Transformación digital para cumplimientos regulatorios en el SEN Por Jorge Olivares Olmos, Gerente de Consultoría y Formación de Business Continuity, partner estratégico de ISOTools. • jorge_olivares@businesscontinuity.cl Se entiende la transformación digital como un cambio cultural que consiste en integrar tecnologías digitales en los procesos de negocios para aumentar la efectividad (la justa medida entre la eficacia y eficiencia) y el valor de cara al cliente. Si este proceso es el vinculado a dar cumplimiento a aspectos regulatorios, entonces hablamos de transformación digital en el cumplimiento regulatorio. La mejora de efectividad señalada se logra por la reducción de costos operacionales y el aumento de la capacidad de procesamiento de datos para la toma de decisiones ágiles y respuesta de forma proactiva, convirtiéndose en resultados propios de las iniciativas de transformación y optimización de los procesos vinculados a la gestión del cumplimiento regulatorio.
En resumen, la transformación digital así aplicada, proporciona una serie de beneficios para su gestión, incluida la mejora de la eficiencia, eficacia, persistencia y resiliencia del propio cumplimiento. Gracias a esto, las organizaciones pueden centrarse en aportar valor mientras confían la mayor parte del cumplimiento regulatorio a la automatización.
Según la experiencia acumulada en múltiples implementaciones de este tipo, Gilberth Araujo, Product Manager de GRC en ISOTools, señala que “la transformación digital en la gestión del cumplimiento ha aportado con destacados beneficios, como automatizar el proceso de gestión de riesgos, la monitorización de eventos de seguridad y la gestión de incidentes. Ha ayudado a reducir errores y mejorar la efectividad de la reportabilidad del cumplimiento, lo que mejora la postura de la organización frente a las instituciones reguladoras. Hemos visto cómo esta herramienta ha potenciado el acceso remoto y móvil a la gestión del cumplimiento, lo que mejora la colaboración y la comunicación entre las áreas responsables de cada ámbito”. Exigencias de ciberseguridad en el sector eléctrico Todas las empresas coordinadas del Sector Eléctrico Nacional (SEN) están requeridas en ciberseguridad para sus ámbitos TI y TO por las 13 Medidas Urgentes de Ciberseguridad (13 MU CEN) y en la Protección de Infraestructura Crítica (CIP, por su sigla en inglés) por el Estándar NERC-CIP homologado desde su versión norteamericana a la realidad chilena. Además, no podemos olvidar el requerimiento de Gestión de Activos con ISO 55001 (Sistema de Gestión de Activos) y para las empresas distribuidoras, en el ámbito de los SMMC (“Sistemas de Medición, Monitoreo y Control”), la certificación ISO 27001 (Gestión de Seguridad de la Información).
Por existir temas similares, el cumplimiento de requerimientos como 13 MU CEN, NERC-CIP SEN e ISO 27001 se traslapan en más de un 80%, permitiendo sean “compatibles” entre un requerimiento y otro. Aun así, contienen alcance de aplicabilidad, periodicidades y detalles de tópicos diferenciados, por lo que el cumplimiento se debe abocar a cas que satisfagan todos esos requerimientos de una manera consistente e integrada.
Adicionalmente, están en desarrollo, al menos, dos nuevas regulaciones para el SEN: la Norma Técnica de Ciberseguridad y Seguridad de la Información, y la nueva Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. En este sentido, es de esperar que en estas nuevas normativas repitan nuevamente muchos de los tópicos actuales, por lo que su implementación debe ser necesariamente complementaria a lo existente. Implementación y seguimiento de controles El cumplimiento de decenas de controles (medidas o requerimientos) de múltiples ámbitos (tecnológicos, procesos, personas, información, proveedores, instalaciones físicas, entre otros) es complejo y requiere establecer las mejores prácticas internacionales en su protección, abordando alcances TI y TO, según la regulación particular. Para alcanzarlo, la organización deberá contar con expertos internos y/o proveedores de servicios responsables en aspectos como gestión del personal, contratos de servicios, antimalware, perímetros físicos y electrónicos, protección de estaciones de trabajo, servidores de archivos o sistemas TO eléctricos específicos. Es claro que todo esto debe ser gestionado, procurando la mayor eficacia y eficiencia, además de evidenciar su cumplimiento en el tiempo con los registros operacionales correspondientes.
Existe, por tanto, la necesidad de gestionar la evolución de dichos diferentes aspectos para un cumplimiento integral. Uno es el desarrollo de un marco normativo ad hoc que plasme la postura corporativa de la empresa, con políticas de nivel estratégico y planificaciones operativas como procedimientos o instructivos, junto con formularios y registros que evidencien la operación. También la gestión de los propios procesos del cumplimiento, que pueden integrar tanto personal interno como contratos o proveedores externos y de los cuales se tiene que mantener un registro de lo planificado, lo que se está implementando, las revisiones de implementación y acciones correctivas o de mejora.
En suma, gestionar la mejora continua del cumplimiento. A nivel de las personas, se debe realizar el cumplimiento de las capacitaciones y concientización, y, al momento de ingreso de personal tanto interno como externo, recabar los antecedentes necesarios para gestionar riesgos que las personas inducen a los procesos, información y activos dentro del alcance de regulación de los requerimientos señalados.
Hasta ahora, toda esta gestión se ha llevado de forma manual con acompañamiento de asesores y el uso de planillas electrónicas y documentos Word. Para disminuir la sobrecarga producto del procesamiento manual, reduciendo la cantidad de documentos aislados, correos y reuniones, se necesita una plataforma que pueda integrar y hacer consistentes estos diversos procesos, coordinando tanto personal interno como externo, para que pueda de una manera fácil y eficiente, entregar las evidencias de cumplimiento en los periodos que se requieran. Esto demanda, además, la generación de indicadores mensuales o estados de cumplimiento en periodos de 90 o 120 días, anuales, cada 18 o 36 meses, etc.
Esas frecuencias operativas requeridas han de ser mantenidas por una herramienta mediante la transformación digital y automatización de los procesos de cumplimiento, de modo que sea esa plataforma SaaS la que soporte y automatice estos compromisos, evitando el hacerlo manualmente para cada instanciación, lo que aumentaría el riesgo de errores y reprocesos. Necesidad de una herramienta de acompañamiento En este sentido, se requiere la implementación de una herramienta digital que permita integrar desde las definiciones del Gobierno, de los diferentes roles y responsabilidades, pasando por todo el ciclo de desarrollo del marco normativo, incluyendo políticas y procedimientos, hasta su operación y seguimiento, evidenciando también los registros o medios de verificación de cada una de estas etapas. Esto permitirá gestionar el cumplimiento por los diversos integrantes para cada uno de los controles o requerimientos, incluso cada requerimiento según su alcance por diferentes áreas internas o externas, alimentando indicadores de gestión que se utilizarán para la automatización de los reportes que se han de entregar como estados de avance en cumplimiento con los formatos, periodos y fechas solicitadas para cada una de las medidas de 13 MU CEN, los estándares CIP o controles ISO 55001 y/o ISO 27001.
Asimismo, frente a una auditoría, se puede utilizar la herramienta para extraer los registros operacionales que evidencien cualquier requerimiento que se solicite por el ente auditor. |