INICIO DEL BLOG

  • Líneas eléctricas con hermosos cielos rosados ​​que resaltan la industria de la energía y los servicios públicos.

20 de septiembre de 2023

Según el Corporación Norteamericana de Fiabilidad Eléctrica (NERC)Las normas CIP representaron siete de las diez normas de riesgo grave y moderado más frecuentemente violadas en 2022.

Las tres normas con más infracciones fueron CIP-007, CIP-010 y CIP-004, con un total de 200 infracciones. Cada una de estas normas ofrece miles de oportunidades para pasar por alto un evento o documento relacionado con el cumplimiento.

Además, en cualquier requisito, existen cientos de oportunidades similares. Esto ocurre especialmente cuando las empresas de servicios públicos utilizan procesos de seguimiento basados ​​en hojas de cálculo. En este artículo, detallamos algunos de los desafíos más comunes con estas normas CIP, que suelen infringirse. Además, analizamos cómo la automatización puede ayudar a las empresas de servicios públicos a reducir el riesgo.

Lea un libro gratuito ejemplo para aprender cómo una empresa de servicios públicos automatizó los procesos de cumplimiento de NERC

CIP-007: Ciberseguridad – Gestión de la Seguridad del Sistema

El incumplimiento de la norma CIP-007 representó la mayor parte de las notificaciones de incumplimiento de NERC de riesgo grave y moderado (108 en total) en 2022. Esta norma exige que usted inventarié, controle, monitoree y mantenga actualizados varios aspectos de todos sus activos dentro del alcance. Esto incluye puertos y servicios, parches de seguridad, detección de código malicioso, eventos de seguridad y acceso al sistema. Si considera que puede tener docenas, cientos o incluso miles de estos elementos, para cada activoLa cantidad de datos que hay que rastrear y a la que hay que responder es asombrosa. Un volumen tan elevado de datos y su manejo manual aumentan el riesgo de incumplimiento.

Una serie de desafíos relacionados con el seguimiento manual contribuyen al alto número de incumplimientos informados para esta norma, entre ellos:

  • La falta de escaladas y recordatorios aumenta el riesgo de no cumplir con las fechas de cumplimiento, por ejemplo, la ventana de 35 días para la evaluación del parche o la ventana de 15 días para revisar los registros de eventos de seguridad.
  • La evidencia de implementación y validación descentralizada dificulta el seguimiento, duplicando o incluso triplicando el esfuerzo requerido para las certificaciones anuales o el software. auditoría deberes.
  • Los controles manuales para la evaluación, aprobación, instalación y mitigación de parches son propensos a errores y difíciles de probar, especialmente dada la gran cantidad de parches que las empresas de servicios públicos deben documentar.

Un automatizado Sistema de gestión de cumplimiento de NERC Simplifica estos procesos con la capacidad de:

  • Importe líneas de base diarias a la plataforma y catalogúelas automáticamente a través de la integración de API con una herramienta de línea de base para ahorrar tiempo en la recopilación de evidencia
  • Utilice flujos de trabajo iniciados por tiempo para recordar a las pymes que evalúen los parches de seguridad, con escaladas automatizadas para acercarse a las fechas límite que actúen como un mecanismo de seguridad para el sistema.
  • Proporcionar evidencia relacionada con el parche, como fecha de evaluación del parche, aprobaciones, planes de mitigación y firmas digitales.

Estas funciones eliminan gran parte del error humano que contribuye a las infracciones de cumplimiento de NERC. Permiten a las empresas de servicios públicos proporcionar evidencia concisa y de fácil acceso a los auditores. Además, ahorran mucho tiempo en el proceso. Las pymes pueden centrarse en actividades de mayor nivel. Por ejemplo, la automatización de la gestión de parches permite ahorrar hasta dos horas al mes por activo.

CIP-010: Ciberseguridad: Gestión de cambios de configuración y evaluación de vulnerabilidades

La norma CIP-010 representó 55 de los incumplimientos graves y moderados de NERC en 2022. Esta norma se centra en prevenir cambios no autorizados en el entorno, incluyendo los ciberactivos transitorios (TCA) y los medios extraíbles. Nuevamente, un gran número de infracciones se pueden atribuir a procesos de seguimiento manual. Estos procesos obstaculizan el cumplimiento de diversas maneras:

  • El seguimiento basado en hojas de cálculo no proporciona un mecanismo para advertir a los equipos sobre cambios no autorizados en el entorno.
  • Evidencia descentralizada en torno a la gestión del cambio complica el proceso de cambio y limita la eficacia de los controles internos.
  • Las autorizaciones y escaladas son difíciles de rastrear manualmente y pueden dar lugar a que no se cumplan fechas de cumplimiento.
  • La documentación de identidad e integridad de todo el software, un nuevo requisito a partir de 2020, puede pasarse por alto fácilmente.

