Cómo llevar a cabo una evaluación de riesgos basada en NERC-CIP para una subestación

Una evaluación integral de la postura de ciberseguridad de una subestación, incluidas brechas y oportunidades de mejora respecto a los estándares de Protección de Infraestructura Crítica (CIP) de NERC, puede ayudar a asegurar la instalación y mejorar el nivel de seguridad general tal como lo evalúa una evaluación de riesgos basada en IEC 62443. 

¿Qué es la metodología de evaluación CIP de NERC para una subestación?

Los estándares de Protección de Infraestructura Crítica (CIP) de la North American Electric Reliability Corporation (NERC) son un conjunto de requisitos diseñados para asegurar el sistema eléctrico mayor (BES) de América del Norte contra amenazas cibernéticas y físicas.

Para las subestaciones, que son componentes vitales del BES, una evaluación robusta de riesgos de seguridad frente a estos estándares no es simplemente un ejercicio de lista de verificación de cumplimiento, sino un paso crítico para garantizar la fiabilidad y resiliencia de la red. En este artículo, compartimos algunos detalles sobre una metodología integral desarrollada por Shieldworkz para llevar a cabo una evaluación CIP de NERC para una subestación, abarcando fases de planificación, ejecución, análisis y generación de informes.

Planificación previa a la evaluación y definición del alcance

El éxito de una evaluación de riesgos CIP de NERC depende de la planificación a un nivel granular. Esta fase inicial define el alcance, los recursos y la participación de los interesados.

Identificación y compromiso de los principales interesados:

Los principales interesados en la subestación incluyen personal de operaciones, equipos de ciberseguridad IT/OT, oficiales de cumplimiento CIP de NERC, personal de seguridad física, proveedores y personal de OEM, y potencialmente asesores legales. El compromiso temprano con expectativas claras garantiza la aceptación, facilita el intercambio de información y aclara responsabilidades. Se debe llevar a cabo una reunión de inicio de evaluación CIP de NERC para delinear los objetivos, el alcance, el cronograma y los resultados esperados de la evaluación. También se deben realizar esfuerzos para impresionar a todos los interesados sobre la necesidad del ejercicio y sus resultados.

Identificación de activos bajo alcance (Sistemas Cibernéticos BES y Activos Cibernéticos BES):

El pilar de una evaluación CIP de NERC es identificar y documentar con precisión los activos bajo alcance. Esto involucra:

· Sistemas Cibernéticos BéS (BCS): Son las agregaciones de Activos Cibernéticos BES (BCA) que realizan una función BES. Algunos ejemplos en una subestación incluyen sistemas SCADA, Sistemas de Gestión de Energía (EMS), Esquemas de Acción Reparable (RAS) y Sistemas de Protección.

· Activos Cibernéticos BES (BCA): Son dispositivos electrónicos programables que son parte de un BCS. Esto incluye Dispositivos Electrónicos Inteligentes (IED) como relés, RTUs, PLCs, procesadores de comunicación, firewalls, routers y servidores y estaciones de trabajo asociadas. Un inventario detallado, incluyendo tipo de dispositivo, fabricante, modelo, versión de firmware, estado de fin de vida y conectividad de red, es esencial. En la mayoría de los casos, este paso requiere caminar físicamente por la subestación y rastrear las conexiones de red.

Determinación de calificaciones de impacto (CIP-002):

Cada BCS identificado debe recibir una calificación de impacto (Alta, Media o Baja) basada en su potencial para influir en la operación confiable del BES en caso de un compromiso. Este es un paso crucial, ya que el rigor de los estándares CIP aplicables puede variar con la calificación de impacto. Los criterios para estas calificaciones están definidos dentro de CIP-002. Para una subestación típica, muchos sistemas usualmente caerán en las categorías de impacto Medio o Bajo, aunque los sistemas críticos de protección o control podrían ser Altos. La calificación debe ser justificable y, en caso de que la determinación sea difícil, en algunos casos se puede asignar una calificación más alta por defecto.

