1.Retos y Contexto
1.1. En un contexto marcado por la volatilidad energética, la presión por mejorar la sostenibilidad y la necesidad de reforzar la competitividad, ¿cuáles consideras que son hoy los principales retos para avanzar hacia organizaciones más eficientes, resilientes y digitalizadas?
El reto actual es impulsar una digitalización capaz de integrar eficiencia, resiliencia y confianza en un entorno cada vez más exigente y dinámico. La transformación digital se ha consolidado como una palanca imprescindible para mejorar la eficiencia y habilitar nuevos modelos de servicio, pero se despliega en un contexto de elevada complejidad: un cibercrimen totalmente orientado a la monetización, que opera como una auténtica cadena de producción, un escenario geopolítico inestable, donde la seguridad energética forma parte de la agenda de seguridad nacional, y una presión regulatoria creciente.
Esto obliga a resolver un equilibrio fundamental: innovar sin comprometer la continuidad de las operaciones. Ya no se trata solo de prevenir incidentes, sino de garantizar que, ante cualquier disrupción, la organización pueda sostener su actividad con el menor impacto posible.
Este reto exige cambios profundos en el modelo operativo. En Iberdrola, por ejemplo, hemos evolucionado hacia un modelo de ciberresiliencia, entendiendo que, como operador de servicios esenciales, la continuidad del suministro es una prioridad absoluta. Este posicionamiento nos ha llevado a dar un paso clave consistente en integrar la ciberseguridad en el propio negocio, como parte del proceso de decisión y no como una capa de control posterior para convertirse en un componente intrínseco de la actividad, donde los requisitos, funcionales y no funcionales, se incorporan de forma natural desde el origen. Este enfoque se apoya en un marco de gobierno común, que aporta coherencia y escalabilidad a todos los equipos mediante políticas, normas y guías globales alineadas tanto con las mejores prácticas como con las exigencias regulatorias.
Ahora bien, uno de los grandes retos es asumir que la resiliencia ya no puede construirse únicamente desde una perspectiva interna. La progresiva desaparición del perímetro tradicional ha trasladado buena parte del riesgo a la superficie de ataque extendida, especialmente en terceros. En un ecosistema altamente interconectado, una vulnerabilidad en un proveedor o en un componente puede desencadenar un efecto dominó sobre sistemas críticos propios. Por ello, la resiliencia debe proyectarse “hacia fuera”, bajo un enfoque de corresponsabilidad, reforzado mediante mayores exigencias de transparencia, niveles homogéneos de protección y marcos de auditoría compartidos.
En paralelo, el marco regulatorio europeo, con iniciativas como NIS2, la propuesta del Reglamento de Ciberseguridad o la Ley de Inteligencia Artificial, está marcando una hoja de ruta clara para el sector, orientada a elevar los estándares de protección, homogeneizar prácticas y reforzar la confianza digital. Bien integrado, este entorno normativo actúa como un acelerador de la madurez en ciberseguridad, alineando capacidades técnicas, organizativas y de gobernanza con las necesidades de un entorno de creciente exposición al riesgo.
2. Papel del CIO y estrategia tecnológica
2.1. ¿Qué papel crees que deben desempeñar los responsables tecnológicos —CIO, CTO, CDO u otros perfiles afines— en la mejora de la eficiencia energética, la sostenibilidad y la resiliencia de las organizaciones?
En una organización como Iberdrola, cuya actividad abarca toda la cadena de valor energético, el papel de los responsables tecnológicos hace tiempo que ha dejado de ser el de gestores de sistemas para convertirse en arquitectos de la capacidad operativa del negocio, siempre bajo un principio clave: la tecnología es un medio, nunca un fin.
El negocio debe definir sus necesidades, el “qué”, mientras que los responsables tecnológicos asumen la responsabilidad de escuchar, interpretar y traducir esas demandas en soluciones sostenibles en el tiempo. Su valor no reside en imponer herramientas, sino en orquestar un ecosistema coherente, asegurando soluciones mantenibles, modulares y escalables. Porque el verdadero reto no termina con la entrega de un proyecto, sino con su operación continua: evolución, soporte y adaptación.
En este contexto, la coherencia tecnológica corporativa no limita la innovación, sino que la canaliza. Permite reducir complejidad, optimizar costes y minimizar puntos ciegos. Un entorno tecnológico armonizado facilita un uso más eficiente de los recursos y una operación más rentable, predecible y robusta.
Además, en el sector energético convivimos con activos de muy largo ciclo de vida, en muchos casos de décadas, lo que obliga a incorporar un criterio adicional de prudencia. No todas las tendencias tecnológicas son adecuadas en este entorno; es necesario equilibrar innovación con estabilidad, evitando decisiones que comprometan la operativa futura.
