Domingo 19 de Septiembre de 2021       •      Dólar= $778,88      •      UF=$30.044,36       •      UTM=$52.631

Desafíos en la implementación de
las 13 medidas de Ciberseguridad del CEN

Probablemente, como empresa coordinada por el CEN (Coordinador Eléctrico Nacional), debió informar este 18 de mayo la evidencia de los procesos documentados de gestión para las 13 medidas de ciberseguridad requeridas por esta entidad. Si aún no han respondido, están en falta ante el CEN y la SEC, debiendo reportar este hecho y ponerse al día a la brevedad. En este artículo revisaremos los desafíos para enfrentar la implementación de dichas medidas.

Casi medio millar de empresas coordinadas debieron presentar al CEN sus procesos de gestión de mejora continua, destinados a abordar las 13 medidas prioritarias de ciberseguridad exigidas, contemplando los siguientes puntos:

a) Documentación de dicho proceso de gestión,

b) Estimación del porcentaje de cobertura actual de implementación, y

c) Proyección de un plazo para su total implementación.

En la edición de abril, explicamos el alcance de estas medidas. A continuación, hablaremos de los retos que implica su implementación.


La parte menos visible del compromiso

Ahora se viene la parte compleja del compromiso: hacer que tales procesos se materialicen. Este artículo busca ahondar en los desafíos pendientes, apoyando a las empresas en el cómo enfrentarlos.

Desde una empresa “coordinada”, como Enel Distribución Chile, Fulvio Faletto Oyarzún, comenta que "se ha estructurado una base común, sustentada en los 13 ámbitos de trabajo de ciberseguridad. Pero tener dicho 'plan' no asegura el éxito, sino que se requiere de muchos otros factores, como un equipo formado, con dedicación y experiencia; la tecnología necesaria, así como el apoyo y visión de especialistas externos en dichos temas".

asimismo, agrega que "con todo, en los siguientes meses se demanda un trabajo arduo para que la base que hemos desarrollado nos entregue los fundamentos necesarios para que el control interno, la capacitación, los inventarios, el parchado, los accesos, la reacción, la remediación, entre otros, nos lleven a puerto, según los propios niveles de riesgo que definamos".


Cambios para lograr la implementación real de las medidas

Se deben llevar a cabo las acciones concretas de implementación en terreno que, en muchos casos, significa establecer nuevas responsabilidades, con áreas que no necesariamente han estado participando de estas definiciones. Queda un largo camino por recorrer, en el que se debe ejecutar el trabajo planificado y que podría significar contratar servicios profesionales de empresas especializadas, incrementar licencias en plataformas existentes o adquirir una nueva que pueda integrar los ámbitos TI y TO, entre otras.

Por ejemplo, en caso del antivirus, no cualquier plataforma o versión estará necesariamente homologada con los requisitos de los fabricantes de sistemas TO de una planta o subestación. Asimismo, se debe evaluar el cambio de las plataformas o sistemas operativos obsoletos o sin un representante en el país. Desde la perspectiva de proveedores de ciberseguridad que han integrado el mundo TO, Luis Berger, de Tenable, indica que “para una comprensión completa de la superficie de ataque, se debe unificar la seguridad de los activos TI y TO con herramientas de seguridad que ofrezcan una solución integrada, por ejemplo, para responder a los requerimientos de ciberseguridad del CEN. En la actualidad, la visibilidad es una de las principales problemáticas de ciberseguridad, particularmente en las redes TO y en especial en el mundo eléctrico, integrando el riesgo de ciberseguridad de dispositivos industriales como PLC, RTU y HMI”.


Rol del Responsable de Ciberseguridad con los registros operacionales

El rol que debiese liderar los cambios es el responsable designado, quien, por requerimiento del CEN, estará encargado de velar por la materialización de la propuesta de mejora en los temas de ciberseguridad de las medidas, como proceso permanente en el tiempo. Es fundamental considerar que la mitigación de las brechas identificadas entre el proceso propuesto y la situación actual podría demandar cambios importantes de gestión, gobierno y operación en ciberseguridad.

El mantener estos procesos de gestión requiere que el responsable de ciberseguridad vele por la frecuencia esperada de ejecución o actualización de cada una de estas medidas, almacenando los registros operacionales que generen los procesos y que servirán ante cualquier requerimiento del CEN o fiscalización de la SEC.

