Iberdrola com cibersegurança
Iberdrola aposta na cibersegurança
Na Iberdrola, como empresa líder em inovação, transformação e digitalização, atribuímos uma importância estratégica à cibersegurança, que é essencial para evoluir e oferecer serviços e operações cada vez mais seguros em toda as geografias em que operamos e em um ecossistema e cenário de ameaças cada vez mais complexos.
Nossos principais objetivos são:
Proteger nossas infraestrutura críticas
Garantir a confiabilidade e qualidade do fornecimento de energia
Proteger os dados de nossos clientes e de outras partes interessadas
Assegurar a integridade e confidencialidade das informações financeiras e comerciais
Proteger a marca e a reputação do Grupo Iberdrola
Esta importância estratégica está fundamentada no compromisso e envolvimento da Alta Direção do Grupo, consciente da importância de liderar a transformação digital no setor energético, na qual a gestão adequada dos riscos associados à cibersegurança é essencial.
Tal compromisso se manifesta expressamente por meio da Política de Segurança e do Guia de Riscos de Cibersegurança, que são revisados, atualizados e aprovados anualmente pelo Conselho de istração. A Política de Segurança, integrada às Políticas relacionadas com a cadeia de valor sustentável, promove uma sólida cultura de cibersegurança e fortalece nossas capacidades de proteção, detecção, prevenção, defesa e resposta a possíveis ataques ou incidentes.
Por su vez, o Guia de Riscos de Cibersegurança, alinhado às Bases Gerais de Controle e Gestão de Riscos do Grupo Iberdrola, complementa os princípios e critérios definidos pela Política de Segurança no âmbito da cibersegurança, desenvolve um quadro global para o controle e gestão dos riscos de cibersegurança dos ciberativos (TI, OT e infraestruturas críticas) de todas as empresas do Grupo, define o apetite e os limites de risco, as responsabilidades e prioridades que devem ser consideradas para sua gestão e estabelece as diretrizes básicas para implementar controles adequados na matéria e realizar seu acompanhamento periódico, sempre com uma visão global para as empresas do Grupo.
Estratégia de Cibersegurança da Iberdrola
Missão
Possibilitar operações seguras, inovação e digitalização em um ecossistema e um panorama de ameaças cada vez mais complexos, integrando a cibersegurança nas decisões estratégicas e operacionais da empresa e em suas atividades diárias.
Alcance
- Pessoas: colaboradores, clientes, fornecedores, terceiros e partes interessadas.
- Processos e conceito de cibersegurança por design.
- Todas as tecnologias (TI, OT, IoT) que apoiam a digitalização.
- Objetivos e prioridades de negócios.
- Global, em todos os locais em que a Iberdrola opera.
Pilares estratégicos
Governo
Um modelo de Governança que estabelece padrões, estruturas e critérios de proteção atualizados e adaptados ao ambiente e sua evolução, bem como órgãos de coordenação e decisão para a integração da cibersegurança nos processos de tomada de decisão:
Comitês de cibersegurança
Globais e locais, presididos pelos respectivos CISOs e representando todos os negócios e áreas, onde são compartilhados, discutidos e aprovados padrões, estruturas e modelos de cibersegurança.
Um comitê formado pelo CEO do Grupo, CEOs globais dos negócios e CEOs de todas as subholdings
Reúne-se trimestralmente para conhecer, decidir e impulsionar iniciativas e planos específicos de cibersegurança em suas respectivas áreas de responsabilidade, vinculados aos planos estratégicos do Grupo.
Uma estrutura organizacional
Conta com responsáveis pela cibersegurança (CISOs), globais e locais (Grupo, subholdings) e dentro de cada negócio e área corporativa (BISOs) com funções e atribuições claramente definidas.
