INICIO DEL BLOG

  • Primer plano de paneles solares con césped verde y cielo nublado

2 de noviembre.

La gestión de riesgos en la cadena de suministro es fundamental para la ciberseguridad de las empresas de servicios públicos. Esto se debe a que cualquier interrupción en la cadena de suministro puede tener graves consecuencias para estos proveedores de infraestructura crítica, algo que se ha hecho cada vez más evidente en los últimos años.

Para abordar este riesgo, la Comisión Federal Reguladora de Energía (FERC) exige el cumplimiento de los requisitos establecidos por la CIP-013 de la Corporación de Confiabilidad Eléctrica de América del Norte (NERC): Ciberseguridad: Gestión de riesgos de la cadena de suministro para empresas de servicios públicos.

Aquí examinamos por qué esta norma es tan importante, sus requisitos y evidencia, y lo que las empresas de servicios públicos necesitan saber sobre sus planes de gestión de riesgos de ciberseguridad en la cadena de suministro.

Descargue un libro electrónico gratuito sobre Selección e implementación de software automatizado de gestión de cumplimiento de NERC

La importancia de la gestión de riesgos de la cadena de suministro de ciberseguridad para las empresas de servicios públicos

Los ciberataques son cada vez más sofisticados, y los atacantes suelen atacar las cadenas de suministro para infiltrarse en los sistemas de servicios públicos. En este contexto, mejorar los controles de ciberseguridad en la cadena de suministro ayuda a las empresas de servicios públicos a:

  • Proteja la infraestructura críticaLas brechas de ciberseguridad pueden provocar interrupciones generalizadas del servicio, lo que representa una amenaza significativa para la seguridad pública. Un ejemplo de ello es el incidente de 2015. Ciberataque a la red eléctrica de Ucrania a través de actualizaciones de software infectadas con malware que dejaron a aproximadamente 225,000 clientes sin electricidad.
  • Evitar el acceso no autorizado: Las vulnerabilidades pueden exponer componentes, hardware y software a ciberatacantes, como en el ciberataque a SolarWinds de 2020. Este evento, quizás el más grande de su tipo, afectó a más de 30,000 XNUMX organizaciones. En este caso, los hackers instalaron código malicioso en un parche de software de terceros para acceder a las cuentas de las víctimas y evitar la detección del software antivirus.
  • Mitigar las amenazas internas: Los proveedores externos que realizan mantenimiento y actualizaciones de software pueden introducir amenazas internas si no están sujetos a estándares de seguridad estrictos.
  • Garantice el cumplimiento normativo: El incumplimiento de la norma NERC CIP-013 puede resultar en multas y sanciones significativas para las empresas de servicios públicos. NERC puede imponer multas de hasta un millón de dólares diarios a las entidades registradas que incumplan la norma.

Requisitos del CIP-013

La CIP-013 requiere que las entidades responsables desarrollen planes de gestión de riesgos de ciberseguridad de la cadena de suministro que incluyan procesos de adquisición para identificar y evaluar los riesgos de ciberseguridad de los productos o servicios que surjan de:

  • Adquisición e instalación de nuevos equipos y software de proveedores
  • Transición de un proveedor a otro

Además, los procesos de adquisición deben abordar varios elementos clave:

  • Requisitos de notificación a proveedores para incidentes como infracciones identificadas por el proveedor o brechas de seguridad que representan un riesgo de ciberseguridad
  • Cómo responderá a estos incidentes una vez que el proveedor le haya notificado
  • Requisitos para que los proveedores le notifiquen cuando se debe revocar el acceso remoto o en el sitio a los representantes del proveedor, como cuando se despide a un empleado del proveedor
  • Divulgación por parte del proveedor de vulnerabilidades conocidas en productos o servicios
  • Verificación de todos los parches de software proporcionados por el proveedor para verificar la integridad y autenticidad del software
  • Cómo coordinará los controles tanto para el acceso remoto interactivo iniciado por el proveedor como para el acceso remoto de sistema a sistema

Es importante destacar que el CIP-013 cubre específicamente los nuevos contratos y compras. Es decir, las empresas de servicios públicos no necesitan modificar ningún contrato existente ni realizar análisis del software existente. Sin embargo, al adquirir un software nuevo, deben seguir los procedimientos establecidos en su plan de gestión de riesgos de ciberseguridad de la cadena de suministro.

Además, cabe destacar que la norma no especifica cuáles deben ser los términos y condiciones de los contratos de adquisición. Tampoco exige un nivel específico de desempeño y cumplimiento de los contratos por parte de los proveedores. En cambio, las empresas de servicios públicos deben seguir sus procesos de adquisición establecidos para abordar los riesgos de ciberseguridad en la cadena de suministro cuando se produzcan eventos.

