eNGie DECISI ON ENGI E

Date: February 12,

2016 Reference:
lssuer: Health and Safety Department

Contact Xavier Perret Email: xavier.perret@engle.com Tel: +33 {0)1.44.22.31.31

person:

Directiva de seguridad de grupo para sistemas de

control industrial

Resumen

Los Sistemas de Control Industrial (ICS) son esenciales para nuestras actividades y lo
serán aún más en el futuro. Su seguridad se ha convertido en un problema importante
para Engie, en particular debido al mundo cambiante de las instalaciones de
automatización y supervisión a la informatización total. La porosidad entre el mundo
industrial y el mundo exterior, a través de todas las tecnologías de la información y la
comunicación, se ha convertido en un hecho que hay que tener en cuenta para gestionar
estas instalaciones de forma segura.

El objetivo de esta política es gestionar los riesgos derivados del mal funcionamiento de
ICS, ya sea un ataque desde el exterior o desde un interior. problema. ¡Estos riesgos
pueden poner en peligro a las personas y la propiedad y pueden tener consecuencias
muy perjudiciales para el Grupo en términos de su imagen o financia! pérdidas, entre
otras.

Es por ello que se solicita a cada Unidad de Negocio (BU) que elabore y mantenga un
plan basado en la Política actual para asegurar los ICS de nuestros sitios y sistemas
industriales y servicios terciarios asimilados: dicho plan debe tener en cuenta los
principales riesgos que deben cubrirse con carácter prioritario.

Los estándares de esta Política deben incorporarse en cualquier proyecto de nueva construcción o
adquisición.

La Política establece los principios generales que deben observarse y define, a través de
un Marco de Referencia, un catálogo de medidas capaces de cubrir todas las áreas
vulnerables. Más allá de las medidas técnicas, la Política subraya la necesidad de tener
un enfoque transversal en esta área que ponga en común las habilidades de todas las
partes interesadas.

La seguridad de nuestros activos se garantizará de manera eficiente a través de la

inversión personal de todos y la participación de la administración del más alto nivel para
establecer organizaciones ad hoc.

Cancelled document : decision GDFSUEZ 2012-003 from 6 November 2012

Engie
1 place Samuel de Champlain Faubourg de 1'Arche
92930 Paris La Défense cedex - France
Tél : +33 (O) 144 22 00 00
engie.com
ENGIE - SA au capital de 2 435 285 011 euros - RCS Nanterre 542 107 651
 eNGie
POLÍTICA DE SEGURIDAD PARA SISTEMAS DE CONTROL
INDUSTRIAL (ICS)

Tabla de contenidos

1 - Definiciones y terminología.........................................................................3
1. Contexto...........................................................................................................3
2. Objetivo............................................................................................................4
3. Ámbito de aplicación......................................................................................4
4. Organización y responsabilidades...............................................................
5. Principios generales..................................................................................6
ANEXO 1 - Marco de referencia de seguridad para sistemas de control industrial. .7
ANEXO 2 - Principios que deben aplicarse para un enfoque global de la seguridad
de los ICS..........................................................................................................................8
ANEXO 3 - Metodología de evaluación de la criticidad de los sitios y desarrollo
de planes de acción prioritarios
..........................................................................................................................................
12

2
 eNGie
1 - Definiciones y terminología
Los Sistemas de Control Industrial (ICS) cubren sistemas que realizan vigilancia en
tiempo real y aseguran el funcionamiento centralizado de equipos industriales locales
o remotos, como motores, válvulas, bombas, relés, etc., equipos de sitios terciarios
asimilados y la gestión general de sistemas como SMART GRIDs.

Un ICS suele constar de los siguientes componentes:

controladores lógicos programables (PLC);
Sistemas de control distribuido (DCS);
Sistemas instrumentados de seguridad
(SIS); Sensores y actuadores (inteligentes
o no); Bus de campo;
Software de monitoreo y control: SCADA;
Software de gestión de producción asistida por ordenador (CAPMS, MES);
Software de ingeniería y mantenimiento;
Sistemas de a bordo.

En este documento, el término "ICS" (Sistema de control industrial) se utiliza en el sentido

genérico en referencia a todos los sistemas de adquisición y supervisión de datos lejanos,
control, control industrial, control de procesos, control distribuido, automatización industrial
como nosotros/1 como sistemas de seguridad relacionados.

