>
Entrevista
23 junio 2026

«La ciberseguridad ya no es una capa tecnológica que ponemos al final, sino una capacidad estratégica que nace con el propio proyecto»

Uno de los retos que más nos ocupan es la seguridad de la cadena de suministro. En un entorno tal globalizado e interconectado, los límites de nuestra infraestructura son difusos.

La energía se ha convertido en un factor estratégico para la competitividad y la resiliencia de organizaciones y territorios. ¿Cómo crees que están evolucionando las estrategias tecnológicas y de digitalización para responder a este nuevo escenario?

Creo que ha ocurrido un cambio de paradigma completo respecto a cómo entendemos la digitalización; lo que antes no era más que una opción de eficiencia, se ha convertido hoy en una necesidad operativa. En Iberdrola entendemos que la transición energética es también una transición tecnológica.

Tradicionalmente, en el mundo de la seguridad, la digitalización se perciba como un riesgo, una ampliación de la superficie de ataque. Fundamentábamos la seguridad en torno al concepto de aislamiento. Sin embargo, la realidad es que, gracias a ella, la red eléctrica es, actualmente, mucho más resiliente. Las redes inteligentes nos permiten gestionar una generación renovable distribuida y volátil, optimizar el funcionamiento de las infraestructuras en tiempo real, y, lo más importante, como hemos comprobado en multitud de casos recientes, como en el caso de la DANA, minimizar los cortes de suministro y acelerar dramáticamente la resolución de incidencias.

En este contexto, el mayor reto para la seguridad está en cómo abordamos esta evolución: La ciberseguridad ya no es una capa tecnológica que ponemos al final, sino una capacidad estratégica que nace con el propio proyecto. El objetivo es que la tecnología no se convierta en una vulnerabilidad, sino en un habilitador que nos da visibilidad y control para poder reaccionar rápido en un entorno cada vez más complejo.

Muchas organizaciones están incorporando objetivos de eficiencia energética y sostenibilidad dentro de su estrategia tecnológica y de transformación digital. Desde tu experiencia, ¿cómo se están integrando estos objetivos en la toma de decisiones y en la planificación tecnológica?

En Iberdrola, creo que hemos conseguido que la integración de la seguridad y la resiliencia en la toma de decisiones sea no sólo una declaración de intenciones, sino una realidad de gobierno que emana de nuestras políticas. Hemos superado la etapa en la que la ciberseguridad era una cuestión puramente técnica, y la hemos convertido en parte de nuestra estrategia ESG.

De hecho, la ciberseguridad está incorporada explícitamente dentro de nuestras metas de sostenibilidad, presentadas en el Capital Markets Day en septiembre de 2025. Esto se materializa en objetivos anuales vinculados a la gestión eficaz de posibles incidentes relevantes y al cumplimiento de nuestros planes de ciberseguridad, factores que impactan a la retribución de toda la plantilla, incluyendo a los órganos de dirección. Esto se plantea no como una medida punitiva, sino como un ejercicio de corresponsabilidad a todos los niveles: en un entorno hiperconectado, la seguridad es un activo compartido que protege el valor de la compañía. Al vincularlo a la retribución, estamos reconociendo que un desarrollo sólido en ciberseguridad es tan vital para nuestra resiliencia y nuestra reputación a largo plazo como cualesquiera otros objetivos estratégicos del Grupo.

Este nivel de compromiso se sustenta en un marco de gobernanza sólido, con políticas aprobadas al más alto nivel y que abordan la seguridad de una forma integral, unificando lo físico y lo digital, e incluyendo la resiliencia operativa como una capacidad estratégica para absorber y recuperarnos de cualquier perturbación. Se trata de una visión integral que respeta la especialización de cada dominio, al tiempo que busca eliminar puntos ciegos. Un atacante no distingue entre perímetros físicos y lógicos: utiliza cualquier vector para comprometer la operación. Por eso, aunque trabajamos con equipos especializados en cada ámbito, es fundamental que exista una coordinación real y una visión compartida del riesgo. Si cada área trabaja de forma aislada, aparecen puntos ciegos y la capacidad de respuesta se resiente.  En este contexto, mi papel como CISO es asegurar que este escenario de confianza sea el que habilite al negocio para seguir innovando y liderando la transición energética con plenas garantías de continuidad y calidad de servicio.

¿Qué oportunidades ofrece la digitalización para transformar los datos en conocimiento útil y avanzar hacia una gestión más eficiente, sostenible y resiliente de organizaciones, infraestructuras y territorios?

La digitalización nos ofrece una oportunidad histórica, pero debemos abordarla con una visión absolutamente pragmática: un dato sólo es conocimiento útil si es confiable y accionable.

