Manuel Alguacil Payan, ICT Director and Cyber Security Manager en Isotrol, es el protagonista de la entrevista del mes en nuestra newsletter.
Manuel Alguacil Payan estudió en la Escuela Técnico-Superior de Ingeniería Informática (Universidad de Sevilla) y comenzó en 2002 a trabajar como personal externo en la Consejería de Cultura de la Junta de Andalucía, como administrador de sistemas, auditor, consultor y jefaturas de proyectos de infraestructuras y seguridad. Posteriormente ejerció como Jefe de Proyectos de Sistemas y Seguridad para otros organismos, como la Consejería de Educación y de Justicia. En 2017 fue Director de División de Ingeniería de Sistemas con una fuerte orientación a los sistemas y la ciberseguridad, tanto en clientes privados como en organismos públicos. Alguacil Payan es actualmente ICT Director and Cyber Security Manager en Isotrol, dando soporte en Infraestructuras de Sistemas y Ciberseguridad tanto a proyectos de clientes como internamente en la compañía.
1. Isotrol es una empresa especializada en servicios de ingeniería, software y control. ¿Qué lugar ocupa el sector de las energías renovables en su actual mercado?
La vinculación de Isotrol con las energías renovables se remonta a la década de los 90. Fuimos una de las primeras empresas en desarrollar tecnología para la explotación y operación de parques eólicos en España; y participamos en la conexión y monitorización de las primeras plantas que se construyeron en nuestro país, implantando en ellas tecnología desconocida hasta ese momento.
Desde entonces nuestra actividad y posición en el sector de las energías renovables no ha dejado de crecer. Hoy en día tenemos una especialización reconocida y una oferta competitiva en cualquier lugar del mundo, concediendo a las energías limpias un lugar esencial en la estrategia de la empresa. Por el volumen de actividad, por el conocimiento que hemos acumulado, y por las oportunidades de crecimiento que nos plantea, se ha convertido en la principal línea de actividad de Isotrol.
Representa más del 60% de nuestro negocio y se complementa con el resto de las líneas que componen nuestra oferta para el sector energético: además de ayudar a mejorar la eficiencia y rentabilidad de plantas generadoras, ofrecemos soluciones tecnológicas para su integración en la red y ayudamos a grandes compañías a optimizar sus operaciones de compraventa de energía. Esta capacidad nos proporciona un perfil de compañía singular, y una posición privilegiada para contribuir a la transformación digital del sector energético como partner tecnológico experto.
2. Bajo vuestro punto de vista ¿cómo está el panorama actual en ciberseguridad en el sector de la energía eólica?
Como está ocurriendo en otros sectores energéticos, las implantaciones son cada vez más ciberseguras, pero aún queda camino por recorrer. En los últimos años se ha podido observar un claro esfuerzo por disponer de entornos cada vez más protegidos, por ejemplo, haciendo uso de frameworks internacionales de ciberseguridad y tomando medidas “de kilómetro cero” orientadas a reducir la superficie de exposición y minimizar los riesgos. La deshabilitación del hardware innecesario, las políticas del menor privilegio, el despliegue sólo del software necesario o la ofuscación de credenciales administrativas son ejemplos de algunas de estas medidas. Sin embargo, y aunque en los últimos años hemos podido ver cómo la madurez en ciberseguridad ha crecido mucho en el sector, no nos podemos relajar. Por eso, como decía, aún queda margen de mejora hasta que realmente la ciberseguridad esté tan arraigada en nuestros procesos diarios que prácticamente se convierta en una commodity.
Lo que sí está claro es que los ataques a sectores críticos son algo que van a ir cada vez a más, dado que los ciberdelincuentes están cada vez más especializados en cada uno de estos sectores y el beneficio económico o posicional es más que patente en estos tiempos.
3. Isotrol es una empresa con servicios y clientes internacionales. ¿Cómo se ha visto afectada la empresa por la pandemia? ¿Podría ser una oportunidad para el desarrollo de nuevos servicios que avancen hacia el control en remoto?