Los sistemas de información de gestión (MIS) abarcan la infraestructura física, los datos y
aplicaciones generales (tecnología ofimática, gestión, gestión de mensajes, etc.) y los datos
y aplicaciones específicos (informática científica), con excepción de los ICS.

1. Contexto
Los ICS son esenciales para el control de la seguridad y la operación de sitios industriales
por parte del Grupo en su propio nombre o para sus clientes (sitios nucleares, instalaciones
de gas, centrales eléctricas, plantas de tratamiento de agua, redes inteligentes, etc.).

El entorno de los ICS ha sufrido en los últimos años los siguientes cambios que han
aumentado su vulnerabilidad.
- uso extensivo de subcontratistas o fabricantes para proyectos y mantenimiento;
el uso creciente de la tecnología de la información (sistemas operativos como
Windows, bases de datos, protocolos de transmisión como el Protocolo de
Internet, etc.) que no fue diseñado para hacer frente a las amenazas que plantea;
la necesidad cada vez mayor de diagnóstico remoto y mantenimiento correctivo;
interconexión con redes telefónicas o Internet y el Sistema de Información de
Gestión (MIS).

Además, hoy en día los ICS tienen el potencial de estar seriamente expuestos a
amenazas porque son atractivos para las partes maliciosas que participan en la piratería,
el espionaje industrial e incluso acciones de desestabilización a gran escala.

3
 Existen múltiples riesgos derivados de estas amenazas:
1.peligro para el personal operativo, los subcontratistas y terceros,
2. pérdida de producción o interrupción de los servicios,
3.daños al medio ambiente o a la salud pública,
4. pérdida de equipo
5. Copia, robo o pérdida de datos sensibles.

Las consecuencias pueden ser muy perjudiciales:

6. pérdida de confianza en la empresa, daño a su imagen y reputación,
7. infracción de disposiciones reglamentarias, condena ante un tribunal de justicia,
8. ¡Pérdida en Financia! Términos y competitividad

1. Gol
El objetivo de la presente Política es garantizar a los ICS un nivel de protección y resiliencia
capaz de manejar los problemas que cada sistema en cuestión debe abordar.

La Política establece principios generales y una organización para gestionar los riesgos,
independientemente de su origen:
1. desde el exterior, como una infección de virus o una toma de control local o
remete de computadoras;
2. desde dentro, como resultado de una falla y un incidente de
reprogramación que afecta el funcionamiento del sitio.

La Política incluye un documento "Marco de puntos de control y medidas de protección"

(véase el anexo 1). Estas medidas específicas contribuyen, en primer lugar, a la formación
de:
-la disponibilidad e integridad de las instalaciones y de los datos que
generan; confidencialidad y trazabilidad de la infermación
intercambiada.

La Política complementa las Políticas de Seguridad Cibernética y Protección del Patrimonio

del Grupo.

Se basa en las recomendaciones de organismos internacionales que han sido

reconocidos en el campo de la seguridad ICS y en los principios de la norma IEC 62443
relativa a la seguridad de sistemas y redes industriales.

2. Ámbito de aplicación
La presente Política es aplicable a todas las entidades que se encuentran dentro del
alcance de consolidación del Grupo, así como a todas las entidades en las que Engie
tiene representantes capaces de garantizar la implementación de esta Política.

Junto con el marco de medidas específicas, la Política constituye un requisito mínimo en

las unidades de negocio y sitios, y está diseñada para adaptarse a sus requisitos y
limitaciones particulares, teniendo en cuenta las regulaciones locales.

La política de seguridad de ICS se aplica a los sitios de alojamiento y soporte, a los medios
técnicos necesarios para las operaciones, a las aplicaciones comerciales y sus datos, así
como al personal y proveedores de servicios necesarios para su diseño, operación,
mantenimiento y uso.
4
 e
1. Organización y responsabilidades
La seguridad ICS requiere una variedad de habilidades: automatización,
telecomunicaciones, informática industrial, aplicaciones de gestión, seguridad de procesos y
seguridad.
En todos los niveles de gobierno en el Grupo, este enfoque interdisciplinario debe ser la
fuerza impulsora detrás de las acciones de apoyo a los negocios que necesariamente deben
ser parte del proceso.

