Camino hacia el cumplimiento del Estándar de Ciberseguridad para el sector eléctrico.

Episodio4: 

¿Cómo controlar un incidente de seguridad en la industria OT?

Antes de entrar en materia de cómo controlar un incidente de Ciberseguridad sobre un Ciber Sistema SEN, debemos de tener claridad, así como comprender que es un incidente de Ciber seguridad, el cual se describe como acto malicioso o evento sobre un Ciber Sistema SEN que puede llegar a comprometer o tratar de interrumpir su operación. El mismo puede ser causado por diversos factores, tanto intensionales como sin intención de causar daño. 

En la actualidad y observando las estadísticas con relación a los incidentes de Ciber seguridad, todos los días todas las organizaciones se encuentran en constante ataque, solo que, dependiendo el tipo de ataque y el tiempo, algunos son más eficaces que otros, generando situaciones que van en contra de la continuidad de las operaciones de los Ciber Sistemas SEN.

Por esta razón el Coordinador Eléctrico Nacional crea el Estándar de Ciberseguridad para el sector eléctrico con el objetivo de resguardar los Ciber Activos y Ciber Sistemas SEN críticos que se puedan ver expuestos ante un incidente de Ciber seguridad. 

Problemática actual

Ninguna organización puede decir que es ciento por ciento segura de cualquier tipo de Ciber ataque, pero lo que sí se puede decir es que, ante un Ciber ataque cuenten con los mecanismos necesarios y oportunos que permitan proteger, detectar y recuperar la operatividad en un tiempo mínimo aceptable para no ver impactadas sus operaciones. 

Dicho esto, el estándar de ciberseguridad para el sector eléctrico especifica en su capítulo CIP-008 Reporte de Incidentes y Planes de respuesta junto con sus requerimientos 1 – Plan de respuesta a incidentes de ciberseguridad, 2 – Implementación y prueba del plan de respuesta a incidentes de ciberseguridad, 3 – Revisión, actualización y comunicación del plan de respuesta a incidentes de ciberseguridad y 4 – Notificación y reporte de incidentes de ciberseguridad, los requisitos a cumplir que buscan mitigar los riesgos para mantener una operación segura y confiable del SEN con resultado de un incidente de Ciberseguridad.

¿Qué es y que debe considerar el plan de respuesta a incidentes de Ciber seguridad?

Es un procedimiento de acciones, pasos o instrucciones que una organización debe seguir en caso de que se presenten situaciones de riesgo o emergencia que permiten la detección, respuesta y recuperación, el mismo debe:

• Crear capacidades para que los procesos sean predecibles y repetibles
• Asegurar que un incidente se maneje eficientemente
• Debe incluir medidas de preparación, protección, detección y recuperación

Si aterrizamos esta breve descripción de lo que es un plan de respuesta a incidentes de ciberseguridad a lo que se menciona en el estándar de ciberseguridad del sector eléctrico tenemos:

1. Los 4 requerimientos asociados al capítulo CIP-008 Reporte de Incidentes y Planes de respuesta, es aplicado a los Ciber Activos y Ciber Sistemas SEN con niveles de impacto Alto y Medio.
2. Identificar las comunicaciones y/o reportes necesarios según sea el tipo de incidente de Ciber seguridad.
3. Se deben describir los roles y responsabilidades de los individuos o grupos de respuestas a incidentes
4. Se deben establecer los procedimientos de manejo de cada tipo de Incidente de Ciber seguridad
5. Se deben probar los planes al menos una vez cada 15 meses calendario que respondan a:
   1. Un incidente de ciberseguridad reportable real
   2. Una simulación o ejercicio table top (drill)
   3. Un ejercicio operacional de un incidente de ciberseguridad reportable.
6. Se debe contar con una base de conocimientos, donde se tengan guardados los registros relacionados con los incidentes de ciberseguridad reportados
7. No más de 90 días calendarios de terminada las pruebas del plan de respuesta a incidentes se deberán realizar las siguientes acciones:
   1. Documentar la existencia o ausencia de cualquier lección aprendida
   2. Actualizar el plan de respuesta a incidentes de ciberseguridad en base a las lecciones aprendidas.
   3. Notificar a cada persona o equipo con un rol definido de la actualización del plan y las lecciones aprendidas.
8. No más allá de 60 días calendario de presentarse un cambio en la sección de roles o responsabilidades, los individuos o equipos de respuestas a incidentes de ciberseguridad, de tecnología que pueda impactar la ejecución del plan, se deberá:
   1. Actualizar el plan de respuesta a incidentes de ciberseguridad
   2. Notificar las actualizaciones a cada persona o equipo con un rol definido dentro del plan de respuesta a incidentes de ciberseguridad.
9. Al momento de realizar notificaciones y actualizaciones iniciales se deberán de incluir los siguientes atributos:
   1. Impacto funcional
   2. Vector de ataque utilizado
   3. Nivel de intrusión o penetración que se logró o que se intentó
10. Estas notificaciones y actualizaciones iniciales se deberán de hacer en un plazo de una hora después de la determinación de un incidentes de ciberseguridad reportable. 
11. De existir actualizaciones, estas se deben de proveer dentro de los 7 días calendario a partir de la determinación de un nuevo atributo o cambio de atributo mencionado en el ítems número 7.

Recomendaciones

Es indispensable que las organizaciones y en especial aquellas que se encuentran dentro de las empresas coordinadas por el CEN, cuenten con un plan de respuesta de incidentes de Ciber seguridad que sea lo suficientemente capaz de responder ante las diversas situaciones que se puedan presentar en relación con la indisponibilidad de sus servicios por ataques tanto externos como internos.  

La factibilidad que un plan de respuesta a incidentes de Ciber seguridad perdure en el tiempo, va a depender de las revisiones, actualizaciones y pruebas que se le apliquen periódicamente, junto con la incorporación de las lecciones aprendidas sobre estos incidentes.

Las actualizaciones se deben de hacer como mínimo cada 15 meses según calendario para reflejar, cambios en los roles, responsabilidades y equipos del plan, la comunicación efectiva que se realice a toda la organización y en especial a los involucrados en el plan de respuesta a incidentes de ciberseguridad. En general se recomienda que las revisiones y actualizaciones del plan, sean realizadas cada año y/o posterior a la determinación de las lecciones aprendidas luego de cada incidente de Ciber seguridad.

Todas estas actividades ayudaran a las organizaciones a estar preparados, atentos y en constante actualización de mejoras al plan de respuesta a incidentes de ciberseguridad.