Selección de estándares CIP de NERC aplicables:

Basado en el BCS identificado y la calificación de impacto asignada, se deben determinar los estándares CIP de NERC específicos que se aplican a la subestación. Esto típicamente incluye:

· CIP-002: Ciberseguridad – Categorización de Sistema Cibernético BES

· CIP-003: Ciberseguridad – Controles de Gestión de Seguridad

· CIP-004: Ciberseguridad – Personal y Capacitación

· CIP-005: Ciberseguridad – Perímetros de Seguridad Electrónica

· CIP-006: Ciberseguridad – Seguridad Física de Sistemas Cibernéticos BES

· CIP-007: Ciberseguridad – Gestión de Seguridad del Sistema

· CIP-008: Ciberseguridad – Planificación y Respuesta a Incidentes

· CIP-009: Ciberseguridad – Planes de Recuperación para Sistemas Cibernéticos BES

· CIP-010: Ciberseguridad – Gestión de Cambios de Configuración y Evaluaciones de Vulnerabilidad

· CIP-011: Ciberseguridad – Protección de Información

· CIP-013: Ciberseguridad – Gestión de Riesgo de Cadena de Suministro (relevante para nuevas instalaciones o grandes actualizaciones)

· CIP-014: Seguridad Física (específico para Estaciones y Subestaciones de Transmisión identificadas como críticas por los RCs)

Selección del proveedor adecuado para la evaluación CIP de NERC

El proveedor de la evaluación debe presentar individuos con experiencia en ciberseguridad, tecnología operativa (OT), ingeniería de redes, seguridad física y cumplimiento CIP de NERC a nivel subestandar. También deben poseer herramientas especializadas para escaneo de red, evaluación de vulnerabilidad y gestión de configuración que pueden ser necesarias. Se pueden preferir proveedores con equipos que han llevado a cabo evaluaciones basadas en CIP de NERC e IEC 62443 tales como Shieldworkz.

Desarrollo de un plan de evaluación integral

El proveedor de evaluación CIP de NERC debe desarrollar un plan detallado que describa el cronograma, las responsabilidades, los métodos de recolección de datos (p. ej., entrevistas, revisión de documentación, pruebas técnicas) y el formato de informes, y acordado por todas las partes interesadas.

Recopilación de datos y ejecución de evaluación técnica

Esta fase implica recopilar evidencia, revisar documentación y realizar verificaciones técnicas para validar el cumplimiento con los estándares CIP aplicables.

Revisión de documentación:

Una revisión exhaustiva de la documentación existente en operaciones es esencial. Esto incluye:

· Políticas y procedimientos: Políticas de seguridad, planes de respuesta a incidentes, procedimientos de control de acceso, niveles de privilegio, información de gestión de sesiones, planes de gestión de configuración, registros de capacitación, registros de visitantes, registros de fin de vida y mantenimiento.

· Diagramas de red: Diagramas de red lógicos y físicos que ilustran las conexiones entre redes IT y OT, grado de segmentación, presencia de una DMZ, reglas de firewall y caminos de comunicación.

· Inventarios de activos: Listas detalladas de hardware y software con números de versión y estado de parche.

· Diseños arquitectónicos: Diseños de sistemas, incluida la arquitectura de seguridad, segmentación y mecanismos de cifrado.

· Informes de auditorías anteriores: Cualquier hallazgo, observaciones, OFIs o recomendaciones de auditorías CIP de NERC anteriores o evaluaciones internas.

· Detalles de incidentes anteriores

· Información sobre capacitaciones otorgadas al personal clave

2.2 Entrevistas con personal:

Realice entrevistas estructuradas con el personal relevante para comprender sus roles, responsabilidades y adhesión a las políticas y procedimientos establecidos. Esto incluye:

· Personal de operaciones: Para comprender las operaciones diarias, prácticas de acceso y manejo de incidentes.

· Personal de Seguridad IT/OT: Para discutir controles de seguridad, monitoreo y respuesta a incidentes.

· Personal de Seguridad Física: Para entender los controles de acceso físico y la vigilancia.

· Proveedores con acceso a varias partes de la subestación

· Personal de OEM  

Verificación técnica y pruebas:

Perímetro de Seguridad Electrónica (CIP-005):

· Revisión de reglas de firewall: Examine configuraciones de firewall y políticas permisibles en el perímetro de seguridad electrónica (ESP) para verificar el nivel de compromiso posible a través del tráfico infectado. Esto implica revisar reglas de entrada/salida, puertos de servicio y direcciones IP de origen/destino.

· Validación de segmentación de red: Verifique la efectividad de la segmentación de red entre los Sistemas Cibernéticos BES y redes corporativas/no confiables mediante escaneo de puertos y análisis del tráfico de red.