El Departamento de Seguridad y Salud es responsable de la dirección general del plan de

seguridad del sistema de control industrial con la División de Sistemas de Información (ISD),
que está a cargo de su definición e implementación técnica global, y los gerentes de BU a
cargo de la propiedad operativa.

El despliegue y el seguimiento de la política están dirigidos por el Comité de Seguridad del

Sistema de Control Industrial (ICSSC), un comité intersectorial compuesto por todos
los participantes que persiguen una misión que tiene un impacto en la seguridad de los
sistemas de control industrial y que pone de relieve las habilidades transversales
desarrolladas por una serie de funciones del Grupo (Sistema de información - Seguridad de
procesos - Seguridad y protección de la propiedad - Auditoría, Riesgos e Interna! Control -
Investigación y Tecnologías), así como la experiencia en las unidades de negocio.

Las principales misiones del ICSSC son:

1. preparar y actualizar el Marco de Referencia y el plan de acción del Grupo

relacionado;

2. buscar una posible optimización entre las entidades del Grupo y compartir el trabajo
que pueda ser de interés general;

3. garantizar el control y la observancia de las normas y garantizar la correcta

aplicación del plan de acción;

4. mantener una visión actualizada de los riesgos que afectan a los ICS y poner en
marcha un mecanismo de alerta eficaz con los distintos participantes;

5. compartir la experiencia del Grupo para ayudar en la orientación de las opciones

entre soluciones organizativas y técnicas;

6. llevar a cabo una revisión anual del Comité de Dirección (MC) del Grupo que
haga un balance de la madurez de las entidades y de la exposición del Grupo a los
riesgos de ICS. El estudio tiene en cuenta la evaluación de incidentes significativos
y la labor del Comité de Tratamiento de los Residentes (CTI) con respecto a los
ataques contra el Grupo. Esta revisión puede hacer un balance de los ciberataques
y las medidas adoptadas para prevenirlos, que se incluirán en el informe anual del
ISC enviado al MC.

Este comité está integrado por:

7. los directores de las citadas Líneas Funcionales,
8. los directores de los Negocios afectados;
9. representantes de las unidades de negocio afectadas.

El Comité está presidido por el Director de Salud y Seguridad.

Cuenta con el apoyo de un comité técnico dirigido por la ISO, el Comité Técnico de ICS,
compuesto por representantes de BU y Functional Lines.
5
 eNGie
1. Principios Generales
Lograr la seguridad efectiva y duradera de los STI requiere un enfoque global que tenga
en cuenta todas las facetas organizativas, humanas y técnicas de los problemas con el fin
de proporcionar la mejor cobertura de riesgos en consonancia con las cuestiones
específicas de cada sitio o sistema.

En el anexo 2 se describen los principios que han de aplicarse para facilitar la

realización del enfoque global.

¡Hacer que los ICS sean seguros debe ser parte de una vía de gestión de riesgos cuya
prioridad es cubrir los principales riesgos resultantes de una disfunción en los sitios y en
los sistemas que son críticos! para el Grupo.

La identificación de la criticidad de los sitios se centra en un análisis de los impactos

derivados de un incidente o un accidente. Esto forma parte del procedimiento general,
especificado en el RG04, para gestionar los riesgos de procesos o accidentes laborales.

La metodología que ha de aplicarse para esta fase esencial se describe en el anexo 3.

Los planes de acción de seguridad de los sitios se revisarán y actualizarán

anualmente, particularmente para incorporar las acciones necesarias relacionadas con
los nuevos sitios (por ejemplo, nueva evaluación, adquisición).
Al mismo tiempo, los posibles cambios en las circunstancias de los sitios con respecto a
interna! y/o externa! Se examinarán las demandas para actualizar los niveles de criticidad
de los sitios.

Además, los sitios seguros serán monitoreados como parte del proceso de control
INCOME interna! de acuerdo con las condiciones definidas para ICS (IND4).

¡Nuevos sitios de AII identificados como critica! (¡Nuevas adquisiciones de sitios o

sitios recientemente considerados críticos!) se garantizará en los dos años siguientes a
esta evaluación o en un plazo más breve en circunstancias especiales. Este plazo
debe ser lo suficientemente largo como para llevar a cabo un análisis de deficiencias con
respecto al marco de referencia del Grupo, y para que se pongan en marcha y completen
las acciones de seguridad necesarias.

