Cómo prepararse para una auditoría NERC CIP-013-1 de seguridad de la cadena de suministro

Las nuevas normas de ciberseguridad de protección de infraestructuras críticas para socios de la cadena de suministro publicadas por la North American Electric Reliability Corporation (NERC) entrarán en vigor el 1 de julio de 2020. ¿Está preparado?

Personal de Mitratech
Personal de Mitratech Abril 20, 2020 8 min leer
Decorative image

La norma de protección de infraestructuras críticas (CIP) de la Corporación Norteamericana de Fiabilidad Eléctrica (NERC ) (CIP-013-1) establece nuevos requisitos de ciberseguridad para las empresas eléctricas y de servicios públicos con el fin de garantizar, preservar y prolongar la fiabilidad del sistema eléctrico a granel (BES). Aplicable a partir del 1 de julio de 2020, las entidades responsables disponen de 18 meses para cumplirla y evitar sanciones. El NERC está autorizado a sancionar a las entidades registradas con hasta 1 millón de dólares al día por infracción pendiente.

La gestión de riesgos de terceros desempeña un papel fundamental a la hora de garantizar la seguridad de la cadena de suministro mediante la evaluación periódica de los controles de seguridad internos de los socios de la cadena de suministro y la supervisión continua de los riesgos de los proveedores en tiempo real. En conjunto, esta visión de dentro a fuera y de fuera a dentro proporciona una visibilidad más completa de los riesgos de la cadena de suministro.

Este blog revisa los requisitos de CIP-013-1 y asigna las capacidades disponibles en la plataforma de gestión de riesgos de terceros de Prevalent a estos requisitos.

Cumplimiento de los requisitos NERC CIP-013-1

Este blog se centra en los requisitos básicos para el cumplimiento de la norma CIP-013-1, concretamente en las áreas de notificaciones de ciberseguridad; gestión de activos, cambios y configuración; y gobernanza. Cada una de estas áreas se evalúa fácilmente utilizando las capacidades disponibles en la plataforma Prevalent.

Criterios de ciberseguridad NERC CIP-013

Como mínimo, las entidades evalúan si su proveedor o proveedores pueden cumplir los criterios básicos de seguridad:

1.2.1 Notificación/Reconocimiento de incidentes de ciberseguridad

Los proveedores deben ser capaces de identificar cuándo se ha producido un incidente para garantizar que el proveedor pueda notificarlo a la entidad en caso de que se produzca. Prevalent permite a las entidades responsables evaluar periódicamente los planes de respuesta a incidentes de sus proveedores, exigiendo la carga de los planes en la plataforma para su validación. Con este nivel de revisión, las entidades tienen visibilidad sobre cómo respondería un socio de la cadena de suministro a una brecha o incidente cibernético. Las herramientas de supervisión y puntuación no pueden proporcionar este nivel de controles internos o visibilidad de procesos, pero pueden complementar las evaluaciones para activar la divulgación pública de un incidente.

1.2.2 Coordinación de las respuestas a los incidentes de ciberseguridad

Los proveedores deben coordinar con la entidad sus respuestas a incidentes relacionados con los productos o servicios proporcionados a la entidad que supongan un riesgo de ciberseguridad para la misma. Prevalent proporciona una plataforma central para la revisión de las pruebas que respaldan los planes de respuesta a incidentes y comunicaciones, con la flexibilidad necesaria para crear flujos de trabajo, tareas y rutas de escalado personalizados que permitan una respuesta rápida.

1.2.3 Notificación cuando el acceso remoto o in situ ya no sea necesario o ya no deba estar disponible para los representantes del vendedor

Los proveedores deben responder en consecuencia a los cambios de personal. Un proveedor debe ser capaz de informar a la entidad cuando se produzca un cambio de personal que pueda afectar a si el acceso remoto debe seguir estando disponible o no para los representantes del proveedor. La plataforma Prevalent incluye un asistente de creación de encuestas personalizadas que permite a las organizaciones crear y emitir una encuesta personalizable para la desvinculación en la que se formulan preguntas específicas al proveedor y al equipo interno sobre el acceso al sistema, la destrucción de datos y los pagos finales, con flujos de trabajo integrados para garantizar que el proceso de desvinculación sea fluido.

1.2.4 Identificación de vulnerabilidades Los proveedores deben notificar a una entidad cuando se identifique una vulnerabilidad relacionada con un producto o servicio.

Para cumplir esta obligación, un proveedor necesita saber cuándo existe una vulnerabilidad en su entorno. La plataforma Prevalent ofrece pruebas y procesos de validación de la existencia de tales políticas, exigiendo al socio de la cadena de suministro que aporte dichas pruebas. Las capacidades integradas de supervisión continua complementan las evaluaciones realizando un escaneado externo de vulnerabilidades para las interfaces de servicios orientadas a la Web, con resultados integrados en un único registro de riesgos.

1.2.5. Verificación de la integridad y autenticidad del software de todos los programas informáticos y parches proporcionados por el proveedor para su uso en el cibersistema BES.

La plataforma Prevalent incluye más de 50 cuestionarios estándar del sector incorporados (como los de CIP, NIST, ISO y otros), muchos de los cuales plantean preguntas específicas sobre la cadencia de aplicación de parches y las comprobaciones de integridad del software para sistemas internos. Las respuestas a estas preguntas se convierten en riesgos si no se alcanzan los umbrales de aplicación de parches adecuados, lo que informa a las entidades responsables de los riesgos potenciales.

1.2.6 Coordinación de Controles para Acceso Remoto Interactivo Iniciado por el Proveedor y Acceso Remoto de Sistema a Sistema con un Proveedor

Los proveedores deben coordinarse con las entidades para controlar el acceso remoto interactivo iniciado por el proveedor y garantizar que el acceso remoto de sistema a sistema con un proveedor se gestiona adecuadamente. La plataforma Prevalent ofrece pruebas y procesos de validación de la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que aporte dichas pruebas.