Creo que para el sector energético, y en particular, para operadores críticos como Iberdrola, es importante distinguir claramente entre la eficiencia informativa y la resiliencia operativa. Por ejemplo, aunque podamos adoptar nuevos paradigmas y enfoque para ciertos sistemas (IA, adopción del cloud…), mantenemos una postura de máxima cautela en lo que respecta a la operación pura de la red. No se trata de ser conservadores frente a la innovación, sino de asegurar que la operación pueda seguir funcionando incluso ante la caída de servicios externos, problemas de conectividad o indisponibilidad de un proveedor crítico. Podemos aprovechar la inteligencia y la eficiencia que aportan la nube o la IA, pero manteniendo siempre la capacidad de operar do forma local y aislada cuando sea necesario. Una pérdida temporal de eficiencia en una situación de crisis puede llegar a ser aceptable, pero la continuidad y la protección de la operación son siempre la prioridad innegociable.

Por otro lado, creo que el reto actual no es la falta de datos, sino el exceso de ruido. A menudo, se invierte más esfuerzo en la recolección de métricas que en el diseño de procesos que realmente extraigan valor de ellas Aquí es donde la inteligencia artificial debe ser diferencial: nos ayuda a priorizar el análisis y a transformar esos flujos masivos de datos en acciones preventivas. En definitiva, la digitalización debe servir para que el experto, el ingeniero, el operador, tome mejores decisiones, y no para crear dependencias tecnológicas que comprometan la resiliencia del sistema.

¿Qué tendencias tecnológicas consideras que tendrán mayor impacto en los próximos años en la gestión de infraestructuras, operaciones y servicios, especialmente en lo relativo a eficiencia energética y sostenibilidad?

La tendencia más crítica no es una tecnología aislada, sino la convergencia real de seguridad entre el mundo IT y el mundo OT. Debemos aceptar que la separación física de estos entornos es una cosa del pasado; hoy, la tecnología es algo transversal, y la interconectividad, cada vez mayor. Por tanto, creo que gestionar la ciberseguridad en silos es un error estratégico: los incidentes no entienden de etiquetas, y la mayoría de las amenazas que afectan al mundo industrial se originan en el entorno corporativo. Necesitamos entender el riesgo como un problema único, no dividido entre IT y OT..

En este escenario, el modelo tradicional de segmentación industrial sigue siendo válido, pero debe evolucionar. No son conceptos incompatibles, al contrario, la tendencia creo que debería ser integrar filosofías como zero trust en el corazón de la operación. Zero trust no es una tecnología, es un cambio de mentalidad: dejar de confiar ciegamente en el perímetro y pasar a una verificación continua de cada activo, cada acción y cada comunicación. Por supuesto, en entornos OT esto no se puede plantear como una solución de caja, sino a través de una hoja de ruta pragmática: allí donde la tecnología actual no permita una autenticación continua, priorizamos la visibilidad total y el aislamiento de los procesos críticos. El objetivo es mejorar el control y la visibilidad sin introducir riesgos innecesarios en la operación. Sin embargo, para que esta tecnología sea efectiva, debe estar liderada por perfiles que entiendan la dualidad del entorno: un experto en ciberseguridad que no comprenda los procesos físicos de la red puede resultar una amenaza en sí mismo. No podemos permitir que una medida de seguridad mal ejecutada, como un parche en caliente o un escaneo invasivo,  comprometa la disponibilidad del servicio. El reto real es adaptar las prácticas modernas de ciberseguridad a las limitaciones y exigencias de la operación industrial.

Aplicar estos conceptos en entornos tan exigentes como los de Iberdrola nos permite proteger la operación sin frenar la innovación. En definitiva, la ciberseguridad no puede limitarse a poner frenos, tiene que permitir que la tecnología avance sin comprometer la operación ni la resiliencia del sistema.

La transición hacia modelos más eficientes y sostenibles exige una mayor conexión entre tecnología, energía, operaciones y estrategia. ¿Qué retos organizativos o culturales consideras más relevantes para avanzar en esta dirección?

El mayor reto no es tecnológico, sino de gobernanza y lenguaje. Las compañías energéticas no funcionamos como un banco o una empresa puramente digital; operamos infraestructuras industriales complejas, distribuidas, y con necesidades muy distintas según el entorno. Iberdrola, en particular, tiene una base industrial inmensa y diversa, donde cada negocio tiene una realidad operativa distinta. La clave de nuestro crecimiento, y hablo siempre en términos de ciberseguridad,  ha sido un modelo descentralizado pero coordinado: La seguridad debe ejecutarse cerca del negocio. Para ello, contamos con la figura del BISO (Business Information Scurity Officer) en cada área, que actúa como puente para aterrizar la estrategia en planes específicos que respeten las necesidades y capacidades de cada tecnología.

Para que este modelo no derive en silos o duplicidades, el liderazgo del CISO es el que define el “qué”: los estándares, las políticas y el marco de control. El negocio es autónomo en la ejecución, pero no en la definición estratégica. No se trata de que cada área construya su propia seguridad, sino de desplegar capacidades compartidas. Siempre que sea posible, deben compartirse procesos, tecnología y talento común bajo una gobernanza unificada; así logramos que la especialización del BISO aporte valor al negocio sin sacrificar la eficiencia y la coherencia del Grupo.