6
 eNGie
ANEXO 1 - Marco de referencia de seguridad para sistemas de
control industrial
Lista de puntos de control y medidas de protección para el marco de referencia de

seguridad. 19 puntos de control:

1. Sensibilización y formación en materia de seguridad

2. Comunidad de seguridad
3. Gestión de la modificación de ICS
4. Inventario de componentes
5. Plan de respuesta
6. Adquisición
7. Seguridad de intervención de proveedores
8. Arquitectura ICS segura
9. Gestión de la
configuración 1O.
Endurecimiento de la
configuración
1. Parches de seguridad y gestión de vulnerabilidades
2. Detección de código malicioso
3. Administración de dispositivos
4. Controlar el uso de privilegios administrativos
5. Identificación y autenticación
6. Información, instalaciones y seguridad de acceso
7. Seguridad inalámbrica
8. Auditorías de seguridad
9. Gestión de la obsolescencia

7
 eNGie
ANEXO 2 - Principios a implementar para un enfoque global de la
seguridad de los ICS
1 Los principios metodológicos
Designar un director del enlace relevante

La designación de un director de ICS es un requisito previo para establecer una

organización transparente y eficiente. Los perímetros de los directores de ICS son
responsabilidad de las unidades de negocio o de un nivel inferior, dependiendo
de la interna acordada. organización.
La asignación de responsabilidades debe aclararse en una declaración de misión
que explique, entre otras cosas, el alcance de la misión y los objetivos asignados,
la autoridad informante y los recursos asignados.

Incorporación de la seguridad ICS en el lanzamiento de proyectos

En cualquier proyecto nuevo, el líder del proyecto debe reclutar las habilidades
necesarias para que pueda lograr lo siguiente:
1. identificar y evaluar los riesgos generados o relacionados con los ICS del proyecto,
2. definir los requisitos de seguridad para cubrir todos los escenarios de riesgo
identificados,
3. comprobar que la fase de producción cumple los requisitos iniciales,
4. prever la formación de los operadores.
Los nuevos proyectos de AII incorporarán los requisitos del marco de referencia de
medidas de protección del Grupo en sus especificaciones (Marco de referencia de
seguridad para sistemas de control industrial -ICS - ver anexo 1).

Ajuste de la seguridad ICS al cambiar la arquitectura o los componentes

Esto supone que ya existe un procedimiento para la intervención en el ICS;

Este procedimiento debe proporcionar información sobre las partes
interesadas pertinentes, así como la realización de un estudio de seguridad.

Selección de los contratistas y proveedores

Los terceros ajenos a la empresa que intervengan en los ICS deben ser seleccionados
de acuerdo con criterios que garanticen un nivel adecuado de lo siguiente:
1. integridad y discreción, para no divulgar información confidencial o causar
daño a nuestros activos,
2. Competencia y disponibilidad para garantizar un servicio de calidad a
la altura de los requisitos.
Los contratos firmados con las empresas proveedoras deben incluir todas las
cláusulas que conduzcan a esos fines.
Además, la selección de los componentes que componen los ICS también
adquiere gran importancia para protegerse contra el riesgo de instalar
componentes defectuosos, vulnerables o poco fiables debido a su origen.

8
eNGie
Organización de la gestión de crisis, la continuidad y la reanudación de las
actividades en caso de accidente

Los procedimientos documentados deben existir y ser probados, ¡al menos en la

crítica! Sitios. Los recursos a movilizar incluyen interna! Recursos además de la
Critica! Proveedores. Los incidentes importantes que afectan a las CS se encuentran
entre los eventos a nivel de Grupo bajo la Política de Protección del Patrimonio del
Grupo. La gestión de crisis debe estructurarse de acuerdo con la Política de Gestión
de Crisis del Grupo.

Un procedimiento para gestionar circunstancias excepcionales

Cada entidad establece un procedimiento para gestionar, con carácter excepcional,

las situaciones en las que las reglas o normas no pueden aplicarse localmente.
Sólo podrá aplicarse una exención temporal una vez que se haya completado un
estudio completo y se hayan adoptado medidas compensatorias para reducir el
riesgo a un nivel aceptable. La decisión es aprobada por el director del ICS en
cuestión, incluso a nivel de UB, dependiendo de los problemas involucrados. Cada
exención debe ser objeto de un expediente documentado que se mantiene en el
archivo.

