Casi medio millar de empresas coordinadas debieron presentar al CEN sus procesos de gestión de mejora continua, destinados a abordar las 13 medidas prioritarias de ciberseguridad exigidas, contemplando los siguientes puntos:

a) Documentación de dicho proceso de gestión,

b) Estimación del porcentaje de cobertura actual de implementación, y

c) Proyección de un plazo para su total implementación.

En la edición de abril, explicamos el alcance de estas medidas. A continuación, hablaremos de los retos que implica su implementación.

Ahora se viene la parte compleja del compromiso: hacer que tales procesos se materialicen. Este artículo busca ahondar en los desafíos pendientes, apoyando a las empresas en el cómo enfrentarlos.

Desde una empresa “coordinada”, como Enel Distribución Chile, Fulvio Faletto Oyarzún, comenta que "se ha estructurado una base común, sustentada en los 13 ámbitos de trabajo de ciberseguridad. Pero tener dicho 'plan' no asegura el éxito, sino que se requiere de muchos otros factores, como un equipo formado, con dedicación y experiencia; la tecnología necesaria, así como el apoyo y visión de especialistas externos en dichos temas".

asimismo, agrega que "con todo, en los siguientes meses se demanda un trabajo arduo para que la base que hemos desarrollado nos entregue los fundamentos necesarios para que el control interno, la capacitación, los inventarios, el parchado, los accesos, la reacción, la remediación, entre otros, nos lleven a puerto, según los propios niveles de riesgo que definamos".

Se deben llevar a cabo las acciones concretas de implementación en terreno que, en muchos casos, significa establecer nuevas responsabilidades, con áreas que no necesariamente han estado participando de estas definiciones. Queda un largo camino por recorrer, en el que se debe ejecutar el trabajo planificado y que podría significar contratar servicios profesionales de empresas especializadas, incrementar licencias en plataformas existentes o adquirir una nueva que pueda integrar los ámbitos TI y TO, entre otras.

Por ejemplo, en caso del antivirus, no cualquier plataforma o versión estará necesariamente homologada con los requisitos de los fabricantes de sistemas TO de una planta o subestación. Asimismo, se debe evaluar el cambio de las plataformas o sistemas operativos obsoletos o sin un representante en el país. Desde la perspectiva de proveedores de ciberseguridad que han integrado el mundo TO, Luis Berger, de Tenable, indica que “para una comprensión completa de la superficie de ataque, se debe unificar la seguridad de los activos TI y TO con herramientas de seguridad que ofrezcan una solución integrada, por ejemplo, para responder a los requerimientos de ciberseguridad del CEN. En la actualidad, la visibilidad es una de las principales problemáticas de ciberseguridad, particularmente en las redes TO y en especial en el mundo eléctrico, integrando el riesgo de ciberseguridad de dispositivos industriales como PLC, RTU y HMI”.

El rol que debiese liderar los cambios es el responsable designado, quien, por requerimiento del CEN, estará encargado de velar por la materialización de la propuesta de mejora en los temas de ciberseguridad de las medidas, como proceso permanente en el tiempo. Es fundamental considerar que la mitigación de las brechas identificadas entre el proceso propuesto y la situación actual podría demandar cambios importantes de gestión, gobierno y operación en ciberseguridad.

El mantener estos procesos de gestión requiere que el responsable de ciberseguridad vele por la frecuencia esperada de ejecución o actualización de cada una de estas medidas, almacenando los registros operacionales que generen los procesos y que servirán ante cualquier requerimiento del CEN o fiscalización de la SEC.

Al respecto, Fulvio Faletto, de Enel Distribución Chile, señala: “Es muy importante que para todo avance que hagamos en materia de ciberseguridad, debamos establecer y registrar la correspondiente evidencia, que a la postre son el marcaje de los hitos como una ‘huella’ para nuestras revisiones; la gestión de cambio, el nivel de consecución y la materia prima para una posible fiscalización”.

Apoyo experto

¿Qué pasa si la empresa no tiene un área de TI o un área de ciberseguridad consolidada? Necesitará contar con apoyo externo especializado en dichas labores, servicios consultivos, de ingeniería de plataformas o incluso servicios gestionados, tales como prestación y/o monitoreo de servicio antivirus, de respaldos, de parchado o de capacitación y gestión ante incidentes.

Al respecto, Carolina Lavín, Gerente de Ingeniería y Servicios de Business Continuity SpA, señala que “con la integración de servicios gestionados para plataformas tecnológicas, la empresa coordinada podría dedicar su tiempo a labores de planificación y supervisión mientras los consultores se preocupan de la seguridad y continuidad de las mismas. Este ‘servicio gestionado’ consistente en la administración remota de las plataformas TI y de seguridad, permite a las empresas contar con ingenieros expertos en diferentes tecnologías para gestionar y mantener dichas plataformas operativas, correctamente configuradas y con un proceso de mejora continua en el tiempo. Así, junto con mantener las plataformas gestionadas en óptimas condiciones, libera al personal interno para dedicarse íntegramente a las necesidades del negocio, dejando en manos de expertos las plataformas de ciberseguridad”.

La automatización de los procesos de securitización no es natural en el ámbito TO o de planta. A esto, se suma a que muchas de las plataformas son obsoletas e incluso hay desconocimiento de detalles de versiones, sistemas operativos e incluso del mismo contacto con el fabricante. Por tanto, un serio problema es la selección de las mismas, las que deben ser compatibles y estar homologadas para cada uno de los entornos y sistemas industriales.

A juicio de Fernando Muñoz A., Jefe Oficial de Seguridad de la Información en el Grupo SAESA, “la puesta en marcha de los 13 requerimientos de Ciberseguridad mandatados por el CEN, viene con el desafío de materializar lo que se ha escrito como políticas y procedimientos en cada empresa. Llegó la hora en la Industria Eléctrica de elevar los estándares y definición de criterios para alinearnos a las mejores prácticas de lo que significa proteger una Infraestructura Crítica en el Ciber Espacio”.

Como lo mencionamos en el artículo pasado, si seguimos lo postulado por Deming (precursor del Ciclo PDCA de gestión de mejora continua), luego de haber planificado (Plan) al 18 de mayo las medidas de ciberseguridad requeridas, queda su implementación y operación (Do); monitoreo y revisión (Check) para detectar brechas y mejorarlas (Act). Esta es la otra parte del “iceberg”, la sumergida, la más grande. Pero no están solos, los podemos acompañar y desde ya invitarles a un próximo webinar sobre esta materia.