Este mecanismo de control no debe ser únicamente documental, sino también operacional: es clave evolucionar hacia el mantenimiento de una telemetría y una visibilidad transversales. Aunque la respuesta sea local y cercana al activo para no detener la operación, debemos apuntar a mantener capacidades de detección y un stack tecnológico común, en la medida de lo posible. Esto permite eliminar duplicidades y puntos ciegos y asegurar que, si se detecta una amenaza en un punto del ecosistema, la respuesta de despliega de forma coordinada en toda la infraestructura.

Culturalmente, el gran cambio de paradigma ha sido dejar de hablar de protocolos y “cajitas” tecnológicas para hablar de riesgos de negocio. Cuando traduces la ciberseguridad al lenguaje de la alta dirección, la implicación es inmediata. Los objetivos vinculados a la retribución que mencioné anteriormente son una herramienta importante, pero el verdadero motor es que la dirección entiende que la seguridad es una garantía de continuidad operativa y resiliencia.

Por último, nos enfrentamos a un mercado de talento extremadamente competitivo. En Iberdrola hemos decidido que no podemos limitarnos a buscar perfiles híbridos IT-OT, tenemos que crearlos. Apostamos por la cantera a través de programas de becas y graduados, e incluso financiamos bootcamps externos para atraer talento joven. El re-skilling interno también es un factor a considerar: A menudo, es mucho más efectivo formar en ciberseguridad a alguien que ya conoce nuestros procesos y nuestra realidad operativa que intentar hacerlo al revés. Otro reto organizativo del futuro es, sin duda, la gestión de este conocimiento especializado.

¿Qué temas, áreas o prioridades consideras que deberían marcar la agenda en los próximos años en relación con la eficiencia energética, la sostenibilidad y la digitalización de infraestructuras y operaciones?

La prioridad absoluta  para los próximos años, en términos de seguridad, debe ser la integración real de las operaciones de ciberseguridad IT y OT. Ya no basta con hablar de convergencia tecnológica; es el momento de que la defensa y la respuesta se aborden desde un punto de vista transversal y consistente. Si la tecnología es ya una sola, nuestra estrategia para protegerla no puede estar dividida.

En este escenario, uno de los retos que más nos ocupan es la seguridad de la cadena de suministro. En un entorno tal globalizado e interconectado, los límites de nuestra infraestructura son difusos. La gestión de terceros no puede quedarse en un mero trámite administrativo o contractual; debe formar parte de la operación diaria y de la toma de decisiones. Esto es especialmente crítico con la irrupción de la inteligencia artificial, que debemos empezar a gestionar como una parte más de nuestra cadena de suministro, e incluso como una extensión de nuestra fuerza de trabajo, con las oportunidades, pero también riesgos, que esto conlleva.

Por último, debemos entender que la resiliencia no es una capacidad individual de compañía, sino una capacidad compartida de todo el sector. La red eléctrica es un ecosistema interdependiente: un incidente en un operador puede propagarse y afectar a la estabilidad del conjunto. Por eso, la colaboración es nuestra mejor defensa. Iniciativas como el Foro de EnerTIC son fundamentales, no sólo para compartir conocimiento, sino para mejorar la capacidad conjunta de respuesta y resiliencia del sector, que garantice que la transición energética sea, ante todo, segura y competitiva.

¿Te ha parecido útil este contenido?

 
Más información en: https://www.iberdrola.es/
Rafael Ceres
Grupo Iberdrola
Ciso Global
bool(true) object(WP_Post)#19444 (24) { ["ID"]=> int(2680) ["post_author"]=> string(1) "2" ["post_date"]=> string(19) "2019-05-20 16:03:03" ["post_date_gmt"]=> string(19) "2019-05-20 14:03:03" ["post_content"]=> string(0) "" ["post_title"]=> string(9) "Iberdrola" ["post_excerpt"]=> string(0) "" ["post_status"]=> string(7) "publish" ["comment_status"]=> string(4) "open" ["ping_status"]=> string(4) "open" ["post_password"]=> string(0) "" ["post_name"]=> string(9) "iberdrola" ["to_ping"]=> string(0) "" ["pinged"]=> string(0) "" ["post_modified"]=> string(19) "2026-06-23 00:00:00" ["post_modified_gmt"]=> string(19) "2026-06-22 22:00:00" ["post_content_filtered"]=> string(0) "" ["post_parent"]=> int(0) ["guid"]=> string(50) "https://enertic.plug-in.es/organizacion/iberdrola/" ["menu_order"]=> int(0) ["post_type"]=> string(12) "organizacion" ["post_mime_type"]=> string(0) "" ["comment_count"]=> string(1) "0" ["filter"]=> string(3) "raw" }
array(3) { [0]=> int(267) [1]=> int(74) [2]=> int(200) } bool(false)
Plataforma enerTIC.org
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.