Gestión de autorizaciones y derechos a lo largo del tiempo y el espacio

La gestión de los derechos que afectan a la seguridad o la protección debe

llevarse a cabo rigurosamente, en particular en lo que respecta a sus fechas de
terminación o cancelación.

Gestión de los derechos de intervención en los ICS

Cualquier intervención en un ICS debe tener una autorización específica, similar al

procedimiento para la entrega de un permiso de trabajo que permita la intervención
en cualquier parte de un activo de producción.

Establecimiento de un mecanismo de supervisión y alerta

El Centro establece un mecanismo de vigilancia y alerta para garantizar la

seguridad de los ICS; el mecanismo está disponible para los corresponsales en
las unidades de negocio que indican la crítica! componentes que deben ser
monitoreados. Las unidades de negocio tienen la tarea de agregar requisitos al
método de monitoreo que no están cubiertos por este mecanismo general.

Lograr una gestión meticulosa de incidentes

¡Los incidentes detectados y las situaciones cercanas a incidentes deben

analizarse para identificar todas las causas técnicas, organizativas y humanas
para poder aplicar el remedio! medidas que sean pertinentes para el ICS de que
se trate.
Cuando un incidente doloso que, debido a su naturaleza o a su impacto real o
previsto, requiera un análisis o reacción centralizados, la División de Seguridad
supervisará el mecanismo del Grupo, como parte del procedimiento del Comité
para tratar incidentes 1.

1
Memorandum of 9 December 2010. The CTI comprises the HSMSD, the HRD, the LD, the ISD and the entities concerned by
the incident.
9
 eNGie
La obsolescencia corporativa como factor de riesgo

Tener en cuenta la obsolescencia es necesario dados los riesgos inherentes al uso de

sistemas y al conocimiento de estos sistemas (recursos humanos clave y
documentación).

Controlar el nivel de seguridad y realizar una revisión anual

Como cualquier sistema complejo y sensible, la gestión de los ICS debe formar parte
de un proceso de mejora formalizado y continuo.

2 Principios asociados al factor humano

Aumento de la sensibilización y la formación de quienes intervienen en los ICS

lncreciente conciencia se refiere lejos individuos, ya sea interna! ar externa!, quienes

son llamados upan para realizar acciones que puedan tener un impacto en la
seguridad de un ICS. Los programas de sensibilización y formación se preparan y
aplican al nivel pertinente: Grupo, unidades de negocio, etc., con el fin de responder
a los problemas específicos de la entidad en sus sitios constitutivos.

3 Los principios técnicos

Mantener actualizado el inventario de ICS

El inventario de componentes, redes, mecanismos de protección, diagramas,

actualizaciones y cualquier otra parte constitutiva de un ICS debe establecerse y
mantenerse actualizado, lo que requiere la trazabilidad de los cambios, una tarea que
ha sido asignada al director del ICS.

Establecimiento de una defensa en profundidad

La defensa profunda de la seguridad consiste en multiplicar de forma jerárquica las

medidas que actúan como barrera al riesgo y/o mediante la redundancia y la
diversificación de las contramedidas. La fuerza del mecanismo se ve reforzada si las
contramedidas difieren en su naturaleza tecnológica y en los efectos esperados.

Un equilibrio entre las medidas de ISS y las barreras de seguridad industrial

El grado de protección de un ICS debe conducir a un nivel aceptable de gestión de

riesgos en consonancia con los problemas de la entidad. Cuando la fiabilidad del ICS
no pueda garantizarse al nivel requerido, debido a la complejidad y las limitaciones
del sistema, el impacto de un posible mal funcionamiento debe limitarse mediante
medidas de seguridad industrial adecuadas (configuración automática de reserva en
modo degradado, por ejemplo).

Además, estas medidas de seguridad industrial son necesarias para protegerse

contra riesgos naturales, es decir, incendios, inundaciones, terremotos, etc.

