SMARTGRIDSINFO

Todo Sobre Redes Eléctricas Inteligentes

SÍGUENOS:
Inicio » Comunicaciones » Modelo de concienciación y buenas prácticas en ciberseguridad para empresas del sector eléctrico 

Modelo de concienciación y buenas prácticas en ciberseguridad para empresas del sector eléctrico 

Publicado:

Comunicación presentada al VII Congreso Smart Grids

Autores

  • Iñaki Angulo Redondo, Gestor de Proyectos de Ciberseguridad, Tecnalia
  • Marisa Escalante, Ingeniero, Tecnalia
  • Izaskun Santamaría, Tecnólogo Senior Tecnalia
  • Xabier Yurrebaso, Investigador en Ciberseguridad, Tecnalia

Resumen

Existe una gran preocupación en el sector eléctrico por el bajo nivel de formación y concienciación de su personal en materia de ciberseguridad. La norma IEC-62443-2-1, considera que esta conciencia y formación es una herramienta fundamental para reducir los riesgos en ciberseguridad, especialmente en aquellos puestos de trabajo que gestionan los activos más críticos. Sin embargo, esto no puede realizarse de forma improvisada, ni dejarse a criterio de los propios empleados. Es necesario definir y desplegar en la organización una cultura entorno a la ciberseguridad, a través de con un conjunto de procesos y prácticas que ayuden a proporcionar a cada empleado una conciencia, formación y buenas prácticas en ciberseguridad específicas a su actividad laboral.

El proyecto europeo SDN-microSENSE aborda este desafío y ha desarrollado un Modelo de Concienciación y Buenas Prácticas en Ciberseguridad. El modelo incluye un catálogo de 16 roles existentes en las empresas eléctricas, con información sobre su actividad, entorno de trabajo, activos que gestiona u opera, las posibles amenazas a las que se ven expuestos, y las competencias en ciberseguridad (conocimientos y habilidades) que deben ser adquiridas por las personas que desempeñan cada uno de esos roles. También incluye un modelo de madurez, consistente en 8 procesos y 80 prácticas que son necesarias desplegar por la empresa para para gestionar de una manera más efectiva la sensibilización, formación y buenas prácticas en ciberseguridad. Por último, una herramienta de evaluación permite valorar y conocer el nivel de madurez alcanzado por la empresa en el despliegue de estos procesos y prácticas.

Palabras clave

Smart Grids, Ciberseguridad, Modelo de madurez, Competencias.

Introducción

Existe una creciente preocupación en el sector eléctrico por el bajo nivel de formación en ciberseguridad del personal de la empresa, lo que se considera un riesgo en la seguridad de la empresa y en las infraestructuras que operan. Pero la formación en ciberseguridad no puede realizarse de forma improvisada, cuando la empresa o sociedad ha sufrido algún tipo de ciberataque, ni se puede dejar a los propios empleados. Es necesario definir y desplegar en la organización un conjunto de procesos y prácticas para proporcionar a cada empleado una conciencia y formación en ciberseguridad específica para su actividad laboral.

La norma IEC-62443-2-1 considera que la concienciación y formación en seguridad de todo el personal es una herramienta esencial para la reducción de los riesgos en ciberseguridad. Considera importante que todo el personal comprenda la importancia de la seguridad para mantener un funcionamiento seguro del sistema. Todo el personal debe recibir una formación técnica adecuada asociada a las amenazas y vulnerabilidades conocidas del hardware, el software y la ingeniería social” (IEC, IEC 62443-2-1. “Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program.,” 2010). En la misma línea se manifiesta la norma estadounidense NERC CIP, elaborada por la North American Electric Reliability Corporation, que otorga una especial relevancia a la capacitación del personal, y que en su parte CIP-004 define un conjunto de requisitos para llevar a cabo una formación en ciberseguridad de los empleados con el objetivo de minimizar aquellas acciones que pudieran conducir a un mal funcionamiento o inestabilidad en el sistema (NERC, “CIP-004-6 — Cyber Security – Personnel & Training.” 2014).

