Se acabó el plazo: ¿Su computadora portátil y tableta están listos para las nuevas normativas de seguridad cibernética?
Muchas empresas de servicios públicos estuvieron trabajando sin descanso para cumplir con los requisitos de PIC V5/6 que entraron en vigencia el 1 de julio, 2016. Sin embargo, un requisito de gran impacto no entró en vigencia junto con los otros: el requisito de Activos cibernéticos transitorios (TCA, por sus siglas en inglés) que se aplica a las computadoras portátiles y unidades USB que utiliza el personal en terreno. Este requisito entró en vigencia el 1 de abril de 2017, después de un período intermedio de 9 meses para que las empresas de servicios público pudieran cumplir con el requisito.
Los requisitos de TCA tienen el propósito de asegurar uno de los enlaces más vulnerables, las computadoras portátiles y tabletas que se utilizan en entornos sensibles como las subestaciones. Tal como la Comisión Federal de Regulación de la Energía (FERC, por sus siglas en inglés) indicó en la Orden 791, dichos dispositivos transitorios pueden moverse entre perímetros electrónicos de seguridad y pueden propagar malware a los Sistemas cibernéticos de los Sistemas eléctricos (BES, por sus siglas en inglés).
Un aspecto notable de los requisitos de TCA es que estos se aplican a computadoras portátiles que se utilizan para conectarse a un Activo cibernético de BES (BCA, por sus siglas en inglés) exclusivamente por medio de un puerto serial. Mientras los dispositivos que solo utilizan conexiones seriales se excluyeron de los requisitos de PIC V3, la definición de los BCA en los requisitos de PIC V5/6 es más general e incluye a cualquier dispositivos electrónico programables, inmaterial de los medios de comunicación. El resultado es que si usted es un profesional de la gestión de activos, que usa una computadora portátil o tableta para conectarse a los activos de red, ahora su dispositivo móvil tendrá cumplir con los nuevos requisitos de PIC de NERC.
Desafíos actuales
Ahora que los requisitos de TCA ya están vigentes, ¿las empresas de servicios públicos cumplen con los requisitos? Se han encontrado algunos problemas comunes en los intentos iniciales de muchos por implementar técnicas internas de fortalecimiento de la tecnología de la información (TI):
- ACTIVOS ANTIGUOS: Debido a la antigüedad de algunos BCA, como relés antiguos, las aplicaciones de software que se usan para probarlos necesitan Windows XP o algún otro entorno heredado. Generalmente, el fortalecimiento de TI invalida dichas aplicaciones de software.
- PROBLEMAS EN LAS PRUEBAS: Surgen imprevistos en el terreno, como la necesidad de conectarse a puertos seriales a través de un puerto USB bloqueado, que no se pueden resolver fácilmente en instalaciones remotas donde se realizan pruebas sin proporcionar derechos de administrador al probador
¿Entonces cuál es el enfoque correcto?
Comience con los procesos de trabajo que necesitan protegerse y adapte los controles de seguridad de TI a ellos. A continuación, se dan a conocer algunos de los elementos de los procesos de trabajo de mantenimiento y prueba:
- Se necesita que las configuraciones y los planes de prueba correctos estén disponibles para realizar la tarea.
- Se necesita que los resultados de las pruebas se guarden en sistemas apropiados de almacenamiento.
- Las instalaciones pueden ser remotas, sin acceso rápido al soporte técnico en caso de que surjan problemas.
- Se necesitan varios puertos como Ethernet, USB y serial para conectarse al BCA y al instrumento de prueba.
- Algunos de los BCA son antiguos y solo se pueden probar por medio de un software antiguo e incompatible.
A modo de facilitar estas características, se necesitan los siguientes elementos:
- Comunicación transparente que sincronice automáticamente los planes y resultados de prueba en el dispositivo con los servidores relevantes y que lo haga de forma segura.
- Gestión de comunicación que deshabilite la comunicación externa mientras está conectado al BCA.
- Soporte remoto seguro que cumpla con los requisitos de PIC de NERC.
- Gestión de puertos que permita disponer de los puertos apropiados para las tareas de prueba, mientras mantiene deshabilitados los que no son necesarios.
- Entorno seguro para ejecutar un software antiguo e incompatible, necesario para realizar pruebas en un BCA antiguo.
Doble ayuda a nuestros clientes a implementar programas de prueba que cumplan y excedan las nuevas normativas para activos cibernéticos transitorios.
Recursos adicionales
- Glosario de términos de NERC
- Normas y fechas efectivas de NERC
- Requisito R4 para activos cibernéticos transitorios y unidades extraíbles PIC de NERC-010-2
- Publicación del blog: Las normativas de seguridad cibernética están cambiando, ¿está listo su programa de pruebas?