Nuestra actividad no se ha visto frenada por la COVID, es más, esta situación la ha reforzado. El coronavirus ha obligado a acelerar los procesos de digitalización y telecontrol que buscaban la mejora de la eficiencia en la operación de las plantas. En los últimos años nuestros clientes ya nos venían solicitando nuevas herramientas para optimizar sus procesos, reducir los costes operativos e incrementar la eficiencia de sus plantas. La pandemia ha provocado que esta tendencia natural en el proceso de maduración del sector se vea acelerada por las dificultades a la hora de realizar actividades de manera presencial. Esta crisis ha acelerado los cambios en los que ya estábamos trabajando, reduciendo los tiempos de implantación y puesta en marcha de las nuevas herramientas para el telecontrol y gestión remota de los activos renovables.
4. ¿Está el sector lo suficientemente protegido para las amenazas actuales?
Nunca se está completamente protegido contra un ciberataque. En algunos casos puedes evitarlos; en otros sólo puedes minimizar el impacto; y de algunos ni te enteras hasta que ya es tarde y sólo puedes aplicar técnicas forenses para analizar lo ocurrido e implementar nuevas medidas de protección. Cuanta más atención se ponga en la ciberseguridad, más nos alejaremos de los peores escenarios, pero nunca se puede asegurar el 100% de seguridad. Cuanto más maduro sea el nivel de implantación en ciberseguridad más difícil les pondremos las cosas a los ciberdelincuentes. En este sentido, tan importante son las medidas de mitigación como las de detección temprana para minimizar el impacto.
También es importante mantener protegido todo el camino aguas arriba, ya que en la mayoría de los casos desde las plantas de generación se comunican con centros de control, redes de operación, redes de terceros, etc. Y todas ellas pueden verse afectadas por una brecha de seguridad en una planta. Y a la inversa, si cualquiera de estas redes queda expuesta, se convierte en un excelente punto de entrada a la propia planta.
Y por supuesto, uno de los aspectos más importantes a día de hoy es la concienciación. Somos tan fuertes como el eslabón más débil y éste, por desgracia, suelen ser las personas. Cada vez es más habitual que existan medidas de seguridad en el end-point, perimetrales, DLP, IDS/IPS, etc. Pero si las personas no están mínimamente formadas y prevenidas en cuestiones de ciberseguridad, esta será una puerta que, tarde o temprano, será aprovechada por los atacantes y todo lo demás no habrá servido de nada.
Manuel Alguacil Payan, ICT Director and Cyber Security Manager en Isotrol
5. ¿Existe espacio para la mejora e innovación en el campo de la ciberseguridad de los parques eólicos? ¿Cuáles son las principales líneas de trabajo?
Efectivamente, a día de hoy aún hay margen de mejora, ya que cada planta eólica es un mundo y cada mundo tiene distintas necesidades de protección. Hay ya ciertos niveles de seguridad que están siendo tratados como “commodity” como, por ejemplo, el software anti-malware, los cortafuegos, el bastionado de los sistemas, las políticas del menor privilegio, etc. Pero todavía se puede hacer más, como incluir en cada planta sistemas avanzados de detección de intrusiones, que nos van a permitir detectar anomalías en las redes IT y OT que hasta ahora eran impensables.
Asimismo, aunque las comunicaciones en los parques eólicos son principalmente cableadas, la implantación de redes inalámbricas en los entornos de generación abren un nuevo reto de seguridad por la exposición que tienen estas redes. Éstas permiten a un atacante actuar a cierta distancia de los puntos de acceso como si estuviera conectado directamente a la red local, exponiéndose ésta aún más.
Para esta nueva casuística habrá que tener en cuenta configuraciones muy específicas y restrictivas a nivel de protocolos de comunicación y su nivel de encriptación, potencias de emisión, emisiones direccionales, sistemas de autenticación, etc.
6. ¿Por dónde cree que pasa el futuro de la ciberseguridad en los parques eólicos?
Sin lugar a dudas, aún queda mucho por avanzar en la ciberseguridad de los parque eólicos. Quedan hitos tan importantes como la IA activa en la detección y remediación de ataques en tiempo real, que puede actuar sobre los atacantes e interactuar con la propia planta, evitando posibles desastres producidos por los ciberdelincuentes. De esta forma, los sistemas serán lo suficientemente autónomos como para detectar la amenaza y actuar sobre ella, impidiendo fugas de datos, paradas de producción, sabotajes, etc.
