Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
ESTADO DE PREPARACIÓN
EN CIBERSEGURIDAD DEL SECTOR ELÉCTRICO
EN AMÉRICA LATINA
Diagnóstico, recomendaciones y guía de buenas prácticas
Contribución Técnica:
Catalogación en la fuente proporcionada
por la Biblioteca Felipe Herrera del Banco
Interamericano de Desarrollo
Barrero, Vladimir.
01
INTRODUCCIÓN
P. 16
03
EVALUACIÓN CUALITATIVA,
CUANTITATIVA Y ESTADO DEL ARTE
P. 34
04
RECOMENDACIONES A
FORMULADORES DE POLÍTICAS
P. 116
05
RECOMENDACIONES A
OPERADORES DEL
SUBSECTOR ELÉCTRICO
P. 144
07
REFERENCIAS
P. 190
06
CONCLUSIONES
P. 178
TABLA DE
ILUSTRACIONES
10
FIGURA 27. Acceso remoto a TI 69
FIGURA 28. Política de gestión de dispositivos de red remotos 70
FIGURA 29. Uso del protocolo SNMP 71
FIGURA 30. Uso de WiFi en redes TO 71
FIGURA 31. Uso de firewall en la red TO 74
FIGURA 32. Enrutamiento del tráfico por el Firewall 74
FIGURA 33. Reglas de filtrado de tráfico 75
FIGURA 34. Política de configuración del firewall 76
FIGURA 35. Equipos protegidos con EPS 77
FIGURA 36. Control de acceso para TO 77
FIGURA 37. Política de acceso a los recursos de red 78
FIGURA 38. Política de contraeñas dispositivos de red 79
FIGURA 39. Uso contraseñas en PLC 80
FIGURA 40. Gestión de contraseñas en las estaciones de ingeniería 80
FIGURA 41. Gestión de contraseñas en los servidores de control 81
FIGURA 42. Bastionado de los PLC 82
FIGURA 43. Bastionado de las estaciones de ingeniería 83
FIGURA 44. Bastionado de los servidores de control 84
FIGURA 45. Política de medios extraíbles 85
FIGURA 46. Política de DLP 86
FIGURA 47. Compromiso de la alta dirección 87
FIGURA 48. Política de seguridad para TO 88
FIGURA 49. Publicación de la política de seguridad 88
FIGURA 50. Actualización de la política 89
FIGURA 52. Compatibilidad con NERC 90
FIGURA 52. Compatibilidad con NIST 90
11
FIGURA 53. Compatibilidad con ISO/IEC 27001 90
FIGURA 54. Auditoría 91
FIGURA 55. Frecuencia auditoría TO 92
FIGURA 56. Funciones y responsabilidades 92
FIGURA 57. Designación del CISO 93
FIGURA 58. Certificación del CISO 94
FIGURA 59. Encargado regional de la seguridad 94
FIGURA 60. Certificación encargado regional de seguridad 94
FIGURA 61. Encargado local de seguridad 95
FIGURA 62. Certificación local de seguridad 95
FIGURA 63. Equipo cibernético dedicado para ICS 96
FIGURA 64. Entrenamiento equipo cibernético 96
FIGURA 65. Concienciación equipo TO 96
FIGURA 66. Política monitoreo 97
FIGURA 67. Monitoreo red TO 98
FIGURA 68. Uso de herramientas de monitoreo TO 98
FIGURA 69. Política de gestión de alertas 99
FIGURA 70. Uso de herramientas par ala gestión de incidentes 99
FIGURA 71. Control acceso físico TO 100
FIGURA 72. Otros mecanismos de acceso físico 100
FIGURA 73. Control de acceso para visitantes externos 101
FIGURA 74. Procedimiento para los visitantes 102
FIGURA 75. Control de llegada y salida de visitantes 102
FIGURA 76. Bloqueo de acceso físico a los activos de TO 103
FIGURA 77. Uso de equipos de terceros en la red TO 103
FIGURA 78. Autenticación de usuarios 104
FIGURA 79. Creación de nuevos usuarios 104
FIGURA 80. Permisos de acceso 105
12
FIGURA 81. Conexión remota 105
FIGURA 82. Controles conexión remota 106
FIGURA 83. Política bastionado PLC 107
FIGURA 84. Actualización firmware PLC 108
FIGURA 85. Política Bastionado estaciones de ingeniería 108
FIGURA 86. Actualización firmware estaciones de ingeniería 109
FIGURA 87. Política bastionado servidores de control 109
FIGURA 88. Actualización firmware servidores de control 110
FIGURA 89. Actualización firmware de red 110
FIGURA 90. Actualización EPS 111
FIGURA 91. Elementos política continuidad ICS 112
FIGURA 92. Política copias de seguridad 112
FIGURA 93. Redundancia red TO 113
FIGURA 94. Copia de seguridad PLC 114
FIGURA 95. Elementos con copia de seguridad 115
FIGURA 96. Meta A: Definir un marco regulatorio para la protección 126
de Infraestructuras críticas del subsector eléctrico
FIGURA 97. Meta B: Robustecer la estrategia de seguridad del sector 130
energético aumentando su preparación ante ciberamenazas
FIGURA 98. Meta C: Coordinar la respuesta, recuperación y reporte de incidentes 137
de ciberseguridad a lo largo del sector de manera eficaz
FIGURA 99. Meta D: Fomentar la investigación, desarrollo, innovación 141
y certificación de componentes y sistemas ciberresilientes
FIGURA 100. Topología de un sistema de generación de energía y la información asociada 145
Fuente: Electricity Subsector C2M2 – US DoE,US DHS
FIGURA 101. Ejemplo de Diagrama de Kiviat generado considerando los diferentes 147
dominios de seguridad de ES-C2M2 y los Niveles Indicadores de Madurez (MIL)
13
PRÓLOGO
14
Este primer estudio de ciberseguridad del sector
eléctrico de la región se convierte en un referente
para comprender el estado y las acciones que
deben ser desarrolladas por los diferentes países y
empresas, con el fin de lograr la resiliencia frente a
los crecientes y complejos ataques cibernéticos que
se vienen presentando. Además, sirve como punto
de partida para la definición de planes de acción y
futuros estudios, a la vez que muestra la necesidad
de construir conjuntamente un ecosistema de
ciberseguridad que apoye a los diferentes actores
para fortalecer la seguridad y confiabilidad
del servicio esencial de energía eléctrica.
16
Los hallazgos encontrados
en el estudio se basan en la
encuesta respondida
por 43 empresas de
toda la cadena de suministro
de la electricidad
Para su elaboración se ha contado con el apoyo y Este informe analiza tanto los resultados
gestión de la Comisión de Integración Energética cualitativos como cuantitativos,
Regional-CIER y su Grupo de Trabajo de Operadores detallando y analizando los resultados
& Administradores de Mercado para concretar la obtenidos y considerando los siguientes
participación de las empresas del sector eléctrico dominios de seguridad:
latinoamericano tanto en el diligenciamiento de
la encuesta como en la revisión de documentos
Gobernanza de
y realización del taller sobre “CIBERSEGURIDAD
en el Sector Eléctrico en ALC”. En este taller, la seguridad
además de analizar los primeros resultados de la
encuesta y la problemática del riesgo cibernético, se
intercambiaron prácticas y experiencias directas de Gestión de la
las empresas y operadores de sistema. La encuesta seguridad lógica
fue respondida por 43 empresas del subsector
eléctrico de la región, dirigida a los directores
de seguridad de la información (CISO) y a los Gestión de las
Ingenieros Superiores de Control de toda la cadena
comunicaciones
de suministro de electricidad, incluida la generación,
transmisión, distribución y operación del sistema
en la región . Se realizaron también entrevistas Gestión de la
individuales con 7 empresas seleccionadas
cadena de suministro
realizadas por la consultora SCADASUDO de Israel.
17
Uno de los objetivos del estudio
es proporcionar recomendaciones a
los responsables de establecer
políticas y estrategias de seguridad
en los estados de la región
01 | introducción 19
02
DEFINICIONES
Y LISTAS DE ACRÓNIMOS
2.1 O rg a n iza c io n e s
OEA
Organización de los
Estados Americanos
NERC –
IIC North American Electric
CIER Industrial Internet Consortium Reliability Corporation
Comisión de Integración Consorcio industrial del Internet Corporación Norteamericana
Energética Regional. de Confiabilidad Eléctrica
ISA
BID International
NIST –
Banco Interamericano Society of Automation.
