Entrevista a Manuel Alguacil Payan, ICT Director and Cyber Security Manager en Isotrol

Manuel Alguacil Payan, ICT Director and Cyber Security Manager en Isotrol, es el protagonista de la entrevista del mes en nuestra newsletter.

Manuel Alguacil Payan estudió en la Escuela Técnico-Superior de Ingeniería Informática (Universidad de Sevilla) y comenzó en 2002 a trabajar como personal externo en la Consejería de Cultura de la Junta de Andalucía, como administrador de sistemas, auditor, consultor y jefaturas de proyectos de infraestructuras y seguridad. Posteriormente ejerció como Jefe de Proyectos de Sistemas y Seguridad para otros organismos, como la Consejería de Educación y de Justicia. En 2017 fue Director de División de Ingeniería de Sistemas con una fuerte orientación a los sistemas y la ciberseguridad, tanto en clientes privados como en organismos públicos. Alguacil Payan es actualmente ICT Director and Cyber Security Manager en Isotrol, dando soporte en Infraestructuras de Sistemas y Ciberseguridad tanto a proyectos de clientes como internamente en la compañía.

1. Isotrol es una empresa especializada en servicios de ingeniería, software y control. ¿Qué lugar ocupa el sector de las energías renovables en su actual mercado?
La vinculación de Isotrol con las energías renovables se remonta a la década de los 90. Fuimos una de las primeras empresas en desarrollar tecnología para la explotación y operación de parques eólicos en España; y participamos en la conexión y monitorización de las primeras plantas que se construyeron en nuestro país, implantando en ellas tecnología desconocida hasta ese momento.

Desde entonces nuestra actividad y posición en el sector de las energías renovables no ha dejado de crecer. Hoy en día tenemos una especialización reconocida y una oferta competitiva en cualquier lugar del mundo, concediendo a las energías limpias un lugar esencial en la estrategia de la empresa. Por el volumen de actividad, por el conocimiento que hemos acumulado, y por las oportunidades de crecimiento que nos plantea, se ha convertido en la principal línea de actividad de Isotrol.

Representa más del 60% de nuestro negocio y se complementa con el resto de las líneas que componen nuestra oferta para el sector energético: además de ayudar a mejorar la eficiencia y rentabilidad de plantas generadoras, ofrecemos soluciones tecnológicas para su integración en la red y ayudamos a grandes compañías a optimizar sus operaciones de compraventa de energía. Esta capacidad nos proporciona un perfil de compañía singular, y una posición privilegiada para contribuir a la transformación digital del sector energético como partner tecnológico experto.

2. Bajo vuestro punto de vista ¿cómo está el panorama actual en ciberseguridad en el sector de la energía eólica?
Como está ocurriendo en otros sectores energéticos, las implantaciones son cada vez más ciberseguras, pero aún queda camino por recorrer. En los últimos años se ha podido observar un claro esfuerzo por disponer de entornos cada vez más protegidos, por ejemplo, haciendo uso de frameworks internacionales de ciberseguridad y tomando medidas “de kilómetro cero” orientadas a reducir la superficie de exposición y minimizar los riesgos. La deshabilitación del hardware innecesario, las políticas del menor privilegio, el despliegue sólo del software necesario o la ofuscación de credenciales administrativas son ejemplos de algunas de estas medidas. Sin embargo, y aunque en los últimos años hemos podido ver cómo la madurez en ciberseguridad ha crecido mucho en el sector, no nos podemos relajar. Por eso, como decía, aún queda margen de mejora hasta que realmente la ciberseguridad esté tan arraigada en nuestros procesos diarios que prácticamente se convierta en una commodity.

Lo que sí está claro es que los ataques a sectores críticos son algo que van a ir cada vez a más, dado que los ciberdelincuentes están cada vez más especializados en cada uno de estos sectores y el beneficio económico o posicional es más que patente en estos tiempos.