Modelo de objetivos
Estão vinculados à remuneração que incorpora objetivos específicos de cibersegurança, não apenas para as equipes globais e locais de Cibersegurança, mas também para todos os negócios e áreas corporativas (1L) e em todos os níveis, incluindo a alta direção e os CEOs das empresas do Grupo.
Cultura de Cibersegurança
Um Programa de Cultura de Cibersegurança e programas plurianuais de conscientização voltados para todos os níveis, áreas e funções da organização para promover uma atitude proativa e responsável em relação aos riscos de cibersegurança. O programa proporciona conscientização, conhecimento e formação necessários, apoiados em diversas atividades e materiais adaptados aos diferentes níveis da organização, conforme a cultura e as práticas locais:
- Sessões de formação sobre cibersegurança para todo o Conselho de istração.
- Sessões de conscientização sobre cibersegurança para todos os diretores.
- Formação online sobre cibersegurança e proteção de dados para todos os colaboradores, conforme os perfis de cibersegurança (básico, intermediário, avançado) e seus papéis e funções.
- Ciberexercícios (jogos de simulação) para testar e formar dentro de um contexto de resposta a incidentes.
- Formação técnica/específica do negócio.
- Campanhas mensais de phishing simulado direcionadas a todos os colaboradores e contratados definidos, além de campanhas de reforço de phishing voltadas para os “clickers”.
- Comunidade de Cibersegurança, com o intuito de promover uma cultura de troca de conhecimentos, colaboração e desenvolvimento profissional, cultivar a inovação e melhorar o desempenho, conectando especialistas e usuários de toda a Companhia, compartilhando ideias e criando sinergias para elevar o nível da cultura de cibersegurança em todo o Grupo Iberdrola.
- Conselhos de Cibersegurança, materiais, boletins, entre outros.
Desde 2021, a remuneração do Conselho está vinculada a um indicador específico de Horas de Formação em Cibersegurança ESG, com objetivos definidos que se estendem até 2030.
Além disso, foi desenvolvido e implementado um plano de “Tolerância Zero”, baseado em comportamentos identificados e perpetrados por nossos colaboradores, e sustentado pelas “4 regras de ouro”, com o objetivo de investigar cada caso individualmente e aplicar medidas disciplinares quando considerado necessário.
Gestão Proativa de Riscos
Planos integrais e proativos de gestão de riscos, priorizando as ciberinfraestruturas críticas e os serviços essenciais e ciberativos TI/OT
A Iberdrola aborda a Gestão de Riscos de Cibersegurança como um processo repetível e de melhoria contínua, que inclui a avaliação constante dos riscos de cibersegurança, de acordo com as Metodologias e o Modelo Aprimorado de Avaliação de Riscos de Cibersegurança, fundamentado em um conjunto de critérios comuns, taxonomias, catálogos, controles e processo de reporting do mapa de riscos em todo o Grupo, assegurando, assim, o cumprimento normativo.
Riscos de Cibersegurança de Terceiros
A Iberdrola depende de terceiros para a prestação de serviços e a execução de operações. Essas dependências têm o potencial de gerar riscos de cibersegurança para a companhia, que devem ser adequadamente compreendidos e mitigados.
Um Modelo de Cibersegurança de Terceiros global estabelece um processo padrão e homogêneo para avaliar os níveis de risco e controlar o grau de conformidade com os requisitos de terceiros ao longo de todo o ciclo de vida da relação.
Ciberresiliência
Capacidades de ciberresiliência baseadas em recursos tecnológicos de última geração e equipes globais e locais de resposta a ameaças, inteligência e incidentes de cibersegurança, para minimizar o impacto nos objetivos de negócios e garantir a continuidade dos serviços essenciais:
Avaliações de vulnerabilidades e ameaças de cibersegurança
A Norma e o Programa Global de Gestão de Vulnerabilidades asseguram uma rápida identificação e uma resposta oportuna e sistemática a qualquer vulnerabilidade que afete os ativos e que possa representar um impacto relevante nos processos da Iberdrola, com base em critérios de risco de negócios. São definidos critérios e diretrizes comuns para a detecção e gestão de vulnerabilidades, bem como o modelo de governança, incluindo funções e responsabilidades, para uma adequada coordenação na detecção e gestão de vulnerabilidades dentro do Grupo.