National Institute of Standards
de Desarrollo. Sociedad Internacional
and Technology.
de Automatización
Instituto Nacional de
IEEE Estándares y Tecnología
Instituto de Ingenieros ISO Asociado al Departamento
Eléctricos y Electrónicos. International de Comercio de los Estados
Standardization Organization. Unidos de América
IEC Organización Internacional
International para la Estandarización ERM
Electrotechnical Commission. Enterprise Risk Management
Comisión ALC Gestión de
Electrotécnica Internacional América Latina y el Caribe. Riesgos Empresariales
20
2.2 N o rma s, Está n d a re s
y M arc o s d e Refe re n c ia
rela cio n a d o s c o n
C i b e rs eg u rid a d I n d u stria l
e n e l Se cto r En e rg é tic o
21
ENISA armonizadas de certificación de confianza, el uso de la
Communication network de redes eléctricas inteligentes computación en la nube, el análisis
interdependencies europeas que cubran toda la de Big Data y el entorno legislativo
in smart grids cadena de suministro de redes europeo, incluida la Directiva
Este estudio de ENISA se eléctricas inteligentes, y están NIS, GDPR y Clean Energy.
centra en la evaluación de respaldadas por una plataforma
las interdependencias y las europea basada en M / 490 ISO/IEC 27019:2017
comunicaciones entre todos los SGAM1 (Modelo de arquitectura Establece guías de aplicación de
activos que conforman las nuevas de redes inteligentes) y el los controles de la norma ISO/
redes de energía, sus arquitecturas concepto de cadena de confianza IEC 27002 en un sistema de
y conexiones para determinar de redes eléctricas inteligentes. gestión de la seguridad aplicado
su importancia, amenazas, a los sistemas de control y
riesgos, factores de mitigación CEER automatización del sector
y posibles medidas de seguridad Cybersecurity Report energético. Tiene en cuenta
para implementar. Para obtener on Europe’s Electricity las características propias del
esta información, se contactó a and Gas Sectors subsector eléctrico considerando
expertos en los campos y áreas Este informe del Council of su repercusión en el entorno de
relacionadas directamente con las European Energy Regulators las infraestructuras críticas.
redes inteligentes para recopilar (CEER) describe la visión del
sus conocimientos y experiencia. panorama de ciberseguridad
de las Autoridades Reguladoras
ENISA Nacionales (NRA). El informe
Smart Grid Security ofrece una descripción general
Certification in Europe del estado de la ciberseguridad
El informe de ENISA describe en el sector energético, con un
la necesidad de prácticas enfoque particular en la necesidad
TO
“Tecnologías de la Operación”
Conjunto de equipos, sistemas y redes que IIoT
componen los sistemas de automatización y de “Industrial Internet of Things”
control en entornos industriales. Intervienen en Designa a los elementos IoT diseñados para operar
la operación de los procesos de producción. específicamente en entornos industriales.
>
Nivel 1 Control de procesos
Red: Instalaciones Decisiones: Fracciones de segundo
>
Nivel 2 Supervisión de área
Red: Instalaciones Decisiones: Fracciones de segundo
>
Nivel 3 Operaciones y control
Red: Corporativa-Instalaciones Decisiones: Minutos/Horas
>
Nivel 4 Planeamiento y logística
Red: Corporativa Decisiones: Días/Semanas
>
Nivel 5 Corporativo
Red: Corporativa Decisiones: Meses/Años
Riesgo
Activo Combinación de la probabilidad
Cualquier elemento que forme de que una amenaza impacte Vector de ataque
parte de un servicio o proceso sobre un activo y de sus Método que el atacante utiliza
de operación que deba ser consecuencias. El riesgo se para acceder a un sistema, a
protegido para garantizar la mitiga a través de la implantación través del cual podrá introducir los
continuidad y calidad del servicio. de controles de seguridad. códigos maliciosos o herramientas
para infectar un sistema.
Amenaza Superficie de ataque
Cualquier acción o elemento, ya Conjunto de vulnerabilidades Firewall
sea interno o externo, capaz que permitirían acceder a Dispositivo de seguridad
de causar daño a un activo. un sistema por parte de un perimetral que permite
atacante. La superficie de ataque administrar y controlar el tráfico
Vulnerabilidad se utiliza para obtener acceso y los servicios de red. Suele
Debilidad en un activo o en el no autorizado, interrumpir las instalarse en puntos de entrada/
proceso del cual forma parte que comunicaciones y el acceso a salida o interconexión de redes
podría exponer el sistema a la datos, y degradar el servicio o para poder analizar todo el
materialización de una amenaza. producto generado por el sistema. tráfico que circula por ese punto.
Ataques de denegación de
servicio (DoS) y de denegación
de servicio distribuido (DDoS)
Ataque lanzado desde un gran número de Ataque de fuerza bruta
máquinas ejecutando solicitudes hacia el Ataque que trata de descubrir la contraseña de
sistema víctima de modo que éste queda las víctimas con herramientas automatizadas
saturado y pierde la capacidad de respuesta. que generan todas las combinaciones posibles
de claves hasta encontrar la correcta.
Ataques de phishing y spear phishing
Ataque vía correo electrónico que confunde a Ataque de inyección SQL
la víctima para descargar o permitir el acceso Ataque que aprovecha una falta de validación
a contenido malicioso. Puede ser una campaña en la entrada (input) de comandos a una base
genérica o un ataque adaptado a individuos de datos SQL mediante la introducción de
concretos o grupos específicos combinando cadenas y caracteres específicos para entregar
técnicas de ingeniería social (spear phishing). datos no autorizados de la base de datos.
34
3.1 Esta d o d e l a rte e n
i n c i d ente s d e s eg u rid a d
35
Las consecuencias En la actualidad, las soluciones basadas en la
nube son cada vez más comunes y ofrecen una
de estas acciones versatilidad que hoy la TI asume como natural. Las
se reflejan en: empresas del sector de la energía aún no tienen
claro cuan seguro es ir a la nube, sobre todo
en factores de riesgo como ciberdelincuentes,
>> Daños en la calidad de los ramsomware, ciberataques que faciliten la
productos o servicios realización de apagones, debilidades de la seguridad
de los datos y filtración de la información y eventos que
puedan afectar la privacidad de la información operativa
>> Pérdida de la confianza de los clientes
y que estén sujetos al marco del Reglamento General
de Protección de Datos de la Unión Europea (GDPR) [5].
>> Daño al ambiente
TECNOLOGÍAS
DE LA OPERACIÓN
Detectar Automatización
Causar cambios
Dispositivos físicos
Monitoreo directo
Control Procesos
Eventos
después que revelan cómo han HMI de GE. Este sirvió de El estudio de Trend Micro
evolucionado los incidentes. preámbulo para los ataques de también revela que un vector
Ucrania (en 2015 y 2016) y en de ataque es ofrecido por las
Se presenta una breve cronología Estados Unidos en 2016, según mismas empresas al colocar sus
de incidentes de ciberseguridad un estudio de Trend Micro. [8] sistemas (HMI, SCADA, entre
que afectan infraestructuras otros) en internet, es decir con
críticas, y de manera especial Ataques como los generados IP públicas, y expuestos sin
al sector de energía. por el equipo TRITON revelaron ninguna medida de seguridad
la necesidad que los sistemas más que un usuario y una
Un aspecto para resaltar son de seguridad y protección contraseña, que en algunos
los ataques que tienen como (Safe and Security) deban casos es la genérica definida por
objetivo los sistemas de control estar en redes aisladas [9], el fabricante. Estos sistemas
industrial. Por ejemplo, la ya que pueden ser vulnerables son fácilmente descubiertos por
campaña de ataque Havex de a ataques y poner en riesgo plataformas como SHODAN y
2014 por medio de una familia de vidas humanas. Desde el técnicas como GeoStalking. [8]
malware que tenía la habilidad 2016 hasta el 2018 se han
de encontrar otros ICS. [8] registrado ataques que
implican también espionaje a
Las campañas Sandworm empresas del sector eléctrico
en 2014 explotaron una tanto en Estados Unidos como
vulnerabilidad de los equipos en Turquía o Irlanda. [8]
1997
Troyano
1999
2000 Gasoducto Bellingham
Washington, Estados Unidos
Acueducto Maroochy
Mal uso de recursos
Australia
Mal uso de recursos
2001
2002 Operador del Sistema Eléctrico (CAISO)
California, Estados Unidos
Puerto Marítimo
Venezuela Compromiso root
Consola remota
1980-2003 2003
Slammer
Planta nuclear David - Besse,
FIGURA 3. Línea de tiempo de incidentes de Estados Unidos
Virus
ciberseguridad industrial 1980-2003 [10], [11].
2003
Israel Electric Corp. (IEC)
Israel Electric Corp, Israel
DoS
2004
Sasser
British Airways Railcorp,
2014
2015 OnionDog
Corea del Sur
Onion City
Malware, USB worm
Corea del Sur
Botnet, troyano
2015 2015
BlackEnergy Fábrica de Acero
Red eléctrica, Ucrania Alemania
Malware, spear phishing Malware, spear phishing
2016 2016
Conflicker Grupo de hackers sirios
Planta nuclear KGG, Alemania Compañía de agua Kemuri (KWC),
Worm Spear phishing
2014-2017 2017
Crashoverride
FIGURA 5. Línea de tiempo de incidentes de Red eléctrica, Ucrania
ciberseguridad industrial 2014-2017 [10], [11]. Worm
2017
Fabricante de vehículos DACIA, Rumania
Ramsomware
NotPetya
Múltiples objetivos,
Ucrania y Alemania
Ramsomware
2017
WannaCry
2020
2021
2022
2023
FIGURA 6. Línea de tiempo de incidentes de
ciberseguridad industrial 2017-2018 [10], [11].
