9 de julio de 2024
En esta serie de blogs de dos partes, analizaremos el marco regional actual de NERC para garantizar la confiabilidad energética. Destacaremos las diferencias entre las agencias federales, regionales y canadienses, y abordaremos los requisitos del CIP para la colaboración, los protocolos de seguridad y la colaboración.
Este blog proporciona una descripción general del Marco Regional NERC y comienza a identificar el papel del regulador en la confiabilidad, seguridad y resiliencia de la red eléctrica.
Nuevo en cumplimiento de NERC: ¿Qué hice mal?
Estudiaste mucho en la escuela para obtener tus certificaciones y capacitación en TI. Invertiste incontables horas en perfeccionar tus habilidades, soñando con el día en que conseguirías el trabajo de tus sueños en una gran empresa. Te imaginabas configurando redes críticas, actualizando software para mantener la seguridad de la empresa y profundizando en las complejidades de las implementaciones de las plataformas de software empresarial más innovadoras. Creías que tu conocimiento de estas complejas tecnologías sería tu pasaporte al éxito. Enriqueciendo tu currículum y abriéndote puertas a nuevas oportunidades, te llevarías a una carrera exitosa, gratificante y lucrativa.
Finalmente recibes la oferta de trabajo que tanto esperabas e ibas a formar parte del equipo de TI de la compañía eléctrica más grande de la ciudad donde creciste. ¡Todo tu esfuerzo ha valido la pena! Sin embargo, al adentrarte en el mundo de la industria eléctrica, pronto te das cuenta de que una parte importante de tu trabajo gira en torno a dar soporte... Cumplimiento de NERC. En lugar de experimentar con las tecnologías de vanguardia que anticipabas, tu rol no consiste en ser pionero en innovación y experimentar con cosas innovadoras; la mayor parte de tu trabajo consiste en cumplir con un requisito (y poder demostrarlo). Estás en este puesto porque posees los conocimientos de TI necesarios; estás excepcionalmente cualificado para extraer información de referencia de los activos de OT. Implementa parches en entornos de infraestructura crítica que habilitan la red y comprende la diferencia entre TI y OT.
Espera, ¿es NERC o FERC? Guardar
Bueno, es una combinación de ambas cosas. La NERC fue creada por la FERC (Comisión Federal Reguladora de Energía) para ser una colaboración entre las entidades reguladas que elaboran estándares para los requisitos de cumplimiento de la NERC, basándose en las decisiones de la FERC. Así, la industria crea el lenguaje y la redacción, lo aprueba y luego debe presentarse ante la FERC para su aprobación. Este proceso es largo, y observar cómo se elabora el producto final es a la vez enriquecedor y frustrante. Es un mundo donde se puede discutir sobre la definición de la palabra "proveedor" durante 90 minutos sin llegar a un consenso.
La buena noticia es que si eres bueno apoyando las iniciativas de cumplimiento de NERC y comprendes las mejores prácticas de ciberseguridad para infraestructuras críticas, ¡tendrás un empleo remunerado hasta que decidas jubilarte! Y puedes decir con sinceridad que estás ayudando a proteger la infraestructura más crítica de Estados Unidos: la red eléctrica, lo que te proporciona un trabajo importante y un propósito.
Bueno, aquí está, y este es su trabajo. Todos reconocemos que, en el mundo interconectado de hoy, una infraestructura energética confiable y segura es crucial para mantener nuestro estilo de vida moderno. La Corporación de Confiabilidad Energética de Norteamérica (NERC) desempeña un papel fundamental en la protección de la estabilidad y resiliencia de la red eléctrica en Norteamérica. Su trabajo es importante.
CIP NERC
Al recordar el momento en que le ofrecieron el puesto, el término NERC CIP era nuevo y ni siquiera podía deletrearlo si le preguntaban después de escucharlo por primera vez.
A estas alturas, ya sabes que significa Protección de Infraestructura Crítica y se ha convertido en tu enfoque principal.
NERC CIP se centra principalmente en proteger la infraestructura y los activos críticos. dentro del ESP (Perímetro de Seguridad Electrónica), lo que significa que si esta "cosa" falla, corre el riesgo de tener una interrupción.
Los requisitos de CIP también se centran en aspectos como el acceso a estos sistemas o activos, tanto desde una perspectiva de seguridad física como cibernética. Deberá mantenerse al día sobre cómo llegaron estos sistemas cibernéticos y de dónde provienen, en relación con los requisitos de la cadena de suministro. Al comenzar a analizar la aparentemente interminable capacitación necesaria para el éxito, descubre que tiene 14 estándares que profundizar en el área de CIP y que existe un conjunto completamente diferente de estándares con los requisitos de NERC 693 en el área de Operaciones y Planificación. Probablemente necesite convertirse en un experto en al menos dos de ellos, ¡y rápido! Por lo general, descubrirá que cuanto más pequeña sea la compañía eléctrica, más roles deberá desempeñar. A medida que se adentra y cree que está comenzando a comprender la compleja red de regulaciones de NERC, su Gerente de Cumplimiento le presenta el concepto de su entidad regional y el equipo de auditoría que se espera para finales de año.
¿Qué pasa si te equivocas o no encuentras pruebas de que tienes razón (cumples) cuando el auditor te pide que le muestres algo? La entidad, que ahora es tu empleador, puede ser citada o multada (hasta un millón de dólares al día por un solo incidente). Nadie quiere que su día transcurra así.
Entidades Regionales
En el resto de esta entrada del blog, desglosaré las diferentes regiones bajo la influencia de NERC y explicaré brevemente el enfoque de auditoría regional, brindándoles los fundamentos de lo que necesitan saber. Analicemos cómo funciona NERC y comprendamos la importancia de la aplicación regional. Esta entrada del blog busca simplificar el funcionamiento de las entidades regionales de NERC, explicando su propósito, estructura y mecanismos de aplicación.
Mision
En primer lugar, es fundamental comprender la misión general de este organismo regulador. El objetivo principal de NERC es garantizar la confiabilidad y seguridad del Sistema Eléctrico Mayorista, que abarca Estados Unidos, Canadá y una parte de México. Mediante el desarrollo y la aplicación de un conjunto de normas obligatorias, NERC se esfuerza por mantener la integridad y resiliencia de esta infraestructura crítica. Pero la R de NERC significa Confiabilidad, y ese es el objetivo. He hablado con auditores anteriormente para comprender mejor su trabajo y su mentalidad, y recuerdo que un exauditor de RF me recordó que RF significa Confiabilidad Primero. Esa es la misión de las Entidades Regionales de NERC.
Para gestionar y aplicar eficazmente las normas, NERC estableció inicialmente ocho entidades regionales en Norteamérica. La entidad regional de Florida desapareció y fue absorbida por SERC, mientras que la entidad regional del centro del país, SPP, trasladó la mayor parte de su presencia a MRO. Estas entidades actúan como reguladores de primera línea, responsables de la supervisión, la aplicación y el soporte del cumplimiento en sus respectivas regiones. Sus principales objetivos incluyen facilitar la comunicación y la colaboración, realizar auditorías y evaluaciones, y promover el cumplimiento constante de las normas de NERC.
Cada entidad regional opera dentro de una región geográfica designada y está compuesta por expertos de la industria, profesionales en regulación y especialistas técnicos. Estas entidades actúan como intermediarios entre NERC y las empresas de servicios públicos, garantizando la implementación y supervisión eficaz de las medidas de cumplimiento. Trabajan en estrecha colaboración con las empresas de servicios públicos, organismos gubernamentales y otras partes interesadas para fomentar una cultura de confiabilidad y mejorar la seguridad de la red eléctrica.
Las auditorías
Las entidades regionales solían ser bastante únicas en su enfoque de las auditorías y una región podía centrarse en un área de CIP NERC y otro se centraba en otro. Había regiones, e incluso auditores específicos, que eran más difíciles que otros. Las auditorías multirregionales eran las más desafiantes, ya que había personas de diferentes regiones que intentaban ser las más inteligentes. La conversación podía desviarse de cualquier tema, y en el cumplimiento de NERC, lo más difícil es tener la razón siempre. Hay que poder demostrar hechos del pasado, quizás de hace tres años.
El éxito deseado de las entidades regionales de NERC depende de la colaboración y el intercambio de información entre las diversas partes interesadas para que mejoren la creación y el seguimiento de sus procesos y, sobre todo, la capacidad de demostrar su cumplimiento. Reconociendo la naturaleza interconectada del sector eléctrico, estas entidades facilitan el intercambio de mejores prácticas, lecciones aprendidas y amenazas emergentes en sus regiones. También constituyen un recurso valioso para las empresas de servicios públicos, ofreciendo orientación y apoyo para mejorar el cumplimiento normativo y la fiabilidad.
A medida que el sector de servicios públicos de energía continúa evolucionando, las entidades regionales de NERC enfrentan nuevos desafíos y oportunidades. Con el aumento de la oferta de fuentes de energía renovables, los avances tecnológicos y las ciberamenazas emergentes, el papel de estas entidades para garantizar una red resiliente y segura se vuelve aún más crucial. Para adaptarse a estos cambios, las entidades regionales están constantemente mejorando sus estrategias de cumplimiento y haciendo todo lo posible por fomentar la innovación y la colaboración.
Bringing It Home
Las entidades regionales de NERC son la columna vertebral de las iniciativas de cumplimiento y aplicación de la ley en la red eléctrica de Norteamérica. Al comprender mejor el propósito, la estructura y las funciones de estas entidades, los profesionales del sector eléctrico pueden desenvolverse con mayor confianza en el complejo panorama del cumplimiento de NERC. A medida que el sector energético continúa evolucionando, las entidades regionales de NERC desempeñarán un papel vital en la defensa de la integridad de nuestra infraestructura crítica, el fomento de la colaboración y la respuesta a los desafíos emergentes. Además, pueden multar a su empresa con millones de dólares si no cumple con todos los requisitos. ¡Bienvenido a su puesto en el cumplimiento del CIP de NERC!
Todas las entidades regionales (ER) de NERC compartieron la misma misión principal: garantizar la confiabilidad de la red eléctrica mediante el desarrollo y la aplicación de estándares de confiabilidad obligatorios. Trabajan para garantizar que las empresas de servicios públicos, los operadores de transmisión y otras partes interesadas dentro de su jurisdicción cumplan con estos estándares, que abarcan diversos aspectos como la planificación de la transmisión, las operaciones, el mantenimiento y la ciberseguridad.
Únase a nosotros en la Parte 2 de esta serie de blogs donde analizamos la importancia y el impacto de las auditorías regionales y destacamos las diferentes entidades regionales y cómo están estructuradas.
Vea nuestro reciente seminario web, donde profundizamos en soluciones prácticas para optimizar el cumplimiento de CIP-004 en su organización.
Sobre la autora
Cuervo de Scott Es el Estratega Sénior de Sistemas Empresariales para Energía y Servicios Públicos en AssurX. Scott cuenta con una trayectoria comprobada en la entrega de soluciones exitosas de TI/OT que resuelven los desafíos de la ciberseguridad en Infraestructuras Críticas. Le apasiona aportar al mercado mejores maneras de resolver problemas empresariales mediante la innovación y se especializa en la integración de personas, tecnología y procesos.
