Como lo sabe el medio millar de empresas Coordinadas del Sistema Eléctrico Nacional (SEN), el pasado 18 de noviembre se inició la cuenta regresiva de seis meses para cumplir con 13 medidas mínimas y urgentes de Ciberseguridad solicitadas por el Coordinador Eléctrico Nacional (CEN).

Dichas medidas se desprenden de una encuesta que el CEN efectuó para identificar los ámbitos de riesgo en los Coordinados, y que podrán ser sujeto de auditoría por parte del Coordinador o fiscalización por parte de la SEC. Por ello, deben ser impulsadas por la alta dirección de las organizaciones y cumplidas por todos sin excepciones. Además, aplica a todos los Coordinados, ya que un ataque específico podría afectar a todo el sistema eléctrico.

En ese sentido, el Coordinador ha considerado este conjunto de medidas como básicas e higiénicas, que permitirían definir una línea base para proteger y controlar la seguridad en las plataformas tecnológicas que soportan el funcionamiento del SEN.

Para entender mejor los componentes de esta solicitud, los identificaremos como un “responsable” (culpable de una nogestión), más otros 12 tópicos o controles (para completar las “13 Medidas”), sobre los que hay que establecer un “proceso de gestión de mejora continua”, que permita a partir del levantamiento del “porcentaje de cobertura de cumplimiento actual”, proyectar un “plazo de cobertura total de implementación”. Esto, para cada medida.

Adicionalmente, se debe señalar un conjunto de “medios de verifi cación” (mal llamados “evidencia”), que corresponden a los documentos o registros que atestiguan o respaldan lo afi rmado en respuesta de cada uno de los componentes previos.

El “responsable” debe ser el ente “apalancador” de la Ciberseguridad, que permita realmente inculcar y hacer madurar estos controles en la organización, sobre todo en el mundo TO (Tecnologías de la Operación, u OT), donde sabemos que esta temática está menos madura (o directamente no existe o ha estado acéfala). En lo práctico, debe ser quien coordine la gestión de mejora continua en cada medida de Ciberseguridad. Para poder lograrlo, debe tener el “seniority” para hacer que las cosas ocurran. ¿Eres este “responsable” de Ciberseguridad ante el CEN? Entonces, se espera que entiendas y dirijas la organización en estos controles, gestionando los riesgos de ciberseguridad, defi niendo estrategias de mitigación y atención de incidentes.

Las “13 Medidas” (M-01...M-13) corresponden a controles de gestión, ciberseguridad y seguridad física, que se han considerado como mínimos, urgentes y prioritarios para el establecimiento de una línea base por el Coordinador, siguiendo lineamientos internacionales de los controles NERC-CIP. Se ha “ajustado” intencionalmente el nombre de cada medida para un mejor entendimiento de la misma, considerando que, en cada caso, hablamos de “gestión de mejora continua”:

• M-01: Responsable de Seguridad/Ciberseguridad
• M-02: Diagramas de red actualizados
• M-03: Inventario de activos
• M-04: Reglas de seguridad en equipos perimetrales
• M-05: Solución de Antivirus/Antimalware
• M-06: Vulnerabilidades y Parches de seguridad actualizados
• M-07: Configuración segura/hardening en plataformas tecnológicas
• M-08: Control de acceso lógico a sistemas
• M-09: Contraseñas seguras
• M-10: Control de Acceso Físico
• M-11: Sistemas de respaldos
• M-12: Educación y concientización en seguridad/ Ciberseguridad
• M-13: Incidentes de ciberseguridad

Dado que el tratamiento de la seguridad es una tarea permanente que requiere una constante evolución, se debe abordar como un Proceso de Gestión de Mejora Continua. Por esta razón, la metodología recomendada es el Ciclo Deming (o PDCA, por los nombres en inglés de sus etapas), la que establece cuatro fases:

• “Planning”: Planifi cación, Diseño, Establecimiento.

• “Do”: Implementación y Operación (generando registros de lo actuado, Logs).

• “Check”: Actividades de Control, Monitoreo, Revisión y Auditoría.

