REPORTE INTEGRADO 2022
Reporte Integrado 2022

Todo está conectado

y todo lo conectamos con la energía que quieres
  • Inglés
  • Español
Menú
  • Inglés
  • Español
Reporte Integrado 2022

Todo está conectado

y todo lo conectamos con la energía que quieres
Inicio
Actuamos con visión de futuro
Ciberseguridad
Actuamos con visión de futuro

Ciberseguridad

Contenido
Nuevos desafíos
Glosario
Contenido
Nuestra gestión Gobierno de la ciberseguridad Principales resultados

En Celsia nos tomamos en serio la ciberseguridad por lo que trabajamos en la mitigación de riesgo de ataque a las operaciones.

GRI (3-3) Alineados con nuestra estrategia corporativa evitamos la fuga, adulteración y el acceso no autorizado a los datos personales. También impedimos la no disponibilidad de los ciberactivos críticos a través de una estrategia que cubre la seguridad de la información, los datos personales y la ciberseguridad, al garantizar la entrega del servicio de energía eléctrica de una manera segura y confiable.

Nuestra gestión

GRI (3-3) (2-23) (2-24) (2-25) (2-29) En Celsia contamos con elementos que estructuran el marco de gestión, del que destacamos las siguientes prácticas, procesos, instancias y procedimientos:
  • Ejecutamos nuestra estrategia por medio de un modelo de gestión que construimos con base en las buenas prácticas del sector, como:
  • Las normas ISO 27000, NIST Cybersecurity Framework standard, IEC 62443 y NERC CIP.
  • La Guía de Responsabilidad emitida por la Superintendencia de Industria y Comercio.
  • La Guía de Ciberseguridad emitida por el Consejo Nacional de Operación para el sector eléctrico colombiano con el Acuerdo 1502.  Contamos con un modelo de gobierno para la gestión de ciberseguridad, compuesto por un comité interdisciplinario de ciberseguridad y coordinado por el líder de Ciberseguridad, que vela por el cumplimiento de las políticas y lineamientos de seguridad de la información, tratamiento de datos personales y ciberseguridad.
  • Contamos con un Centro de Operaciones de Seguridad, Comité de Ciberseguridad y un Comité de Riesgos de Tecnología.
  • Realizamos monitoreo 7x24x365 desde el Centro de Operaciones de Seguridad a las bases de datos que contienen datos personales, a los ciberactivos críticos y a la infraestructura TIC.
  • A través del hacking ético y con el apoyo de herramientas de ciberseguridad realizamos una gestión de vulnerabilidades permanente, las cuales son reportadas por el Centro de Operaciones de Seguridad. Sus resultados y alcance son revisados mensualmente a través de las acciones correctivas asociadas.
  • Participamos en diferentes espacios interinstitucionales liderados desde Colombia, como:
  • Comité de Ciberseguridad del Consejo Nacional de Operación.
  • Comité de Ciberseguridad de la Comisión de Integración Regional (CIER).
  • Equipo de respuesta a incidentes de seguridad informática (CSIRT).
  • Colombia Inteligente.
  • Comité de Infraestructura Crítica del Ministerio de las TIC.
  • Mesa AMI de Icontec para interoperabilidad y ciberseguridad.
  • Unidad de Planeación Minero Energética (Upme).
  • Comité de Riesgos de Grupo Argos.  
  • Mesas de trabajo de estandarización de Icontec para la norma NTC 6079.
  • Gestionamos el riesgo de un ataque cibernético a través de:
  • Plan de recuperación de desastres del sistema comercial, Centro de Gestión de Medida, Sistema de Gestión de Distribución Avanzada.
  • Proyectos clave e inventario automático de ciberactivos críticos, identificación de sus vulnerabilidades, amenazas y nivel de riesgo.
  • Control de acceso a dispositivos electrónicos inteligentes (IED).
  • Seguridad perimetral para la protección de los ciberactivos críticos.
  • Campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
  • Planes de ciberseguridad para plantas eólicas, fotovoltaicas e hidráulicas en Centroamérica.
Conoce más sobre la Política de Ciberseguridad haciendo clic aquí
Conoce más sobre la Política de Seguridad de la Información haciendo clic aquí

