A medida que el mundo moderno está más conectado al ciberespacio, los sistemas y la infraestructura crítica nacional también se están vinculando más y más a Internet. Estos avances permiten que haya un aumento en nuevas tecnologías, mayor eficiencia y capacidad, pero también significa una mayor vulnerabilidad al hacking y a los ciberataques.
Durante los últimos años, han existido ciberataques reales a infraestructura crítica, es decir, empresas de energía, agua, gas, combustibles, etc., en países como Turquía, Alemania, Estados Unidos, Irán, entre otros.
Recientemente, Colombia estableció, a través del documento CONPES 3701 de 2011, los lineamientos de política para Ciberseguridad y Ciberdefensa, orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que puedan afectar significativamente al país. A raíz de esta iniciativa, el Consejo Nacional de Operación (CNO), del sector eléctrico, expidió en 2015 el acuerdo 788 que establece la guía de Ciberseguridad que todos los agentes generadores, transmisores y distribuidores del Sistema Interconectado Nacional (SIN) deben cumplir.
Este acuerdo, establece una hoja de ruta para la implementación de la Guía y un marco de referencia de aplicación de la misma, que es la norma NERC CIP (North American Electric Reliability Corporation, Critical Infrastructure Protection), la cual establece los lineamientos de CiberSeguridad para el sistema eléctrico norteamericano.
Dentro de los temas principales a tener en cuenta, es que todos los agentes del SIN, a partir del 3 de marzo de 2016, deben tener una persona responsable de dirigir y administrar la implementación de la guía de CiberSeguridad del acuerdo 788, es decir, un Oficial de Seguridad y Cumplimiento y que, a partir del 3 de septiembre de 2016, deben demostrar un nivel de gestión de CiberSeguridad en sus empresas alineado con la norma NERC CIP.
El grupo A3SEC ha creado un modelo alineado a lo que exige el acuerdo 788 y la NERC CIP, para ayudar a las empresas del sector eléctrico a cumplir con los requerimientos establecidos por el CNO.
“Nuestro modelo de Ciberseguridad para empresas del sector eléctrico, es altamente eficiente y efectivo, ya que involucramos plataformas tecnológicas de última generación para el monitoreo y gestión de activos críticos, que apoyan las labores de definición e implementación de políticas y procedimientos de Ciberseguridad, y, al final, permiten demostrar a los agentes del SIN, avances en el cumplimiento de la 788 en tiempos cortos”, afirma David Rojas Director de Consultoría A3SEC en Estados Unidos, México y Colombia .
Gracias a su experiencia, han desarrollado un Modelo de Cumplimiento Unificado, que permite a las empresas del sector eléctrico abordar múltiples estándares y buenas prácticas de seguridad como: NERC CIP, NIST 800-53, ISO27000:2013, COBIT 5, entre otros. Así mismo, permite obtener una visibilidad completa de todo lo que sucede en los activos críticos del cliente, así como predecir cuando un evento anómalo puede ocurrir y poner en riesgo a la organización.