Por último, la Agencia Europea de Ciberseguridad, ENISA, en su informe “Smart Grid Threat Landscape and Good Practice Guide”, identifica a los empleados como una fuente de amenazas a la Smart Grid. Por empleados, el informe incluye al personal de la empresa, contratistas, personal operativo o guardias de seguridad que tengan acceso a los recursos de la empresa y que pudieran cometer un ataque, ya sea no intencionado, como fruto de una distracción o desconocimiento, o intencionado, generado en este caso por empleados descontentos (ENISA, “Smart Grid Threat Landscape and Good Practice Guide.,” 2014).

El proyecto europeo SDN-microSENSE (https://www.sdnmicrosense.eu/) tratando de abordar este desafío ha desarrollado un Modelo de Concienciación y Buenas Prácticas en Ciberseguridad para ayudar a las empresas del sector eléctrico a mejorar sus procesos de capacitación de su personal en materia de ciberseguridad. El modelo establece el conjunto de procesos y prácticas que deben desplegarse en la empresa para gestionar las necesidades en cuanto a competencias, conocimientos y buenas prácticas de su personal, y una herramienta de evaluación para medir el nivel de madurez alcanzado por la empresa en el despliegue de estos procesos y prácticas.

El proyecto

El proyecto europeo SDN-microSENSE (https://www.sdnmicrosense.eu/) se inició en mayo de 2019 con la intención de proporcionar un conjunto de herramientas seguras, que garanticen la privacidad y la resiliencia de la red eléctrica ante los ciberataques, asegurando así su normal funcionamiento, así como la integridad y confidencialidad de las comunicaciones. El consorcio del proyecto está formado por 31 socios de 9 países diferentes. El consocio agrupa el conocimiento y experiencia de empresas (grande y pequeñas) del sector eléctrico, centros de investigación y universidades.

Material y métodos

El proceso seguido en el desarrollo de la metodología se muestra en la siguiente figura.

Esquema.
Figura 1. Metodología seguida para la elaboración de la Herramienta de Evaluación de Capacitación y Sensibilización en Ciberseguridad SDN-microSENSE.

Análisis y definición de roles

En esta primera tarea del proceso, se ha elaborado un catálogo de los diferentes roles que existen en las empresas las empresas eléctricas. En esta definición han participado empresas de generación, transporte, distribución, fabricantes y empresas de servicios que participan en el proyecto. SDN-microSENSE.

Clasificación de activos y amenazas

En el contexto de la Concienciación y Buenas Prácticas en Ciberseguridad, el análisis de activos es importante para adaptar la concienciación y buenas prácticas a los roles de usuario específicos definidos en la empresa. Dependiendo del tipo de activos (información, dispositivos de hardware, componentes de la red de comunicación, infraestructuras físicas, etc.), y de las amenazas a las que se ven sometidos, se van a necesitar diferentes conocimientos, habilidades y prácticas para gestionarlos y protegerlos. Para este análisis nos hemos basado en el informe “ Smart Grid Threat Landscape and Good Practice Guide ” (ENISA, “Smart Grid Threat Landscape and Good Practice Guide.,” 2014) que proporciona una clasificación exhaustiva de los activos existentes en la Smart Grid, y las amenazas a las que están expuestos.

Modelo de competencias en ciberseguridad

El siguiente paso ha sido identificar las competencias en ciberseguridad (conocimientos y habilidades) que se requieren en cada puesto de trabajo. Para ello nos hemos basado en el informe “National Initiative for Cybersecurity Education” (NICE), elaborado por el Instituto Nacional de Estándares y Tecnología (NIST) (NIST, “National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework. NIST Special Publication 800-181.,” 2017). En este informe, se definen los conocimientos y habilidades en ciberseguridad para 52 roles dentro de una empresa. A partir de la lista de conocimientos y habilidades definidas por NICE, y con la ayuda de los socios de SDN-microSENSE, se ha realizado una selección de los más significativos para los roles definidos en el paso 1.

Modelo de madurez en ciberseguridad

Una vez establecidos los conocimientos y habilidades necesarias para cada puesto de trabajo, el siguiente paso definir los procesos y prácticas que son necesarias desplegar en la empresa para conseguir que los empleados adquieran dichas habilidades y conocimientos. Para esta tarea se ha utilizado como referencia el Modelo de Madurez de Capacidad de Personas (P-CMM) (SEI, “People Capability Maturity Model (P-CMM) Version 2.0, Second Edition. Technical Report. Software Engineering Process Management,” 2009), elaborado por el Instituto de Ingeniería de Software (SEI).

