EDP es una compañía energética portuguesa con fuerte presencia en España y otros mercados. ¿Cuál es la actividad principal de la empresa?
Energías de Portugal (EDP) es una multinacional de origen portugués que cubre todas las actividades relacionadas con la electricidad, tanto la producción convencional como la renovable, ya sea del tipo centralizada o distribuida. También abarcamos su comercialización y distribución, que permiten desde la generación hasta el consumo de la energía.
EPD está presente en diferentes puntos de la geografía, de los cuales los más importantes son Portugal y España; pero también tenemos presencia bastante relevante en Brasil, Estados Unidos, Singapur y otros países de Sudamérica o Europa.
¿Cuáles cree que deben ser los principios que guíen la seguridad corporativa de una empresa proveedora de servicios esenciales para la sociedad como EDP?
Tenemos que partir del principio de que la electricidad es un bien básico para la sociedad, y esa misma idea es la que guía la misión de nuestra compañía para garantizar el suministro. En ese sentido, se trata de una concepción muy ligada a la continuidad del negocio.
Con la seguridad sucede lo mismo que con la energía, no somos conscientes del valor que tiene hasta que carecemos de ella. De ahí que para nosotros sea sencillo trasladar al personal de EDP el valor de la seguridad y la idea de que esta tiene que estar siempre presente en nuestras actividades. Somos conscientes de que el servicio que proporciona EDP es básico para la sociedad en todos sus aspectos. Tenemos una responsabilidad que debe extenderse a todas las partes que conforman el negocio.
«La seguridad no es un fin en sí mismo, sino un medio para gestionar riesgos con el objetivo último de mantener la continuidad del negocio»
¿Cuáles son las principales características de la política de seguridad y continuidad de negocio de EDP?
La característica principal de nuestras políticas de seguridad y continuidad de negocio es su carácter integral. Pero alcanzar este punto supone atravesar antes muchas fases para llegar a la madurez. En EDP hemos incorporado todas las perspectivas que tiene la palabra seguridad, como Security, Safety, seguridad de la información…
Esta misma perspectiva la aplicamos a la continuidad de negocio y a la gestión del riesgo empresarial. Para nosotros, la seguridad no es un fin en sí mismo, sino un medio para gestionar riesgos con el objetivo último de mantener la continuidad del negocio. Por eso lo hacemos desde todas las perspectivas y no solo de manera coordinada, sino trabajando de manera colaborativa. La seguridad integral implica trabajar de manera complementaria y que los diferentes tipos de seguridad aporten cosas unos a otros.
EDP tiene además la aspiración de convertirse en uno de los líderes de la transición energética. La compañía quiere tener un papel muy activo a la hora de desarrollar soluciones que permitan construir un mundo mejor para las generaciones venideras. En el departamento de Seguridad tenemos esto muy en cuenta, no solo por nuestra propia actividad, sino también porque sabemos que vamos a estar sometidos a un cambio constante para liderar dicha transición. Nuestro departamento tiene que adaptarse para no ser un freno y convertirse en un facilitador de ese cambio. Por ello, nos obligamos a repensar constantemente el servicio que damos al resto de la organización.
La digitalización está impulsando cambios relevantes en el ámbito de la energía. ¿Cómo está afectando al sector ese proceso desde la perspectiva de la seguridad?
Si nos referimos a la seguridad, la digitalización nos está afectando desde dos perspectivas. Por un lado, está la perspectiva del propio departamento de Seguridad, donde tenemos que tener en cuenta la digitalización en los servicios que prestamos. Cada vez tenemos más tecnología y no necesitamos tantos recursos humanos como antes, pero esto implica que las personas que sigamos necesitando deben tener unas competencias diferentes sobre el manejo, mantenimiento, planificación y diseño de los sistemas electrónicos de seguridad. Además, ese equipamiento tiene que ser ciberseguro, por lo que también necesitamos capacidades de este tipo.
Por otro lado, está la digitalización de la propia compañía, lo cual implica que los activos que protegemos estén sometidos a cambios. Aunque las personas no cambiemos, el resto de los activos y procesos de la compañía están evolucionando constantemente. De modo que lo que hace unos años considerábamos un servicio excelente ahora puede que esté completamente desfasado. Tenemos que evaluar constantemente si el modelo es válido y ser capaces de desapegarnos de cuestiones que, aunque tuvieron éxito en el pasado, ahora no valen.
Antes de ocupar su cargo actual fue director de Seguridad de la Información y Procesos Digitales. Desde esa perspectiva, ¿cuál cree que es la mejor manera de abordar la seguridad integral en las compañías para que realmente lo sea?
