Las normativas de seguridad cibernética están cambiando, ¿está listo su programa de pruebas?
Para cumplir con las demandas tecnológicas de la industria de potencia eléctrica que evolucionan rápidamente y al mismo tiempo asegurar la confiabilidad de la red, NERC ha desarrollado nuevas normativas de Protección de Infraestructuras Críticas (PIC) para proteger sus dispositivos móviles y de almacenamiento de las amenazas cibernéticas de seguridad. Estas pautas, programadas para entrar en vigencia en abril de 2017, cambiarán la forma en la que usted trabaja, del terreno a la oficina. ¿Cómo puede adelantarse a la curva? Considere realizar algunos cambios a sus prácticas de prueba al momento de elaborar su programa de cumplimiento con los requisitos de NERC para garantizar que sus equipos están seguros y sin malware.
Ahora, las computadoras portátiles y tabletas usadas para probar equipos de potencia están clasificadas por la FERC como “Activos cibernéticos transitorios”, mientras que los CD, unidades USB y otras formas de almacenamiento portátil están clasificadas como “Unidades extraíbles”. Los dispositivos que concuerdan con estas definiciones se encuentran bajo amenaza cibernética constante como una forma de acceder a los entornos críticos, tales como los centros y subestaciones de control. Dichos dispositivo necesitan protegerse para asegurar la confiabilidad de la red.
Para proteger los activos cibernéticos transitorios, es aconsejable poseer computadoras portátiles o tabletas especiales que solo se utilicen para pruebas. Con esta solución, sus dispositivos estarán seguros y bloqueados, sin interferir con la interfaz de pruebas. Puede proteger aun más sus activos de la exposición a software maliciosos si evita el uso de unidades extraíbles en conjunto. Reemplace sus unidades de USB por una alternativa segura, como la tecnología segura de transferencia de datos en la red desde su computadora portátil o tableta de pruebas, para mantener la conveniente capacidad de transferencia de datos de las unidades extraíbles.
NERC también solicita que su software y sus activos cibernéticos transitorios también estén asegurados. Todos los software de sus dispositivos deben revisarse y aprobarse, y sus revisiones de seguridad deben mantenerse actualizadas. Realizar actualizaciones de forma oportuna le permitirá usar de forma segura sus equipos de pruebas sin comprometer sus datos.
El componente central para cumplir los nuevos requisitos PIC es la elaboración de un plan de acción de seguridad cibernética, junto con políticas, planes y evidencia. Un plan que defina las funciones y autoriza a los usuarios de forma apropiada, mientras gestiona y rastrea dispositivos transitorios, ayudará a proteger sus activos. Un proveedor externo que se especialice en el mantenimiento de datos para propósitos normativos de PIC puede ayudarlo de mejor forma a implementar su nuevo plan y aliviar la carga de su departamento informático. Con ayuda de su proveedor, usted puede incorporar su solución a los sistemas y prácticas, al mismo tiempo que se avanza con las herramientas y recursos necesarios para mantener la seguridad de sus datos.
¿Cuál es su siguiente paso? Obtenga más información al descargar nuestro documento informativo sobre lo que significan los requisitos PIC de NERC para su programa de pruebas.