Para que este modelo sea verdaderamente resiliente, es imprescindible el papel del CISO, con una misión claramente diferenciada. En Iberdrola, bajo el esquema de las tres líneas de defensa, su rol desde la segunda línea se articula en tres ejes: asegurar que la resiliencia se integre de forma efectiva en las capacidades digitales, gestionar el riesgo de un ecosistema cada vez más extendido y habilitar la confianza digital, de modo que la ciberseguridad no actúe como freno, sino como un facilitador del negocio.
2. Papel del CIO y estrategia tecnológica
2.1. ¿Qué papel crees que deben desempeñar los responsables tecnológicos —CIO, CTO, CDO u otros perfiles afines— en la mejora de la eficiencia energética, la sostenibilidad y la resiliencia de las organizaciones?
En una organización como Iberdrola, cuya actividad abarca toda la cadena de valor energético, el papel de los responsables tecnológicos hace tiempo que ha dejado de ser el de gestores de sistemas para convertirse en arquitectos de la capacidad operativa del negocio, siempre bajo un principio clave: la tecnología es un medio, nunca un fin.
El negocio debe definir sus necesidades, el “qué”, mientras que los responsables tecnológicos asumen la responsabilidad de escuchar, interpretar y traducir esas demandas en soluciones sostenibles en el tiempo. Su valor no reside en imponer herramientas, sino en orquestar un ecosistema coherente, asegurando soluciones mantenibles, modulares y escalables. Porque el verdadero reto no termina con la entrega de un proyecto, sino con su operación continua: evolución, soporte y adaptación.
En este contexto, la coherencia tecnológica corporativa no limita la innovación, sino que la canaliza. Permite reducir complejidad, optimizar costes y minimizar puntos ciegos. Un entorno tecnológico armonizado facilita un uso más eficiente de los recursos y una operación más rentable, predecible y robusta.
Además, en el sector energético convivimos con activos de muy largo ciclo de vida, en muchos casos de décadas, lo que obliga a incorporar un criterio adicional de prudencia. No todas las tendencias tecnológicas son adecuadas en este entorno; es necesario equilibrar innovación con estabilidad, evitando decisiones que comprometan la operativa futura.
Para que este modelo sea verdaderamente resiliente, es imprescindible el papel del CISO, con una misión claramente diferenciada. En Iberdrola, bajo el esquema de las tres líneas de defensa, su rol desde la segunda línea se articula en tres ejes: asegurar que la resiliencia se integre de forma efectiva en las capacidades digitales, gestionar el riesgo de un ecosistema cada vez más extendido y habilitar la confianza digital, de modo que la ciberseguridad no actúe como freno, sino como un facilitador del negocio.
3. Tecnologías y tendencias
3.1. ¿Qué tendencias tecnológicas consideras que tendrán mayor impacto en los próximos años en la gestión de infraestructuras, operaciones y servicios, especialmente en lo relativo a eficiencia energética y sostenibilidad?
Las tendencias que marcarán los próximos años no se explican tanto por tecnologías concretas como por la velocidad a la que irrumpen y su capacidad de integrarse en la operación. Ese ritmo de aceleración se ha convertido en el principal vector de transformación.
En este contexto, la inteligencia artificial y la analítica avanzada siguen siendo determinantes, pero su valor ya no reside en la optimización puntual, sino en su incorporación directa a la toma de decisiones operativas. Estamos evolucionando hacia modelos en los que los sistemas no solo analizan, sino que anticipan, ajustan y, en determinados escenarios, ejecutan.
Muy ligado a esta evolución, el avance del edge computing es especialmente relevante en el ámbito energético. La capacidad de procesar información cerca del activo permite tomar decisiones en tiempo real, optimizar el uso de los recursos y reducir la dependencia de arquitecturas centralizadas, reforzando simultáneamente la eficiencia y la resiliencia.
Ahora bien, este modelo hiperconectado introduce uno de los mayores desafíos actuales: asegurar la operación en entornos altamente distribuidos, donde la frontera entre IT y OT se relativiza en un contexto de interconectividad creciente. En estas condiciones, resulta imprescindible contar con visibilidad de extremo a extremo, así como con una coordinación real entre ambos dominios que permita entender dependencias, anticipar riesgos y responder de forma integrada. La clave ya no es solo proteger sistemas de forma aislada, sino defender la operación como un todo.
Por último, la computación cuántica introduce un cambio de paradigma que, aunque aún en evolución, ya es técnicamente accesible. Su impacto potencial, especialmente sobre la criptografía actual, obliga a las organizaciones a prepararse desde ahora. En este sentido, Europa está marcando el paso con iniciativas orientadas a garantizar un “quantum readiness” en torno a 2030, lo que exige avanzar hacia modelos de criptoagilidad con capacidad real para identificar, adaptar y evolucionar los mecanismos criptográficos. El impacto de esta transición, tanto en términos de esfuerzo como de inversión, será significativo.
En conjunto, el reto no es incorporar más tecnología, sino operar en un entorno de cambio continuo, manteniendo el equilibrio entre modernización, sostenibilidad y resiliencia.
4. Organización y colaboración
4.1. La transición hacia modelos más eficientes y sostenibles exige una mayor conexión entre tecnología, energía, operaciones y estrategia. ¿Qué retos organizativos o culturales consideras más relevantes para avanzar en esta dirección?