Nuevos paradigmas como Machine Learning e incluso Deep Learning nos permitirán modelar muy eficientemente los comportamientos de las redes IT/OT e identificar y actuar sobre las amenazas más rápido e incluso de forma automática.
7. La hibridación y el almacenamiento son ya tecnologías claves para avanzar en la penetración de renovables y reducción de emisiones, así como para alcanzar los objetivos planteados en el Plan Nacional Integrado de Energía y Clima PNIEC) 2021-2030. ¿Con la incorporación de estas tecnologías cómo será la gestión de los parques eólicos y fotovoltaicos?
La hibridación y el almacenamiento son ya tecnologías claves para avanzar en la penetración de las renovables y la reducción de emisiones, así como para alcanzar los objetivos planteados en el Plan Nacional Integrado de Energía y Clima (PNIEC) 2021-2030. Entonces, con la incorporación de estas tecnologías, ¿cómo será la gestión de los parques eólicos y fotovoltaicos?
El almacenamiento es sin duda un vector fundamental en la penetración de las renovables, pues aumentará de manera exponencial la capacidad para que sean gestionadas con esta tecnología. Además, incrementará la calidad de la energía inyectada al sistema (medida en servicios ofertados al sistema y en predictibilidad-fiabilidad de la planta), sin casi nada que envidiar a las plantas tradicionales. La combinación de almacenamiento en el corto y en el medio–largo plazo, como puede ser el hidrógeno, extenderá la aportación de energía renovable al sistema de una forma más uniforme en el tiempo (disminuirá la intermitencia y la estacionalidad). Finalmente, y dado los numerosos servicios que aportará al sistema, podrán participar en mercados en los que hasta ahora no lo hacían como el de secundaria, o en otros, en los que simplemente no podía, como en la resolución de restricciones técnicas a subir, por no mencionar, además, mercados emergentes como los de rampa o mercados locales.
Lo anterior implicará la participación de más actores y más complejidad en el ámbito de gestión de cada planta, pues distintos servicios podrán darse a distintos agentes del sistema. Aparecerá más interconexión entre sistemas, sistemas más abiertos e interoperables y más necesidades de trazabilidad y securización de la información. Sin duda, los nuevos desafíos no sólo aparecerán en el ámbito energético, sino también en el de la ciberseguridad y la fiabilidad de las instalaciones críticas asociadas a la operación de las mismas.
8. ¿Hay hueco para la nube pública en el sector eólico?
Claro que sí y, sobre todo, después de la pandemia. Se ha podido ver cómo se ha producido una especie de éxodo hacia las nubes públicas a nivel mundial. Sin lugar a dudas, la nube pública dispone de infraestructuras, profesionales, procedimientos, certificaciones, etc. que habitualmente no se tienen en los Data Centers privados y son muy difíciles y caras de obtener y mantener.
Con el paso del tiempo, la adopción de la nube pública para albergar centros de control, SCADAs de planta, etc. de parques eólicos será algo común, como a día de hoy lo son las infraestructuras on-premise. Las técnicas de análisis de datos avanzadas, como Big Data o Business Intelligence, aportan cada vez más valor en la explotación, análisis predictivo y gestión de activos. Estas técnicas están muy ligadas a una infraestructura potente que las sustente. Estoy convencido de que en los próximos años se irá viendo una tendencia cada vez mayor de migración de nube privada a cloud pública, partiendo de escenarios más cortoplacistas basados en nubes híbridas como elemento de transición.
9. Para conocer mejor a nuestro protagonista:
Libro preferido: El nombre del viento (Patrick Rothfuss)
Serie: Breaking Bad
Película: El indomable Will Hunting y más recientemente Interestellar
Color: Azul
10. En nuestro día a día todos podemos aportar a la lucha contra el cambio climático. ¿Cuál es su propuesta de medida concreta para que nuestros lectores puedan aplicar desde hoy en su rutina?
Hay muchas acciones que se pueden ir realizando desde casa para aportar nuestro granito de arena a esta lucha contra el cambio climático, desde apagar las luces que no se estén usando hasta separar y reciclar la basura que generemos. Una acción en concreto que considero importante a día de hoy es reducir el uso de los plásticos, una acción tan sencilla como llevar tus bolsas al supermercado y reutilizarlas ya aporta un gran valor.