El software de gestión de cumplimiento de NERC aborda estos desafíos y proporciona un proceso de gestión de cambios integrado con:

  • Escaladas automáticas, recopilación de evidencia y etiquetado para los controles CIP-005 y CIP-007
  • La capacidad de optimizar las pruebas de identidad del software, la validación de integridad y la recopilación de evidencia en entornos de prueba y producción.
  • Evaluaciones de vulnerabilidad iniciadas en el tiempo, flujos de trabajo y recopilación automatizada de evidencia, lo que garantiza que se realicen a tiempo.
  • Flujos de trabajo automatizados para realizar un seguimiento de todos los datos, toda la documentación y cualquier aprobación necesaria en el proceso de cambio de activos

Esta última pieza es especialmente importante, ya que muchas empresas de servicios públicos luchan por mantenerse al tanto de todos los cambios de configuración en sus entornos distribuidos y variados.

CIP-004: Ciberseguridad – Personal y Capacitación

En 2022, las entidades presentaron 37 casos de incumplimiento de riesgo grave y moderado según la norma CIP-004. En este caso, muchas empresas de servicios públicos tienen dificultades para garantizar el cumplimiento de numerosos requisitos previos antes de conceder acceso al sistema, así como para cumplir con los plazos para la revocación del acceso.

Las áreas que a menudo se pasan por alto antes de otorgar acceso a los empleados son garantizar que se completen las verificaciones de antecedentes, las evaluaciones de riesgos del personal y la capacitación sobre concientización sobre seguridad cibernética.

La CIP-004 también tiene requisitos estrictos de tiempo para la revocación del acceso. Esto incluye la revocación de ciertos tipos de acceso dentro de las 24 horas posteriores a la terminación. Nuevamente, un desafío crítico es que el seguimiento manual está descentralizado. Esto dificulta la recopilación de evidencia y aprobaciones cuando se concede o revoca el acceso. Además, la falta de escalamientos implica que se pueden incumplir los plazos de cumplimiento de la CIP-004 R.5.

La automatización del proceso de gestión de acceso resuelve estos problemas al impedir el acceso si no se cumplen los prerrequisitos. En otras palabras, el sistema no permitirá que el flujo de trabajo avance hasta que se presenten las pruebas del cumplimiento del requisito. Los expertos reciben recordatorios de las fechas y actividades de cumplimiento. Además, se envían notificaciones a la gerencia si dichas actividades no se completan. La integración con software de terceros automatiza la recopilación y el etiquetado de pruebas relacionadas con la concesión y revocación de acceso.

En resumen, estas funciones reducen drásticamente el tiempo necesario para recopilar evidencia. Además, proporcionan un sistema único de registro para todas las evidencias, flujos de trabajo y tickets de cambio de acceso relacionados con el cumplimiento.

Conclusión

Las actividades de cumplimiento repetitivas que implican el seguimiento en hojas de cálculo son propensas a errores humanos. Con cientos, o incluso miles, de oportunidades para que las tareas de cumplimiento pasen desapercibidas, las empresas de servicios públicos necesitan un mejor sistema para mantenerse al día con las obligaciones del NERC.

Un sistema automatizado de gestión de cumplimiento de NERC estandariza la recopilación de evidencia para minimizar las brechas de cumplimiento, con escalamientos y recordatorios periódicos que proporcionan una medida de seguridad adicional para garantizar que las organizaciones cumplan con los requisitos. En definitiva, esto también significa que las pymes pueden dedicar más tiempo a supervisar los controles internos y a validar que la evidencia cumpla con los objetivos de seguridad, la esencia misma del cumplimiento.

Descargue un libro electrónico gratuito sobre Selección e implementación de software automatizado de gestión de cumplimiento de NERC

Sobre la autora

Katherine Wagner Es vicepresidenta de Soluciones Industriales, Energía y Servicios Públicos en AssurX. Kathryn cuenta con más de 25 años de experiencia en integración y cumplimiento de sistemas de fabricación. Es responsable del desarrollo y la evolución de la oferta de productos para el cumplimiento de NERC. Estos sistemas se centran en la fiabilidad y la resiliencia.