En Celsia tenemos una estrategia de seguridad que cubre:
- La seguridad de la información.
- La ciberseguridad.
- La protección de datos personales.
Así mitigamos el riesgo de un ataque cibernético a las operaciones, evitamos la fuga, adulteración y acceso no autorizado a los datos personales, y garantizamos los ingresos evitando la no disponibilidad de los ciberactivos.
Ejecutamos nuestra estrategia por medio de un Modelo de Gestión que hemos construido con base en las buenas prácticas del sector:
- Las normas ISO 27.000, NIST, 62443 y NERC.
- La Guía de responsabilidad emitida por la Superintendencia de Industria y Comercio de Colombia en mayo de 2015 de acuerdo con la Ley 1581 de 2012 Protección de Datos Personales.
- La Guía de ciberseguridad emitida por el Consejo Nacional de Operación (CNO) para el sector eléctrico colombiano con el Acuerdo 1241.
Gobierno de la ciberseguridad
(C-CI1) Contamos con un Modelo de Gobierno para la gestión de ciberseguridad, compuesto por un comité interdisciplinario de ciberseguridad y coordinado por el líder de Ciberseguridad, que vela por el cumplimiento de la política y lineamientos de seguridad de la información, tratamiento de datos personales y ciberseguridad.
También participamos en diferentes espacios interinstitucionales:
- Comité de Ciberseguridad del Consejo Nacional de Operación (CNO).
- Comité de Infraestructura Crítica, liderado por el Comando Conjunto Cibernético (CCOC) del Ministerio de Defensa.
- Mesa AMI de Icontec.
- Unidad de Planeación Minero Energética (Upme).
- Comité de Riesgos de Grupo Argos.
Todas estas iniciativas son lideradas desde Colombia.
Marco de gestión
(C-CI2)
Contamos con un Centro de Operaciones de Seguridad (SOC) y un Comité de Riesgos de Tecnología.
Realizamos monitoreo 24 horas, siete días, 365 días del año a las bases de datos que contienen datos personales y de seguridad a través de hacking ético.
Realizamos una permanente gestión de vulnerabilidades, las cuales son reportadas por el SOC, y sus resultados y alcance son revisados mensualmente a través de acciones correctivas asociadas.
Procedimientos
(C-CI3)
Proyectos clave
- Inventario automático e identificación de vulnerabilidades de ciberactivos críticos.
- Control de acceso a Dispositivos Electrónicos Inteligentes (IED).
- Sistema de Detección de Intrusos para subestaciones y plantas.
- Implementación del SOC.
Aprobamos la política y lineamientos de ciberseguridad.
Intervinimos en los proyectos gestionados desde nuestro centro de operaciones aplicando el concepto de ciberseguridad por diseño.
- NOVA. Modernización de los sistemas de Operación para el monitoreo, supervisión y control de toda la red eléctrica y nuevos negocios.
- AMI. Modernización de la infraestructura de de Medición Avanzada.
- ESFERA. Modernización del sistema de información comercial.
- GEMA. Proyecto de Gestión Estratégica para el Manejo de Activos.
- E-Commerce. Portal web para la tienda Celsia.
- Contratistas. Servicio para verificar el cumplimento de afiliaciones, pagos a seguridad social y requisitos de Seguridad y Salud en el trabajo de nuestros contratistas y sus trabajadores.
- Plantas eólicas.
- SCADA.
- Techos y granjas solares.
- Office 365. Herramientas colaborativas de ofimática disponibles en la nube de Microsoft.
Implementamos el control de acceso a IEDs para las subestaciones variante Tuluá de 34,5 kV, San Marcos, Alférez II (115 kV), Pance, Guacarí, Dovio, Tabor, Paraíso y Bolívar. También en las centrales hidroeléctricas Alto Anchicayá, Amaime y Calima (Valle del Cauca), Cucuana (Tolima), Río Piedras (Antioquia) y Salvajina (Cauca).
Implementamos el Sistema de Detección de Intrusos para las centrales hidroeléctricas Alto Anchicayá y Amaime, y en las subestaciones de Candelaria, Yumbo, Pance y Recreo.
Realizamos campañas de ingeniería social focalizadas en las áreas Comercial, Transmisión y Distribución, Generación, Tecnología, y en el Comité Directivo de la compañía.
Aprobamos la implementación de nuestro Centro de Operaciones de Seguridad (SOC) con recursos propios (herramientas, procesos y personas).
Realizamos el jaqueo ético (hacking ético) a las centrales hidroeléctricas Alto Anchicayá y Amaime, y a la subestación de Salado en Tolima.
Realizamos un diagnóstico de ciberseguridad en Panamá para las Centrales hidroeléctricas Prudencia y Gualaca.
Evaluamos las vulnerabilidades a los sistemas que maneja la compañía para el seguimiento de sus activos y gestión de sus grupos de interés como Meteoro, Konecta, LuZia, Web Tolima, Tienda Celsia, Ultra Digital y Meter Data Management (MDM).
Nuevos desafíos
- Corto plazo0 a 2 años
- Mediano plazo3 a 5 años
- Largo plazo6 a más años
Mitigar los riesgos de un ataque cibernético:
- Inventario automático e identificación de vulnerabilidades de ciberactivos críticos.
- Control de acceso a IED.
- Sistema de Detección de Intrusos para subestaciones y plantas de generación.
- Implementación del SOC.
- Implementación de firewalls en plantas de centrales hidroeléctricas.
Implementar los 57 registros documentales requeridos para demostrar la implementación de la Guía de ciberseguridad en cumplimiento del Acuerdo 1241 del Consejo Nacional de Operación (CNO).
Realizar un análisis de brecha del cumplimiento de la política y lineamientos de ciberseguridad en las centrales de generación hidráulica, fotovoltaica y eólica de Centroamérica.
Implementar los controles de ciberseguridad en las subestaciones de Tolima.
Continuar el plan quinquenal que incluye el cumplimiento del Acuerdo 1241 del Centro Nacional de Operación y pasar del nivel de madurez “definido” al nivel “administrado” según las categorías del acuerdo; y ejecutar los siguientes proyectos:
- Inventario automático e identificación de vulnerabilidades de ciberactivos críticos.
- Control de acceso a IED.
- Sistema de detección de intrusos para sub-estaciones y plantas de generación.
- Implementación del SOC.
- Implementación de firewalls en plantas de centrales hidroeléctricas.
Mantener y actualizar los 57 registros documentales requeridos por el Acuerdo 1241 del Centro Nacional de Operación para demostrar la implementación de la Guía de ciberseguridad.
Incluir la ciberseguridad como servicio dentro de la oferta comercial de Celsia.
Glosario
Jaqueo ético
Pruebas realizadas en redes por personas con conocimientos de informática y seguridad para encontrar vulnerabilidades, luego reportarlas y tomar medidas correctivas.
Dispositivos Electrónicos Inteligentes (IEDs)
Equipos de regulación electrónica inmersos en los sistemas eléctricos y utilizados en interruptores, transformadores, entre otros.
Ciberseguridad por diseño
Introduce controles de seguridad ágiles que pueden adaptarse a los entornos digitales cambiantes; se basa en una comprensión del panorama de amenazas, personas, escalabilidad y velocidad.
Nivel de madurez
Meseta evolutiva hacia la consecución de un proceso software maduro; cada nivel de madurez proporciona una capa en la base para una mejora continua del proceso.