· Escaneo de vulnerabilidades: Realice escaneos de vulnerabilidad autenticados y no autenticados de todos los dispositivos dentro del ESP, incluidos routers, switches, servidores y estaciones de trabajo, para identificar vulnerabilidades conocidas como configuraciones débiles y software no parcheado.

· Revisión de sistemas de detección/preventiva de intrusiones (IDS/IPS): Verifique que los sistemas IDS/IPS estén configurados correctamente, que las firmas estén actualizadas y que las alertas se estén monitoreando y respondiendo. Verifique falsos positivos y otros problemas que pueden causar un retraso en la respuesta a un incidente.

· Controles de acceso remoto: Pruebe los mecanismos de acceso remoto para asegurar que se apliquen autenticación multifactor, cifrado fuerte y acceso de menor privilegio.

2.3.2 Seguridad física (CIP-006):

· Revisión del sistema de control de acceso físico: Inspeccione los sistemas de control de acceso, lectores de tarjetas, escáneres biométricos para verificar su funcionalidad y configuración correcta. Revise los registros de acceso para asegurar que sólo personal autorizado tenga entrada.

· Verificación del sistema de vigilancia: Confirme que las cámaras CCTV cubran puntos de entrada críticos y áreas sensibles, y que las grabaciones se almacenen de manera segura y durante la duración requerida.

· Sistemas de Detección de Intrusión (IDS): Verifique la funcionalidad y cobertura de IDS físicos como sensores de movimiento, contactos de puertas.

· Procedimientos de escolta de visitantes: Observe o entreviste al personal con respecto a la adhesión a las políticas de escolta de visitantes.

· Inspección de barreras físicas: Evalúe la integridad de cercas, puertas y perímetros de edificios.

· Escenarios probables de violación

Gestión de seguridad del sistema (CIP-007):

· Revisión de configuración: Examine las configuraciones de sistemas operativos, aplicaciones y dispositivos de red para adherencia a los estándares de seguridad (p. ej., deshabilitar servicios innecesarios, políticas de contraseñas fuertes, ajustes de bloqueo de cuenta). Esto puede involucrar herramientas automatizadas de cumplimiento de configuración.

· Verificación de estado de gestión de parches: Confirme que existe un proceso robusto de gestión de parches y se esté siguiendo para todos los Activos Cibernéticos BES, incluyendo escaneos regulares para parches faltantes y aplicación oportuna de actualizaciones de seguridad.

· Protección contra malware: Verifique el despliegue y actualidad de soluciones anti-malware en todos los sistemas aplicables.

· Registro de eventos y monitoreo: Revise los registros del sistema (p. ej., firewall, servidor, aplicación, sistema de gestión de información y eventos de seguridad (SIEM)) en busca de evidencia de actividad no autorizada, intentos fallidos de inicio de sesión y errores del sistema. Evalúe la efectividad del monitoreo de registros y la generación de alertas.

· Gestión de cuentas: Revise cuentas de usuario para adecuada provisión/desprovisión, complejidad de contraseñas y aplicación de mínimo privilegio. Realice muestreo de cuentas de usuario para verificar adherencia a las políticas.

Gestión de cambios de configuración y evaluaciones de vulnerabilidad (CIP-010):

· Evaluación del proceso de gestión de cambios: Verifique que exista un proceso formal de gestión de cambios para todos los cambios en los Sistemas Cibernéticos BES, incluyendo documentación, pruebas y aprobación.

· Verificación de configuración base: Compare las configuraciones actuales con las configuraciones seguras establecidas para identificar cambios no autorizados. Las herramientas automatizadas son altamente efectivas aquí.

· Revisión del programa de evaluación y gestión de vulnerabilidades: evalúe la frecuencia, alcance y efectividad de remediación del programa de evaluación de vulnerabilidades de la organización para Sistemas Cibernéticos BES. Consulte específicamente con qué frecuencia se parchean las vulnerabilidades y los registros de ello.

Protección de Información (CIP-011):

· Clasificación y manejo de datos: Verifique que la información CIP de NERC sensible (p. ej., diagramas de red, configuraciones, informes de evaluación) esté clasificada y manejada de acuerdo con su nivel de sensibilidad.