Riesgos
en la cadena
Convergencia de suministro
Exposición global
TI/TO
de debilidades locales
TECNOLOGÍAS
Uso de información y BIG DATA para ejecutar pruebas, medición y detección de potenciales intrusiones.
Las redes deben ser segmentadas, monitoreadas y controladas.
Limitar el acceso al ICS y a la información de la red de control que existe sobre la red de negocio.
Políticas y regulaciones
Guías y estándares de la industria e incentivos.
Regulaciones que incluyan requerimientos legales, auditorías y sanciones
relacionadas con el establecimiento de requerimientos de seguridad.
Procesos
Compartir información.
Desarrollar medidas activas para la gestión del riesgo en la cadena de suministro.
Ciberdefensas.
Planes de respuesta a incidentes que incorporen personal tanto de TI como de TO.
Planes de operación resilientes para sobrevivir a ataques cibernéticos,
a la TO y la sostenibilidad del sistema.
Preguntas
ORIENTADORAS
Operación
Generación Transmisión Distribución del sistema
También se permitió que se identificaran Una de las limitaciones del estudio radica en el
como organizaciones multisegmento. hecho que no todas las organizaciones participantes
respondieron a la totalidad de las preguntas. Este
aspecto es muy relevante, puesto que limita el análisis
La muestra está compuesta por 43 de muchas de las preguntas a resolver. Por ello, se
organizaciones clasificadas de acuerdo con la considera relevante reflejar cuántas organizaciones
Figura 9, donde se presenta la participación no respondieron a las preguntas, con el ánimo de
por segmento. Esta clasificación es utilizada estimular para futuros ejercicios un compromiso
en el estudio como base para el análisis. mayor para lograr un reflejo más fiable del escenario.
Operador
de sistema 9
Generación 6
Distribución 6
Una combinación 17
de las anteriores
0 2 4 6 8 10 12 14 16 18
Es importante notar que, de la muestra, el datos analizados van a tener esta consideración
40% de los participantes se identifican como a la hora de presentar los resultados.
empresas multisegmento, es decir que no se
dedican de manera exclusiva a un segmento Podemos identificar también que aunque las
concreto de la cadena de suministro. No hay una empresas del segmento de transmisión suelen
discriminación específica de a cuáles segmentos ser pocas, se refleja una menor participación
específicamente se tiene pertenencia. Los en el presente estudio (Ver Figura 10).
12%
21%
Participantes
14%
%
14%
40%
0 5 10 15 20 25 30 35 40 45
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
500 o menos 2000 a 10000 De la Figura 11 se puede apreciar que las empresas con más
500 a 2000 Sin respuesta empleados son las multisegmento, requiriendo generalmente
de mayor personal al tener un rango de actividades superior.
Sin respuesta
Más de 10
6 a 10
3a5
3a5
0 5 10 15 20 25
Preguntas
ORIENTADORAS
Si tiene centros de regiones o países (Figura 13), se Nuevamente las empresas
resalta que varias de las empresas multisegmento se mostraron
producción en varias identificadas como operadores con operaciones más amplias
regiones o países, ¿en del sistema no contaban con donde cuentan con presencia
cuántas regiones ningún centro de producción. en varias regiones o países.
Esto puede ser derivado de que, En contraste, se confirma
tienen centros? por su naturaleza en el proceso que por su naturaleza las
Al consultar respecto a si las no requieren necesariamente empresas generadoras están
empresas son nacionales o si centros distribuidos en mucho más concentradas
tiene operación en diferentes diferentes regiones o países. y no tan dispersas.
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
El estudio se centra en
indagar en los siguientes
dominios relacionados con la
ciberseguridad y la resiliencia de
las organizaciones relacionadas
con la cadena de suministro:
Gestión de la Gestión de la
cadena de suministro seguridad lógica
Se busca dar un enfoque de El estudio pretende indagar acerca reconocer que existe, para ello
riesgos a este análisis, donde los del conocimiento y percepción se exploran aspectos en cada
tomadores de decisión puedan de las amenazas, así como del uno de estos dominios como
conocer el estado y así proyectar estado de las vulnerabilidades una primera aproximación
las acciones de mitigación. en las organizaciones del sector para poner en común el
y su impacto potencial, tanto estado de la ciberseguridad.
Se puede considerar el nivel en la propia industria como en
del riesgo como una función de la sociedad en su conjunto. Está previsto que futuras
la probabilidad de amenazas y ediciones de la encuesta
vulnerabilidad, y su impacto a Este enfoque busca entender profundicen en estos dominios de
través de las consecuencias el grado de preparación y seguridad y analicen otros nuevos
derivadas de la explotación concienciación con el que que permitan aumentar el grado
de esas vulnerabilidades. cuentan los hoy responsables de conocimiento del sector y, con
de la ciberseguridad. ello, facilitar el consenso acerca de
Las vulnerabilidades pueden recomendaciones que puedan ser
evitarse o mitigarse generando Para poder solucionar un útiles para mejorar el estado de
capacidades en las compañías. problema, lo primero es la ciberseguridad TI e industrial.
Transmisión 2 1 2
Operador
de sistema 3 3 2 1
Generación 1 4 1
Distribución 2 1 2 1
Una combinación 5 3 9
de las anteriores
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 5 10 15 20 25 30
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 5 10 15 20 25 30
FIGURA 16. Soporte de tercer y cuarto nivel equipo de las Tecnologías de Operación.
Preguntas
ORIENTADORAS
¿Mantiene su organización una separación entre sus
redes de control y de negocios? (Figura 17)
¿Cómo separa su organización sus redes operativas? (Figuras 18 y 19)
¿Su organización mantiene una VLAN dedicada para backup? (Figura 22)
Es importante notar
se puede definir reglas de QoS en los protocolos
802.x y garantizar la menor latencia posible.
que la segmentación
permite el confinamiento 23 de las empresas indican que en sus
instalaciones cuentan con redes independientes,
del tráfico y la gestión de la es decir, que no están conectadas a las demás
instalaciones de la empresa. A su vez, que
comunicación que pasa por los estas redes están segmentadas internamente,
diferentes conductos. garantizando una separación entre TO y TI.
0 5 10 15 20 25
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
Sin respuesta
Las amenazas relacionadas con eficiente de las redes. Pero al Para ahondar es este punto, en
el acceso indebido a los sistemas, compartir elementos de red y la Figura 19 se representa la
la propagación de malware tráfico, las amenazas propias relación entre quienes segmentan
y ramsonware pueden ser de TI pueden propagarse y y el tipo de segmentación que
mitigadas con la segmentación contagiar las redes TO. es aplicada. De aquí se puede
0 5 10 15 20 25
Sin respuesta
Al indagarse si la red TO estaba conectada a salida directa a internet. Esto implica la exposición
Internet se aprecia que en promedio el 50% de de su infraestructura a amenazas externas.
las redes TO no están conectadas a Internet (ver
Figura 20). Hay una excepción para las empresas Es importante que se valore la necesidad que
del segmento transmisión, que en su totalidad las redes TO tengan acceso directo o indirecto
tienen conectividad a Internet a través de la red TI. a internet. Esto genera una ampliación de la
Para los segmentos de empresas de distribución y superficie de ataque y expone a las organizaciones
combinación de las anteriores, indican que tienen de manera directa a ataques externos.
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Ninguna red de TO está co- Sí, pero solo a través de redes cor-
nectada a Internet porativas conectadas a Internet
0 5 10 15 20 25
Ninguna red de TO está conectada a Internet Sí, pero solo a través de redes corporativas
conectadas a Internet
Contar con una VLAN dedicada herramientas de monitoreo seguridad no requiere que se
para la seguridad garantiza y medición, no contamine el tenga acceso a los procesos
que el tráfico relacionado con tráfico ordinario de TO. De industriales, permitiendo
la recolección de los registros la misma manera, la gestión además hacer una limitación al
del sistema y de las demás de las herramientas de control de acceso a la red TO.
0 2 4 6 8 10 12 14
Preguntas
ORIENTADORAS
¿Su organización mantiene Control de Acceso a la Red
(Network Access Control, NAC) en su red operacional? (Figura 24)
No
0 5 10 15 20 25
Cerca de un 65% de las empresas dispositivos de red, hace que un el privilegio de conexión. Esto
reconocieron que no cuentan con equipo comprometido pueda llegar puede ser, que su dirección MAC
NAC (control de acceso a la red) a conectarse a la red TO de manera se corresponda con una lista de
para su red TO. Nuevamente, inadvertida y ser así un vector de dispositivos autorizados, o que el
las empresas del segmento de entrada de algún tipo de ataque. dispositivo cumpla unos requisitos
generación reconocen que en mínimos de autoprotección,
su totalidad no cuentan con esta Al contar con un NAC, se pueden como tener actualizado su
medida de protección. Combinado establecer reglas para que solo firmware, su sistema operativo,
esto con el hecho de no contar equipos que cumplan ciertos que cuenten con solo unos
con una gestión completa de los perfiles de seguridad tengan pocos puertos abiertos.
