La Ciberseguridad en el amplio mercado de la energía se ha convertido en uno de los temas relevantes, dado por la convergencia de TI (Tecnologías de la Información) y TO (Tecnologías de la Operación). Este nuevo panorama incrementa los riesgos de seguridad informática en las redes de control, sumado a la obsolescencia del paradigma de redes de control aisladas, con lo que se obtiene una ecuación que evidencia la necesidad de ocuparse del tema, integrando estándares internacionales que orienten metodológicamente lo que se debería hacer.
Es importante hacer un llamado a analizar la situación actual de la Seguridad Informática Industrial aplicada al ámbito eléctrico, contrastando modelos de referencia como son NERC-CIP o ANSI/ISA-62443 para generar planes de acción inmediata, y a mediano y largo plazo.
Para las empresas del rubro eléctrico, el proceso de convergencia del mundo TI corporativo con el mundo OT de las redes industriales, sumado a requerimientos de monitoreo de productividad, ha establecido enlaces entre la red industrial y la red administrativa, lo que incrementa los riesgos de Seguridad Informática Industrial, reduciendo considerablemente su resiliencia y arriesgando su continuidad operacional.
La regulación local es muy débil aún y se requiere urgentemente avanzar en la integración de estándares internacionales de manera seria y dosificada, partiendo por niveles de higienización que permitan conformar un “Baseline”, en primera instancia.
Existen para ello marcos de referencia internacionales, como Centre for the Protection of National Infrastructure (CPNI); NERC–CIP North American Electric Reliability Corp. – Critical Infrastructure Protection; NIST 800-82: Guide to Industrial Control Systems (ICS) Security o el más reconocido ISA 99: Seguridad de Sistemas Industriales de Automatización y Control; hoy actualizado como ANSI/ISA 62443, que incluye la implementación y mantención de un sistema de gestión de seguridad informática; para las redes industriales (IACS-CSMS).
Se propone, por tanto, un conjunto de servicios de consultoría, que considerando estos modelos de referencia, establezcan las bases de gobernabilidad, la personalización de un Modelo de Seguridad Informática propio, el establecimiento concreto de una línea base o “Baseline” de implementación –basado por ejemplo en ANSI/ISA-62443− y un roadmap de desarrollo posterior.