Asegurar las instalaciones, controlar el acceso físico a los ICS, proteger los
datos sensibles y tomar las medidas indispensables de ISS (protección de ICS
contra software malicioso, intrusiones, toma de control local o de remate,
implementación de remedios de seguridad, una política estricta lejos de las
contraseñas, etc.).
10
eNGie
Estas medidas, que son absolutamente necesarias para los ICS, se desarrollan
en el documento titulado Marco de referencia de seguridad para sistemas de
control industrial, elaborado y actualizado conjuntamente según sea necesario por
la División de Seguridad y Salud y Seguridad. Se aplican en función de una
clasificación supeditada a los niveles de criticidad de los sitios y sistemas. Esta
clasificación se determina en el marco de referencia para cada medida
involucrada.

11
 eNGie
ANEXO 3 - Metodología de evaluación de la criticidad de los
sitios y desarrollo de planes de acción prioritarios

Cada unidad de negocio es responsable de controlar sus propios riesgos industriales.

1. -Metodología
En lo que respecta a los ICS, los elementos clave en la implementación de un plan de acción
de control de riesgos de seguridad de procesos son:
1. Identificando a Critica! instalaciones que presenten riesgos industriales importantes;
2. identificar los ICS involucrados en garantizar la seguridad operativa de estos críticos!
Instalaciones.

Dependiendo del nivel elegido, las unidades de negocio deben:

3. ¡Elabora una lista clasificada de las instalaciones consideradas más críticas! en términos
de plantear riesgos industriales importantes;
4. identificar para estas instalaciones qué sistemas informáticos son capaces, en caso de
fallo o malévolo control externo, de suponer un riesgo industrial importante. Los sistemas
identificados se denominarán posteriormente «sistemas informáticos importantes para la
seguridad» (ITSITS);
5. identificar las debilidades de estos sistemas 1T importantes para la seguridad;
6. elaborar un plan para actualizar estos sistemas 1T importantes para la seguridad para
asegurarse de que cumplen con el estándar requerido.

7. - identificar las instalaciones que plantean riesgos industriales importantes o graves

La responsabilidad de identificar las instalaciones que presentan riesgos industriales
importantes o graves recae en las siguientes entidades:
1. las entidades propietarias de las instalaciones de que se trate;
2. las entidades que exploten dichas instalaciones;
3. las entidades del Grupo que prestan servicios.

Las instalaciones objetivo son instalaciones (y proyectos) cuyos procesos industriales suponen
un riesgo importante o grave para las personas, los bienes, el medio ambiente, la continuidad
de la actividad (disponibilidad) y amenazan la imagen del Grupo.

Los criterios retenidos son consistentes con la política del Grupo sobre Gestión de Riesgos
Empresariales (ERM) y se especifican a nivel de UB.

Los niveles 4 (grave) y 5 (catastrófico) según los criterios de 2012 para la metodología ERM
deben servir como referencia para definir los principales riesgos e identificar sitios críticos.

El nivel 3 (significativo) servirá de referencia para definir los riesgos graves e identificar
sitios sensibles.

12
 eNGie
La evaluación debe realizarse teniendo en cuenta los riesgos intrínsecos, es decir, sin tener en
cuenta las medidas preventivas de protección adoptadas.

El cuadro que figura a continuación estipula los criterios de evaluación de impacto de

conformidad con la guía del MTC de 2012. lt puede servir como un documento de referencia útil
lejos de los administradores del sitio y preve útil en BU leve! Asignación de categorías a los
sitios bajo su jurisdicción:

lmpact
Financia!% Human Environment lmage Availability
Level
EBITDA
o Minor
<1% No impact No impact on the No media coverage Situation can
on human environment normallybe
health reversed
1 Low
No serious impact on Low or local media Situation
1%-2% No serious the environment. can coverage. normally be
impact on Temporary pollution. reversed in
human health. the short
2 Moderate
Slight lmpact on the term.
2%-5% Sllght lmpact environment. Possible regional Sltuation can
on human Pollution requlring be media coverage. reversed within
health. treatment but limited a
Injuries with to sites. fewweeks.
total incapacity
1 Sfgnlftéant forwork >8 tmpaét on th•
days.
5'6-12.f6 Rqlonilor

i0ft1Jpf

Para determinar el leve! de criticidad de las instalaciones en la tabla anterior, las entidades se
basan en:

1. análisis de riesgos y/o estudios de peligros, especialmente cuando las

instalaciones en cuestión son sitios de Seveso ar COMAH en Europa;
13
 eNGie
1. Evaluación de impacto regulatorio: El incumplimiento, ya sea original o
causado por un incidente, puede tener graves consecuencias, llegando incluso a la
pérdida de una licencia de operación. Este criterio de evaluación no debe
subestimarse.

