Cómo prepararse para una auditoría NERC CIP-013-1 sobre seguridad de la cadena de suministro

La norma de protección de infraestructuras críticas (CIP) de la North American Electric Reliability Corporation (NERC) (CIP-013-1) establece nuevos requisitos de ciberseguridad para las empresas eléctricas y de servicios públicos con el fin de garantizar, preservar y prolongar la fiabilidad del sistema eléctrico mayorista (BES). La norma entrará en vigor el 1 de julio de 2020 y las entidades responsables disponen de 18 meses para cumplirla y evitar sanciones. La NERC está autorizada a sancionar a las entidades registradas con hasta un millón de dólares al día por cada infracción pendiente.

La gestión de riesgos de terceros desempeña un papel fundamental a la hora de garantizar la seguridad de la cadena de suministro mediante la evaluación periódica de los controles de seguridad internos de los socios de la cadena de suministro y la supervisión continua de los riesgos de los proveedores en tiempo real. En conjunto, esta visión de dentro hacia fuera y de fuera hacia dentro proporciona una visibilidad más completa de los riesgos de la cadena de suministro.

Este blog revisa los requisitos de CIP-013-1 y compara las capacidades disponibles en la plataforma Prevalent Third-Party Risk Management con dichos requisitos.

Cumplimiento de los requisitos NERC CIP-013-1

Este blog se centra en los requisitos básicos para el cumplimiento de la norma CIP-013-1, concretamente en las áreas de notificaciones de ciberseguridad, gestión de activos, cambios y configuraciones, y gobernanza. Cada una de estas áreas se evalúa fácilmente utilizando las capacidades disponibles en la plataforma Prevalent.

Criterios de ciberseguridad NERC CIP-013

Como mínimo, las entidades evalúan si sus proveedores pueden cumplir los criterios básicos de seguridad:

1.2.1 Notificación/Reconocimiento de incidentes de ciberseguridad

Los proveedores deben ser capaces de identificar cuándo se ha producido un incidente para garantizar que puedan notificarlo a la entidad en caso de que se produzca. Prevalent permite a las entidades responsables evaluar periódicamente los planes de respuesta ante incidentes de sus proveedores, exigiendo que estos se carguen en la plataforma para su validación. Con este nivel de revisión, las entidades tienen visibilidad sobre cómo respondería un socio de la cadena de suministro ante una violación o un incidente cibernético. Las herramientas de supervisión y puntuación por sí solas no pueden proporcionar este nivel de controles internos o visibilidad de los procesos, pero pueden complementar las evaluaciones para activar la divulgación pública de un incidente.

1.2.2 Coordinación de las respuestas ante incidentes de ciberseguridad

Los proveedores deben coordinar con la entidad sus respuestas a incidentes relacionados con los productos o servicios proporcionados a la entidad que supongan un riesgo para la ciberseguridad de esta. Prevalent proporciona una plataforma central para la revisión de las pruebas que respaldan los planes de respuesta a incidentes y comunicaciones, con la flexibilidad de crear flujos de trabajo, tareas y vías de escalado personalizados para permitir una respuesta rápida.

1.2.3 Notificación cuando el acceso remoto o in situ ya no sea necesario o ya no deba estar disponible para los representantes del proveedor

Los proveedores deben responder adecuadamente a los cambios de personal. Un proveedor debe poder informar a la entidad cuando se produce un cambio de personal que pueda afectar a la disponibilidad del acceso remoto para los representantes del proveedor. La plataforma Prevalent incluye un asistente de creación de encuestas personalizadas que permite a las organizaciones crear y enviar una encuesta personalizable para la salida de empleados, en la que se formulan preguntas específicas al proveedor y al equipo interno sobre el acceso al sistema, la destrucción de datos y los pagos finales, con flujos de trabajo integrados para garantizar que el proceso de separación se realice sin problemas.

1.2.4 Identificación de vulnerabilidades Los proveedores deben notificar a una entidad cuando se identifique una vulnerabilidad relacionada con un producto o servicio.

Para cumplir con esta obligación, un proveedor necesita saber cuándo existe una vulnerabilidad en su entorno. La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. Las capacidades de supervisión continua integradas complementan las evaluaciones mediante la realización de análisis de vulnerabilidades externas para las interfaces de servicios web, con resultados integrados en un único registro de riesgos.

1.2.5. Verificación de la integridad y autenticidad de todo el software y los parches proporcionados por el proveedor para su uso en el sistema cibernético BES.

La plataforma Prevalent incluye más de 50 cuestionarios estándar del sector integrados (como los de CIP, NIST, ISO y otros), muchos de los cuales plantean preguntas específicas sobre la cadencia de aplicación de parches y las comprobaciones de integridad del software para los sistemas internos. Las respuestas a estas preguntas se convierten en riesgos si no se cumplen los umbrales de aplicación de parches adecuados, lo que informa a las entidades responsables de los riesgos potenciales.