· Control de medios extraíbles: Inspeccione políticas y controles técnicos relacionados con el uso y control de medios extraíbles.

· Cifrado de datos: Evalúe el uso de cifrado para datos en reposo y en tránsito, particularmente para datos del sistema de control sensibles.

Análisis de brechas y formulación de hallazgos

Una vez que se recopilen todos los datos y se completen las evaluaciones técnicas, la información debe ser analizada por el proveedor en relación con los requisitos específicos de cada estándar CIP de NERC aplicable.

Mapeo de evidencia a los requisitos:

Cada pieza de evidencia recolectada (documentación, notas de entrevistas, resultados de pruebas) debe maparse con el requisito correspondiente de CIP de NERC y su objetivo de cumplimiento asociado (p. ej., R1, R2, Parte 1, Parte 2, etc.).

Identificación de brechas y no conformidades:

Donde la evidencia no demuestre total adherencia a un requisito, se identifique una brecha o no conformidad. Cada hallazgo debe articularse claramente, haciendo referencia al estándar específico de CIP y al requisito.

Priorización

Los hallazgos deben priorizarse en función de su impacto potencial en la fiabilidad y seguridad del BES, y la probabilidad de explotación. Esto ayuda a la organización a enfocar esfuerzos de remediación en las áreas más críticas. Se suelen asignar niveles de riesgo (Alto, Medio, Bajo).

Planificación de informes y remediación

La fase final implica comunicar los resultados de la evaluación y desarrollar un plan para abordar las brechas identificadas.

Desarrollo de un Informe de Evaluación Integral por el proveedor:

El informe debe ser un documento claro, conciso y técnicamente preciso que incluya:

· Resumen Ejecutivo: Un resumen de alto nivel del propósito, alcance, hallazgos clave y postura general de ciberseguridad de la evaluación.

· Introducción: Antecedentes sobre CIP de NERC y la subestación que se está evaluando.

· Metodología: Descripción del enfoque de evaluación, estándares utilizados y métodos de recolección de datos.

· Hallazgos detallados: Para cada estándar CIP de NERC aplicable, liste requisitos específicos, evidencia observada, brechas/no conformidades identificadas y su nivel de riesgo asignado. Incluya capturas de pantalla relevantes, entradas de registro o fragmentos de configuración como evidencia de respaldo.

· Recomendaciones: Para cada hallazgo, proporcione recomendaciones claras, accionables y específicas para remediación. Las recomendaciones deben abordar tanto los controles técnicos como las mejoras de procedimiento.

· Apéndice: Incluya documentación de apoyo como el inventario de activos, transcripciones de entrevistas e informes de escaneo de vulnerabilidad en bruto.

Desarrollo del Plan de Acción de Remediación:

Basado en el informe de evaluación, se debe desarrollar un plan de acción de remediación detallado. Este plan debe incluir:

· Acciones específicas: Pasos detallados necesarios para abordar cada hallazgo.

· Partes responsables: Asignación clara de responsabilidad para cada acción.

· Fechas objetivo: Líneas de tiempo realistas para la finalización de cada acción correctiva.

· Requisitos de recursos: Cualquier personal, presupuesto o recursos tecnológicos necesarios.

· Evaluación validatoria: Si es necesario, se debe realizar una evaluación para verificar el estado de la infraestructura después de que se hayan corregido las brechas.

Revisión y seguimiento posterior a la evaluación

El informe de evaluación y el plan de remediación deben ser presentados formalmente a los interesados. Se deben programar reuniones de seguimiento regulares para rastrear el progreso de la remediación y verificar la efectividad de los controles implementados. Puede ser necesaria una re-evaluación o verificación dirigida de las áreas remediadas.

Realizar una evaluación CIP de NERC para una subestación es un proceso complejo pero esencial que requiere un profundo entendimiento tanto de los principios de ciberseguridad como de la tecnología operativa. Siguiendo una metodología estructurada que abarque una planificación meticulosa, ejecución técnica exhaustiva, análisis riguroso y generación de informes claros, las organizaciones pueden identificar y mitigar efectivamente los riesgos de ciberseguridad, aumentando así la fiabilidad y seguridad del sistema eléctrico mayor. Este ciclo continuo de evaluación, remediación y verificación es crucial para mantener una postura de ciberseguridad sólida y conforme frente a amenazas en evolución a infraestructuras críticas.