that digital transformation requires a systematic approach to cyberrisk management. The key is to implement a process that embeds cybersecurity by design in every new project. This means that the responsible business unit performs a cyberrisk assessment at the initial stages of its projects to understand the risk—and the controls required to manage that risk. This assessment can be guided or supported, but not owned, by a team of cybersecurity experts. Then it is the responsibility of the business areas to implement and follow the necessary technical and process controls for management of cyberrisk throughout the project life cycle. The team is also responsible for passing on the security requirements to relevant third-party suppliers and for validating that, before the new technology goes live, necessary controls have been implemented.
We have designated specific cybersecurity experts in each business unit who are responsible for supporting and supervising this process. The combination of cybersecurity and business knowledge they provide is key to ensuring that the technology and processes we adopt are secure and aligned with our business goals.