3. Isotrol es una empresa con servicios y clientes internacionales. ¿Cómo se ha visto afectada la empresa por la pandemia? ¿Podría ser una oportunidad para el desarrollo de nuevos servicios que avancen hacia el control en remoto?
Nuestra actividad no se ha visto frenada por la COVID, es más, esta situación la ha reforzado. El coronavirus ha obligado a acelerar los procesos de digitalización y telecontrol que buscaban la mejora de la eficiencia en la operación de las plantas. En los últimos años nuestros clientes ya nos venían solicitando nuevas herramientas para optimizar sus procesos, reducir los costes operativos e incrementar la eficiencia de sus plantas. La pandemia ha provocado que esta tendencia natural en el proceso de maduración del sector se vea acelerada por las dificultades a la hora de realizar actividades de manera presencial. Esta crisis ha acelerado los cambios en los que ya estábamos trabajando, reduciendo los tiempos de implantación y puesta en marcha de las nuevas herramientas para el telecontrol y gestión remota de los activos renovables.

4. ¿Está el sector lo suficientemente protegido para las amenazas actuales?
Nunca se está completamente protegido contra un ciberataque. En algunos casos puedes evitarlos; en otros sólo puedes minimizar el impacto; y de algunos ni te enteras hasta que ya es tarde y sólo puedes aplicar técnicas forenses para analizar lo ocurrido e implementar nuevas medidas de protección. Cuanta más atención se ponga en la ciberseguridad, más nos alejaremos de los peores escenarios, pero nunca se puede asegurar el 100% de seguridad. Cuanto más maduro sea el nivel de implantación en ciberseguridad más difícil les pondremos las cosas a los ciberdelincuentes. En este sentido, tan importante son las medidas de mitigación como las de detección temprana para minimizar el impacto.

También es importante mantener protegido todo el camino aguas arriba, ya que en la mayoría de los casos desde las plantas de generación se comunican con centros de control, redes de operación, redes de terceros, etc. Y todas ellas pueden verse afectadas por una brecha de seguridad en una planta. Y a la inversa, si cualquiera de estas redes queda expuesta, se convierte en un excelente punto de entrada a la propia planta.

Y por supuesto, uno de los aspectos más importantes a día de hoy es la concienciación. Somos tan fuertes como el eslabón más débil y éste, por desgracia, suelen ser las personas. Cada vez es más habitual que existan medidas de seguridad en el end-point, perimetrales, DLP, IDS/IPS, etc. Pero si las personas no están mínimamente formadas y prevenidas en cuestiones de ciberseguridad, esta será una puerta que, tarde o temprano, será aprovechada por los atacantes y todo lo demás no habrá servido de nada.

Manuel Alguacil Payan, ICT Director and Cyber Security Manager en Isotrol

5. ¿Existe espacio para la mejora e innovación en el campo de la ciberseguridad de los parques eólicos? ¿Cuáles son las principales líneas de trabajo?
Efectivamente, a día de hoy aún hay margen de mejora, ya que cada planta eólica es un mundo y cada mundo tiene distintas necesidades de protección. Hay ya ciertos niveles de seguridad que están siendo tratados como “commodity” como, por ejemplo, el software anti-malware, los cortafuegos, el bastionado de los sistemas, las políticas del menor privilegio, etc. Pero todavía se puede hacer más, como incluir en cada planta sistemas avanzados de detección de intrusiones, que nos van a permitir detectar anomalías en las redes IT y OT que hasta ahora eran impensables.

Asimismo, aunque las comunicaciones en los parques eólicos son principalmente cableadas, la implantación de redes inalámbricas en los entornos de generación abren un nuevo reto de seguridad por la exposición que tienen estas redes. Éstas permiten a un atacante actuar a cierta distancia de los puntos de acceso como si estuviera conectado directamente a la red local, exponiéndose ésta aún más.
Para esta nueva casuística habrá que tener en cuenta configuraciones muy específicas y restrictivas a nivel de protocolos de comunicación y su nivel de encriptación, potencias de emisión, emisiones direccionales, sistemas de autenticación, etc.