Gobierno de la ciberseguridad

GRI (2-13) La junta y el comité directivos se involucran activamente en la definición de la estrategia de ciberseguridad, su seguimiento y revisión. De acuerdo con el Código de Buen Gobierno, la Junta Directiva tiene definido un Comité de Auditoría, Finanzas y Riesgos en el que participan miembros de la Junta Directiva, Auditoría y del Comité Directivo. Entre las funciones de dicho comité están:  revisar y evaluar la gestión de riesgos y proponer las mejoras necesarias para configurar un perfil de riesgos acorde con los objetivos estratégicos de la sociedad. Este se reúne trimestralmente o cuando las necesidades lo ameriten. Los principales responsables de supervisar la estrategia de ciberseguridad en la Junta Directiva son María Fernanda Mejía, David Yanovich y Alejandro Piedrahita. En este marco, y teniendo en cuenta que la ciberseguridad es uno de los principales riesgos que enfrenta Celsia, el comité realiza la supervisión de la gestión desarrollada por la administración para la implementación de la estrategia de ciberseguridad, que es formulada por el líder del área. En cuanto al Comité Directivo, el encargado de mostrar el programa de ciberseguridad y su respectivo avance es el líder de Tecnología. Los miembros de la Junta Directiva y del Comité Directivo cuentan con el curso: Ciberseguridad para Ejecutivos, certificado por la Universidad de los Andes, en el que participaron también líderes de los equipos que gestionan el tema.
Conoce el Código de Buen Gobierno haciendo clic aquí
Para profundizar en la experiencia de los miembros del Comité de Auditoría, Finanzas y Riesgos, conoce sus hojas de vida haciendo clic aquí

Principales resultados

GRI (3-3)
Aplicamos el concepto de ciberseguridad por diseño, acompañando diferentes proyectos de la compañía, por ejemplo:

  • Red Digital: digitalización de nuestra red para incorporar beneficios como el monitoreo en tiempo real y la identificación y atención más rápida de las interrupciones.
  • ADMS Fase II: integración del ADMS (Automatic Data Master Server) con los sistemas corporativos y de negocio.
  • AMI: Infraestructura de Medición Avanzada (medidores inteligentes).

Realizamos el hacking ético a la plantas de Salvajina, Alto y Bajo Anchicayá, Hidroprado, planta solar Comayagua y a las subestaciones Comuneros 250 kV, Juanchito 230 kV, Valledupar, Cartago 230/115 kV, Sahagún, Termoyumbo 115 kV y Lanceros 115 kV, Internet Tolima y EnerBit.

Realizamos el inventario automático de ciberactivos críticos, identificando sus vulnerabilidades, amenazas y niveles de riesgo.

Desarrollamos el control del acceso a Dispositivos Electrónicos Inteligentes (IED).

Documentamos los registros requeridos por el Acuerdo 1502 del Consejo Nacional de Operación.

Ejecutamos campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.

Elaboramos un playbook y simulacro de directivos para cibercrisis.

Documentamos los planes de recuperación para tecnología, ciberactivos de generación, transmisión y distribución.

Realizamos pruebas a los planes de recuperación de Esfera y CGM.

En Centroamérica incluimos el monitoreo del SOC a los ciberactivos de la planta de Comayagua.

Desarrollamos la metodología para la cuantificación de los riesgos cibernéticos.

Implementamos el tablero de ciberseguridad (Balance Score Card).

Incorporamos capacidades de ciberinteligencia al Centro de Operaciones de Seguridad.

Realizamos la preparación para la solicitud de la membresía FIRST (Forum of Incident Response and Security Teams).

0 Incidentes
sobre la infraestructura de TI del 2018 al 2022

GRI (418-1) (2-27) SASB IF-EU-550a.1. Indicador propio (Brechas e incidentes de ciberseguridad). En los últimos cuatro años hemos mantenido un indicador de cero incidentes sobre la infraestructura de TI, por lo que no hemos tenido que pagar multas ni hemos perdido ingresos.

Nuevos desafíos

GRI (3-3) Estos son nuestros objetivos a corto, mediano y largo plazo.

Corto Plazo(0 a 2 años)

  • Pasar del nivel de madurez Definido a Administrado.
  • Cerrar las brechas reportadas por Auditoría para la implementación de la guía de ciberseguridad del CNO (Consejo Nacional de Operación).
  • Calibrar los controles de ciberseguridad en el SOC.
  • Implementar las buenas prácticas de ISO 27000 para los procesos del Centro de Gestión de Medida (CGM).
  • Solicitar la membresía FIRST (Forum of Incident Response and Security Teams).
  • Realizar simulacro de cibercrisis con el Comité Directivo y grupos primarios por negocio.
  • Avanzar en la gestión del riesgo de los ciberactivos de Tolima a través del inventario automático, la identificación de vulnerabilidades, amenazas y nivel de riesgo.
  • Desarrollar campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
  • Fortalecer las capacidades de analítica, inteligencia y automatización del Centro de Operaciones de Seguridad (SOC).
  • Continuar con las capacitaciones de ciberinteligencia.
  • Adquirir capacidades de orquestación, automatización y respuesta a incidentes de seguridad (SOAR) en el SOC.
  • Cerrar brechas de equidad de género.

Mediano Plazo(3 a 5 años)

  • Mantener el nivel de madurez Administrado.
  • Adquirir capacidades de Deception Technologies para conocer las técnicas, tácticas y procedimientos del atacante.

