IEEE Power & Energy Magazine - Spanish - Septiembre/Octubre 2016 - 63

ac
ión

Ac
tiv

nto
amie
tren
en

septiembre/october 2016

como un requisito de cumplimiento. Estos tres ejemplos refle- ganancias operativas durante la caída) precisamente porque
jan solo unas pocas categorías del equipo expuesto que es sus- carecen de la confianza acerca de que las operadores están
haciendo lo suficiente como para abordar el riesgo asociado
ceptible como puntos de ingreso del ataque.
Otra preocupación destacada es la falta de un requisito con sus ICS y debido a que los modelos no existen para descripara tomar acción para eliminar el malware cuando es iden- bir de forma adecuada la pérdida de ganancias. Incluso con
tificado. Los estándares requieren solo que la presencia de el respeto merecido por la cobertura de seguridad informática
malware necesita ser informado y tenido en cuenta. Como convencional, los líderes mundiales de las aseguradoras se han
declaró el DHS, BlackEnergy, en la actualidad, reside en los convertido en adeptos al contratar expertos en seguridad de la
sistemas conectados a las redes eléctricas de los Estados Uni- información para evaluarse a sí mismos la postura de seguridos; sin embargo, para aquellos que han sido afectados, los dad informática del asegurado (basado en las normas munestándares no requieren, específicamente, que dicho malware diales y en marcos tales como NIST-800 y ISO 27001:2013),
como BlackEnergy sea eliminado. La vulnerabilidad Aurora antes de, incluso, considerar extender la cobertura.
Pero ninguna de estas normas fue desarrollada con una
ha sido probada como un riesgo para cualquier subestación
eléctrica sin el hardware de protección adecuado. La mayoría comprensión de los problemas informáticos únicos de ICS y
de las instalaciones, todavía no tienen seguridad instalada, los desafíos, y eso, representa a la empresa un problema. La
pero las normas NERC CIP no requieren de esto. Mientras el cobertura de seguros por daño físico, lesión y consecuencias
cumplimiento de las normas CIP es un movimiento en la direc- ambientales son algunos de los más ofrecidos, mostrando que
ción correcta, todavía hay otros operadores de suministros que las amenazas informáticas a la tecnología operativa (TO), los
pueden, y deberían, estar haciendo algo para protegerse a ellos sistemas de control para los procesos físicos, no están bien
reconocidos y en demanda como amenazas TI. Esta preocupa
mismos, sus activos, personal, clientes y el entorno.
El presidente y consejero delegado de una gran compañía a la industria aseguradora por el número de ataques informátide suministros eléctricos de los Estados Unidos, recientemente cos que han sido reportados en las compañías de suministros.
llamó al sector privado a "jugar ofensivamente" cuando se trate Algunas empresas de energía reportaron haber experimende las políticas y regulaciones federales acerca de la seguridad tado miles de intentos de ataques informáticos cada mes, con
informática y reconoció que un reciente ataque informático algunos, asociados con demandas de rescate.
resultó en cortes de luz generalizados ha puesto a los suministros al límite en todo el mundo. Cuando se le preguntó su visión ¿Qué puede hacerse Ahora?
acerca de la resistencia de la red en general, el líder de la opera- Un primer paso importante es hacer que la organización, desde
dora respondió, "¿La red eléctrica de los Estados Unidos está la gestión superior a través de operaciones y TI, comprenda
100 % aislada de las amenazas? Absolutamente, no. " Luego, los problemas de seguridad informática de ICS y realice una
concluyó, ¿pero estamos seguros? Sí." La complacencia y el evaluación de análisis de su amenaza actual y el entorno de
mero cumplimiento de los estándares no son suficientes. La vulnerabilidad. El próximo paso es establecer un equipo multivigilancia con un fuerte compromiso a la práctica de la protec- funcional/multidisciplinario que represente a las operaciones,
ción informática de ICS deberían ser iniciativas auspiciadas por mantenimiento, desarrollo, TI, forenses, telecomunicaciones,
los líderes de la industria de suministros. Robert M. Lee, un gestión de riesgos, y relaciones públicas para correlacionar y
exoficial de operaciones de guerra cibernética para la Fuerza abordar la seguridad informática de ICS en el contexto de la
Aérea de los Estados Unidos tiene un punto de vista más alec- misión de la organización. También se necesita adecuarse a
cionador. Cuando se le preguntó
acerca de la vulnerabilidad de los
sistemas de energía en los Estados
Unidos tras el ataque ucraniano,
Planificación de
Política y
Capa
cita
dijo, "A pesar de lo dicho por parte
Vulnerabilidad
Procedimientos
.
ció
D
I.
o
de los oficiales en los medios, cada
parte de esto es viable en la red de
los Estados Unidos".
Tal vez el riesgo de impacto es
Flujo de Ciberseguridad TI y ICS
demasiado impensado, demasiado
caro para contemplarlo, las principales aseguradoras de la seguria
nt
dad informática están, sin dudas,
me
u
c
luchando con esto. Algunos han
Do
Medición
Análisis
restringido, de forma severa, la
capacidad del mercado de los
seguros de interrupción comer- imagen 3. La planificación e implementación de la ciberseguridad de TI y ICS debe
cial (cobertura para la pérdida de darse conjuntamente, es un proceso reiterativo.
ieee power & energy magazine

Table of Contents for the Digital Edition of IEEE Power & Energy Magazine - Spanish - Septiembre/Octubre 2016