A Gestão de vulnerabilidades da Iberdrola possui um alcance global, incluindo qualquer ativo TI/OT e IoT, bem como qualquer sistema, aplicação ou serviço baseado na nuvem, mesmo que estejam hospedados em uma infraestrutura física, parcial ou totalmente, de um terceiro.
O processo de gestão de vulnerabilidades é composto por cinco etapas:
- Identificação
- Avaliação e priorização
- Resposta
- Reavaliação
- Melhoria
Os Programas e Planos de Gestão de Vulnerabilidades de TI e empresas garantem a implementação de processos para descobrir e gerir as vulnerabilidades que afetam as infraestruturas e ativos que gerenciam. Para cada uma das fases de gestão, a norma estabelece critérios, diretrizes e requisitos mínimos a serem considerados nesses Programas de Vulnerabilidade.
A partir de 2021, foram vinculados à remuneração do Conselho um indicador e objetivos ESG específicos de Cybersecurity Assessments (com vigor até 2030).
Gestão de Incidentes e Crises
Iberdrola dispone de Planes Locales de Respuesta a Incidentes vinculados a los Planes de Continuidad de Negocio y al Equipo de Gestión de Crisis de cada país. A Iberdrola possui Planos Locais de Resposta a Incidentes vinculados aos Planos de Continuidade de Negócios e à Equipe de Gestão de Crises de cada país.
Um Plano Global de Resposta a Incidentes Cibernéticos e um Modelo de Gestão de Crises asseguram o mecanismo de coordenação de todo o grupo em caso de incidente ou crise global, estabelecendo critérios e padrões comuns para os processos nos quais os planos de resposta a incidentes são divididos:
Foram definidos Comitês de Crises em cada país e a nível global.
Um Centro Global de Fusão Cibernética tem como objetivo melhorar a globalização das capacidades de detecção e resposta em cibersegurança em todos os negócios e países que compõem o Grupo Iberdrola, integrando os mundos TI e OT.
A Equipe de Resposta a Incidentes de Cibersegurança do Grupo Iberdrola (I-CSIRT) opera 24x7 e atua como ponto único de contato para TI e Cibersegurança Global, garantindo a detecção e gestão adequadas de ameaças, vulnerabilidades e incidentes de cibersegurança. Essa equipe coordena a detecção de ameaças e a gestão de incidentes a nível global, com o apoio das equipes locais I-CSIRT nos países onde o Grupo Iberdrola está presente. As equipes I-CSIRT, com representantes globais e locais de Cibersegurança, asseguram a detecção global de ameaças e a correlação de eventos, além da coordenação de investigações específicas com as áreas de TI e/ou OT relevantes em todo o Grupo (Iberdrola Espanha, Scottish Power, Avangrid, Neoenergia e Iberdrola México).
O CSIRT utiliza um sistema central para monitorar, detectar e gerenciar qualquer incidente de cibersegurança ou evento de não conformidade em todos os países, além de sistemas de monitoramento específicos no ambiente OT.
O I-CSIRT é membro acreditado das equipes FIRST.org
Enlace externo, se abre en ventana nueva. e CSIRT.es.Enlace externo, se abre en ventana nueva.
- O CSIRT inclui serviços como monitoramento de eventos, vulnerabilidades (descoberta, priorização e remediação), solicitações e gestão de certificados, eCrime, Threat Hunting e IRT/IRF, avaliação de configuração de dispositivos seguros e testes de desenvolvimento de software.
- Um Serviço de Inteligência e Resposta a Ciberameaças fornece inteligência global e capacidades globais para a detecção precoce de eventos que possam resultar em uma situação de risco para a ciberinfraestrutura da Companhia.