Diseño y desarrollo de herramientas de evaluación

Finalmente, se ha diseñado y desarrollado una herramienta de evaluación que permite a la empresa, bien internamente o con ayuda externa, evaluar su nivel de madurez en cuanto a la implementación y despliegue de las buenas prácticas de ciberseguridad recogidas en el modelo desarrollado.

Resultados

La Figura 2. muestra las diferentes partes que componen el modelo de Concienciación y Buenas Prácticas en Ciberseguridad desarrollado dentro del proyecto SDN-microSENSE.

Esquema.
Figura 2. Componentes del modelo de formación en ciberseguridad.

En primer lugar, un catálogo de roles que contiene la descripción de 16 puestos de trabajo o roles existentes en las empresas eléctricas como, por ejemplo, operador de planta, operador de distribución, ingeniero de subestación, administrador de comunicaciones, instalador, administrador de seguridad, etc. Para cada rol, el catálogo contiene su descripción, lugar en donde desarrolla la actividad, los activos que gestiona, opera o mantiene y las amenazas comunes asociadas a los activos. Además, incluye el modelo de competencias en ciberseguridad, que contiene los conocimientos y habilidades que deben ser adquiridas por el personal de la empresa para enfrentarse a posibles problemas de ciberseguridad.

Un modelo de madurez en ciberseguridad constituido por 3 niveles de madurez que incluyen un conjunto de procesos, buenas prácticas y recomendaciones para la gestión óptima de la ciberseguridad en empresas eléctricas. A través de la implementación y despliegue de los procesos y buenas prácticas se pretende mejorar las habilidades y competencias de los roles responsables de la gestión de activos críticos y por ende crear una cultura específica de ciberseguridad en las empresas del sector eléctrico.

Una herramienta de evaluación para evaluar el grado de madurez alcanzado por la empresa. Esta herramienta proporciona diferentes listas de verificación para validar si el proceso se ha implementado o no y proporciona estadísticas y gráficos que muestran el nivel de madurez de la empresa.

Modelo de competencias en ciberseguridad

El modelo de competencias define los conocimientos y habilidades en ciberseguridad requeridas para desempeñar un rol específico en una empresa. El modelo desarrollado establece 8 categorías de conocimientos y habilidades para las que, dependiendo del rol que desempeñe una persona, se podrá requerir un conocimiento básico, medio o avanzado. Estas categorías son las siguientes: redes y protocolos de comunicaciones específicos de la Smart Grid, tecnologías TICs utilizadas (bases de datos, software, hardware, arquitecturas, sistemas, etc.), gestión y protección de la información, ciberseguridad (control de acceso, hacking, malware, gestión de riesgos, amenazas, etc.), recopilación de información, legislación y normativa, políticas de seguridad de la organización, y tendencias tecnológicas.

Estas competencias permitirán a las personas evitar errores inconscientes, reducir las amenazas externas y ser capaces de enfrentar eventos adversos (ataques e incidentes) o fallos del sistema. Por tanto, el modelo de competencias debe incluir las competencias en ciberseguridad (conocimientos y habilidades) requeridas para cada rol laboral.

Modelo de madurez en ciberseguridad

El modelo de madurez define los procesos y prácticas necesarias para crear una cultura de ciberseguridad en la empresa de forma que se adquiera la sensibilización y el conocimiento en ciberseguridad adecuado en cada momento. El modelo incluye los siguientes componentes:

  • 3 niveles de madurez que representan la capacidad de una organización para gestionar y desarrollar los procesos de formación y generar una cultura de ciberseguridad.
  • 8 procesos que identifican los objetivos y actividades que se deben definir e implementar en la empresa para alcanzar un nivel de madurez.
  • 80 prácticas necesarias para lograr el objetivo del proceso.
  • Un conjunto de recomendaciones y consejos que pueden ayudar a definir e implementar una práctica específica. Pueden verse también como las evidencias que verifiquen que la práctica se está llevando a cabo.
Esquema.
Figura 3. Elementos del modelo de madurez en ciberseguridad.