La transición hacia modelos más eficientes y sostenibles no es un reto tecnológico, sino organizativo y cultural. La dificultad no reside tanto en disponer de capacidades, sino en alinearlas de forma efectiva con la estrategia y la operación.
Uno de los principales retos es romper los silos tradicionales entre áreas como tecnología, operaciones o negocio. Históricamente han evolucionado con objetivos y métricas propias, pero el nuevo contexto exige una visión integrada, donde la eficiencia, la resiliencia operativa y la digitalización se diseñen y gestionen de forma conjunta. Esto implica cambiar no solo estructuras, sino también la forma en la que se toman decisiones.
Ligado a ello, está el desafío de avanzar hacia modelos de responsabilidad compartida. La sostenibilidad y la eficiencia no pueden recaer en una única función; deben incorporarse como criterios transversales en toda la organización. Esto requiere dotar a los equipos de contexto, capacidades y, sobre todo, de objetivos alineados que eviten optimizaciones locales en detrimento del conjunto.
Otro aspecto clave es la gestión del cambio. Nos movemos en un entorno donde la tecnología evoluciona a gran velocidad, pero las organizaciones, especialmente en sectores como el energético, operan con inercias marcadas por activos y procesos de largo ciclo de vida. Encontrar el equilibrio entre innovación y estabilidad exige liderazgo, y una clara orientación a valor.
Finalmente, destacaría la necesidad de evolucionar los modelos de gobernanza. No se trata de añadir capas de control, sino de establecer mecanismos que faciliten la coordinación, la priorización y la ejecución coherente. En mi experiencia, los modelos que mejor funcionan son aquellos que combinan estándares comunes con autonomía operativa para actividades convencionales, liderazgo guiado cercano al negocio pera manteniendo la coherencia de conjunto, y permitiendo escalar buenas prácticas sin frenar la capacidad de adaptación.
En definitiva, avanzar en esta dirección implica construir organizaciones más conectadas internamente, con objetivos compartidos y una cultura de unidad.
4.2. ¿Cómo crees que pueden colaborar empresas, administraciones públicas, centros de conocimiento, compañías energéticas, utilities y empresas tecnológicas para hacer frente a los riesgos digitales en la era moderna?
La colaboración eficaz se construye sobre tres pilares: estructuras compartidas, intercambio real de inteligencia y confianza entre organismos y profesionales. En este contexto, la colaboración ha dejado de ser una opción para convertirse en una condición estructural de la defensa. En un entorno donde las amenazas operan sin fronteras y con altos niveles de sofisticación, ningún actor, por grande que sea, puede abordar este desafío de manera aislada.
En primer lugar, es fundamental reforzar los círculos de colaboración sectorial. Iniciativas como E-ISAC (Electricity Information Sharing and Analysis Center) o EE-ISAC (European Energy Information Sharing and Analysis Centre), junto con entidades como FIRST (Forum of Incident Response and Security Teams), Trusted Introducer o los distintos CERTs y CSIRTs (equipos de respuesta ante ciberincidentes) nacionales y autonómicos, constituyen piezas clave para compartir inteligencia, buenas prácticas y experiencia operativa.
Este modelo debe evolucionar hacia una colaboración transfronteriza más fluida, especialmente en un sector como el energético, donde la interdependencia es creciente. Resulta imprescindible fomentar el intercambio de información procesable entre empresas privadas, organismos públicos y agencias gubernamentales. En este sentido, el marco regulatorio europeo, con NIS2, está impulsando de forma explícita este intercambio en los ámbitos técnico y operacional.
Ahora bien, más allá de los marcos formales, existe un elemento igualmente decisivo: las relaciones de confianza entre profesionales. Con independencia de la competencia entre compañías, frente a las amenazas digitales el sector actúa como un bloque. La capacidad de levantar el teléfono o apoyarse en canales informales, como los conocidos “chats de CIOs o CISOs”, sigue siendo un mecanismo extraordinariamente eficaz para contrastar situaciones, validar señales débiles y acelerar la respuesta en momentos críticos. Esta capa relacional aporta una agilidad que los procesos formales, por sí solos, no siempre pueden ofrecer.
Desde el punto de vista interno, en Iberdrola hemos llevado este principio un paso más allá. Dada nuestra presencia global, contamos con una red de CSIRTs interconectados, uno por cada compañía de cabecera del Grupo, y un modelo de Cyber Fusion Center que actúa como punto de convergencia de capacidades. Además, hemos incorporado los requerimientos específicos de colaboración en la ciberdefensa al propio cuerpo normativo de seguridad, estableciendo mecanismos formales de compartición de información entre geografías y negocios.
La defensa ya no puede entenderse como la protección aislada de cada componente, sino como la protección coordinada del conjunto. Y eso solo es posible cuando la información fluye en tiempo y forma.
Iberdrola
Head of Global Cyber Fusion Center
