Ciberseguridad en infraestructuras del agua: el enfoque de Siemens

Explicó que el aumento de normativas legales, como la Directiva NIS2 y la Ley de Ciberresiliencia (Cyber Resilience Act - CRA), está obligando a las utilities a reforzar sus políticas de seguridad, ya que las amenazas han evolucionado y ahora afectan tanto a infraestructuras críticas como a redes de distribución y saneamiento.

Uno de los puntos clave de su presentación fue el análisis del estado de madurez de la ciberseguridad en la industria. Según datos de Gartner, hasta hace muy poco el 60% de las empresas aún se encuentran en fase de concienciación, un 30% ya ha sufrido incidentes y está en modo “apagafuegos”, mientras que solo un 10% ha logrado una integración y optimización efectiva de la ciberseguridad.

Impacto de la Directiva NIS2 en la ciberseguridad del agua

La directiva no solo afecta a operadores de agua potable, sino también a redes de saneamiento y depuración

González explicó que la Directiva NIS2, que se encuentra pendiente de transposición al ordenamiento jurídico español, y que entró en vigor el 17 de octubre, introduce cambios significativos en la seguridad de infraestructuras esenciales, incluyendo el ciclo integral del agua. Explicó que esta normativa:

• Amplía el alcance a nuevas infraestructuras críticas, como aguas residuales, salud, energía y transporte.
• Atribuye responsabilidad directa a la alta dirección de las empresas en la gestión de riesgos de ciberseguridad.
• Impone multas más severas (hasta 10 millones de euros o el 2% de la facturación anual).
• Exige la implementación de medidas técnicas más estrictas, como segmentación de red, uso de firewalls industriales y gestión avanzada de accesos.

Destacó que la directiva no solo afecta a operadores de agua potable, sino también a redes de saneamiento y depuración, lo que implica que el ciclo completo del agua debe reforzar su seguridad digital.

Cómo Siemens afronta la ciberseguridad en infraestructuras del agua

Siemens ha desarrollado un modelo de arquitectura de referencia OT para abordar la ciberseguridad en infraestructuras industriales. González explicó que este modelo se basa en la normativa IEC 62443, que define los estándares de seguridad en sistemas de automatización.

Para garantizar una protección eficaz, Siemens se centra en varios pilares fundamentales, destacando entre otros:

• Segmentación de red y gestión de accesos con firewalls industriales.
• Cifrado de comunicaciones y protección de datos.
• Monitorización en tiempo real de amenazas y vulnerabilidades.
• Gestión de parches y actualizaciones de seguridad en entornos OT.
• Accesos remotos seguros mediante VPN y Zero Trust.

Explicó que Siemens ha desarrollado blueprints específicos para el sector del agua, que incluyen soluciones para infraestructuras descentralizadas y entornos desatendidos, como estaciones de bombeo, depuradoras y redes de distribución.

Uno de los puntos más destacados fue la referencia a la pirámide de seguridad en infraestructuras IT y OT. Explicó que, mientras los sistemas IT suelen contar con actualizaciones frecuentes y equipos dedicados a la ciberseguridad, en el OT los ciclos de vida son más largos y la seguridad no siempre ha sido una prioridad, lo que aumenta la exposición a riesgos.

Servicios y soluciones de Siemens en ciberseguridad

Uno de los mensajes clave de la ponencia fue que la ciberseguridad no es un proceso estático, sino un ciclo de vida continuo

González presentó el portafolio de soluciones de Siemens para mejorar la ciberseguridad en infraestructuras de agua. Entre los servicios clave destacó:

• Consultoría OT: evaluación del estado de ciberseguridad y definición de estrategias de mitigación.
• Gestión de vulnerabilidades: identificación y corrección de brechas de seguridad en sistemas industriales.
• Monitorización de seguridad OT: supervisión continua de amenazas en infraestructuras críticas.
• Protección de acceso remoto: soluciones como Sinema Remote Connect para garantizar conexiones seguras.

También presentó soluciones de hardware y software específicas, como:

• Firewalls industriales SCALANCE SC600, diseñados para entornos OT.
• SINEC Security Inspector y Security Monitor, herramientas para analizar la seguridad de nuestros sistemas o monitorizar la seguridad en tiempo real respectivamente. detectar y mitigar ataques en tiempo real.

El ciclo de vida de la ciberseguridad: un proceso continuo

Uno de los mensajes clave de la ponencia fue que la ciberseguridad no es un proceso estático, sino un ciclo de vida continuo. Explicó que:

• Cada día surgen nuevas vulnerabilidades, por lo que es necesario contar con estrategias de actualización y mitigación constante.
• El tiempo promedio para corregir una vulnerabilidad es de 100 a 120 días, lo que deja un periodo de alto riesgo para las infraestructuras.
• El 86% de las vulnerabilidades tienen parches disponibles el día de su publicación, pero muchas empresas tardan en implementarlos debido a limitaciones operativas.

Por ello, Siemens recomienda una estrategia proactiva de ciberseguridad, que incluya evaluaciones periódicas, actualizaciones continuas y formación del personal.

La ciberseguridad como pilar fundamental en la digitalización del agua

Para finalizar su presentación, González enfatizó que la ciberseguridad es un elemento esencial en la transformación digital del sector del agua. Explicó que, aunque la digitalización ofrece oportunidades para optimizar la eficiencia operativa, sin una estrategia sólida de ciberseguridad, las infraestructuras quedan expuestas a riesgos que pueden comprometer su funcionamiento y la seguridad pública.

"La ciberseguridad en infraestructuras del agua no es opcional, es un requisito fundamental para garantizar la resiliencia y sostenibilidad del sector. Siemens está comprometida a proporcionar soluciones y servicios que ayuden a las utilities a proteger sus sistemas y cumplir con la normativa vigente", concluyó.

Su intervención dejó claro que la combinación de tecnología avanzada, gestión proactiva de riesgos y concienciación sobre la ciberseguridad es clave para enfrentar los desafíos digitales del sector del agua.