¿Qué es la normativa NERC-CIP?
La norma NERC-CIP, es el estándar en ciberseguridad que aplican las empresas eléctricas en EEUU y que son la responsables de la producción y gestión de la redes eléctricas, la siglas corresponden a North America Electric Reliability Corporation, y CIP significa Critical Infraestructure Protection, y su objetivo es establecer un conjunto de requisitos específicos para la gestión de ls seguridad de la infraestructuras críticas vinculadas a la producción y gestión de la redes eléctricas.
La gestión y producción de energía eléctrica ha evolucionado a los largo de los años con el fin de satisfacer una demanda creciente con alto niveles de disponibilidad, lo que ha implicado inclusión de nuevas tecnología y mecanismos de control, que si bien han permitido cumplir con estas necesidades, han introducido por la propia naturaleza de las tecnologías implicadas, debilidades y vulnerabilidades que deben ser gestionadas de forma correcta con fin de mitigar riesgos en estos complejos sistemas, que por otra parte son generalmente blanco de sofisticados ataques por parte de grupos y organizaciones criminales.
Inicialmente está norma fue desarrollada en 2003 por NERC con la intención de crear un estándar de seguridad industrial para la empresas del sector eléctrico, la versión inicial fue nombrada como NERC CSS ( Ciber Security Standars ), después de sucesivas mejoras y evoluciones la versión más actual es conocida como NERC-CIP, y si bien su origen es norteamericano, se encuentra actualmente implantada en varios países de latinoamérica como México, Colombia, Ecuador, Brasil, Chile y Perú.
Estructura de la norma NERC-CIP
Está norma está actualmente compuesta por 12 estándares que establecen los controles de seguridad que deben ser aplicados para la protección tanto de las infraestructuras críticas como en lo relativos a la información, personal que gestiona las instalaciones, gestión de los sistemas de seguridad y planes de recuperación de los activos e infraestructuras que se consideran críticos.
• CIP-002-5.1a BES (bulk electric system) Cyber System Categorization
• CIP-003-8 Security Management Controls
• CIP-004-6 Personnel & Training
• CIP-005-6 Electronic Security Perimeter(s)
• CIP-006-6 Physical Security of BES Cyber-Systems
• CIP-007-6 System Security Management
• CIP-008-6 Incident Reporting and Response Planning
• CIP-009-6 Recovery Plans for BES Cyber-Systems
• CIP-010-3 Configuration Change Management and Vulnerability Assessments
• CIP-011-2 Information Protection
• CIP-013-1 Supply Chain Risk Management
• CIP-014-2 Physical Security
Objetivos de la norma NERC-CIP
El objetivo de la norma es lograr la mejora de la seguridad de los sistemas de distribución eléctrica, para ello, además del desarrollo de controles y seguimiento del cumplimiento en la implantación de controles, se realizan evaluaciones del riesgo para identificar y tratar vulnerabilidades en los sistemas implicados, con el fin garantizar una prestación segura en los servicios de distribución eléctrica. Para ello es necesario la identificación de los activos críticos en las infraestructuras de producción y distribución eléctrica, sobre los que se establecen mecanismos de control y monitorización que prevengan y alerten sobre eventos relacionados con la seguridad.
Además de la monitorización se deben aplicar mecanismos de control de acceso a estos activos, y a los sistemas de control industrial (ICS), así como establecer procedimiento de gestión y respuesta ante incidentes, con planes de recuperación y contingencia, ya sea frente ataques intencionales, accidentes industriales o desastres naturales, que permitan garantizar la continuidad en la prestación de los servicios.
La implantación de estándares y estrategias de ciberseguridad en las denominadas Infraestructuras Críticas, como es el sector de generación y distribución de energía eléctrica, permiten prevenir posibles situaciones de vulnerabilidad o desastre, capacitando a las compañías implicadas en una respuesta más eficiente y con menor impacto sobre usuarios y organizaciones que dependen de ellas.
En GlobalSuite Solutions contamos con el software GlobalSuite®, para implementar la norma NERC- PIC. La herramienta permite la implantación, gestión y mantenimiento de un Sistema de Gestión de riesgo a partir de los objetivos establecidos, así mismo, permite la evaluación y el seguimiento del tratamiento del riesgo definido.