Testes de resposta a incidentes
São planejados e realizados periodicamente vários exercícios de simulação por ano, com diferentes alcances (técnico/não técnico, a nível de negócios, a nível de país/ subholding), como parte das atividades de formação e conscientização, mas também para testar os planos de resposta existentes, identificar lições aprendidas e áreas de melhoria, além de permitir melhorias contínuas. Isso inclui a realização periódica de um Exercício Global de Roleplay, que realiza a simulação de um incidente e/ou crise importante que afeta globalmente o Grupo.
Adicionalmente, a Iberdrola participa regularmente de exercícios de simulação organizados localmente por órgãos governamentais.
Notificação de eventos/incidentes
Os colaboradores da Iberdrola dispõem de procedimentos claros a seguir caso detectem qualquer evento ou incidente (malware, phishing, violação de informações e dados pessoais, roubo de dispositivos, etc.) ou se observarem algo suspeito em seus postos de trabalho, e-mails, dispositivos móveis, etc.
Para qualquer questão geral de segurança, existe um canal de cibersegurança, assim como um número de telefone ao qual os colaboradores podem ligar 24 horas por dia e 7 dias por semana. Para questões relacionadas à cibersegurança, como e-mails suspeitos, comportamentos estranhos dos equipamentos, etc., o serviço de assistência informática funciona 24x7 e conta com procedimentos documentados de gestão e escalonamento de incidentes.
Cibercontrole contínuo e vigilância
Mecanismos robustos de supervisão dos riscos das ciberinfraestruturas de alto e muito alto risco para garantir o cumprimento das normas internas de cibersegurança e da regulamentação externa aplicável, com relatórios periódicos para as Comissões de Auditoria e Supervisão de Riscos e para os Conselhos de istração, tanto da holding quanto de cada uma das subholdings do Grupo.
Colaboração
Colaboração constante e estreita, tanto a nível interno entre as empresas e os responsáveis pela cibersegurança, como externo com reguladores, agências governamentais, fornecedores, empresas e think tanks. A Iberdrola colabora com agências de inteligência nacionais e grupos especializados das forças de segurança no intercâmbio de informações e inteligência em tempo real sobre ameaças e incidentes, e integra as informações/inteligência recebidas dessas agências de segurança nacionais, aproveitando também outras fontes externas de informação (por exemplo, classificação externa de cibersegurança, ciberataques que afetem empresas semelhantes ou terceiros, etc.) para antecipar possíveis ameaças e ataques aos ciberativos de nossa companhia TI/OT.
O que é cibersegurança?
Pilares fundamentais da cibersegurança na Iberdrola.
Phishing
Saiba como evitar cair em um golpe de e-mail, SMS ou mensagem instantânea.
Vishing
Como são os golpes por telefone e quais tipos existem.
Smishing
Descubra como ocorrem os golpes por mensagens de texto.
Indicadores de cibersegurança
Um Global de Cibersegurança, com métricas e indicadores-chave de cibersegurança e privacidade, fornece informações globais relevantes sobre cibersegurança.
O está em constante evolução e ajuste, incluindo fontes adicionais, métricas e novas visualizações das informações, direcionadas aos principais interessados na tomada de decisões.
Indicadores de cibersegurança ESG
Desde 2021, foram incluídos dois indicadores e objetivos específicos de cibersegurança (ampliados até 2030) nos indicadores ESG do Grupo Iberdrola e subholdings, os quais estão vinculados à remuneração do Conselho.
Confiança certificada por padrões de Cibersegurança - Certificações da Iberdrola
A Iberdrola demonstra seu compromisso com a cibersegurança e com a geração de confiança, tanto interna quanto externa, formalizando o cumprimento de padrões internacionais de cibersegurança e expandindo esse alcance para os próximos anos:
Scottish Power
Iberdrola IEI