Al respecto, Fulvio Faletto, de Enel Distribución Chile, señala: “Es muy importante que para todo avance que hagamos en materia de ciberseguridad, debamos establecer y registrar la correspondiente evidencia, que a la postre son el marcaje de los hitos como una ‘huella’ para nuestras revisiones; la gestión de cambio, el nivel de consecución y la materia prima para una posible fiscalización”.


Apoyo experto

¿Qué pasa si la empresa no tiene un área de TI o un área de ciberseguridad consolidada? Necesitará contar con apoyo externo especializado en dichas labores, servicios consultivos, de ingeniería de plataformas o incluso servicios gestionados, tales como prestación y/o monitoreo de servicio antivirus, de respaldos, de parchado o de capacitación y gestión ante incidentes.

Al respecto, Carolina Lavín, Gerente de Ingeniería y Servicios de Business Continuity SpA, señala que “con la integración de servicios gestionados para plataformas tecnológicas, la empresa coordinada podría dedicar su tiempo a labores de planificación y supervisión mientras los consultores se preocupan de la seguridad y continuidad de las mismas. Este ‘servicio gestionado’ consistente en la administración remota de las plataformas TI y de seguridad, permite a las empresas contar con ingenieros expertos en diferentes tecnologías para gestionar y mantener dichas plataformas operativas, correctamente configuradas y con un proceso de mejora continua en el tiempo. Así, junto con mantener las plataformas gestionadas en óptimas condiciones, libera al personal interno para dedicarse íntegramente a las necesidades del negocio, dejando en manos de expertos las plataformas de ciberseguridad”.


La obsolescencia del equipamiento hace una gran diferencia

La automatización de los procesos de securitización no es natural en el ámbito TO o de planta. A esto, se suma a que muchas de las plataformas son obsoletas e incluso hay desconocimiento de detalles de versiones, sistemas operativos e incluso del mismo contacto con el fabricante. Por tanto, un serio problema es la selección de las mismas, las que deben ser compatibles y estar homologadas para cada uno de los entornos y sistemas industriales.


Do… Check… Act

A juicio de Fernando Muñoz A., Jefe Oficial de Seguridad de la Información en el Grupo SAESA, “la puesta en marcha de los 13 requerimientos de Ciberseguridad mandatados por el CEN, viene con el desafío de materializar lo que se ha escrito como políticas y procedimientos en cada empresa. Llegó la hora en la Industria Eléctrica de elevar los estándares y definición de criterios para alinearnos a las mejores prácticas de lo que significa proteger una Infraestructura Crítica en el Ciber Espacio”.

Como lo mencionamos en el artículo pasado, si seguimos lo postulado por Deming (precursor del Ciclo PDCA de gestión de mejora continua), luego de haber planificado (Plan) al 18 de mayo las medidas de ciberseguridad requeridas, queda su implementación y operación (Do); monitoreo y revisión (Check) para detectar brechas y mejorarlas (Act). Esta es la otra parte del “iceberg”, la sumergida, la más grande. Pero no están solos, los podemos acompañar y desde ya invitarles a un próximo webinar sobre esta materia.


Por Jorge Olivares Olmos es Gerente de Consultoría y Formación de Business Continuity SpA, CISSP, Auditor Líder ISO 27001, ABCP por DRII e Instructor CSIRT, Miembro y colaborador ISA en Ciberseguridad Industrial, con múltiples publicaciones en la materia.
Mayo 2020
.......
Comentarios acerca de este artículo
No hay comentarios publicados
Comenta este artículo
Nombre:
Empresa:
Email:
Comentario:
Notificarme de actividad en este artículo
Ingrese los caracteres de la imagen:
Desayunos
LA MODERNIZACIÓN TECNOLÓGICA DEL SECTOR MINERO: Avanzando hacia la digitalización
AUTOMATIZACIÓN Y CONTROL INDUSTRIAL: Digitalizar los procesos productivos, la clave para el futuro
LA INDUSTRIA ELECTRÓNICA EN CHILE: Construir redes para fortalecer el ecosistema
Contáctenos
Dirección: José Manuel Infante 919, Of. 203,
Providencia, Chile
Teléfono: (562) 2433 5500
Email: info@emb.cl
Visite también:
© Copyright 2019 Editora Microbyte Ltda.