CIP-013 Evidencia

Para demostrar el cumplimiento de la norma CIP-013, necesitará un plan de gestión de riesgos de ciberseguridad de la cadena de suministro documentado, así como la documentación de su implementación. Esta documentación puede incluir:

  • Documentos de política
  • Contratos de proveedores
  • Correspondencia con proveedores
  • Evaluaciones de riesgo de proveedores
  • Informes de una herramienta de gestión de cumplimiento que muestran que está utilizando su plan

El gerente superior o delegado del CIP debe revisar y aprobar el plan al menos una vez cada 15 meses, con evidencia que puede incluir:

  • Fecha de revisión y aprobación
  • Documentos de política
  • Revisión histórica
  • Revisar la evidencia
  • Evidencia del flujo de trabajo de la gestión de documentos te

¿Qué incluye el plan de gestión de riesgos de ciberseguridad de la cadena de suministro?

El Foro de Transmisión de América del Norte (NATF) ha desarrollado ayuda El objetivo es ayudar a la industria de servicios públicos a determinar cómo cumplir con la CIP-013. El Modelo NATF para el desarrollo del plan de gestión de riesgos de ciberseguridad de la cadena de suministro se centra en cinco pasos generales:

  1. Recopilación de información
  2. Evaluar esa información y abordar los riesgos
  3. Realización de una evaluación de riesgos
  4. Tomar la decisión de compra
  5. Implementando sus controles y monitoreando sus riesgos

En la Sitio web de NATF Las empresas de servicios públicos pueden encontrar los Criterios de seguridad de la cadena de suministro del NATF y el Cuestionario de riesgo de la cadena de suministro del sector energético (ESSCR) para ayudar a informar sus planes de gestión de riesgos.

Los Criterios de seguridad de la cadena de suministro de NATF incluyen una descripción general de alto nivel de las mejores prácticas que se deben buscar con los proveedores en áreas como:

  • Control y gestión de acceso
  • Gestión de activos, cambios y configuración
  • Gobernanza
  • Respuesta al incidente
  • Protección de la información
  • Gestión de vulnerabilidades

El ESSCR analiza la información de los proveedores a un nivel más granular y proporciona más de 200 preguntas que las empresas de servicios públicos pueden realizar a los proveedores externos sobre prácticas relacionadas con:

  • Prácticas de la cadena de suministro y dependencias externas
  • Procedimientos de gestión de la fuerza laboral
  • Gestión de identidad y acceso.
  • Gestión de programas de ciberseguridad
  • Gestión de cambios y configuración
  • Herramientas y arquitectura de ciberseguridad
  • Protección de datos
  • Procedimientos de respuesta a eventos e incidentes
  • Dispositivos móviles y aplicaciones.
  • Gestión del riesgo
  • Gestión de vulnerabilidades

Simplificando el cumplimiento de la norma CIP-013

Más que simplemente documentar su plan de gestión de riesgos de seguridad cibernética de la cadena de suministro, las empresas de servicios públicos deben tener procesos sólidos establecidos para implementarlos y documentarlos.

Un automatizado Sistema de gestión de cumplimiento de NERC apoya estos esfuerzos proporcionándoles un sistema centralizado para:

  • Seguimiento de productos y servicios de proveedores
  • Almacenamiento de acuerdos con proveedores
  • Documentar la comunicación con los proveedores
  • Registro de incidentes e historial de respuestas
  • Monitoreo y evaluación comparativa del desempeño de los proveedores
  • Vinculación de la información de riesgo del proveedor con la información de seguimiento de activos

Esto no sólo ayuda a las empresas de servicios públicos a cumplir con la CIP-013, sino que también les ayuda a tomar decisiones de selección de proveedores más inteligentes, al tiempo que proporciona una mejor visibilidad del riesgo.

Conclusión

La gestión de riesgos en la cadena de suministro es fundamental en el sector de servicios públicos, especialmente en lo que respecta a la ciberseguridad y la protección de infraestructuras críticas. Los ataques al sector de servicios públicos suelen provenir de la cadena de suministro y pueden tener un enorme impacto tanto en los clientes como en las propias empresas de servicios públicos.

La norma CIP-013 exige planes sólidos de gestión de riesgos de ciberseguridad en la cadena de suministro que garanticen que los procesos de adquisición no pongan en riesgo la infraestructura inadvertidamente. Un sistema automatizado de gestión de cumplimiento de NERC puede ayudar a garantizar que el plan esté implementado y funcionando, proporcionando una fuente única de información veraz para la documentación y el rendimiento de los proveedores.

Descargue una guía gratuita sobre Planificación de una preparación exitosa de la herramienta de solicitud de evidencia (ERT) del NERC CIP

Sobre la autora

Katherine Wagner Es vicepresidenta de Soluciones Industriales, Energía y Servicios Públicos en AssurX. Kathryn aporta más de 25 años de experiencia en integración y cumplimiento de sistemas de fabricación, siendo responsable del desarrollo y la evolución de la oferta de productos para el cumplimiento de NERC y sistemas relacionados que priorizan la fiabilidad y la resiliencia.