Ciberseguridad

Coordinador presentó Estándar de Ciberseguridad para el Sector Eléctrico Nacional......(jueves 30 Julio de 2020)

¿CIBERSEGURIDAD?

En simple es: "la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de posibles amenazas digitales. Las organizaciones tienen la responsabilidad de proteger los datos para mantener la confianza del cliente y cumplir la normativa."....


En los proyectos de Quantica relacionados con el cumplimiento normativo asociado a los requisitos de los Coordinados del Coordinador Eléctrico Nacional (CEN), desde la entrada en vigencia del Estándar de Ciberseguridad, nos ha tocado apoyar a nuestros Clientes en este ámbito, en los aspectos que a continuación se resumen.

Esquema de cumplimiento de las Medidas de Ciberseguridad solicitadas por el Coordinador:

La implementación de estas medidas preventivas está dentro de los niveles de seguridad establecidos en la ISO 27001, ISO 27002, IEC 62443 e IEC 62351, entre otras, que serán utilizadas cómo guía y marco normativo de las soluciones que Quantica pone a su disposición.

Dado que el tratamiento de la seguridad es una tarea permanente que requiere una constante evolución, Quantica ofrece su experiencia para abordar esta solución como un Proceso de Gestión de Mejora Continua, en la cual se identifican las siguientes etapas:

1. Revisar y estudiar su infraestructura actual.

2. Analizar las exigencias y normativas existentes

3. Establecer el grado de cumplimiento, y el plan de mejoras.

4. Implementación del Plan de Mejoras

13 medidas de requeridas por el Coordinador:

1.     Establecimiento de los procesos de acuerdo a los formularios de mejora continua solicitados por el CEN, evidenciando los documentos que lo sustentan (Política, Procedimiento, registros de operación, informes).

2.     De acuerdo a los procesos, nos permite identificar el nivel o “porcentaje de cumplimiento actual”, que se debe levantar o “estimar”.

3.     Estimación y proyección de un “plazo total de implementación”, para alcanzar el 100% de implementación.

Adicionalmente, se debe señalar que se provee el conjunto de “medios de verificación” que sustente cada una de estas aristas.

Ciberseguridad y las 13 Medidas del Coordinador Eléctrico Nacional para las empresas eléctricas

Los Coordinados del Sistema Eléctrico Nacional (SEN) deben cumplir con las 13 medidas mínimas de Ciberseguridad solicitadas por el Coordinador Eléctrico Nacional (CEN), las cuales aplican para TODOS LOS COORDINADOS, sin excepciones, ya que un ataque específico a alguno de ellos podría aferctar a todo el SEN.

Dichas medidas vienen dadas gracias a la identificación de los ámbitos de riesgo en los Coordinados, y que podrían ser sujeto de auditoría por parte del Coordinador o fiscalización por parte de la SEC.

Las “13 Medidas” (M-01...M-13) que corresponden a controles de gestión, ciberseguridad y seguridad física, que se han considerado como mínimos, urgentes y prioritarios para los Coordinados son:

• M-01: Responsable de Seguridad/Ciberseguridad

• M-02: Diagramas de red actualizados

• M-03: Inventario de activos

• M-04: Reglas de seguridad en equipos perimetrales

• M-05: Solución de Antivirus/Antimalware

• M-06: Vulnerabilidades y Parches de seguridad actualizados

• M-07: Configuración segura/hardening en plataformas tecnológicas

• M-08: Control de acceso lógico a sistemas

• M-09: Contraseñas seguras

• M-10: Control de Acceso Físico

• M-11: Sistemas de respaldos

• M-12: Educación y concientización en seguridad/ Ciberseguridad

• M-13: Incidentes de ciberseguridad

Lo anterior corresponde a medidas básicas, muy en la línea de los estándares internacionales, que constituyen un piso mínimo y que son una base sobre la cual las empresas eléctricas deben construir sus propios planes de seguridad.

Requerimientos NERC-CIP:

A continuación se indican algunas de las medidas que deben ser satisfechas a cabalidad como parte de los requeirmeitnos de Ciberseguridad establecidos por el coordinador.

CIP-002: Ciber Seguridad - Categorización de Ciber Sistemas SEN

Identificar y categorizar los Ciber Sistemas SEN y sus correspondientes Ciber Activos para la aplicación de requerimientos de ciberseguridad acordes con el impacto adverso que podría ocasionar, en la operación segura y confiable del SEN, la pérdida, compromiso, o mal uso de dichos Ciber Sistemas SEN. La identificación y categorización de Ciber Sistemas SEN servirá de apoyo para la adecuada protección contra eventos que afecten o comprometan instalaciones pudiendo conducir a una mala operación o inestabilidad del SEN.

CIP-003: Ciber Seguridad – Controles de Gestión de la Seguridad

Especificar controles de gestión de la seguridad consistentes y sostenibles que establezcan la responsabilidad para proteger Ciber Sistemas SEN contra eventos que afecten o comprometan instalaciones pudiendo conducir una mala operación o inestabilidad del SEN.

CIP-004: Ciber Seguridad – Personal y Capacitación

Minimizar riesgos contra actos de individuos que accedan a Ciber Sistemas SEN, que podrían conducir a una mala operación o inestabilidad del SEN, exigiendo un adecuado nivel de Evaluación de Riesgos, conciencia de seguridad y capacitación del personal, como medidas apoyo para la protección de Ciber Sistemas SEN.

CIP-005: Ciber Seguridad – Perímetro de Seguridad Electrónica (PSE)

Administrar el acceso electrónico a Ciber Sistemas SEN especificando un Perímetro de Seguridad Electrónica (PSE) controlado en apoyo a la protección de Ciber Sistemas SEN contra eventos o actos que podrían conducir a una mala operación o inestabilidad del SEN.

En total son 14 requerimientos que se sub-dividen en diferentes sub-requerimientos, luego, lo anterior es solo una muestra del tipo de requerimiento que debe ser satisfecho por el Coordinado, para la cual Quantica ofrece sus servicios de Consultoría para abordar todos y cada uno estos requerimientos.

¿En qué podemos ayudar?

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.