Adasa comparte en la jornada de PTEA su enfoque de ciberresiliencia para proteger infraestructuras hídricas

 

Adasa ha participado en la jornada técnica “Infraestrucuras del Agua” de la Plataforma Tecnológica Española del Agua (PTEA), en la que David Bruguera, responsable de Seguridad de Información, ha presentado la estrategia de ciberseguridad implementada en la compañía. La iniciativa pone el foco en un cambio de paradigma ya imprescindible en el sector: pasar de la seguridad “reactiva” a la resiliencia operativa.

Bruguera ha iniciado su exposición explicando que la evolución del contexto global y el incremento de ataques a infraestructuras civiles evidencian que los servicios esenciales, como el suministro de agua, forman parte de los objetivos estratégicos.

En paralelo, la digitalización ha mejorado la eficiencia y el control de procesos, pero también ha ampliado la exposición a amenazas como sabotaje, espionaje o ransomware.

En este escenario, la estrategia de ciberseguridad no solo debe evitar incidentes, sino garantizar la continuidad del servicio incluso en situaciones adversas, integrando la protección de tecnología operativa (OT) y sistemas de información (IT).

Amenazas reales: ransomware, explotación de vulnerabilidades y técnicas con IA

Bruguera ha detallado que en el sector del agua, el ransomware destaca por su capacidad de provocar interrupciones operativas graves. A ello se suma la explotación acelerada de vulnerabilidades (incluidas de día cero), especialmente crítica en entornos OT con sistemas heredados y limitaciones para el parcheo, además del uso creciente de técnicas basadas en inteligencia artificial.

Cumplimiento normativo y enfoque industrial: ENS, NIS2 e ISA/IEC 62443

Para hacer frente a estas amenazas, España cuenta con un marco normativo convertido ya en un referente técnico y organizativo. Por ejemplo, el Esquema Nacional de Seguridad (RD 311/2022) define requisitos mínimos de protección y gestión del riesgo.

En el ámbito europeo, NIS2 amplía su alcance a los servicios de agua potable y residual, reforzando obligaciones en gobernanza, continuidad y notificación de incidentes.

En el plano industrial, el enfoque se apoya en ISA/IEC 62443, con principios como segmentación, defensa en profundidad y niveles de seguridad adaptados a procesos críticos.

Medidas prácticas que marcan la diferencia en IT y OT

Además de la necesidad de apoyarse en estos reglamentos, Bruguera ha puesto como ejemplo de buenas prácticas diferenciar medidas en IT y OT porque en OT la prioridad es la operación segura y continua. Entre las medidas a tener en cuenta sobresalen:

• Arquitecturas segmentadas (zonas/conductos, DMZ industrial y control estricto de interconexiones), con referencias como el modelo Purdue.
• Gestión de accesos adaptada: autenticación fuerte y roles en IT; control específico de accesos a SCADA/PLC y trazabilidad en OT.
• Monitorización coordinada y detección temprana, convergiendo en un SOC 24x7.
• Gestión de vulnerabilidades diferenciada (parcheo regular en IT; enfoque basado en riesgo en OT) y planes de continuidad con backups verificados y restauración de configuraciones.
• Refuerzo de la cadena de suministro y la formación y concienciación del personal.

Ocho pilares para aterrizar la resiliencia en la operación diaria

Finalmente, Bruguera ha presentado un modelo de ocho pilares que llevan la resiliencia a la gestión diaria del ciclo del agua: gobernanza, arquitectura IT/OT, identidades, visibilidad/SOC, gestión de activos y vulnerabilidades, backups/continuidad, terceros y capacitación.

Desde Adasa, este enfoque se traslada a proyectos y operaciones reales para acompañar a los operadores en la transición hacia modelos más seguros y resilientes.