El modelo de madurez en ciberseguridad definido en SDN-microSENSE considera tres niveles de madurez:

  • Nivel 1, Inicial. Los procesos pueden existir, pero no están desplegados a nivel organizacional, pudiendo ser ejecutados, pero de forma aislada y a criterio de cada persona.
  • Nivel 2, Personas Gestionadas. En este nivel se definen y despliegan los procesos orientados a la gestión de las personas: formación, comunicación, contratación etc. En este nivel de madurez se promueve la concienciación sobre ciberseguridad, se establecen mecanismos para informar y compartir riesgos e incidencias y se implementan las condiciones laborales básicas en ciberseguridad.
  • Nivel 3, Competencias Gestionadas. En este nivel se definen y despliegan los procesos orientados a la gestión de competencias en ciberseguridad. En este nivel de madurez las prácticas se adaptan a cada rol de usuario, existe una cultura participativa, y se adoptan medidas específicas basadas en un proceso de evaluación de riesgos.

En la Figura 4, se pueden ver los procesos asociados a cada nivel.

Esquema.
Figura 4. Niveles y procesos del modelo de madurez de ciberseguridad SDN-microSENSE.

Proceso de evaluación

El proceso de evaluación permite medir el nivel de madurez alcanzado en una empresa en el despliegue de los procesos de capacitación definidos en el modelo de madurez de ciberseguridad. Para ello se ha desarrollado una herramienta EXCEL que permite introducir, para cada proceso, qué prácticas han sido ya desplegadas, obtener el grado de despliegue de cada proceso (ver Figura 5) y obtener el nivel de madurez alcanzado (ver Figura 6).

Esquema.
Figura 5. Grado de despliegue de cada proceso.
Esquema.
Figura 6. Nivel de madurez alcanzado.

Conclusiones

Es de suma importancia para una empresa del sector eléctrico primero, identificar las necesidades en ciberseguridad de su personal, y segundo, establecer los mecanismos que permitan adquirir el nivel de conocimientos y habilidades necesarios. Este es un aspecto clave para evitar los riesgos que se producen por descuidos o errores no intencionados de los empleados, así como para detectar intentos de ataque intencionados producidos por agentes externos.

El modelo de concienciación y buenas prácticas desarrollado en el proyecto SDN-microSENSE (SDN-microSENSE, “D3.4. Energy-related Personnel & Processes Readiness Evaluation,” Junio 2020) define los conocimientos y habilidades necesarias en 16 puestos de trabajo diferentes y establece los procesos y prácticas empresariales necesarias para su adquisición. El modelo está basado en el modelo People CMM (People Capacity Maturity Model) elaborado por el SEI, y en el NICE (National Initiative for Cybersecurity Education) elaborado por el NIST.

Agradecimientos

El proyecto SDN-microSENSE ha recibido financiación del programa de investigación e innovación Horizonte 2020 de la Unión Europea en virtud del acuerdo de subvención N.º 833955. La información contenida en este artículo refleja únicamente la opinión de los autores. La Comisión Europea no se hace responsable del uso que pueda hacerse de esta información.

SOBRE SMARTGRIDSINFO

SMARTGRIDSINFO es el principal medio de comunicación on-line sobre las Redes Eléctricas Inteligentes.

Publica diariamente noticias, artículos, entrevistas, TV, etc. y ofrece la información más relevante y actualizada sobre el sector.

AUDITADO POR OJD
COPYRIGHT

©1999-2024 El material de SMARTGRIDSINFO es propiedad intelectual de Grupo Tecma Red S.L. y está protegido por ley. No está permitido utilizarlo de ninguna manera sin hacer referencia a la fuente y sin permiso por escrito de Grupo Tecma Red S.L.

SOBRE GRUPO TECMA RED

SMARTGRIDSINFO pertenece a Grupo Tecma Red, el grupo editorial español líder en las temáticas de Sostenibilidad, Energía y Nuevas Tecnologías en la Edificación y la Ciudad.

Portales de Grupo Tecma Red: