Una actualización en seguridad cibernética: Cómo pueden actuar ahora las empresas de servicios públicos
La seguridad cibernética de las infraestructuras críticas está constantemente en el centro de atención nacional. El reciente hackeo del oleoducto Colonial supuso el mayor ataque a un sistema de energía estadounidense y las repercusiones de la vulneración de SolarWinds aún perduran. A raíz de estos ataques, la Casa Blanca ordenó un nuevo plan para mejorar las infraestructuras y proteger la red eléctrica de sofisticados ciberataques y adversarios extranjeros.
A medida que el sector eléctrico se enfrenta a una mayor presión para hacer frente a vulnerabilidades de seguridad, numerosas organizaciones de energía y servicios públicos están renovando activamente las estrategias y aplicando soluciones innovadoras para reforzar la red. He aquí varias prácticas a tener en cuenta a la hora de crear programas de seguridad cibernética.
Lo que sabemos de la nueva orden de Biden
Dirigida por el Departamento de Energía en colaboración con Seguridad cibernética y de las infraestructuras (CISA, por su sigla en inglés), la orden tiene por objeto promover las tecnologías para aumentar la protección de la red. También pretende reunir información del sector eléctrico, incluidos los proveedores, las empresas de servicios públicos, el mundo académico y los laboratorios de investigación, entre otros, sobre los futuros problemas de seguridad de la cadena de suministro para adelantarse a posibles problemas de mayor envergadura. El departamento busca la opinión de la industria sobre cómo desarrollar una estrategia a largo plazo para necesidades de asistencia técnica, gestión de riesgos de la cadena de suministro, mejores prácticas de adquisición, mitigación de riesgos y más.
Este tipo de esfuerzo coordinado puede ayudar al sector energético a crear una hoja de ruta completa para lograr una seguridad cibernética más eficaz. El resultado final podría incluir nuevos mandatos de la industria, incentivos para una acción voluntaria adicional, planes de mejora continua, soluciones novedosas para mejorar la resiliencia y un enfoque renovado en la educación del personal en torno a las mejores prácticas de seguridad.
Doblar la apuesta por el cumplimiento de la normativa y la tecnología
Con este estándar actualizado de medidas de seguridad cibernética siendo probablemente un camino por recorrer, ¿qué pueden hacer las empresas de servicios públicos para protegerse mientras tanto de los ataques?
En primer lugar, redoblar las medidas de protección conocidas. Cumplir con las normas PIC de NERC es fundamental para la seguridad existente, así como supervisar y evaluar enérgicamente los activos en busca de vulnerabilidades. Siga las pautas para una gestión eficaz de vulnerabilidades y revisiones de seguridad (CIP-007 de NERC), las evaluaciones de vulnerabilidades(CIP-010 de NERC) y las tecnologías de gestión de revisiones de seguridad de la empresa(SP 800-40 Rev. 3 de NIST). Implemente la supervisión de control continuo (CCM) para rastrear e identificar periódicamente los posibles huecos en las medidas de seguridad que puedan surgir debido a cambios inesperados en el firmware o el software, y recupere el sistema lo antes posible. La confirmación de planes de contingencia y la capacitación del personal en prácticas eficaces también crean una base sólida y edificable para el éxito de la seguridad cibernética.
La utilización de soluciones tecnológicas, como el software de gestión de revisiones de seguridad, que supervisan continuamente y advierten de los riesgos de seguridad en tiempo real, también es vital para mantenerse alerta. Los dispositivos transitorios, que suelen estar desconectados de la red principal, son una de las principales preocupaciones, ya que pueden actuar como vectores de propagación de software malicioso. La implementación de un plan completo y holístico como el programa de activos cibernéticos transitorios (TCA) de Doble puede ayudar a las empresas de servicios públicos a abordar este problema y, al mismo tiempo, cumplir con las normas PIC de NERC sin obstruir los procesos de trabajo ni obstaculizar la eficiencia del equipo. El programa de Doble se basa en un profundo conocimiento del trabajo de campo de las empresas de servicios públicos e incluye controles de seguridad configurables que permiten a las empresas de servicios públicos adaptar su enfoque de seguridad a sus necesidades específicas.
Crear una cultura de proactividad y vigilancia
El cumplimiento es solo el requisito mínimo para la seguridad cibernética. Dado que los ataques son cada vez más frecuentes y sofisticados, las organizaciones están adoptando cada vez más una estrategia y arquitectura de confianza cero. El lema: Nunca confíes, siempre verifica.
El modelo, en el que las empresas eléctricas y de servicios públicos operan bajo el supuesto de que los hackers ya están dentro de sus redes y que ningún dispositivo, usuario o aplicación que se conecte a la red es seguro, impulsa intrínsecamente un entorno más seguro. El enfoque fomenta la vigilancia y lleva a las empresas de servicios públicos a tomar medidas de mitigación proactivas, como el seguimiento de las revisiones de seguridad, la autenticación de DNS para el phishing de correo electrónico y las pruebas de penetración para los sistemas operativos. Este último, que es esencialmente un ciberataque autorizado, es fundamental para evaluar la fuerza de las medidas defensivas.
En un mundo en el que tanto los dispositivos internos como los externos plantean considerables amenazas a la seguridad, una estrategia de confianza cero es inteligente y contribuye enormemente a reforzar la red.
Aunque la orden del gobierno de Biden es un paso sin precedentes y bienvenido para asegurar nuestras infraestructuras críticas, los ciberataques no están disminuyendo. Con programas de seguridad de las empresas de servicios públicos inteligentemente diseñados y una cultura de vigilancia, juntos como industria podemos minimizar la eficacia de los hackers y sus posibilidades de éxito.
Información adicional:
- 100 años de Doble: Satisfacer las necesidades de protección de la industria tanto hoy como en el futuro
- 100 años de Doble: Apoyando a las empresas de servicios públicos en la era cibernética
- La cultura organizacional es su mejor ciberdefensa