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
No Si Sin respuesta
Sin respuesta
0 2 4 6 8 10 12 14 16 18 20
Respecto al acceso remoto a las redes TI, las para que se haga por medio de VPN y se
empresas de todos los sectores reconocen implementen múltiples factores de autenticación
que pueden tener acceso remoto a través (algo que sé, algo que tengo y algo que soy).
de internet. Los operadores del sistema
0 5 10 15 20 25 30
Sin respuesta
0 5 10 15 20 25 30
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 5 10 15 20 25 30
En relación con el uso de WiFi cuenta con dispositivos que se las redes TO debe responder a un
(IEEE 802.11) en las redes TO, es autentican usando el reciente análisis del riesgo muy riguroso.
notorio que en todos los sectores protocolo WPA3. Dos empresas Mas allá de implementaciones de
hay empresas que tienen como del segmento combinado protocolos de campo inalámbricos
política impedir la operación de reconocen que usan WEP o nula como puede ser la nueva
dicho protocolo en su red TO (Ver autenticación en su red WiFI. versión de HART, es importante
Figura 30). Llama la atención que considerar que protocolos de
excepto en distribución, al menos La necesidad de contar con el servicio comunes en redes TI no
una empresa por segmento protocolo 802.11x disponible en estén disponibles en las redes TO.
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
Preguntas
ORIENTADORAS
¿Su organización está utilizando Firewalls (FW) en su red operacional?
(Figura 31)
Hoy día se disponen con los llamados Firewall sus firewalls no realizan esta tarea (Ver Figura
de nueva generación NGFW (Next Generation 32). Esto indica que cuentan con enrutadores
Firewall) que son dispositivos que integran dedicados y hacen que la carga del firewall solo
diferentes funciones, como por ejemplo la de sea dedicada al filtrado de los paquetes.
enrutamiento de los paquetes de red. Estos
dispositivos pueden estar en la capacidad de filtrar Organizaciones maduras consideran en su
paquetes y protocolos propios de redes TO. infraestructura que los equipos de misión crítica
sean dedicados. Esto quiere decir que equipos del tipo
En los segmentos de transmisión generación y NGFW no siempre sean los más adecuados para la
distribución hubo empresas que reconocieron gestión de todo el tráfico. De esta manera contar con
que no contaban con firewall en sus redes TO enrutadores (routers) y conmutadores (switches)
(Ver Figura 31). En donde si está presente dedicados donde sea posible configurar QoS sobre
conviven tanto los que son industriales los servicios críticos sea la mejor opción. En relación
como los que son genéricos de TI. con el uso de firewalls, nuevamente, para ser usados
en redes TO, en sus conductos y las interfaces con
Al indagar en cuales infraestructuras el tráfico la red TI, deberían contar con perfil industrial, que
es enrutado por el firewall o no, una empresa les permita no solo reconocer los protocolos de
de transmisión y otra de operación indican que campo, sino garantizar latencias mínimas en la red.
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
Sí, pero ninguno de los FWs Sí, y todos los FWs de las redes
de las redes operativas es industrial operativas son FWs industriales
Sin respuesta
Sí
0 5 10 15 20 25
La efectividad del firewall está basada en la protocolos, solo dando el paso a los permitidos
calidad de las reglas definidas. En la Figura 33 explícitamente. Llama la atención de una
se observa que empresas de los diferentes empresa que indica que su firewall no bloquea
segmentos han definido reglas para el filtrado de ni registra ningún protocolo específico.
Sin respuesta
0 5 10 15 20 25 30 35
Los firewalls en las redes TO deben responder empresas reconocen que usan un proceso intuitivo de
a configuraciones específicas que garanticen la prueba y error para configurar el dispositivo. En los
disponibilidad. También allí se deben reflejar las reglas otros casos el firewall ha sido configurado siguiendo
que derivan de las políticas de seguridad definidas las buenas prácticas del mercado y respondiendo a las
por la alta gerencia. En la Figura 34 se describe políticas de seguridad. No está generalizado que debe
quien ha configurado el firewall y si no responde a las haber revisiones periódicas para la incorporación
políticas de seguridad TO. Se llama la atención que tres de nuevas reglas y ajustes por nuevas amenazas.
0 2 4 6 8 10 12 14
Estaciones
de ingenieros
Equipos de medición y
ensayo (metering and testing)
Computadores
portátiles de técnico
Sin respuesta
Servidores de control
de producción
0 5 10 15 20 25 30
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
No Sí Sin respuesta
0 5 10 15 20 25
A continuación, se describirá el manejo de las Las gestión de contraseñas en los PLC, las
contraseñas que se está dando a los diferentes estaciones de ingeniería y los servidores de control,
dispositivos en la red TO. Inicialmente se describe la puede apreciarse en la Figura 39, la Figura 40, y
política de contraseñas para los dispositivos de red en la Figura 41 respectivamente. Para los PLC y las
(Ver Figura 38). Nueve empresas no contestaron estaciones de ingeniería se aprecia como empresas
a la pregunta, lo que puede indicar que no tienen de generación, transmisión y multisegmento han
política alguna definida. Se puede interpretar que indicado que tienen dispositivos sin contraseña
la elección de compartir la misma contraseña para alguna. Esto indica que no requiere ningún tipo
algunos de los dispositivos de red es una práctica de autenticación para acceder al equipo.
usual. Sin importar si esta es robusta, el riesgo
que encierra es que conociendo una contraseña se Otro elemento común para los tres tipos de dispositivos
puede acceder a múltiples dispositivos de la red TO. es que aún están configuradas las contraseñas por
Sin respuesta
Sin respuesta
Sin respuesta
Sin respuesta
0 5 10 15 20 25
Otro aspecto importante para considerar es Para el bastionado de los PLC (ver Figura 42)
la seguridad por capas. Esto implica que cada se aprecia que las consideraciones mínimas a
dispositivo debe estar en la capacidad de considerar no son seguidas por las empresas de
protegerse a sí mismo, y que cada conexión todos los sectores. Algunas de ellas solo consideran
también sea protegida. Una de las aproximaciones un factor de autenticación como medida suficiente.
para lograrlo consiste en bastionar los equipos.
Aquí, cada tecnología va a contar con reglas y Establecer laboratorios de prueba, donde se
limitaciones específicas, incluso elementos de la verifique la operación de los PLC luego del
misma clase, pero de fabricantes diferentes, puede bastionado, y que este responda a la política
enfrentarse a reglas de bastionado diferentes. establecida se recomienda como buena práctica.
Deshabilitar el soporte de
protocolos innecesarios
Desactivación de aplicaciones
innecesarias en el firmware
(soporte lógico inalterable) de los PLCs
Deshabilitar el soporte de
protocolos innecesarios
Desactivación de aplicaciones
innecesarias en el sistema operativo
de las estaciones ENG
Desactivación de servicios innecesarios
en el sistema operativo de
las estaciones ENG
0 2 4 6 8 10 12 14 16 18 20
Bloqueo de medios
extraíbles no autorizados
Deshabilitar el soporte de
protocolos innecesarios
Desactivación de aplicaciones
innecesarias en el sistema
operativo de los servidores de control
Cabe resaltar, que, aunque Para considerar los riesgos de las redes
0 5 10 15 20 25
De las 7 empresas que indican tienen una política estricta y correcto funcionamiento. Pero
que tienen una solución de configurada y monitorizada. para aquellas empresas que si lo
DLP, solo 6 indican como lo tienen implementado, es imperativo
gestionan (Ver Figura 46). No Se evidencia que aún las empresas que pasen del modo de aprendizaje
contar con una política activa no cuentan con la madurez a uno más operativo donde
en el DLP es reflejo que este suficiente para implementar un tengan la capacidad de detección,
está en modo aprendizaje, DLP. Esto no es negativo, siempre y y bloqueo y que se integre con
y no en operación. Tan solo cuando para los elementos básicos los sistemas de monitoreo
dos empresas indican que se garantice su implementación de la seguridad tipo SIEM.
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
3.4.7 Gobernanza
de la seguridad
Es importante
considerar que la Es importante considerar que la seguridad de la
operación, así como la seguridad de la información
seguridad de la requiere un gobierno. Este debe ser liderado
por la alta dirección de la organización (quienes
operación, así como la deben contar con las competencias adecuadas)
y reflejarse no solo en la documentación sino
seguridad de la información
en la disposición de recursos humanos y
requiere un gobierno. materiales para garantizar su implementación.
La Figura 47 muestra algunos indicadores Esto refleja una realidad que suele presentarse al
generales que reflejan el compromiso de la subestimar el impacto de la seguridad en la operación
alta dirección. Unas seis empresas indicaron la y sus acciones proactivas más que reactivas.
ausencia de compromiso de la alta dirección.
Otro aspecto que se detectó es el compromiso
Unas seisempresas superficial, ya que si no se designa suficiente
personal y se asigna presupuesto es muy
indicaron la ausencia de poco lo que se puede realizar para garantizar
compromiso de la alta dirección. una operación segura y gobernable.
