Domingo 19 de Septiembre de 2021       •      Dólar= $778,88      •      UF=$30.044,36       •      UTM=$52.631

UN ENFOQUE PRAGMÁTICO PARA ABORDAR SU CUMPLIMIENTO
13 medidas urgentes de Ciberseguridad del CEN para las empresas eléctricas

El presente artículo busca informar cómo llegar a cumplir estas medidas, de manera alcanzable, en particular para quienes miran con angustia los menos de dos meses restantes sin encauzar aún una respuesta aceptable.

Como lo sabe el medio millar de empresas Coordinadas del Sistema Eléctrico Nacional (SEN), el pasado 18 de noviembre se inició la cuenta regresiva de seis meses para cumplir con 13 medidas mínimas y urgentes de Ciberseguridad solicitadas por el Coordinador Eléctrico Nacional (CEN).

Dichas medidas se desprenden de una encuesta que el CEN efectuó para identificar los ámbitos de riesgo en los Coordinados, y que podrán ser sujeto de auditoría por parte del Coordinador o fiscalización por parte de la SEC. Por ello, deben ser impulsadas por la alta dirección de las organizaciones y cumplidas por todos sin excepciones. Además, aplica a todos los Coordinados, ya que un ataque específico podría afectar a todo el sistema eléctrico.

En ese sentido, el Coordinador ha considerado este conjunto de medidas como básicas e higiénicas, que permitirían definir una línea base para proteger y controlar la seguridad en las plataformas tecnológicas que soportan el funcionamiento del SEN.


Entendiendo la solicitud del Coordinador

Para entender mejor los componentes de esta solicitud, los identificaremos como un “responsable” (culpable de una nogestión), más otros 12 tópicos o controles (para completar las “13 Medidas”), sobre los que hay que establecer un “proceso de gestión de mejora continua”, que permita a partir del levantamiento del “porcentaje de cobertura de cumplimiento actual”, proyectar un “plazo de cobertura total de implementación”. Esto, para cada medida.

Adicionalmente, se debe señalar un conjunto de “medios de verifi cación” (mal llamados “evidencia”), que corresponden a los documentos o registros que atestiguan o respaldan lo afi rmado en respuesta de cada uno de los componentes previos.

El “responsable” debe ser el ente “apalancador” de la Ciberseguridad, que permita realmente inculcar y hacer madurar estos controles en la organización, sobre todo en el mundo TO (Tecnologías de la Operación, u OT), donde sabemos que esta temática está menos madura (o directamente no existe o ha estado acéfala). En lo práctico, debe ser quien coordine la gestión de mejora continua en cada medida de Ciberseguridad. Para poder lograrlo, debe tener el “seniority” para hacer que las cosas ocurran. ¿Eres este “responsable” de Ciberseguridad ante el CEN? Entonces, se espera que entiendas y dirijas la organización en estos controles, gestionando los riesgos de ciberseguridad, defi niendo estrategias de mitigación y atención de incidentes.

Las “13 Medidas” (M-01...M-13) corresponden a controles de gestión, ciberseguridad y seguridad física, que se han considerado como mínimos, urgentes y prioritarios para el establecimiento de una línea base por el Coordinador, siguiendo lineamientos internacionales de los controles NERC-CIP. Se ha “ajustado” intencionalmente el nombre de cada medida para un mejor entendimiento de la misma, considerando que, en cada caso, hablamos de “gestión de mejora continua”:

M-01: Responsable de Seguridad/Ciberseguridad
M-02: Diagramas de red actualizados
M-03: Inventario de activos
M-04: Reglas de seguridad en equipos perimetrales
M-05: Solución de Antivirus/Antimalware
M-06: Vulnerabilidades y Parches de seguridad actualizados
M-07: Configuración segura/hardening en plataformas tecnológicas
M-08: Control de acceso lógico a sistemas
M-09: Contraseñas seguras
M-10: Control de Acceso Físico
M-11: Sistemas de respaldos
M-12: Educación y concientización en seguridad/ Ciberseguridad
M-13: Incidentes de ciberseguridad

Dado que el tratamiento de la seguridad es una tarea permanente que requiere una constante evolución, se debe abordar como un Proceso de Gestión de Mejora Continua. Por esta razón, la metodología recomendada es el Ciclo Deming (o PDCA, por los nombres en inglés de sus etapas), la que establece cuatro fases:

“Planning”: Planifi cación, Diseño, Establecimiento.

“Do”: Implementación y Operación (generando registros de lo actuado, Logs).

“Check”: Actividades de Control, Monitoreo, Revisión y Auditoría.

“Act”: Instancia decisional que habilita la mejora continua, atendiendo las acciones de rediseño, reestructuración y correcciones en general.


El requerimiento CEN tiene tres aristas como foco de cumplimiento, y usaremos las mismas letras que su formulario de respuesta:

a) El establecimiento del proceso de forulario de respuesta de mejora continua, recién revisado, evidenciando los documentos que lo sustentan (Política, Procedimiento, registros de operación, informes).

b) Dicho proceso debe permitir identi- fi car desde un nivel o “porcentaje de cobertura de cumplimiento actual”, que se debe levantar o “estimar”.

c) También estimar y proyectar un “plazo de cobertura total de implementación”, en meses, para alcanzar el 100% de implementación.


Adicionalmente, para cada letra (a, b y c), se debe señalar el conjunto de “medios de verifi cación” que las sustente.


