En Celsia nos tomamos en serio la ciberseguridad por lo que trabajamos en la mitigación de riesgo de ataque a las operaciones.
GRI (3-3) Alineados con nuestra estrategia corporativa evitamos la fuga, adulteración y el acceso no autorizado a los datos personales. También impedimos la no disponibilidad de los ciberactivos críticos a través de una estrategia que cubre la seguridad de la información, los datos personales y la ciberseguridad, al garantizar la entrega del servicio de energía eléctrica de una manera segura y confiable.
Nuestra gestión
- Ejecutamos nuestra estrategia por medio de un modelo de gestión que construimos con base en las buenas prácticas del sector, como:
- Las normas ISO 27000, NIST Cybersecurity Framework standard, IEC 62443 y NERC CIP.
- La Guía de Responsabilidad emitida por la Superintendencia de Industria y Comercio.
- La Guía de Ciberseguridad emitida por el Consejo Nacional de Operación para el sector eléctrico colombiano con el Acuerdo 1502. Contamos con un modelo de gobierno para la gestión de ciberseguridad, compuesto por un comité interdisciplinario de ciberseguridad y coordinado por el líder de Ciberseguridad, que vela por el cumplimiento de las políticas y lineamientos de seguridad de la información, tratamiento de datos personales y ciberseguridad.
- Contamos con un Centro de Operaciones de Seguridad, Comité de Ciberseguridad y un Comité de Riesgos de Tecnología.
- Realizamos monitoreo 7x24x365 desde el Centro de Operaciones de Seguridad a las bases de datos que contienen datos personales, a los ciberactivos críticos y a la infraestructura TIC.
- A través del hacking ético y con el apoyo de herramientas de ciberseguridad realizamos una gestión de vulnerabilidades permanente, las cuales son reportadas por el Centro de Operaciones de Seguridad. Sus resultados y alcance son revisados mensualmente a través de las acciones correctivas asociadas.
- Participamos en diferentes espacios interinstitucionales liderados desde Colombia, como:
- Comité de Ciberseguridad del Consejo Nacional de Operación.
- Comité de Ciberseguridad de la Comisión de Integración Regional (CIER).
- Equipo de respuesta a incidentes de seguridad informática (CSIRT).
- Colombia Inteligente.
- Comité de Infraestructura Crítica del Ministerio de las TIC.
- Mesa AMI de Icontec para interoperabilidad y ciberseguridad.
- Unidad de Planeación Minero Energética (Upme).
- Comité de Riesgos de Grupo Argos.
- Mesas de trabajo de estandarización de Icontec para la norma NTC 6079.
- Gestionamos el riesgo de un ataque cibernético a través de:
- Plan de recuperación de desastres del sistema comercial, Centro de Gestión de Medida, Sistema de Gestión de Distribución Avanzada.
- Proyectos clave e inventario automático de ciberactivos críticos, identificación de sus vulnerabilidades, amenazas y nivel de riesgo.
- Control de acceso a dispositivos electrónicos inteligentes (IED).
- Seguridad perimetral para la protección de los ciberactivos críticos.
- Campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
- Planes de ciberseguridad para plantas eólicas, fotovoltaicas e hidráulicas en Centroamérica.
Gobierno de la ciberseguridad
Principales resultados
Aplicamos el concepto de ciberseguridad por diseño, acompañando diferentes proyectos de la compañía, por ejemplo:
- Red Digital: digitalización de nuestra red para incorporar beneficios como el monitoreo en tiempo real y la identificación y atención más rápida de las interrupciones.
- ADMS Fase II: integración del ADMS (Automatic Data Master Server) con los sistemas corporativos y de negocio.
- AMI: Infraestructura de Medición Avanzada (medidores inteligentes).
Realizamos el hacking ético a la plantas de Salvajina, Alto y Bajo Anchicayá, Hidroprado, planta solar Comayagua y a las subestaciones Comuneros 250 kV, Juanchito 230 kV, Valledupar, Cartago 230/115 kV, Sahagún, Termoyumbo 115 kV y Lanceros 115 kV, Internet Tolima y EnerBit.
Realizamos el inventario automático de ciberactivos críticos, identificando sus vulnerabilidades, amenazas y niveles de riesgo.
Desarrollamos el control del acceso a Dispositivos Electrónicos Inteligentes (IED).