6. ¿Por dónde cree que pasa el futuro de la ciberseguridad en los parques eólicos?
Sin lugar a dudas, aún queda mucho por avanzar en la ciberseguridad de los parque eólicos. Quedan hitos tan importantes como la IA activa en la detección y remediación de ataques en tiempo real, que puede actuar sobre los atacantes e interactuar con la propia planta, evitando posibles desastres producidos por los ciberdelincuentes. De esta forma, los sistemas serán lo suficientemente autónomos como para detectar la amenaza y actuar sobre ella, impidiendo fugas de datos, paradas de producción, sabotajes, etc.

Nuevos paradigmas como Machine Learning e incluso Deep Learning nos permitirán modelar muy eficientemente los comportamientos de las redes IT/OT e identificar y actuar sobre las amenazas más rápido e incluso de forma automática.

7. La hibridación y el almacenamiento son ya tecnologías claves para avanzar en la penetración de renovables y reducción de emisiones, así como para alcanzar los objetivos planteados en el Plan Nacional Integrado de Energía y Clima PNIEC) 2021-2030. ¿Con la incorporación de estas tecnologías cómo será la gestión de los parques eólicos y fotovoltaicos?
La hibridación y el almacenamiento son ya tecnologías claves para avanzar en la penetración de las renovables y la reducción de emisiones, así como para alcanzar los objetivos planteados en el Plan Nacional Integrado de Energía y Clima (PNIEC) 2021-2030. Entonces, con la incorporación de estas tecnologías, ¿cómo será la gestión de los parques eólicos y fotovoltaicos?

El almacenamiento es sin duda un vector fundamental en la penetración de las renovables, pues aumentará de manera exponencial la capacidad para que sean gestionadas con esta tecnología. Además, incrementará la calidad de la energía inyectada al sistema (medida en servicios ofertados al sistema y en predictibilidad-fiabilidad de la planta), sin casi nada que envidiar a las plantas tradicionales. La combinación de almacenamiento en el corto y en el medio–largo plazo, como puede ser el hidrógeno, extenderá la aportación de energía renovable al sistema de una forma más uniforme en el tiempo (disminuirá la intermitencia y la estacionalidad). Finalmente, y dado los numerosos servicios que aportará al sistema, podrán participar en mercados en los que hasta ahora no lo hacían como el de secundaria, o en otros, en los que simplemente no podía, como en la resolución de restricciones técnicas a subir, por no mencionar, además, mercados emergentes como los de rampa o mercados locales.

Lo anterior implicará la participación de más actores y más complejidad en el ámbito de gestión de cada planta, pues distintos servicios podrán darse a distintos agentes del sistema. Aparecerá más interconexión entre sistemas, sistemas más abiertos e interoperables y más necesidades de trazabilidad y securización de la información. Sin duda, los nuevos desafíos no sólo aparecerán en el ámbito energético, sino también en el de la ciberseguridad y la fiabilidad de las instalaciones críticas asociadas a la operación de las mismas.

8. ¿Hay hueco para la nube pública en el sector eólico?
Claro que sí y, sobre todo, después de la pandemia. Se ha podido ver cómo se ha producido una especie de éxodo hacia las nubes públicas a nivel mundial. Sin lugar a dudas, la nube pública dispone de infraestructuras, profesionales, procedimientos, certificaciones, etc. que habitualmente no se tienen en los Data Centers privados y son muy difíciles y caras de obtener y mantener.

Con el paso del tiempo, la adopción de la nube pública para albergar centros de control, SCADAs de planta, etc. de parques eólicos será algo común, como a día de hoy lo son las infraestructuras on-premise. Las técnicas de análisis de datos avanzadas, como Big Data o Business Intelligence, aportan cada vez más valor en la explotación, análisis predictivo y gestión de activos. Estas técnicas están muy ligadas a una infraestructura potente que las sustente. Estoy convencido de que en los próximos años se irá viendo una tendencia cada vez mayor de migración de nube privada a cloud pública, partiendo de escenarios más cortoplacistas basados en nubes híbridas como elemento de transición.