• “Act”: Instancia decisional que habilita la mejora continua, atendiendo las acciones de rediseño, reestructuración y correcciones en general.


El requerimiento CEN tiene tres aristas como foco de cumplimiento, y usaremos las mismas letras que su formulario de respuesta:

a) El establecimiento del proceso de forulario de respuesta de mejora continua, recién revisado, evidenciando los documentos que lo sustentan (Política, Procedimiento, registros de operación, informes).

b) Dicho proceso debe permitir identi- fi car desde un nivel o “porcentaje de cobertura de cumplimiento actual”, que se debe levantar o “estimar”.

c) También estimar y proyectar un “plazo de cobertura total de implementación”, en meses, para alcanzar el 100% de implementación.


Adicionalmente, para cada letra (a, b y c), se debe señalar el conjunto de “medios de verifi cación” que las sustente.

Impacto en las empresas coordinadas para lograr cumplir

Como compañía dedicada a este tipo de consultorías, nos suena lógico y consistente lo que se pide, pero también sabemos que no es lo habitual en el ámbito de las TO, donde estas materias no han contado con gran acogida, encontrándonos con variopintas realidades.

Por ejemplo, Jorge Leal Saldivia, Head of Asset Management Chile y Encargado de Ciberseguridad frente al CEN de Sonnedix Chile, opina que “se trata de medidas básicas, muy en la línea de los estándares internacionales, que constituyen un piso mínimo y que son una base sobre la cual las empresas eléctricas deben construir sus propios planes de seguridad”.

En tanto, Leonardo Prado Vega, Jefe de Operaciones y Encargado de Ciberseguridad de ISA Interchile ante el CEN, sostiene que en su organización “se han efectuado los ajustes necesarios para centralizar y mantener disponible la información requerida por CEN, integrándola con los estándares corporativos de ciberseguridad definidos por ISA en su operación global”.

Existen dos tipos de plazos de implementación:

• El plazo de los seis meses solicitados para cumplir con el establecimiento del proceso de gestión de mejora continua en cada materia, del que queda solo el tercer y último reporte asociado al mes 6 (18 de mayo), y que considera las medidas 3, 4, 11, 12 y 13.

• El plazo estimado en meses, para alcanzar una cobertura del 100% en cada medida.

No solo lograr estructurar estos procesos de gestión, sino lo realmente eficaz, es poder operativizarlos y mantenerlos en el tiempo, con el fin de llevar todas estas medidas a un cumplimiento razonable y luego avanzar hacia controles en otros ámbitos.

Fernando Muñoz Araneda, Oficial de Seguridad de la Información del Grupo SAESA y Responsable en temas de Ciberseguridad ante el CEN, agrega que “por ser esta una infraestructura crítica, quedan asignaturas pendientes que esperamos se concreten en el mediano plazo, como son la implementación de un CSIRT sectorial y un acercamiento con el Ministerio del Interior para homologar protocolos, atención a contingencias y respuestas ante incidentes”.

“Qué mejor ejemplo de la relevancia que cobra la Ciberseguridad, al ser el Coordinador quien nos insta a proteger nuestro Ciberespacio, donde la información que ellos manejan para la estabilidad segura y económica del sistema eléctrico como un todo depende de lo válidos, certeros y oportunos que sean los datos compartidos”, señala Fulvio Faletto Oyarzún, responsable de Mantenimiento Sistemas de la Operación en ENEL Distribución Chile y en Ciberseguridad ENEL, responsable CIR para ENEL Dx.

Esta es una solicitud inicial y útil, donde la gestión y gobierno de la Ciberseguridad Industrial ha estado históricamente al debe y por el bien del sistema eléctrico, debe mejorar.

Ya no queda holgura para responder: han pasado dos informes y 8 medidas, por lo que quien no lo haya realizado está en falta ante el CEN y la SEC. Hemos estado apoyando a diversas coordinadas en este cumplimiento, y sabemos que se puede realizar. No corran en círculos, relean estas recomendaciones, y pidan ayuda experta. ¡Aún se puede cumplir!