Largo Plazo(6 o más años)

  • Mantener un nivel de madurez Administrado de ciberseguridad, con buenas prácticas, tales como: ISO27000, NIST, NERC, 62443, 62351 y la membresía FIRST para el SOC, en cumplimiento con los acuerdos de ciberseguridad del Consejo Nacional de Operación (CNO).
Glosario

Seguridad de información / ciberseguridad: protección de la infraestructura computacional y todo lo vinculado con esta, en especial la información.

Ataque cibernético: intento de exponer, alterar, desestabilizar, destruir o acceder, sin autorización, un activo informático.

Hacking ético: pruebas realizadas en redes por personas con conocimientos de informática y seguridad para encontrar vulnerabilidades, reportarlas y tomar medidas correctivas.

Campañas de ingeniería social: buscan sensibilizar a los colaboradores sobre las manipulaciones utilizadas para obtener acceso a información de manera indebida.   

Dispositivos electrónicos inteligentes (IED): equipos de regulación electrónica inmersos en los sistemas eléctricos y utilizados en interruptores, transformadores, entre otros.    

Ciberseguridad por diseño: introduce controles de seguridad ágiles que pueden adaptarse a los entornos digitales cambiantes; se basa en una comprensión del panorama de amenazas, personas, escalabilidad y velocidad.

Nivel de madurez: meseta evolutiva hacia la consecución de un proceso de software maduro; cada nivel de madurez proporciona una capa en la base para una mejora continua del proceso. Bajo este marco:

  • Nivel de madurez Definido: cuando existe una política y procedimientos publicados en el sistema de calidad y los colaboradores y personas de interés los conocen. 
  • Nivel de madurez Administrado: cuando además de contar con las características del nivel de madurez Definido existen también indicadores con seguimiento y planes de mejora continua.
AntAnteriorInnovación
SiguienteEnriquecemos la vida de los clientesSiguiente
logo-equipares-footer
logo--bvcir-2020-footer
logo-merco-empresas-empresas-y-lideres-footer
logo-merco-talento-footer
logo-sustainablity-yearbook-footer
logo-sello-icontec-carbono-neutro-certificado-footer
Contenido del sitio

Copyright © 2023 Celsia. Todos los derechos reservados
Medellín – Colombia
Diseño y desarrollo: Taller de Edición

Para una mejor experiencia en nuestro sitio, le recomendamos usar los navegadores Web Chrome 4.3 o superior, Firefox 3.8 o superior, Safari 8 o superior, Internet Explorer 10, 11

CELSIA

REPORTE INTEGRADO 2022

CERRAR MENÚ

Sobre nuestro reporte
Hechos relevantes
Marco estratégico
Estrategia y sostenibilidad
Gestión de riesgos
Privacidad de la información
Negocios que nos retan
Generación
Transmisión y distribución
Comercialización
Actuamos con visión de futuro
Diversificación y expansión de nuestros negocios
Innovación
Ciberseguridad
Enriquecemos la vida de los clientes
Así lideramos
Gobierno corporativo
Ética y transparencia
Nos adaptamos a nuestro entorno social y político
Trabajamos por el desempeño económico
Cadena de valor y abastecimiento sostenible
Cuidamos el medio ambiente
Gestión del Cambio climático
Gestión ambiental
Ecoeficiencia
Biodiversidad
Promovemos el desarrollo social
Somos socios del desarrollo
Contribución a la sociedad
Derechos humanos
Valor agregado a la sociedad (VAS)
Cultura Celsia
Prácticas laborales
Desarrollo del talento
Atracción y fidelización del talento
Salud y seguridad en el trabajo
Descargas

CELSIA

REPORTE INTEGRADO 2022

  • Sobre nuestro reporte
  • Hechos relevantes
  • Marco estratégico
    • Estrategia y sostenibilidad
    • Gestión de riesgos
    • Privacidad de la información
  • Negocios que nos retan
    • Generación
    • Transmisión y distribución
    • Comercialización
  • Actuamos con visión de futuro
    • Diversificación y expansión de nuestros negocios
    • Innovación
    • Ciberseguridad
  • Enriquecemos la vida de los clientes
  • Así lideramos
    • Gobierno corporativo
    • Ética y transparencia
  • Nos adaptamos a nuestro entorno social y político
  • Trabajamos por el desempeño económico
  • Cadena de valor y abastecimiento sostenible
  • Cuidamos el medio ambiente
    • Gestión del Cambio climático
    • Gestión ambiental
    • Ecoeficiencia
    • Biodiversidad
  • Promovemos el desarrollo social
    • Somos socios del desarrollo
      • Contribución a la sociedad
      • Derechos humanos
      • Valor agregado a la sociedad (VAS)
    • Cultura Celsia
      • Prácticas laborales
      • Desarrollo del talento
      • Atracción y fidelización del talento
    • Salud y seguridad en el trabajo
  • Descargas