9. Para conocer mejor a nuestro protagonista:
Libro preferido: El nombre del viento (Patrick Rothfuss)
Serie: Breaking Bad
Película: El indomable Will Hunting y más recientemente Interestellar
Color: Azul

10. En nuestro día a día todos podemos aportar a la lucha contra el cambio climático. ¿Cuál es su propuesta de medida concreta para que nuestros lectores puedan aplicar desde hoy en su rutina?
Hay muchas acciones que se pueden ir realizando desde casa para aportar nuestro granito de arena a esta lucha contra el cambio climático, desde apagar las luces que no se estén usando hasta separar y reciclar la basura que generemos. Una acción en concreto que considero importante a día de hoy es reducir el uso de los plásticos, una acción tan sencilla como llevar tus bolsas al supermercado y reutilizarlas ya aporta un gran valor.

Asociación Empresarial Eólica
Política de privacidad
Aplicación de la presente Política de Privacidad:

El presente documento regula la Política de Privacidad tanto del presente sitio web, así como de la totalidad de datos e información que pudiera manejar ASOCIACIÓN EMPRESARIAL EÓLICA (en lo sucesivo, "AEE") como Responsable del Tratamiento.

Por ello, para cumplir con el artículo 13 y 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo "RGPD" o "Reglamento General de Protección de Datos"), así como el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo "LOPDGDD") se ha establecido y desarrollado la presente Política de Privacidad.

Responsable del Tratamiento:

Tus datos personales son manejados por, nosotros, AEE como Responsable del Tratamiento. Te detallamos nuestros datos sociales para que te puedas poner en contacto con nosotros cuando lo desees:

  • Razón social: ASOCIACIÓN EMPRESARIAL EÓLICA
  • CIF: C83488163
  • Domicilio: C/ SOR ÁNGELA DE LA CRUZ, 2, PLANTA 14D – 28020 MADRID
  • Teléfono: (+34) 917 451 276
  • Correo electrónico: [email protected]

Finalidades y bases legitimadoras:

El presente apartado regula la totalidad de tratamientos llevados a cabo por AEE, en base a cada una de las finalidades, conforme a las bases legitimadoras que lo regulan, comprendido éstos en los que se enumeran a continuación:

  • Consentimiento del interesado (artículo 6.1. a) RGPD)

Usuarios página web: atender su solicitud a través del formulario de contacto.

Procesos de selección de personal: formar parte de los procesos de selección ofertados.

  • Ejecución contractual y medidas precontractuales (artículo 6.1.b) RGPD)

Socios / asociados

  1. Gestión de alta como socio/asociado de AEE.
  2. Mantenimiento y perfeccionamiento de la relación contractual pactada entre AEE y su empresa.
  3. Gestión contable y administrativa del servicio entre AEE y su empresa.
  4. Gestionar las comunicaciones electrónicas entre AEE y su empresa.

Socios / asociados potenciales

  1. Atender cualquier solicitud de información que nos hagas llegar.
  2. Hacerle llegar, en su caso, ofertas comerciales.

 

Empleados

  1. Mantenimiento y perfeccionamiento de la relación laboral pactada entre AEE y usted.
  2. Gestión contable, fiscal y administrativa de la relación laboral.
  3. Gestionar y realizar el pago de su nómina pactada contractualmente y exigidas por la legislación laboral.
  4. Gestionar comunicaciones entre AEE y su usted.
  5. Realizar el seguimiento de las acciones formativas de las que sea sujeto.
  6. Gestión de bajas por enfermedad.
  • Interés legítimo del responsable del tratamiento (artículo 6.1.f) RGPD)

Actividades comerciales: envío de información comercial a usuarios sobre productos y servicios semejantes a los previamente contratados, en vinculación con el artículo 21.2 de la LSSICE.