Requisitos de gestión de activos, cambios y configuraciones de NERC

A medida que una entidad realiza una evaluación de riesgos y considera la exposición al riesgo de los productos o servicios que se van a adquirir en su entorno, pueden ser necesarios controles adicionales de ciberseguridad para proteger el entorno operativo de la entidad. Una entidad puede considerar la obtención y evaluación de información adicional sobre las capacidades del proveedor con respecto a las siguientes áreas de seguridad.

Gestión de activos, cambios y configuraciones Inventario de dispositivos autorizados y no autorizados y consideraciones sobre el control de cambios y la gestión de configuraciones

La plataforma Prevalent ofrece pruebas y procesos de validación de la existencia de dichas políticas, y exige al socio de la cadena de suministro que aporte dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para remediarlos, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.

  • Se inventariarán los dispositivos y sistemas físicos de la organización.
  • Inventario de las plataformas y aplicaciones informáticas de la organización
  • La comunicación organizativa y los flujos de datos están planificados
  • Se catalogan los sistemas de información externos
  • Utiliza un marco reconocido para sus procesos de tecnología de la información (por ejemplo, ITIL).
  • Incluye la seguridad en su ciclo de vida de desarrollo de sistemas
  • Tiene un proceso maduro de control de cambios
  • Mantiene entornos de desarrollo y producción separados
  • Mantiene entornos separados para diferentes clientes
  • Dispone de un mecanismo de integridad del software (por ejemplo, PKI con cifrado o firma digital).
  • El producto permite el endurecimiento para minimizar la superficie de ataque
  • Procesos para identificar, descubrir, inventariar, clasificar y gestionar activos de información (hardware y software).
  • Procesos para detectar cambios no autorizados en el software y los parámetros de configuración.
  • Capaz de identificar si el hardware, el software o los componentes son de origen estadounidense o internacional.

Requisitos de gobernanza NERC

A medida que una entidad realiza una evaluación de riesgos y considera la exposición al riesgo de los productos o servicios que se van a adquirir en su entorno, pueden ser necesarios controles adicionales de ciberseguridad para proteger el entorno operativo de la entidad. Una entidad puede considerar la obtención y evaluación de información adicional sobre las capacidades del proveedor con respecto a las siguientes áreas de seguridad.

Establecimiento e implantación de un programa de concienciación sobre seguridad; consideraciones sobre registro y supervisión; y consideraciones sobre protección de la información.

La plataforma Prevalent ofrece pruebas y procesos de validación de la existencia de dichas políticas, y exige al socio de la cadena de suministro que aporte dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para remediarlos, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.

  • Política y procedimientos de seguridad documentados y aplicados
  • Todos los usuarios están informados y formados sobre las políticas y procedimientos de ciberseguridad
  • Las terceras partes interesadas comprenden sus funciones y responsabilidades y son responsables de cumplir los mismos requisitos.
  • Los altos ejecutivos comprenden sus funciones y responsabilidades
  • El personal de seguridad física y de la información comprende sus funciones y responsabilidades
  • Capacidad para proporcionar asistencia continua para software y hardware
  • Comprobación de los antecedentes del personal
  • Capacidad para conservar datos en caso de litigios retenidos o incidentes de ciberseguridad.
  • Dispone de suficiente separación de funciones para garantizar que el registro y la supervisión son eficaces para detectar anomalías.
  • Ubicación de los centros de datos de los proveedores (en EE.UU./Canadá o internacionales)
  • Mantiene un programa de registro, supervisión y análisis continuos de sus sistemas para identificar eventos significativos.
  • Utiliza controles adecuados para gestionar los datos en reposo (datos de proveedores o entidades).
  • Capacidad para proporcionar hardware adicional en caso de avería
  • Cifra las credenciales en tránsito, interno y externo
  • Cifra las credenciales en reposo
  • Utiliza los algoritmos de cifrado estándar más potentes (por ejemplo, AES o SHA-2)
  • Controles de acceso físico de proveedores a hardware, software y centros de fabricación
  • Se inventariarán los dispositivos y sistemas físicos de la organización.

Prevalent puede ayudar a cumplir la normativa NERC

La plataforma de gestión de riesgos de terceros (TPRM ) de Prevalent ayuda a cumplir la normativa NERC CIP al permitir a las empresas eléctricas centralizar la evaluación de los controles internos de sus socios de la cadena de suministro, proporcionando un repositorio de pruebas y documentación de apoyo que puede utilizarse para auditar y validar la presencia de la medida de seguridad adecuada en la cadena de suministro. La plataforma Prevalent, que incorpora una supervisión continua de la ciberseguridad y la actividad empresarial que puede informar sobre la emisión de evaluaciones secundarias basadas en criterios activados, proporciona una solución más completa para la gestión de riesgos de la cadena de suministro que la que ofrecen las herramientas que sólo otorgan puntuaciones.

Además, la plataforma de evaluación de Prevalent admite cuestionarios, registros de riesgos y generación de informes en función de varios marcos estándar del sector, como NIST CSF, PCI DSS 3.2, HIPAA y SOC 2, utilizando el marco de cumplimiento de Prevalent. Las organizaciones sólo tienen que formular un único conjunto de preguntas y luego asignar los resultados a cualquiera de estas normativas, lo que simplifica y acelera la elaboración de informes de cumplimiento.

Para obtener más información sobre cómo Prevalent puede ayudar a abordar los requisitos de cumplimiento de múltiples normativas, descargue nuestro libro blanco: Manual de cumplimiento de la gestión de riesgos de terceros.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.