Impacto en las empresas coordinadas para lograr cumplir

Como compañía dedicada a este tipo de consultorías, nos suena lógico y consistente lo que se pide, pero también sabemos que no es lo habitual en el ámbito de las TO, donde estas materias no han contado con gran acogida, encontrándonos con variopintas realidades.

Por ejemplo, Jorge Leal Saldivia, Head of Asset Management Chile y Encargado de Ciberseguridad frente al CEN de Sonnedix Chile, opina que “se trata de medidas básicas, muy en la línea de los estándares internacionales, que constituyen un piso mínimo y que son una base sobre la cual las empresas eléctricas deben construir sus propios planes de seguridad”.

En tanto, Leonardo Prado Vega, Jefe de Operaciones y Encargado de Ciberseguridad de ISA Interchile ante el CEN, sostiene que en su organización “se han efectuado los ajustes necesarios para centralizar y mantener disponible la información requerida por CEN, integrándola con los estándares corporativos de ciberseguridad definidos por ISA en su operación global”.


Plazos de implementación

Existen dos tipos de plazos de implementación:

El plazo de los seis meses solicitados para cumplir con el establecimiento del proceso de gestión de mejora continua en cada materia, del que queda solo el tercer y último reporte asociado al mes 6 (18 de mayo), y que considera las medidas 3, 4, 11, 12 y 13.

El plazo estimado en meses, para alcanzar una cobertura del 100% en cada medida.


Desafíos para las empresas y el sector eléctrico

No solo lograr estructurar estos procesos de gestión, sino lo realmente eficaz, es poder operativizarlos y mantenerlos en el tiempo, con el fin de llevar todas estas medidas a un cumplimiento razonable y luego avanzar hacia controles en otros ámbitos.

Fernando Muñoz Araneda, Oficial de Seguridad de la Información del Grupo SAESA y Responsable en temas de Ciberseguridad ante el CEN, agrega que “por ser esta una infraestructura crítica, quedan asignaturas pendientes que esperamos se concreten en el mediano plazo, como son la implementación de un CSIRT sectorial y un acercamiento con el Ministerio del Interior para homologar protocolos, atención a contingencias y respuestas ante incidentes”.

“Qué mejor ejemplo de la relevancia que cobra la Ciberseguridad, al ser el Coordinador quien nos insta a proteger nuestro Ciberespacio, donde la información que ellos manejan para la estabilidad segura y económica del sistema eléctrico como un todo depende de lo válidos, certeros y oportunos que sean los datos compartidos”, señala Fulvio Faletto Oyarzún, responsable de Mantenimiento Sistemas de la Operación en ENEL Distribución Chile y en Ciberseguridad ENEL, responsable CIR para ENEL Dx.


Es “luz” para el camino a seguir

Esta es una solicitud inicial y útil, donde la gestión y gobierno de la Ciberseguridad Industrial ha estado históricamente al debe y por el bien del sistema eléctrico, debe mejorar.

Ya no queda holgura para responder: han pasado dos informes y 8 medidas, por lo que quien no lo haya realizado está en falta ante el CEN y la SEC. Hemos estado apoyando a diversas coordinadas en este cumplimiento, y sabemos que se puede realizar. No corran en círculos, relean estas recomendaciones, y pidan ayuda experta. ¡Aún se puede cumplir!


Opinan los Coordinados

“Creemos que las medidas de ciberseguridad defi nidas por el Coordinador van en la dirección correcta para proteger adecuadamente de ataques informáticos a las instalaciones del Sistema Eléctrico Nacional”.
Jorge Leal, Sonnedix Chile.

“Estas 13 medidas de Ciberseguridad, calzan perfectamente con los objetivos institucionales de gestionar aspectos sensibles y estratégicos, para el funcionamiento del transporte de energía”.
Leonardo Prado, ISA Interchile.

“La instrucción de las trece medidas de Ciberseguridad por parte del CEN, nos parece que es una primera acción que va en el camino correcto para establecer un alineamiento entre todos sus coordinados”.
Fernando Muñoz, Grupo SAESA.

“Como empresa multinacional poseemos directrices corporativas de Ciberseguridad localizadas a las necesidades del país, y ahora surge este nuevo desafío de compatibilizar en corto plazo las 13 medidas CEN con lo realizado, homologando lenguaje, esquemas de seguimiento, e incluso las instancias corporativas que las controlen”.
Fulvio Faletto Oyarzún, ENEL Distribución Chile.


Por Jorge Olivares Olmos, Gerente de Consultoría y Formación de Business Continuity, CISSP, Auditor Líder ISO 27001, ABCP por DRII e Instructor CSIRT. Miembro y colaborador ISA en Ciberseguridad Industrial, con múltiples publicaciones en la materia.
Abril 2020
.......
Comentarios acerca de este artículo
No hay comentarios publicados
Comenta este artículo
Nombre:
Empresa:
Email:
Comentario:
Notificarme de actividad en este artículo
Ingrese los caracteres de la imagen:
Desayunos
LA MODERNIZACIÓN TECNOLÓGICA DEL SECTOR MINERO: Avanzando hacia la digitalización
AUTOMATIZACIÓN Y CONTROL INDUSTRIAL: Digitalizar los procesos productivos, la clave para el futuro
LA INDUSTRIA ELECTRÓNICA EN CHILE: Construir redes para fortalecer el ecosistema
Contáctenos
Dirección: José Manuel Infante 919, Of. 203,
Providencia, Chile
Teléfono: (562) 2433 5500
Email: info@emb.cl
Visite también:
© Copyright 2019 Editora Microbyte Ltda.