Videovigilancia: gestión de la seguridad de instalaciones, bienes y personas a través de mecanismos de videovigilancia.

Asimismo, se le informa que todos los datos que AEE le solicite o pudiera solicitar marcados con un asterisco (*) serán obligatorios. En el caso de que los datos obligatorios no fueran facilitados AEE no podrá prestarle el servicio contratado o atender su petición o solicitud.

En cumplimiento del artículo 4.2.a de la LOPDGDD, se garantiza que los datos de carácter personal facilitados por usted hacia AEE se considerarán exactos. Sin embargo, AEE podría solicitarle la actualización de los mismos que sobre usted pudiera conservar.

Plazo de conservación de los datos:

En virtud del artículo 5.1.e) del RGPD, los plazos de conservación de los datos variarán en función del tratamiento realizado. Por ello, desde AEE le aconsejamos leer nuestra Política de conservación de datos para su consulta, la cual la podrá solicitar en [email protected]

No obstante, pese a la existencia de estos plazos generales, le informamos que de forma periódica revisaremos nuestros sistemas para proceder a eliminar aquellos datos que no sean legalmente necesarios.

Derechos que le asisten a los interesados:

La normativa de protección de datos le reconoce los siguientes derechos:

Derecho a solicitar el acceso a sus datos personales.

Derecho a solicitar la rectificación de sus datos personales.

Derecho a solicitar la supresión de sus datos personales.

Derecho a solicitar la limitación del tratamiento.

Derecho a oponerse al tratamiento.

Derecho a la portabilidad.

Derecho a no ser objeto de decisiones individuales automatizadas.

Derecho a retirar su consentimiento.

El ejercicio de tales derechos deberá ser comunicado a ASOCIACIÓN EMPRESARIAL EÓLICA, con domicilio en C/ SOR ÁNGELA DE LA CRUZ, 2, PLANTA 14D – 28020 MADRID, o la cuenta de correo electrónico [email protected]. Adicionalmente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD). Más información en el Apartado Autoridad de Control de la presente política de privacidad.

Destinatarios y transferencias internacionales de datos:

Sus datos personales podrían serán comunicados a Autoridades Públicas o gubernamentales, Fuerzas y Cuerpos de Seguridad del Estado, para dar cumplimiento a los requisitos legales y normativa aplicable en cada caso concreto.

A su vez, podrían ser comunicados a terceros proveedores o entidades para la prestación de algún servicio subcontratado por AEE. A este aspecto le informamos que se han firmado los correspondientes contratos de encargado del tratamiento exigidos por el artículo 28 y 29 del RGPD así como el artículo 28 de la LOPDGDD, y siempre éstos garantizando y siendo comprobado por AEE que cumplen y garantizan con medidas jurídicas, técnicas y organizativas suficientes. Le informamos que sus datos no serán comunicados a terceras personas. Ni se realizarán transferencias internacionales de datos.

Procedencia de los datos personales:

Los datos de carácter personal que trata AEE proceden de usted como titular de los mismos.

A las cuales, usted previamente le ha facilitado sus datos de carácter personal y ha autorizado la comunicación de los mismos a las diversas empresas que ofrecen sus servicios a través de estas empresas.

Seguridad de los datos:

Desde AEE se han implantado medidas jurídicas, técnicas y organizativas suficientes para garantizar la protección de los datos personales. Por ello, revisamos periódicamente nuestros sistemas para evitar cualquier acceso no lícito, no autorizado, así como para evitar cualquier tipo de pérdida, destrucción accidental, divulgación ilegal o no autorizada, así como cualquier otro tipo de daño, tanto accidental como ilícito.

Autoridad de control:

Desde AEE ponemos el máximo empeño para cumplir con la normativa de protección de datos dado que es el activo más valioso para nosotros. No obstante, le informamos que en caso de que usted entienda que sus derechos se han visto menoscabados, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), sita en C/ JORGE JUAN, 6 - 28001 MADRID. Más información sobre la AEPD en su página web.