Sin respuesta
Sí, y tenemos un
presupuesto dedicado
Sí, un apoyo total que
incluye un comité directivo
y un presuspuesto dedicados
No
0 2 4 6 8 10 12 14 16 18
Uno de los elementos que política completa definida. La política para que sea efectiva
reflejan el compromiso de la Siempre se habla del conflicto debe ser comunicada ampliamente
organización con la seguridad entre TI y TO, pero se evidencia a todos los miembros de la
es la definición de una política que, sí existe una sinergia, organización. Al menos 24
específica para la seguridad en puesto que 10 empresas de organizaciones indicaron que no
TO. En la Figura 48 se aprecia todos los segmentos han comunican la política, mientras
que 9 empresas no cuentan definido algunas referencias que el resto lo comunica
con una política, mientras que en su política de seguridad por medio de mecanismos
tan solo seis cuentan con una de la información para TI. formales o informales.
Sin respuesta
No
0 2 4 6 8 10 12 14 16 18 20
Sin respuesta
0 5 10 15 20 25 30
Últimos 6 meses
Sin respuesta
Nunca
0 5 10 15 20 25
Sí
Parcial
No
0 5 10 15 20 25
Sin respuesta
Sí
Parcial
No
0 5 10 15 20 25
Sin respuesta
Sí
Parcial
No
0 5 10 15 20 25
Sin respuesta
0 5 10 15 20 25
Sin respuesta
Cada 6 meses
0 5 10 15 20 25
Tal como se indicó en el inicio de la sección, el empresas no han definido este aspecto, mientras
compromiso de la alta dirección con la seguridad que el resto de alguna manera lo tiene especificado.
se refleja en la destinación de recursos, y en este Nuevamente en algunos casos basado en lo definido
caso del personal idóneo para desempeñar las para TI, y se subraya que sí hay empresas de todos
tareas de salvaguardar la operación de ataques los segmentos consientes de emplear metodologías
cibernéticos. Se aprecia en la Figura 56 que 13 de TO para definir los roles y responsabilidades.
Sin respuesta
No
0 2 4 6 8 10 12 14 16 18
Sin respuesta
Sí
No
0 2 4 6 8 10 12 14 16
Entrenamiento interno
en la empresa
Sin respuesta
CISSP
0 5 10 15 20 25 30
Solamente 6 empresas han definido un encargado por personal que ha sido formado internamente
regional de seguridad y este cargo es ejercido en el tema. (Ver Figura 59 y Figura 60)
Sin respuesta
Sí
No
0 5 10 15 20 25 30
Sin respuesta
Entrenamiento interno
en la empresa
0 5 10 15 20 25 30 35 40
Sin respuesta
Sí
No
0 5 10 15 20 25 30 35
Sin respuesta
Entrenamiento interno
en la empresa
0 5 10 15 20 25 30 35 40
Siguiendo esa tendencia a manera son un CSIRT incipiente a incidentes. Solo una pequeña
contar con personal formado que busca darles capacidad a porción define capacitación
internamente, está el tener las empresas en la respuesta periódica. En relación a la
equipos propios que supervisen de incidentes. (Ver Figura 63) concienciación del personal TO, es
la seguridad. En gran parte notorio que esta no es prioridad
de los casos se aprecia Nuevamente, es extraño ver como en la formación, y quienes lo hacen
que son equipos de TI que la mayoría de las organizaciones tienen campañas anuales donde
atienden de manera parcial la indican que no ofrecen formación colocan este tema para el equipo
infraestructura TO. De cierta alguna a su equipo en la respuesta de TO. (Ver Figura 64 y Figura 65)
No
0 2 4 6 8 10 12 14 16 18
Sin respuesta
0 5 10 15 20 25
Operador Una combinación
Distribución Generación Transmisión
de sistema de las anteriores
Sin respuesta
0 5 10 15 20 25
Este es uno de los aspectos dicha información, lo que puede desafío para resolver. Cuando se
más llamativos del estudio. Si estar ocurriendo nunca será profundiza el detalle a la red TO,
no se puede medir, no se puede detectado. (Ver Figura 66) una porción de los participantes
gobernar. No todas las empresas no tiene dicho monitoreo (Ver
cuentan con una política de Se aprecia que 11 empresas Figura 68). Para quienes hacen
monitoreo de su infraestructura no monitorean sus redes monitoreo, algunos solo lo realizan
TO, pero para quienes sí lo hacen (Ver Figura 67). Quienes sí en horario laboral o simplemente
no hay garantía que además de lo hacen se reparten entre nadie hace seguimiento a
registrar se haga monitoreo quienes usan herramientas las alertas disparadas por
del comportamiento de su para ambientes industriales y las herramientas. Esto evita
infraestructura. Puede estarse entre quienes no. Esto quiere que pueda hacerse detección
almacenando los registros decir que la decisión de invertir temprana de ataques en la red,
de manera continua, pero si en herramientas específicas y y que cuando se visibilicen, su
no hay analistas procesando heredar herramientas de TI es un impacto sea mucho mayor.
Sin respuesta
Sin monitoreo
0 2 4 6 8 10 12 14 16 18
Otro
0 2 4 6 8 10 12 14 16 18
Sin respuesta
0 5 10 15 20 25
¿Qué ocurre cuando una alerta es identificada? quiere decir que más del 50% de las empresas no
(Ver Figura 69) Si hay un equipo dedicado, se dan puede hacer una correcta gestión del incidente, es
a la tarea de atenderlo, aun cuando no haya una decir, detectar la fuente o causa, definir las acciones
política definida. Pero aun existiendo la política, sin para remediarlo y establecer los controles para
contar con un equipo, simplemente la alerta no será que no se repita. Esto también afecta su gestión del
atendida, y el ataque será respondido cuando su conocimiento, puesto que no son capaces de definir
impacto sea mayor. Tan solo 21 empresas cuentan cómo se comporta su infraestructura y cuál puede
con herramientas para la gestión de incidentes. Esto ser un comportamiento anómalo. (Ver Figura 70)
0 2 4 6 8 10 12 14 16 18
Sin respuesta
Sí
No
0 5 10 15 20 25
En cuanto al acceso físico a las instalaciones, la posibilidad de ver que ocurre en tiempo
en la Figura 71, salvo algunas excepciones, real. De manera excepcional, también tienen
todos tienen medidas que permiten el presencia física con personal las 24 horas,
monitoreo visual de quien está presente. Esto junto con medidas de protección para el acceso
combinado con inspecciones físicas, tienen a las diferentes áreas. (Ver Figura 72)
Sin respuesta
0 5 10 15 20 25 30
Sin respuesta
0 5 10 15 20 25 30 35 40 45
Una combinación
de las anteriores
Transmisión
Operador
de sistema
Generación
Distribución
0 2 4 6 8 10 12 14 16 18
Aunque todo visitante requiere de seguridad física, los cuales, en Todo esto contrasta con el
que se tenga un permiso muchos casos a ser provistos por acceso lógico a las instalaciones
gestionado, llama la atención terceras partes, hacen parte de su de TO (Ver Figura 77). El acceso
el caso de invitados por parte forma de operar. (Ver Figura 75) puede ser por medio de equipo
de ejecutivos (C-Level) que no propios de la empresa o de sus
siempre tienen acompañante En la Figura 76 se enuncia que contratistas, pero siempre
de seguridad (Figura 74). Esto los activos en las instalaciones bajo su custodia. Pero hay una
abre la oportunidad a ataques son protegidos de un acceso práctica muy marcada donde
explotando dicha vulnerabilidad. físico no autorizado. Esto el contratista trae su equipo y
puede ser por parte de lo conecta a la red sin ningún
Desde la parte física se guardan personal interno o externo, límite. Estos equipos pueden
los registros de quienes visitan. y hace parte de la estrategia comprometer la red y este riesgo
Esto hace parte de los protocolos de seguridad por capas. parece no haber sido evaluado.
0 2 4 6 8 10 12 14 16 18 20
Sin respuesta
No
0 5 10 15 20 25 30 35 40
Sin respuesta
Sí
No
0 5 10 15 20 25
Sin respuesta
Ninguno
Directorio Activo
(Active Directory)
0 5 10 15 20 25 30 35 40
Sin respuesta
0 5 10 15 20 25 30
La Figura 80 denota la ausencia de sistemas AAA de que cualquier usuario lo pueda hacer, hasta
(Autenticación, autorización y auditoría), puesto contar con procesos informales o documentados
que está muy fragmentado el proceso de gestión que indiquen quienes sí tienen dicho privilegio. Para
de permisos coherente con las necesidades y la proteger esta conexión remota, se emplean múltiples
supervisión para la generación y asignación de perfiles. técnicas (ver Figura 82), siendo la más común el uso
de firewall de extremo a extremo. Esto indica el cifrado
Llama la atención como hoy está permitido para este del canal, pero no garantiza el cifrado del mensaje.
tipo de infraestructura crítica el acceso remoto a sus Se evidencia la ausencia de múltiples factores de
redes (Ver Figura 81). Esto va desde la posibilidad autenticación para equipos de función crítica.