La seguridad integral es todo un desafío para las organizaciones, porque no hay un método que esté reconocido ni que valga para todas. Durante mi primera etapa en EDP me dediqué al diseño y construcción de infraestructuras energéticas, después desempeñé una actividad centrada en los procesos digitales y, posteriormente, asumí actividades de ciberseguridad. Esa trayectoria me ha permitido tener una visión clara de hacia donde va la compañía y gestionar el apetito al riesgo, generando valor por un lado sin destruirlo por otro.
Durante mi etapa dedicada a la ciberseguridad, lo que generaba valor era la digitalización, y el peligro de destruir valor estaba en asumir demasiados riesgos de seguridad lógica. Pero si existe un diálogo entre todas las partes de la seguridad, realmente puedes construir un valor sostenible.
Creo que la mayor dificultad para conseguir que la seguridad sea integral es la falta de talento, porque tener una visión completa de cada una de esas actividades de la organización es un desafío de conocimiento para las personas. Es necesario integrar competencias y capacidades, pero siempre teniendo claro que el objetivo es común, no diferente para cada una de las partes.
Pero no creo que haya una fórmula para construir una seguridad integral, sino que es una decisión de cada compañía en función de sus necesidades. Habrá organizaciones en las que funciona mejor una estructura bien jerarquizada y otras donde viene mejor crear entornos en los que compartir información para integrar las diferentes facetas de la seguridad, como por ejemplo los comités.
Pero, en cualquier caso, las funciones y objetivos han de estar bien definidos y a un nivel suficiente, porque aquí estamos hablando de la sostenibilidad a medio y largo plazo en la compañía. Y es por ello también que el área de seguridad tiene que tener acceso directo a la alta dirección, porque hay mucho en juego.
¿Cómo está impactando la guerra en Ucrania en la seguridad del sector energético?
Una de las conclusiones que he extraído de esta situación es que, aunque las batallas las ganan los ejércitos, las guerras las ganan las naciones. Parafraseando a Ortega y Gasset, una nación es la nación y sus circunstancias. Aunque cualquier análisis inicial apuntará a que esta guerra no duraría mucho, vemos que Ucrania está dando la vuelta a la situación inicial y recuperando buena parte del territorio ocupado por Rusia. Al suceder esto, la reacción de Moscú ha sido tratar de minar la moral de la nación ucraniana atacando precisamente a sus instalaciones eléctricas.
Veremos más adelante que, después de que Rusia haya utilizado las infraestructuras eléctricas para generar terror en la población, el resto de malos también se apuntará. Esto cambia la percepción del riesgo que teníamos hasta ahora, porque resulta que no estamos tan seguros como creíamos. La energía es una palanca que se utiliza en situaciones de crisis y los impactos en determinadas infraestructuras se trasladan muy rápidamente a la sociedad. Por eso la Unión Europea ya está estableciendo medidas para mejorar la resiliencia de sus infraestructuras energéticas.
Estamos en un contexto geopolítico especialmente complejo en relación con la energía. ¿Cuáles son sus principales preocupaciones en torno a la seguridad ante la presente coyuntura?
Nos preocupa poder hacer un análisis lo más detallado posible de lo que está sucediendo para tratar de entender cómo vamos a evolucionar más adelante. Todo ese proceso hemos de acompañarlo de la gestión de riesgos y adaptarnos a la situación coyuntural en cada momento.
¿Cómo se puede hacer una gestión de riesgos realmente eficaz en un entorno tan complejo y cambiante?
Lo que hace falta es tener una metodología robusta, que sea integral y que el gobierno de la seguridad esté adaptado a las necesidades de la compañía. Esto exige unas competencias que no abundan en el mercado. Actualmente existe un cuello de botella en los temas relacionados con la ciberseguridad, pero tampoco estamos sobrados en otras áreas como el riesgo empresarial, la continuidad de negocio o la gestión del riesgo en situación de evolución constante. Estamos ante un desafío común para multitud de actores y para superarlo tenemos que incorporar todos los recursos que están a nuestro alcance, no son solo los internos, sino también los de la Administración. Debe existir una colaboración en todos los sentidos.
La parte positiva de esta situación es que ahora se habla más de seguridad, porque vemos que cuando esta nos falta es cuando la gente se da cuenta de lo mucho que aporta. Ahora mismo tenemos una situación de inseguridad mayor que antes, lo que motiva una mayor atención en la seguridad.
Desde el punto de vista de la política de EDP, para nosotros la colaboración con la sociedad es un mandato. Nuestra política de seguridad nos obliga a interactuar con el resto de agentes implicados en la protección de las infraestructuras esenciales con el objetivo de que la seguridad no solo sea beneficiosa de puertas para adentro, sino también para afuera.