Ciberseguridad: Norma Técnica de la CNE contempla siete pilares

Oct 4, 2023 | Panorama Energético

El organismo mostró el contenido de su trabajo normativo en Conferencia internacional del Coordinador Eléctrico Nacional.

Comparte en:

Siete con los contenidos que contempla la Norma Técnica de Seguridad de la Información y Ciberseguridad Industrial que elabora la Comisión Nacional de Energía (CNE), entre las cuales se destaca una gobernanza que implica un Equipo de Respuesta a Incidentes de Seguridad, además de un sistema de gestión ISO, la definición de directrices para empresas eléctricas, el establecimiento de requisitos mínimos para la gestión de riesgos y la comunicación de incidentes, entre otros.

Este trabajo normativo considera una consulta pública, con una fecha a definir, según indicó Félix Canales, jefe del Subdepartamento de Normativa de la CNE, durante la primera jornada de la 1° Conferencia Internacional de Ciberseguridad e Infraestructura Crítica Eléctrica, que realiza el Coordinador Eléctrico Nacional, donde participan actores internacionales y locales.

Canales destacó que la futura Norma Técnica «proporciona un marco sólido y estandarizado para abordar desafíos de seguridad tecnológica del Sector Eléctrico, estableciendo directrices y mejores prácticas bajo estándares internacionales; establece los requisitos mínimos de resguardo de la seguridad de la información y ciberseguridad industrial aplicables al Sector eléctrico, con un enfoque integral resguardando su entorno organizacional y también su entorno productivo: fomenta la preparación y respuesta ante incidentes., y promueve la continuidad de las operaciones en caso de ataques o fallas.

Contenidos

De acuerdo con el representante de la CNE, la creación de un Equipo de Respuesta a Incidentes de Seguridad (Computer Security Incident Response Team, CSIRT) apunta a «responder a incidentes de seguridad informática, con el objetivo de prevenir, detectar y mitigar ataques a la información y la ciberseguridad», precisando que para el sector eléctrico esto será parte de las responsabilidades asociadas al Coordinador Eléctrico Nacional, en consistencia con las funciones definidas en la Ley, por lo que «deberá relacionarse con las Empresas Eléctricas y velar por un adecuado cumplimiento de la presente Norma». Añadió que, entre las funciones que tendría este equipo está la gestión de incidentes, de vulnerabilidades, velar por una conciencia institucional, la transferencia de conocimientos y la gestión de eventos.

Canales sostuvo que el Sistema de Gestión de Seguridad de Información (SGSI) basado en la norma ISO 27001, pretende establecer lineamientos a cumplir por las Empresas Eléctricas para la implementación y mejora continua, mientras que el capítulo de ciberseguridad industrial busca «definir las directrices que deben cumplir las empresas eléctricas para implementar medidas de ciberseguridad para la protección de la infraestructura correspondiente al entorno productivo industrial».

En materia de gestión de riesgos, la idea es establecer exigencias mínimas para la Gestión de Riesgos en Empresas Eléctricas, generar los lineamientos para identificar y caracterizar los activos de información de las Empresas Eléctricas y cómo deben ser resguardados, así como definir roles y responsabilidades en la gestión de activos y el nivel de criticidad de los activos de información basado en sus propiedades de Confiabilidad, Integridad y Disponibilidad.

Además, tiene como objetivo generar los lineamientos para realizar la identificación, análisis y evaluación de riesgos considerando las amenazas y vulnerabilidades que pueden afectar a los activos de información, determinar los controles y requerimientos para la gestión de seguridad de la información, la protección, y detección de eventos de seguridad y elaborar un Plan de Gestión de Riesgos de Seguridad de la Información.

Finalmente, Canales dijo que la comunicación de incidentes tiene la finalidad de «establecer las exigencias para la comunicación de incidentes de seguridad de la información y ciberseguridad industrial en empresas del sector eléctrico al CSIRT Sectorial».

Publicidad
Publicidad