Sin respuesta
Sesiones de tiempo
limitado impuestas
Sustitución y revocación
periódicas de certificados
Bloqueo de protocolos
de conexión remota
Verificación de identidad
mediante certificados
La conexión remota es
monitoreada constantemente
Sin respuesta
Un FW externo además
del FW interno
0 5 10 15 20 25 30
>> Estaciones de ingeniería Para el caso de los PLC, esta actividad no hace parte
(Figura 85 y Figura 86) de su cotidianidad, y pocas empresas emprenden
dicha tarea. Casos similares se encuentran con
>> Servidores de control las estaciones de ingeniería y los servidores de
(Figura 87 y Figura 88) control. Esto refleja la estrategia de seguridad
por oscuridad, ya que, si no está supuestamente
>> Equipos de red (Figura 89) expuesto, no se requiere hacer nada por el equipo.
Esto expone a todos los componentes a ser atacados
>> EPS (Figura 90) explotando vulnerabilidades antiguas para las cuales
existen parches, pero que nunca se han colocado.
Sin respuesta
0 2 4 6 8 10 12 14 16 18 20
Sin respuesta
0 2 4 6 8 10 12 14 16
0 2 4 6 8 10 12 14 16 18
Sin respuesta
0 2 4 6 8 10 12 14
0 2 4 6 8 10 12 14 16
Sin respuesta
0 2 4 6 8 10 12 14
Sin respuesta
Los equipos de red presentan un comportamiento factores, como: ser parte de la infraestructura TI,
un tanto mejor, al ser más propensos a ser que su monitoreo es más especializado, o que sus
actualizados. Esto se puede deber a varios vulnerabilidades son más conocidas y divulgadas.
3.4.7.5 Continuidad
en ICS
Sin respuesta
0 5 10 15 20 25 30
Sin respuesta
0 5 10 15 20 25
Sin respuesta
No hay redundancia
0 2 4 6 8 10 12
Transmisión
Operador
de sistema
Generación
Distribución
Una combinación
de las anteriores
0 2 4 6 8 10 12 14 16 18
Sí No Sin respuesta
Lógica de PLC
Aplicaciones HMI
Historiador
Sin respuesta
0 5 10 15 20 25 30 35 40
4.1 C o n s i d e ra c io n e s
G en e rale s
116
La Asamblea General de la OEA,
aprobó en 2004
la Estrategia Interamericana Integral
para Combatir las Amenazas a
la Seguridad Cibernética
Esta necesidad de protección de “alerta, vigilancia y prevención” críticas” aunque, por el momento,
frente a riesgos de ciberseguridad (conocidos como CSIRT) o el algunos países todavía estén
viene avalada por la catalogación, de promover el desarrollo de formalizando la identificación de
a nivel mundial, del sector Estrategias Nacionales sobre algunas de las infraestructuras
energético -en general- y del Seguridad Cibernética. En que formarían parte del catálogo.
subsector eléctrico -en particular- este documento ya se alertaba Con esta catalogación, no sólo
dentro del conjunto de las sobre la posibilidad de que las se fortalece la seguridad de las
Infraestructuras Críticas (IICC). amenazas cibernéticas pudieran infraestructuras críticas de cada
obstaculizar las funciones de país, sino también del sistema
En este sentido, son distintas los gobiernos o interrumpir de infraestructuras de la región,
las iniciativas reguladoras el servicio público de las ya que la mayor parte de ellos se
orientadas a establecer un infraestructuras críticas. encuentran interconectados.
marco normativo de protección
de las infraestructuras del De los países de la OEA que ya Corresponde, una vez catalogados,
sector de la energía eléctrica. han adoptado una Estrategia ejercer las respectivas labores
Nacional de Ciberseguridad todos de control sobre el estado de la
La Asamblea General de la OEA, ellos dedican un apartado de su seguridad cibernética de esas
aprobó en 2004 la Estrategia Estrategia a la“Protección de infraestructuras mediante
Interamericana Integral para Infraestructuras Críticas”donde múltiples acciones que pueden
Combatir las Amenazas a la los operadores del sector de incluir evaluaciones periódicas,
Seguridad Cibernética [15], entre la energía eléctrica quedarían auditoría, supervisión de
cuyos objetivos se encuentran los incluidos en el denominado funciones, formación o diseño
de establecer grupos nacionales “catálogo de infraestructuras y coordinación de ejercicios.
117
La Directiva europea de seguridad Estrategia Nacional de Seguridad de forma conjunta con un plan
para las redes y sistemas de como un marco de trabajo que multianual de ciberseguridad
información, conocida como provee “objetivos estratégicos en el sector energético. La
Directiva NIS [16], tiene entre y prioridades en la securización estrategia se estructura en
sus objetivos el de establecer de las redes y sistemas de torno a cuatro principios:
un marco común harmonizado información en el ámbito de la
para todos los estados miembros nación”. Por ello, una Estrategia Una Estrategia
de la UE en lo que se refiere a Nacional se convierte en un
los denominados Operadores elemento clave en la protección Nacional se
de Servicios Esenciales (en los de las infraestructuras convierte en un
cuales se incluye el subsector críticas de los países.
eléctrico en las operaciones elemento clave en
de generación, transporte y
distribución de la energía). Uno
En los Estados Unidos de América,
el Departamento de Energía
la protección de
de los objetivos de esta Directiva cuenta con su propia estrategia las infraestructuras
europea es el de instar a todos los
estados miembros a que adopten
de ciberseguridad para la
protección de las redes y sistemas
críticas de
una Estrategia, entendiendo esta federales, que se desarrolla los países.
118 Estado de preparación en ciberseguridad
del sector eléctrico en América Latina
1. 3.
Alineamiento entre el Plan Estratégico Alineamiento en los procesos
del Departamento de Energía y la (fomentando la creación de valor a
Estrategia de Ciberseguridad. través de la innovación, analítica de
datos y business intelligence).
2. 4.
Alineamiento entre las Alineamiento con la gestión del
partes interesadas (clientes, talento, involucrando a todos los
consumidores, operadores, recursos humanos necesarios para
productores, reguladores, etc.). garantizar el éxito de la estrategia.
ES-C2M2 Comunicación
y compartición
(Electricity de información
Los operadores del subsector eléctrico Smart Grid Task Force indica que las redes Smart
en Latinoamérica y Caribe no son ajenos Grid son aquellas “redes eléctricas que pueden
a la transformación digital que está integrar con eficiencia los comportamientos y
experimentando el sector a nivel global. acciones de todos los usuarios conectados a ella
– generadores, consumidores y los que juegan
Compañías de sectores diversos como el ambos roles – con el objetivo de asegurar un
tecnológico, financiero, logístico, etc. están sistema energético económicamente eficiente,
incorporando nuevos escenarios en sus sostenible, con bajas pérdidas y altos niveles
estrategias digitales, como son el Cloud de calidad y seguridad en el suministro”.
Computing (computación en la nube) o el Big
Data (análisis de datos a gran escala). Todos los implicados en el mercado energético,
tanto del sector público como privado, deben ser
Estas tecnologías pueden ser requeridas para conscientes de los riesgos de ciberseguridad
la mejora de la competitividad de las compañías que introducen estas nuevas tecnologías,
eléctricas, en especial, con el impulso de las para lo cual es necesario establecer un
redes “Smart” [17]. La definición del European marco regulatorio común en la región.
Identificación de las
infraestructuras críticas
y de los operadores de
mayor nivel de madurez en cuanto
a ciberseguridad. Estos marcos
deben considerar los elementos
3.
infraestructuras críticas de gestión y evaluación del riesgo Colaboración
como una de las piezas clave de su nacional e internacional
Los estados deben desarrollar estrategia. Una eficaz evaluación
las Estrategias Nacionales de del riesgo permitirá establecer La interconexión de las
Ciberseguridad, siguiendo la hoja los controles adecuados para distintas redes de transporte
de ruta marcada por la OEA, en las garantizar la seguridad de un de energía eléctrica puede
cuáles deben incluir la definición sistema, y permitirá su evolución traspasar los límites
de Infraestructuras Críticas frente a la adopción de nuevas fronterizos entre países.
estableciendo los adecuados tecnologías en el sector: Cloud Esta situación motiva que
criterios de clasificación. Se Computing, Big Data o Smart Grid. sea necesario establecer
identificarán los sectores y mecanismos de comunicación
subsectores considerados El marco sectorial resultante y cooperación a nivel
como críticos para el país y se debe contemplar estrategias de internacional a efectos de
establecerá un mecanismo de ciber resiliencia para asegurar la prevención, identificación,
designación de operadores críticos. continuidad del servicio en caso de respuesta y recuperación de
Estos operadores, ya sean públicos un incidente de seguridad, tanto incidentes de ciberseguridad
o privados, deberán disponer si el incidente tiene su origen en en la red o los operadores
de sus planes de protección en un ataque cibernético como si es eléctricos. Un incidente
ciberseguridad, identificando debido a fallos humanos, accidentes de seguridad cibernética
amenazas y vulnerabilidades fortuitos o desastres naturales. en la red eléctrica puede
en sus infraestructuras, los afectar a varios países, por
cuales serán revisados por el Para alcanzar los objetivos de las lo que se debe contar con
organismo competente en la estrategias de ciberseguridad, procedimientos para la gestión
materia con el fin de que estén se establecerán autoridades de crisis o recuperación ante
alineados con los requerimientos relevantes con la misión de desastres que sean aplicables
de la Estrategia Nacional. coordinar la estrategia en en un contexto interestatal.
5.
1.
Definición y diseño de
políticas y procedimientos de
10.
6. 11.
2. Gestión de incidentes
cibernéticos TO (primer,
3. Herramientas y soluciones de
protección cibernética TO.
Finalmente, se debe impulsar
la investigación y desarrollo de
sistemas de suministro de energía
Análisis de con capacidades de ciber resiliencia
ciberataques ocurridos. incorporadas, lo que requiere
4. Diseño y mantenimiento de
planes de Continuidad de negocio
pública, máxime teniendo en
cuenta que muchos esfuerzos
de investigación y desarrollo no
Comprender el proceso de y planes de recuperación son justificables desde el punto
evaluación del riesgo en TO. ante desastres (DRP). de vista del sector privado.
4.4.1
META A: defi ni r un marco regulatori o
p a ra la protecci ón de i nfraestructuras
c rític as del subsector eléctrico
1 2
Establecer estructuras definidas Elaborar directrices legales que
para la ciberseguridad industrial sustenten el marco regulatorio
4.4.2.2 Objetivo
b.2.
Impulsar la implantación de herramientas
para compartir información entre
los diferentes actores
4.4.2.3 Objetivo
c.1.
Establecer una estructura competente para
la respuesta ante ciber incidentes a escala
nacional en el sector energético
c.2.
c.2.
Establecer un sistema de reporte y entrenar
a los actores en la respuesta ante ciber incidentes
5.1 C o n s i de ra c io n e s
G e n e rale s
144
Gestión de la Información
Equipamiento Primario
de Sistema de Energía
Mercado
Generación Empresa
Transmisión Operación
Distribución Estación
Campo
FED
Proceso
Cliente (Casa,
edificio, industria...)
Para el citado propósito se presenta un A su vez, cada uno de los objetivos se compone
modelo que provee una guía para ayudar de medidas organizadas en 3 niveles de
a los operadores a desarrollar y mejorar madurez, que indican el orden en que deben
sus capacidades de ciberseguridad. implementarse para alcanzar dicho objetivo.
145
5.1.1 Niveles Indicadores
de la Madurez (MILs)
Gestión
del riesgo
20,00%
Gestión del programa Gestión de
de ciberseguridad 18,00%
activos, cambios
16,00%
y configuración
14,00%
12,00%
10,00%
8,00% Gestión de
Gestión de 6,00% identidades
la fuerza 4,00% y accesos
de trabajo 2,00%
0,00%
Cadena de
suministro
Amenazas
y gestión de
y gestión
dependencias
de vulnerabilidad
externas
Respuesta a eventos
Conciencia
e incidentes,
del entorno
continuidad
Intercambio de información
de operaciones
y comunicaciones
5.2.1 GESTIÓN
DEL RIESGO
5.2.1.1
Establecer una estrategia de
gestión del riesgo de ciberseguridad
NIVEL 1 NIVEL 3
NIVEL 1 NIVEL 1
No hay actividades para el Nivel 1.
a Se identifican riesgos de ciberseguridad.
5.2.2.1 5.2.2.2
Gestionar inventario Administrar la
de activos configuración
de activos
NIVEL 1 NIVEL 1
NIVEL 2
5.2.3.1 Establecer y
mantener identidades
NIVEL 1
NIVEL 2
NIVEL 3
NIVEL 1 NIVEL 1
No hay actividades de Nivel 1.
a Se determinan los requisitos de acceso,
incluidos los de acceso remoto (los requisitos de
acceso son asociados con los activos y brindan
NIVEL 2
orientación sobre qué tipos de entidades
pueden acceder al activo, los límites de acceso
permitido y los parámetros de autenticación). a Se siguen prácticas documentadas para establecer
y mantener identidades y controlar el acceso.
Se otorga acceso a las identidades
b Las partes interesadas para el acceso
según los requisitos. b y las actividades de gestión de identidad
c El acceso se revoca cuando ya no es necesario se identifican y participan.
NIVEL 1
NIVEL 2
NIVEL 3
NIVEL 1
NIVEL 1
Sin actividades en Nivel 1.
NIVEL 2
NIVEL 3
5.2.5.1
Registrar
eventos
NIVEL 1
NIVEL 2
NIVEL 3
NIVEL 3
NIVEL 2
Los datos de monitoreo se agregan para
a Se establecen y mantienen métodos para d
proporcionar una comprensión casi en
comunicar el estado actual de ciberseguridad
tiempo real del estado de ciberseguridad.
para la actividad del operador.
NIVEL 1 NIVEL 3
Las partes interesadas para las actividades g Las actividades de registro, monitoreo de la
b imagen operativa común se revisan periódicamente
de registro y monitoreo de la imagen operativa
para garantizar el cumplimiento de la política.
común están identificadas e involucradas.
NIVEL 1
NIVEL 1 NIVEL 3
5.2.7.1
Detectar eventos
de ciberseguridad
NIVEL 1 NIVEL 3
NIVEL 1
NIVEL 2
NIVEL 3
NIVEL 1 NIVEL 3
5.2.8.1
Identificar
dependencias
NIVEL 1
Las dependencias del cliente se identifican
a Se identifican dependencias importantes d
según los criterios establecidos.
de proveedores de TI y TO (es decir, partes
externas de las que la organización,
incluidos los socios operativos). e Se identifican dependencias de una
única fuente posible o esencial.
NIVEL 3
NIVEL 2
g La identificación y la priorización de
c Las dependencias de los proveedores se dependencias se basan en los criterios
identifican según los criterios establecidos. de riesgo de la organización.
NIVEL 1
NIVEL 2
NIVEL 3
NIVEL 1
NIVEL 2
NIVEL 3
5.2.9.1 5.2.9.2
Asignar Controlar el ciclo
responsabilidades de vida laboral
de ciberseguridad
NIVEL 1
NIVEL 1
a La verificación del personal (p. ej., verificación de
antecedentes, pruebas de drogas) se encomienda
a posiciones que tienen acceso a los activos
a Se identifican las responsabilidades
necesarios esenciales en la actividad del operador.
de ciberseguridad.
Los procedimientos de terminación de
b
Las responsabilidades de ciberseguridad personal abordan la ciberseguridad.
b
se asignan a personas específicas.
NIVEL 2
NIVEL 2
c La verificación de personal se realiza con una
frecuencia definida por la organización para
c Las responsabilidades de ciberseguridad los puestos que tienen acceso a los activos
se asignan a roles específicos, incluidos necesarios para la actividad del operador.
los proveedores de servicios externos.
Los procedimientos de transferencia de
d
Las responsabilidades de ciberseguridad personal abordan la ciberseguridad.
d
están documentadas (por ejemplo, en
las descripciones de los puestos).
NIVEL 3
NIVEL 1 NIVEL 3
5.2.9.4
Aumentar la conciencia
de ciberseguridad
Se realizan actividades de
a NIVEL 3
sensibilización sobre ciberseguridad.
NIVEL 1 NIVEL 3
Las partes interesadas para las g Las actividades de gestión de la fuerza laboral
b de ciberseguridad se revisan periódicamente
actividades de gestión de la fuerza laboral
para garantizar la conformidad con política.
de ciberseguridad se identifican y participan.
NIVEL 2
La estrategia del programa de ciberseguridad
f
es aprobada por la alta dirección.
La estrategia del programa de ciberseguridad
b
define objetivos para las actividades de
ciberseguridad de la organización.
NIVEL 3
c La estrategia y las prioridades del
programa de ciberseguridad están
documentadas y alineadas con los objetivos g La estrategia del programa de ciberseguridad se actualiza
estratégicos de la organización y el riesgo para reflejar los cambios comerciales, los cambios en el
soportado como infraestructura crítica. funcionamiento entorno y cambios en el perfil de amenaza.
NIVEL 1
NIVEL 2 NIVEL 3
NIVEL 1
NIVEL 2 NIVEL 3
NIVEL 1 NIVEL 3
5.2.10.5 Actividades
de gestión
NIVEL 1 NIVEL 3
178
6.1 C o n s i d e ra c io n e s g e n e ra le s
y fa cto re s d e rie s g o
179
6.2 O p e ra d o re s
d e i nfraestructuras
6.2.1 Consideraciones
Técnicas
>> El soporte de tercer y cuarto nivel >> Existe un entorno heterogéneo en cuanto
es prestado por fabricantes o a la gestión de backups y de la seguridad a
distribuidores mayoristas, especialmente través de VLANs especializadas (3.4.4).
en el caso de requerir considerar las
consecuencias sobre otros dispositivos >> La conexión no controlada de equipos a
en instalaciones multifabricante (3.4.3). redes de operación es factible en un gran
número de actores, bien sea por no contar
>> La mayoría de los actores sectoriales con un NAC (65% de los encuestados)
han desplegado una única red en la o por la ausencia de otros controles
organización incluyendo separación alternativos o compensatorios (3.4.5).
06 | conclusiones 181
6.2.2 Control de Acceso,
Autorización y Bastionado
>> El acceso a las redes se produce encuentra más maduro por su semejanza
automáticamente en función de políticas a los entornos TI, siendo requerido
corporativas del directorio para un reforzar las políticas relacionadas y la
número significativo de actores, sin tener actualización del firmware (3.4.5, 3.4.7.4).
procedimientos de aprobación individual
a zonas de seguridad sensibles (3.4.5). >> Únicamente un 7% de los entrevistados
han adoptado acciones orientadas a la
>> La utilización de contraseñas comunes protección ante medios extraíbles o fugas de
para diferentes dispositivos de red es una datos, incluyendo la adopción de tecnologías
práctica frecuente, constituyendo puntos DLP o similares especializadas o habilitadas
únicos de fallo su difusión no autorizada por sus dispositivos firewall (3.4.5).
o su no actualización periódica (3.4.5).
>> El proceso de autorización de acceso a los
>> En cuanto a servidores de control, el sistemas para nuevos usuarios externos
uso de contraseñas compartidas e, requiere procesos de aprobación que
incluso, de contraseñas de fabricantes, implican el nombramiento de supervisores
es una práctica común (3.4.5). y, en un gran número de actores, la
implicación de los administradores de red
>> Muy pocos actores han adoptado medidas e, incluso, de Recursos Humanos (3.4.7.3).
de bastionado de los PLCs, siendo 25 los
entrevistados que manifiestan que no >> Únicamente un 8% de los entrevistados
adoptan ninguna medida de bastionado dispone de políticas de conexión remota
sobre los mismos, como el bloqueo físico definidas, resultando un proceso
de puertos de conexión no utilizados inmaduro sujeto a la discreción de los
o la desactivación de aplicaciones y administradores o de los autorizadores
servicios innecesarios (3.4.5, 3.4.7.4). la concesión del acceso remoto y, con
ello, la creación de un conducto con
>> En contraste, el bastionado de las estaciones acceso a través de una red pública
de ingeniería y los servidores de control se a una zona de seguridad (3.4.7.3).
06 | conclusiones 183
6.2.4 Monitorización
de la Seguridad
>> Un aspecto crítico para el buen gobierno entornos industriales, careciendo, por
de la seguridad es la medición. Para ello, tanto, de visibilidad sobre las amenazas
el registro de los eventos significativos y específicas de esos entornos (3.4.7.2).
el monitoreo de esas ocurrencias resulta
la base fundamental para conocer qué >> Una vez se elevan alertas a partir de los
está ocurriendo en las redes. Hasta eventos detectados, más de un 50% de las
11 actores manifiestan un monitoreo compañías no puede hacer una correcta gestión
escaso o nulo de sus redes. Entre del incidente por carecer de procedimientos
aquellos que las monitorean, un 14% específicos o profesionales especializados
utilizan tecnologías no especializadas en en entornos industriales (3.4.7.2).
6.2.5 Seguridad
Física
>> La seguridad física se encuentra más madura, >> Uno de los mayores vectores de riesgo
con soluciones de CCTV y centro de control se identifica con la conexión directa
desplegadas en un gran número de actores e y con escaso control por parte de
instalaciones y medidas maduras de vigilancia los técnicos de los proveedores, de
física y control de acceso físico para el personal sus propios equipos y dispositivos de
interno y visitantes externos (3.4.7.3). almacenamiento, constituyendo un conducto
de entrada no controlado a la zona de
>> Procede reforzar las medidas de escolta a seguridad y una fuente de propagación
las visitas durante toda su estancia en las inmediata de malware (3.4.7.3).
zonas de seguridad más críticas (3.4.7.3).
6.2.6 Continuidad
de las operaciones
>> Las copias de seguridad y la redundancia >> Los porcentajes de cobertura de las
en la infraestructura, como medidas copias de seguridad deberían ser
esenciales para garantizar la continuidad de superiores para elementos críticos
las operaciones y una rápida recuperación, de la infraestructura TO (3.4.7.5).
son medidas ampliamente utilizadas
por los diferentes actores (3.4.7.5).
06 | conclusiones 185
6.3.2 Recomendaciones específicas
para las empresas del sector eléctrico
06 | conclusiones 187
Misión conexión a Internet, que permita valorar
las amenazas, las vulnerabilidades y
las medidas de mitigación necesarias
>> La separación entre las redes es la mejor para no comprometer la operación.
práctica que se está implementando, pero
es necesario que vaya acompañado con >> Es importante valorar que los dispositivos
políticas, normas, procesos y procedimientos conectados en la red TO y que no son
que garanticen que solo los elementos que gestionados, pueden ser un vector de
lo requieran se comuniquen entre sí. ataque. De igual manera las redes sombra,
como la generada por dispositivos
>> Toda necesidad de conectividad de la red TO de almacenamiento USB, deben ser
debe responder a un exhaustivo ejercicio gestionadas y monitorizadas con rigor
de riesgos, incluyendo la necesidad de para evitar la transmisión de malware.
6.3.3 Recomendaciones
generales
06 | conclusiones 189
07
REFERENCIAS
[1] [5]
NIST, «NIST Special Publication 800-39 Managing CEER Council of European Energy Regulators ,
Information Security Risk Organization, «CEER Cybersecurity Report on Europe’s Electri-
Mission, and Information System View,» city and Gas Sectors,» Bruselas, Bélgica, 2018.
National Institute of Standards and Technology,
Gaithersburg, MD 20899-8930, 2011. [6]
The Public-Private Analytic Exchange
[2] Program, «Supply Chain Risks of SCADA/
CDEC, «Estudio de diseño, especificación y Industrial Control Systemsin the Electricity
programa la implementación del sistema de Sector:Recognizing Risks and Recommended
lectura remota de protecciones del sic y el Mitigation Actions,» 2017. [En línea].
sing,» 28 Diciembre 2016. [En línea]. Disponible Disponible en: https://www.odni.gov/files/
en: https://sic.coordinador.cl/wp-content/ PE/Documents/11---Supply-Chain-Risks-of-
uploads/2016/12/SLRP-A-Estado-del-Arte- SCADA-Industrial-Control-Systems-in-the-
y-B-Dise%C3%B1o-del-Sistema.pdf. Electricity-Sector_Risks-and-Mitigations.pdf.
[3] [7]
A. E. Motter y L. Ying-Cheng, «Cascade-based CCI Centro de Ciberseguridad Industrial, «LA
attacks on complex networks,» PHYSICAL PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS
REVIEW E, vol. 66, nº 1, p. 065102, 2002.. Y LA CIBERSEGURIDAD INDUSTRIAL,» 2013.
[4] [8]
K. Lab, «The State of Industrial Trend Micro, «Exposed and Vulnerable Critical
Cybersecurity 2018,» 2018. Infrastructure: Water and Energy Industries,» 2018.
190
[9] Investments: Report”. Smart Energy
N. Huq, «Defensive Strategies for Industrial International.,» 10 agosto 2017. [En línea].
Control Systems,» 10 Enero 2017. [En línea]. Disponible en: https://www.smart-energy.com/
Disponible en: https://www.trendmicro.com/vinfo/ industry-sectors/smart-grid/cybersecurity-
us/security/news/cyber-attacks/defensive- technologies-navigant-research/.
strategies-for-industrial-control-systems.
[15]
[10] OEA, «Resolución OEA AG/RES 2004 (XXXIV -0/04)
CRITIFENCE Technologies Ltd., «CRITIFENCE,» 9 Adopción de una Estrategia Interamericana,»
julio 2019. [En línea]. Disponible en: http://www. 2004. [En línea]. Disponible en: https://www.
critifence.com/papers/attack-timeline/files/ sites.oas.org/cyber/Documents/Estrategia-
SCADA%20Cyber%20Attacks%20Timeline.pdf seguridad-cibernetica-resolucion.pdf.
[11] [16]
E. Goldstein, «2018 CRITICAL INFRASTRUCTURE CYBER Parlamento Europeo, «Directive (EU) 2016/1148
ATTACK TIMELINE,» 17 julio 2018. [En línea]. Disponible of the European Parliament and of the Council
en: https://www.linkedin.com/pulse/2018-critical- of 6 July 2016 concerning measures for a
infrastructure-cyber-attack-timeline-eran-goldstein. high common level of security of network
and information systems across the Union,»
[12] 6 julio 2016. [En línea]. Disponible en: http://
A. Nagurney y D. Matsypura, «A Supply Chain Network data.europa.eu/eli/dir/2016/1148/oj.
Perspective for Electric PowerGeneration, Supply,
Transmission, and Consumption,» Optimisation, [17]
Econometric and Financial Analysis, pp. 3-27, 2006. ENISA, «Appropriate security measures for smart
grids. Guidelines to assess the siohisticatiion
[13] of security measures implementation,» 2012.
WEF, «World Economic Forum. The Global
Risk Report 2019.,» 2019. [En línea]. [18]
Available: http://www3.weforum.org/docs/ Energy.gov. 2020. Electricity Subsector
WEF_Global_Risks_Report_2019.pdf. Cybersecurity Capability Maturity Model (ES-C2M2).
[En línea]. Disponible en: https://www.energy.gov/
[14] ceser/activities/cybersecurity-critical-energy-
N. Nhede, «Nhede, N. 2017. “Grid Automation infrastructure/energy-sector-cybersecurity-0-1>
Drives Increase in Utility Cybersecurity [Accesado Diciembre 10 de 2019].
191