Anticipándose a las normativas de la industria energética: Una entrevista con James Holler
La protección de la infraestructura crítica es un aspecto clave para los reguladores. En otro tiempo voluntarios, los requisitos para la protección de infraestructuras críticas (PIC) de la Corporación Norteamericana de Confiabilidad Eléctrica (NERC, por sus siglas en inglés) ahora se aplican estrictamente, y hay multas de seis cifras para los individuos y las empresas que no demuestren pasos concretos para cumplir con las pautas.
Las normativas en sí son cada vez más estrictas: la Comisión Federal Reguladora de Energía (FERC, por sus siglas en inglés) recientemente propuso revisiones a los estándares de confiabilidad de PIC que ampliarían la CIP-008-5 para la notificación de incidentes y la planificación de la respuesta. Las nuevas normas incluirían la notificación obligatoria de incidentes de ciberseguridad que comprometan el perímetro de seguridad electrónico (ESP), o los sistemas de control de acceso electrónico o de monitoreo (EACMS) de una entidad. Si se adopta, el nuevo marco general significaría que las empresas tendrían que informar de los incidentes cuando se descubran, y mucho antes de que causen algún daño, en lugar de hacerlo sólo si una o más tareas vinculadas a la confiabilidad se han visto interrumpidas. Esto supondría un verdadero cambio para muchos equipos, ya que los obligaría a aumentar continuamente sus esfuerzos de mitigación de riesgos.
Nos encontramos con James Holler, el nuevo director de cumplimiento normativo de Doble, para obtener una mejor visión sobre la evolución del panorama. James lidera el cargo de iniciativas de cumplimiento y mitigación de ciberseguridad para los clientes de Doble, que incluirá herramientas para una protección robusta de la infraestructura, tales como análisis de deficiencias, auditorías simuladas, capacitación, servicios gestionados y evaluaciones de vulnerabilidad cibernética.
¿Qué lo condujo a una carrera en la industria energética?
Me incorporé a la industria energética por accidente. Pasé la mayor parte de mi carrera postmilitar trabajando en cumplimiento, concentrándome mucho en el área de atención sanitaria y seguros de Corporate America, y un día un amigo me preguntó si alguna vez había oído hablar de NERC. Le dije que no, y entonces me pasó más de 1.700 páginas de los requisitos de NERC para leer. Después de digerir la información, me di cuenta de que había muchas oportunidades y trabajo de cumplimiento por hacer en la industria de la energía, y asumí un puesto de consultoría a cargo de todas las auditorías regionales de NERC y FERC con Abidance Consulting.
¿Qué hitos clave, recomendaciones o eventos han impactado con mayor fuerza en su carrera?
Cuando estaba en el ejército, experimenté de primera mano el acelerado ritmo del mundo del cumplimiento. Mis colegas estaban luchando por cumplir con los requisitos, y los encargados de hacer cumplir la ley no siempre sabían cómo hacer que la gente se responsabilizara. Quería corregir esta división en el mundo corporativo educando a los clientes sobre qué se espera de ellos desde una óptica normativa y qué pueden hacer al respecto, para que así tomen decisiones de cumplimiento informadas y seguras.
¿Qué es lo que más le gusta acerca del tipo de trabajo que realiza?
La industria está en permanente cambio. En contabilidad, dos más dos siempre serán cuatro, pero en el cumplimiento de las normas, lo que era cierto ayer, no siempre lo será hoy. Por eso es tan emocionante.
¿Cómo es el panorama normativo en la industria energética en la actualidad?
Se mueve con rapidez y cambia constantemente. En un momento dado, hay al menos una docena de requisitos que se están modificando o creando. La «máquina» de cumplimiento NERC no se desacelera. Estas normativas seguirán desarrollándose a velocidades vertiginosas, por lo que las empresas deberán mantenerse informadas de estos avances para no romper inadvertidamente las reglas.
¿A qué legislación y tendencias deberían prestar más atención las compañías de energía y por qué?
Definitivamente a las pautas de NERC, ya que son las más impactantes y de mayor alcance, pero es importante recordar que muchas compañías tienen otros requisitos de negocios específicos a los que tienen que adherirse. Si cotizan en bolsa, hay que tener en cuenta la ley Sarbanes-Oxley; si tienen un contrato con el gobierno, interviene FISCAM; si tienen personal médico a su disposición en una planta o en otras áreas, es posible que entre en juego la ley HIPAA. También existe NIST 800-171, que se ocupa de la seguridad y el cifrado que puedan ser pertinentes.
Con todo esto en mente, los equipos todavía deben realizar el trabajo para el que fueron contratados, que es producir y distribuir energía. Es por eso que vale la pena tener un equipo dedicado estrictamente al cumplimiento, y también pensar en contratar a un tercero para que se encargue del trabajo por una fracción del costo de la capacitación del equipo interno.
¿Cuál es el mayor problema en torno al cumplimiento en la industria energética actual?
Los dos problemas principales son el tiempo y el dinero. El personal de las compañías de energía a menudo es tan exigente que literalmente no hay suficientes horas en el día para que puedan hacer su «verdadero trabajo» y, al mismo tiempo, mantenerse al día con los requisitos normativos. El objetivo de Doble con la implementación del nuevo programa de cumplimiento es permitir que los clientes vuelvan a hacer lo que mejor saben hacer, que es producir y transmitir energía, mientras nosotros mejoramos el día a día del cumplimiento de NERC, FERC y OSHA. Al hacer esto, estamos seguros de que nuestros clientes estarán menos presionados y se asegurarán no sólo de cumplir con los requisitos, sino también de estar preparados para el futuro de una manera más rentable y menos laboriosa que la que adoptan en la actualidad.
¿Hacia dónde cree que se dirige la industria en los próximos cinco a diez años?
Veo que la industria continúa identificando y dando respuesta ante diferentes vulnerabilidades, por ejemplo, un
ataque de pulso electromagnético (EMP). La actual administración está insistiendo mucho en la necesidad de crear un «escudo» protector para la red eléctrica. Este es un asunto tan serio que FERC y NERC están creando un documento de propuesta de reglamentación (NOPR) para abordar este problema. El cumplimiento de la normativa desempeñará un papel fundamental en la protección. La empresa vinculada a Doble, ETS-Lindgren, es experta en esta área y colaboran con nosotros para abordar estas preocupaciones de los clientes.
Información adicional
-
Obtenga más información: Lea los requisitos PIC de NERC relevantes sobre la seguridad de los datos de los dispositivos de campo.
-
Descargue nuestro eBook: Pruebas sobre el terreno en un mundo cibernético inseguro