2. Una evaluación de las consecuencias de la interrupción del servicio

prov1s1on, tanto internamente (teniendo en cuenta los posibles efectos en cadena
para otras entidades) como frente a los clientes externas. En este último escenario, el
impacto debe evaluarse a medio plazo. Por ejemplo, la interrupción de un servicio
esencial prestado a un cliente o servicios del sector público puede dar lugar a la no
renovación de un contrato y dañar gravemente la imagen de la marca o del Grupo.

Se ha puesto a disposición de las unidades de negocio una guía que ofrece

recomendaciones sobre la evaluación del nivel de criticidad de un sitio en el marco de la
Política de ICS (guía sobre la aplicación de la matriz de ERM en relación con ICS).

1. - Determinación de sistemas informáticos importantes para la seguridad (ITSITS)

Los sistemas informáticos importantes para la seguridad (ITSITS) incluyen todos los
sistemas que participan en funciones que permiten tomar medidas preventivas contra fallos
que podrían inducir un riesgo importante o grave o limitar eficazmente las consecuencias de
dichos fallos.

Las fases AII del procedimiento deben tenerse en cuenta para identificar sus fallos (puesta en
marcha, modo normal, parada, mantenimiento, prueba).

Los sistemas de control industrial (ICS) que tienen un propósito en la cadena de

mando o para transmitir señales de los equipos que son cruciales para garantizar la
seguridad (elementos de seguridad importantes (ISE) o «barrera MMR» según la
normativa francesa) se consideran de facto sistemas informáticos importantes para
la seguridad ( ITSITS).

Por ejemplo, la pérdida a largo plazo de PLC que permiten a las instalaciones ejecutar o
controlar dispositivos de seguridad son ITSITS, al igual que las redes telefónicas conmutadas
(enlaces STN) que controlan de forma remota los procedimientos o dispositivos de seguridad.

4- Evaluación de riesgos y definición de planes de acción prioritarios

Cuando se trata de escenarios amenazantes, la evaluación de riesgos implica evaluar los

puntos vulnerables de una instalación que no están cubiertos por las medidas de protección
ya existentes.

Pueden preverse tres tipos de medidas para mejorar la seguridad y garantizar un nivel
aceptable de control de riesgos:

1. medidas que apliquen los principios generales establecidos en la política de ICS del Grupo;
2. medidas de seguridad asociadas con el proceso industrial (formas
de redundancia, paradas, trabajo en modo degradado, sitios de reserva, etc.) -
haciendo que los elementos de seguridad (ISE) importantes funcionen de manera
más confiable en caso de que falle el ICS;
3. medidas específicas descritas en el marco de referencia pertinente.
14
 eNGie
5 - Caso especial de sistemas industriales que ayudan a los procesos administrativos a funcionar:

El procedimiento de seguridad de los emplazamientos industriales se ha ampliado para

abarcar los casos en que los sistemas industriales ayudan a que los procesos
administrativos funcionen; esto se aplica especialmente a los centros de TI.

Para clasificar los niveles de criticidad de los centros (centro de datos que sirve a varios
sitios o sala de datos limitada al sistema 1T de un solo sitio, particularmente salas de datos
de sitios industriales capaces de alojar servidores conectados a un ICS), se puede
implementar un procedimiento simplificado basado en el procedimiento de clasificación de
seguridad para las aplicaciones alojadas allí:

1. Si el centro de TI se utiliza para alojar aplicaciones que requieren disponibilidad

de nivel 4 (indisponibilidad que no dura más de cuatro horas), el centro es crítico.
2. Si el centro 1T se utiliza para alojar aplicaciones que requieren disponibilidad de
nivel 3 (indisponibilidad que no dura más de 24 horas), el centro es sensible.
3. De lo contrario, el nivel del centro es estándar (las solicitudes que requieren niveles 2 o 1
pueden no estar disponibles hasta o más allá de 48 horas).

15