Cómo cumplir el estándar de Ciberseguridad en el sector eléctrico

Actualmente, la industria eléctrica se ve afectada por el crecimiento sostenido de riesgos y vulnerabilidades que pueden ser explotadas por ciberdelincuentes para obtener acceso a los Ciber Sistemas SEN (Sistema Eléctrico Nacional) y perjudicar su correcto funcionamiento.

Estos riesgos se deben, en gran medida, a las empresas que hoy conviven con situaciones de teletrabajo y/o acceso remoto para efectos de operación. Dicho esto, es importante que las organizaciones evalúen el riesgo y concienticen a sus colaboradores con temas relacionados con ciberseguridad.

¿Cómo enfrentar los riesgos de ciberseguridad en el sector eléctrico?

El Estándar de Ciberseguridad para el Sector Eléctrico, en su capítulo CIP-O04 R1, establece la obligación de implementar un Programa de Conciencia de Seguridad con la finalidad de minimizar los riesgos ante personas no autorizadas que accedan a Ciber Sistemas SEN y pongan en riesgo la operación o estabilidad del sistema nacional.

El problema de esta medida, es que son muy pocas las empresas que cuentan con un plan de conciencia de seguridad efectivo, es decir, que:

• Se adhiera a la realidad de las vivencias de cada organización.
• Sepa afrontar los retos que se puedan presentar en el día a día.
• Lleve a cabo las acciones correctivas necesarias en caso de existir un evento intencionado o fortuito.

Por lo anterior es necesario concientizar a los colaboradores sobre los posibles riesgos que pueden estar presentes en diferentes situaciones que afecten la continuidad de las operaciones de las organizaciones. De ahí que un plan de comunicación bien establecido es el pilar para realizar un programa de concientización exitoso.

La importancia de contar con un plan de comunicación para la concientización

Un plan de comunicación corresponde a un documento que describe las acciones que se deben tomar para comunicar sobre los riesgos, medidas preventivas y correctivas a tus colaboradores, el cual precisa identificar los mensajes y su periodicidad, usando diferentes tipos de medios para cada público objetivo.

Materias para el plan de comunicación

Entendiendo el concepto de un plan de comunicación, ahora debes considerar las materias descritas en el capítulo CIP-004 R2 del programa de capacitación en ciberseguridad, ya que serán la base para la correcta manipulación de la información y el resguardo de las operaciones:

• Políticas de ciberseguridad.
• Control de acceso físico.
• Control de acceso electrónico.
• Manipulación y almacenamiento de información de Ciber Activos SEN.
• Identificación de incidentes de ciberseguridad.
• Plan de recuperación para Ciber Activos SEN.
• Respuesta a incidentes de ciberseguridad.

Herramientas y plazos

Con esta información, se deberá de armar una planificación con un periodo no mayor a 15 meses, donde se usen comunicaciones directas (e-mails, memos, capacitaciones o e-learning) al personal responsable de las operaciones que cuenten con accesos a los Ciber Activos SEN.

Toma en especial consideración que uno de los objetivos que persigue el plan de comunicaciones, es reforzar los conocimientos relacionados a las materias antes descritas; con la finalidad de identificar los posibles riesgos que se puedan presentar, causando la indisponibilidad de las operaciones para los Ciber Activos SEN de impacto Alto y Medio. 

Atributos que debe considerar un plan de comunicación

Considerando la complejidad del SEN y los Ciber Activos SEN que los componen, es imprescindible registrar una serie de atributos que te permitan una mejor gestión, dentro de los cuales se pueden considerar:

• Resumen ejecutivo: comprende una breve descripción de lo que trata el documento.
• Contexto: trata de un análisis de la situación actual de la organización, incluyendo sus fortalezas, debilidades, oportunidades y amenazas. 
• Objetivos: debes fijar metas que serán la guía para una comunicación de calidad. 
• Estrategias: define las tácticas de comunicación, tanto generales como específicas, que usará tu organización para cumplir con los objetivos.
• Presupuesto: haz un desglose de los recursos asociados con cada una de las acciones de comunicación. 
• Calendarios: establece fechas para las comunicaciones y eventos.
• Responsabilidades: delega acciones por equipos o personas.
• Métricas: establece indicadores y métricas para evaluar las acciones y resultados del plan.

Recomendaciones generales para su implementación

Los principales desafíos relacionados con la elaboración y ejecución del plan, corresponden a definir con claridad las medidas, métricas e información que ayudarán a reforzar las comunicaciones internas y externas de forma eficiente, para ello se debe:

• Tener claridad de la situación actual de la entidad.
• Definir los objetivos y metas que se deseen alcanzar con el plan de comunicaciones, indispensable asegurarse que estas metas sean realistas y medibles. 
• Escuchar a los equipos internos para aprender de sus necesidades y opiniones para mejorar.
• Tener presente que la comunicación no es solo unidireccional, sino que debe ser social y multidireccional, donde se escuche y responda a las necesidades de los colaboradores.
• Evaluar el impacto de las estrategias de comunicación, estas deben de estar alineadas con los objetivos y metas trazadas
• Hacer revisiones periódicas de los objetivos junto al posicionamiento ante un entorno (volátil, incierto, complejo y ambiguo), que se mantenga actualizado y relevante.

Beneficios de contar con un buen plan de comunicaciones

El cumplimiento del estándar y específicamente del capítulo CIP-004 R1, brinda beneficios para el Sistema Eléctrico Nacional y a su organización, porque ayuda a:

1. Mantener alertas a los colaboradores relacionados a Ciber Activos SEN.
2. Saber identificar que nos encontramos frente a un incidente de Ciberseguridad y así minimizar los tiempos de respuesta e impactos.
3. Saber qué hacer en caso de presentarse un incidente de Ciberseguridad.
4. Conocer las áreas críticas y al personal de contacto en caso de una emergencia.
5. Aplicar buenas prácticas para el resguardo de Ciber Activos SEN.
6. Reconocer los riesgos de Ciberseguridad a los cuales están sujetos.

Lleva con éxito la capacitación en ciberseguridad

En resumen, la amenaza de ciberataques en la industria eléctrica destaca la necesidad urgente de abordar los riesgos de seguridad del SEN de manera integral. Aunque el estándar CIP-004 R1 establece la obligación de implementar un Programa de Conciencia de Seguridad, la realidad muestra una carencia de planes efectivos en la mayoría de las empresas del sector. 

Por ello, es que un plan de comunicación sólido que esté alineado con las materias fundamentales de ciberseguridad y el cumplimiento del estándar, no solo benefician a tu organización, sino que fortalecen la resiliencia del Sistema Eléctrico Nacional, proporcionando herramientas clave para hacer frente a los incidentes y asegurar la continuidad operativa.