1.2.6 Coordinación de los controles para el acceso remoto interactivo iniciado por el proveedor y el acceso remoto de sistema a sistema con un proveedor

Los proveedores deben coordinarse con las entidades para controlar el acceso remoto interactivo iniciado por el proveedor y garantizar que el acceso remoto de sistema a sistema con un proveedor se gestione adecuadamente. La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas.

Requisitos de gestión de activos, cambios y configuraciones de NERC

Cuando una entidad realiza una evaluación de riesgos y considera la exposición al riesgo de los productos o servicios que va a adquirir en su entorno, es posible que sean necesarios controles de ciberseguridad adicionales para proteger el entorno operativo de la entidad. Una entidad puede considerar la posibilidad de obtener y evaluar información adicional sobre las capacidades del proveedor en relación con las siguientes áreas de seguridad.

Gestión de activos, cambios y configuraciones Inventario de dispositivos autorizados y no autorizados y consideraciones sobre el control de cambios y la gestión de configuraciones

La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.

Se realiza un inventario de los dispositivos y sistemas físicos dentro de la organización.
Se inventarían las plataformas de software y las aplicaciones dentro de la organización.
Se mapean la comunicación organizativa y los flujos de datos.
Los sistemas de información externos están catalogados.
Utiliza un marco reconocido para sus procesos de tecnología de la información (por ejemplo, ITIL).
Incluye la seguridad en el ciclo de vida del desarrollo de sus sistemas.
Cuenta con un proceso maduro de control de cambios.
Mantiene entornos de desarrollo y producción separados.
Mantiene entornos separados para diferentes clientes.
Cuenta con un mecanismo para garantizar la integridad del software (por ejemplo, PKI con cifrado, firma digital).
El producto permite el endurecimiento para minimizar la superficie de ataque.
Procesos para identificar, descubrir, inventariar, clasificar y gestionar los activos de información (hardware y software).
Procesos para detectar cambios no autorizados en el software y los parámetros de configuración.
Capaz de identificar si el hardware, el software o los componentes proceden de Estados Unidos y/o de otros países.

Requisitos de gobernanza de NERC

Establecer e implementar un programa de concienciación sobre seguridad; consideraciones sobre registro y supervisión; y consideraciones sobre protección de la información.

Política y procedimientos de seguridad documentados e implementados.
Todos los usuarios reciben información y formación sobre las políticas y procedimientos de ciberseguridad.
Las partes interesadas externas comprenden sus funciones y responsabilidades y están sujetas a los mismos requisitos.
Los altos ejecutivos comprenden sus funciones y responsabilidades.
El personal de seguridad física y de la información comprende sus funciones y responsabilidades.
Capacidad para proporcionar asistencia continua para software y hardware.
Verificación de antecedentes personales
Capacidad para conservar datos en caso de litigios, incidentes de ciberseguridad, etc.
Cuenta con una segregación de funciones suficiente para garantizar que el registro y la supervisión sean eficaces a la hora de detectar anomalías.
Ubicación de los proveedores de centros de datos (con sede en EE. UU./Canadá frente a internacionales)
Mantiene un programa para realizar un registro, supervisión y análisis continuos de sus sistemas con el fin de identificar eventos significativos.
Utiliza controles adecuados para gestionar los datos en reposo (datos de proveedores o entidades).
Capacidad para proporcionar hardware adicional en caso de fallos.
Cifra las credenciales en tránsito, tanto internas como externas.
Cifra las credenciales en reposo.
Utiliza los algoritmos de cifrado estándar más potentes (por ejemplo, AES o SHA-2).
Controles de acceso físico de los proveedores al hardware, software y centros de fabricación.
Se realiza un inventario de los dispositivos y sistemas físicos dentro de la organización.

Prevalent puede ayudar con el cumplimiento de NERC

La plataforma Prevalent Third-Party Risk Management (TPRM) ayuda a cumplir con la normativa CIP de la NERC al permitir a las empresas eléctricas centralizar la evaluación de los controles internos de sus socios de la cadena de suministro, proporcionando un repositorio de pruebas y documentación de apoyo que puede utilizarse para auditar y validar la presencia de las medidas de seguridad adecuadas en la cadena de suministro. Con una supervisión continua integrada de la ciberseguridad y el negocio que puede informar de la emisión de evaluaciones secundarias basadas en criterios activados, la plataforma Prevalent ofrece una solución más completa para la gestión de riesgos de la cadena de suministro que la que ofrecen las herramientas que solo utilizan puntuaciones.

Además, la plataforma de evaluación Prevalent admite cuestionarios, registros de riesgos e informes basados en múltiples marcos estándar del sector, incluidos NIST CSF, PCI DSS 3.2, HIPAA y SOC 2, utilizando el marco de cumplimiento Prevalent. Las organizaciones solo tienen que formular un único conjunto de preguntas y luego asignar los resultados a cualquiera de estas normativas, lo que simplifica y agiliza la elaboración de informes de cumplimiento.

Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir los requisitos de conformidad de múltiples normativas, descargue nuestro informe técnico: Manual de conformidad para la gestión de riesgos de terceros.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.