Gestión del riesgo en la cadena de suministro en una industria en transformación
El mercado de servicios públicos se está transformando de lo que alguna vez fue un mercado análogo a uno digital y más conectado que nunca. Desde la gestión eficiente de datos hasta una mayor comprensión de cómo se comporta la organización, el modelo digitalizado ayuda a las empresas de servicios públicos a mantener un mejor control sobre su entorno.
Aunque las empresas de servicios públicos están mejor equipadas, aún enfrentan el desafío de mitigar los riesgos en la cadena de suministro. A medida que digitalizan la red, trabajan con más proveedores, lo que puede introducir vulnerabilidades en su entorno. Los ataques a la cadena de suministro están relacionados con un abrumador 40% de todas las violaciones.
En el sector energético, la Corporación de Confiabilidad Eléctrica de América del Norte (NERC, por sus siglas en inglés) respondió introduciendo el CIP-13, que es la norma de gestión de riesgos de la cadena de suministro que requiere que las empresas eléctricas implementen un programa de gestión de riesgos en la cadena de suministro.
Desafíos en la gestión del riesgo en la cadena de suministro
Las empresas eléctricas están luchando por identificar a sus proveedores, especialmente cuando compran a revendedores externos. Además, no todos los proveedores divulgan sus prácticas públicamente o las hacen fáciles de entender. Esto hace que sea un desafío para las empresas de servicios públicos cumplir con la CIP-13.
Otro problema es la gestión de relaciones. Dado que el estándar se aplica a la empresa de servicios públicos y no a los proveedores, las empresas de servicios públicos a menudo tienen la tarea de ponerse en contacto con los proveedores para obtener más detalles.
¿Cuáles son algunas de las posibles preguntas que una empresa de energía debería hacer a sus proveedores para gestionar los riesgos en la cadena de suministro?
A continuación presentamos seis preguntas clave para hacer, así como nuestras respuestas para las empresas de energía que buscan cumplir con la CIP-13.
1. ¿Cuál es tu método para la notificación de incidentes de ciberseguridad?
Si el proveedor es pirateado o sus datos confidenciales se publican en línea, por ejemplo, ¿cómo les notifica el proveedor a ustedes, la empresa de servicios públicos?
Respuesta de Genetec:Alentamos a nuestros clientes a mantenerse informados sobre todos nuestros incidentes de seguridad publicándolos en la sección de avisos de seguridad de nuestro sitio web.
Asimismo, se envía un correo electrónico a todos los clientes afectados, con la opción de que cualquier persona del público se suscriba a nuestro canal de avisos de seguridad para recibir notificaciones sobre alertas de incidentes.
2. ¿Cuál es tu método de notificación para cuando ya no deba concederse el acceso remoto o en el sitio a tu personal para acceder a los sistemas o instalaciones de la empresa?
Si el proveedor tiene personal de servicio en tu instalación, ¿cómo le notificarías que esa persona ya no debería estar allí? Por ejemplo, si una persona es despedida, entonces ya no debería tener acceso a tus sistemas o instalaciones importantes.
Respuesta de Genetec:De forma predeterminada, Genetec no tiene acceso a los sistemas del usuario final. En el evento de un caso de asistencia, se le concedería acceso a un miembro de asistencia o se solicitaría acceso al sistema del cliente final a través de BeyondTrust ™ (anteriormente Bomgar) o TeamViewer, para solucionar el problema.
3. ¿Cómo notifica el proveedor al cliente cuando existen vulnerabilidades en su plataforma?
Las vulnerabilidades pueden estar tanto en el producto en sí, como en el firmware de una cámara o controlador de acceso. Es importante que los proveedores notifiquen a sus clientes cuando se encuentren tales vulnerabilidades.
Respuesta de Genetec: Las vulnerabilidades conocidas se publican en nuestro aviso de seguridad de Genetec junto con una actualización de nuestro sitio web público. También se incluye en nuestras notas de lanzamiento de productos para nuestros sistemas locales.
Entonces, cualquiera puede suscribirse a estos canales de notificaciones de seguridad para estar al tanto de todas estas alertas, a través del correo electrónico. Genetec también publica actualizaciones automáticas de firmware para ayudar a las empresas de energía a mantenerse al día con las últimas actualizaciones.
4. ¿Cuál es tu método para verificar y notificar la integridad del software?
Este habla de la posibilidad de que alguien pueda modificar el software desde el interior de tu sistema. Por ejemplo, si un hacker accede a tu biblioteca de códigos o programadores, podría dañar el software.
Respuesta de Genetec: Los archivos binarios de Genetec Security Center están firmados con la tecnología Windows Authenticode, que en última instancia garantiza que los archivos binarios de Genetec no hayan sido manipulados. Las empresas eléctricas pueden hacer cumplir esta verificación en Windows, usando la función Windows AppLocker.
5. ¿Qué métodos de acceso remoto interactivo soportan?
El acceso remoto interactivo es una interacción humana con otro sistema, de forma remota. Por ejemplo, cualquiera que use opciones de uso compartido de pantalla remota a través de WebEx, Zoom o Teams para operar un sistema de forma remota.
Respuesta de Genetec: En Genetec, si se crea un caso de asistencia por motivos de resolución de problemas, los miembros de la asistencia pueden obtener acceso nuevamente a través de BeyondTrust™ (anteriormente Bomgar) o TeamViewer para solucionar el problema.
6. ¿Qué métodos de acceso remoto de sistema a sistema soportan?
El acceso remoto de sistema a sistema son efectivamente dos sistemas que se comunican sin intervención o acción humana.
Esto es como una API que se comunica en ambos sentidos. Las regulaciones CIP-13, CIP-5 y CIP-10 requieren que las empresas de servicios públicos identifiquen estas formas de acceso rápidamente y tengan la capacidad de desactivarlas en caso de un incidente.
Respuesta de Genetec: Genetec, de forma predeterminada, no participa en el acceso remoto de sistema a sistema.
Cumplimiento de la norma CIP-13
Estas son las preguntas mínimas que debes hacer a los proveedores. También debes preguntar sobre su ciclo de vida de desarrollo de software, el equipo de respuesta a incidentes y sus certificaciones (SOC, ISO), por nombrar algunos. Cualquier cosa que te ayude a tener una mejor idea de la posición de tu proveedor en la gestión de su cadena de suministro.
Esperemos que tu proveedor responda bien a estas preguntas, porque tu proceder puede variar en función de si necesitas hacer un montón de controles adicionales solo para cumplir con las regulaciones.
Las regulaciones se refieren a la empresa de servicios públicos y no al proveedor. Como la CIP-13 es una norma de gestión de riesgos, la empresa de servicios públicos simplemente no puede permitirse obviar los riesgos y seguir adelante.
¿Deseas obtener más información sobre el cumplimiento de la CIP-13?