Documentamos los registros requeridos por el Acuerdo 1502 del Consejo Nacional de Operación.
Ejecutamos campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
Elaboramos un playbook y simulacro de directivos para cibercrisis.
Documentamos los planes de recuperación para tecnología, ciberactivos de generación, transmisión y distribución.
Realizamos pruebas a los planes de recuperación de Esfera y CGM.
En Centroamérica incluimos el monitoreo del SOC a los ciberactivos de la planta de Comayagua.
Desarrollamos la metodología para la cuantificación de los riesgos cibernéticos.
Implementamos el tablero de ciberseguridad (Balance Score Card).
Incorporamos capacidades de ciberinteligencia al Centro de Operaciones de Seguridad.
Realizamos la preparación para la solicitud de la membresía FIRST (Forum of Incident Response and Security Teams).
GRI (418-1) (2-27) SASB IF-EU-550a.1. Indicador propio (Brechas e incidentes de ciberseguridad). En los últimos cuatro años hemos mantenido un indicador de cero incidentes sobre la infraestructura de TI, por lo que no hemos tenido que pagar multas ni hemos perdido ingresos.
GRI (3-3) Estos son nuestros objetivos a corto, mediano y largo plazo.
Corto Plazo(0 a 2 años)
- Pasar del nivel de madurez Definido a Administrado.
- Cerrar las brechas reportadas por Auditoría para la implementación de la guía de ciberseguridad del CNO (Consejo Nacional de Operación).
- Calibrar los controles de ciberseguridad en el SOC.
- Implementar las buenas prácticas de ISO 27000 para los procesos del Centro de Gestión de Medida (CGM).
- Solicitar la membresía FIRST (Forum of Incident Response and Security Teams).
- Realizar simulacro de cibercrisis con el Comité Directivo y grupos primarios por negocio.
- Avanzar en la gestión del riesgo de los ciberactivos de Tolima a través del inventario automático, la identificación de vulnerabilidades, amenazas y nivel de riesgo.
- Desarrollar campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
- Fortalecer las capacidades de analítica, inteligencia y automatización del Centro de Operaciones de Seguridad (SOC).
- Continuar con las capacitaciones de ciberinteligencia.
- Adquirir capacidades de orquestación, automatización y respuesta a incidentes de seguridad (SOAR) en el SOC.
- Cerrar brechas de equidad de género.
Mediano Plazo(3 a 5 años)
- Mantener el nivel de madurez Administrado.
- Adquirir capacidades de Deception Technologies para conocer las técnicas, tácticas y procedimientos del atacante.
Largo Plazo(6 o más años)
- Mantener un nivel de madurez Administrado de ciberseguridad, con buenas prácticas, tales como: ISO27000, NIST, NERC, 62443, 62351 y la membresía FIRST para el SOC, en cumplimiento con los acuerdos de ciberseguridad del Consejo Nacional de Operación (CNO).
Seguridad de información / ciberseguridad: protección de la infraestructura computacional y todo lo vinculado con esta, en especial la información.
Ataque cibernético: intento de exponer, alterar, desestabilizar, destruir o acceder, sin autorización, un activo informático.
Hacking ético: pruebas realizadas en redes por personas con conocimientos de informática y seguridad para encontrar vulnerabilidades, reportarlas y tomar medidas correctivas.
Campañas de ingeniería social: buscan sensibilizar a los colaboradores sobre las manipulaciones utilizadas para obtener acceso a información de manera indebida.
Dispositivos electrónicos inteligentes (IED): equipos de regulación electrónica inmersos en los sistemas eléctricos y utilizados en interruptores, transformadores, entre otros.
Ciberseguridad por diseño: introduce controles de seguridad ágiles que pueden adaptarse a los entornos digitales cambiantes; se basa en una comprensión del panorama de amenazas, personas, escalabilidad y velocidad.
Nivel de madurez: meseta evolutiva hacia la consecución de un proceso de software maduro; cada nivel de madurez proporciona una capa en la base para una mejora continua del proceso. Bajo este marco:
- Nivel de madurez Definido: cuando existe una política y procedimientos publicados en el sistema de calidad y los colaboradores y personas de interés los conocen.
- Nivel de madurez Administrado: cuando además de contar con las características del nivel de madurez Definido existen también indicadores con seguimiento y planes de mejora continua.