CIBERESCUDO ENDEBLE
El modelo de evaluación que confeccionó la Auditoría Superior de la Federación, para diagnosticar las condiciones de ciberseguridad del Centro Nacional de Control de Energía y la Comisión Federal de Electricidad, encontró deficiencias en ambas instancias, pese a los crecientes ciberataques que padece este sector
Las instancias del Estado mexicano que están a cargo del sector eléctrico del país, el Centro Nacional de Control de Energía (Cenace) y la Comisión Federal de Electricidad (CFE), deben fortalecer sus sistemas de ciberseguridad pues los mismos presentan deficiencias, advierte la Auditoría Superior de la Federación (ASF).
El llamado que hace la Auditoría se genera tras haber diagnosticado las condiciones de ciberseguridad que presentan esas dos instituciones, utilizando un modelo de evaluación que diseñó el propio órgano fiscalizador, y que encontró múltiples limitaciones en los esquemas de protección que tienen implementados.
La ASF señala que confeccionó su modelo de evaluación basándose en las principales normas, estándares y marcos de referencia relacionados con ciberseguridad en el sector de energía, tanto en el ámbito internacional como nacional.
“El modelo desarrollado por la ASF analizó las 108 subcategorías contenidas en el Marco de Referencia de Ciberseguridad NIST, las 16 subcategorías del NIST 1800-7 ‘Conciencia situacional para las empresas eléctricas’, los estándares NERC CIP del 002 al 014, y la normativa mexicana que establece controles de gestión de la seguridad en el Sector Eléctrico Mexicano; como resultado, se agruparon 67 subcategorías las cuales integran las subcategorías anteriormente mencionadas y que se agrupan en las 5 funciones y 18 categorías”.
Las cinco funciones que evaluó la ASF en ambas instituciones fueron Identificar que implica la comprensión del contexto de la organización, los activos que soportan los procesos críticos de las operaciones y los riesgos asociados, esto, para definir los recursos e inversiones de acuerdo con la estrategia de gestión de riesgos.
Segundo, proteger, para la aplicación de medidas para garantizar la entrega de los servicios críticos; tercero, detectar, consistente en la definición y ejecución de actividades apropiadas para la identificación de los incidentes de ciberseguridad; cuarto, responder, para definir y ejecutar actividades apropiadas para tomar medidas en caso de detección de un evento de ciberseguridad y así reducir su impacto.
Y quinto, recuperar, para la definición y ejecución de los planes de resiliencia: para restablecer cualquier capacidad o servicio que se haya visto afectado debido a un incidente de seguridad cibernética.
Resultados en CENACE
Para medir el nivel de cumplimiento de estos estándares de ciberseguridad, se determinaron estas calificaciones: “Bajo”, cuando el cumplimiento de los requerimientos por subcategoría se ubica en 0-30 por ciento; “Medio”, si se encuentra en 40-70 por ciento ; y “Establecido”, para los rangos de 80-90 por ciento.
La ciberseguridad es un elemento imprescindible en el sector energético debido a la trascendencia de las infraestructuras críticas para los servicios públicos”
Auditoría Superior de la Federación
Al aplicar este diagnóstico al sistema EMS/SCADA del Cenace (que le permite al Cenace ejecutar el control operativo del Sistema Eléctrico Nacional), el organismo obtuvo estos resultados por cada Función:
En Identificar se alcanzó un promedio de 63.3 por ciento de cumplimiento, así que “se debe continuar con la implementación de acciones que permitan definir los recursos y las inversiones de acuerdo con la estrategia de gestión de riesgos y sus objetivos”.
En Proteger se obtuvo un promedio de 67.7 por ciento de cumplimiento.
“Es la función que obtuvo un mayor nivel, sin embargo, se tienen que reforzar e incrementar las medidas para proteger los procesos y los activos de la organización”.
En Detectar arrojó un promedio de 56.0 por ciento de cumplimiento. “Es la función que obtuvo el promedio más bajo, por lo que se tienen que incrementar acciones para tener una adecuada definición y ejecución de actividades dirigidas a la identificación temprana de los incidentes de seguridad”.
En Responder obtuvo un promedio de 63.3 por ciento de cumplimiento. “Se tiene que continuar con la definición y ejecución de actividades apropiadas para tomar medidas en caso de detección de un evento de seguridad con el objetivo de reducir el impacto de un potencial incidente de ciberseguridad”.
Y en Recuperar apenas tuvo un promedio de 60.0 por ciento de cumplimiento. “Se debe incrementar las acciones para probar y actualizar los planes de resiliencia, que les permita restablecer cualquier capacidad o servicio que se haya visto afectado debido a un incidente de ciberseguridad, así como gestionar ante los medios, una respuesta inmediata en caso de contingencias”.
Resultados en CFE
Cuando el modelo de evaluación se aplicó en CFE Transmisión, estos fueron sus resultados por cada Función.
En Identificar obtuvo un promedio de 65.7 por ciento de cumplimiento: “es la función que obtuvo un mayor nivel; sin embargo, se tienen que reforzar e incrementar las medidas para definir los recursos y las inversiones de acuerdo con la estrategia de gestión de riesgos y sus objetivos”.
En Proteger alcanzó un promedio de 58.1 por ciento de cumplimiento: “se debe continuar con la implementación de medidas para proteger los procesos y los activos de la organización”.
En Detectar tuvo un promedio de 47.3 por ciento de cumplimiento. “Es la función que obtuvo el promedio más bajo, por lo que se tienen que incrementar acciones para tener una adecuada definición y ejecución de actividades dirigidas a la identificación temprana de los incidentes de seguridad”.
En Responder apenas obtuvo un promedio de 52.8 por ciento de cumplimiento, por lo que se tiene que continuar con la definición y ejecución de actividades apropiadas para tomar medidas en caso de detección de un evento de seguridad con el objetivo de reducir el impacto de un potencial incidente de ciberseguridad.
Y en Recuperar arrojó un promedio de solo 50.0 por ciento de cumplimiento, así que se deben incrementar las acciones para probar y actualizar los planes de resiliencia, que les permitan restablecer cualquier capacidad o servicio que se haya visto afectado, debido a un incidente de ciberseguridad.
“La ciberseguridad es un elemento imprescindible en el sector energético debido a la trascendencia de las infraestructuras críticas para los servicios públicos, el alto valor de los activos empresariales a proteger y, por la necesidad de defenderse ante los crecientes ciberataques que tiene este sector”, señaló la ASF al respecto.