Marco estratégico
Ciberseguridad
En Celsia contamos con una estrategia que integra la seguridad de la información, la protección de los datos personales y de la ciberseguridad.
GRI (103-1) Alineados con nuestros objetivos corporativos, en Celsia buscamos de manera permanente garantizar la entrega del servicio de energía eléctrica de una manera confiable y segura. Para lograrlo contamos con una estrategia que integra la seguridad de la información, la protección de los datos personales y la ciberseguridad.
GRI (103-2) Para gestionar este tema, en Celsia contamos con diferentes elementos que estructuran el marco de gestión. Dentro de este, destacamos las siguientes prácticas, procesos, instancias y procedimientos:
Ejecutamos nuestra estrategia por medio de un Modelo de Gestión que hemos construido con base en las buenas prácticas del sector como:
- Las normas ISO 27000, NIST Cyber Security Framework standard, IEC 62443 y NERC CIP.
- La Guía de Responsabilidad emitida por la Superintendencia de Industria y Comercio.
- La Guía de Ciberseguridad emitida por el Consejo Nacional de Operación para el sector eléctrico colombiano con el Acuerdo 1502. Contamos con un Modelo de Gobierno para la gestión de ciberseguridad, compuesto por un comité interdisciplinario de ciberseguridad y coordinado por el líder de Ciberseguridad, que vela por el cumplimiento de las políticas y lineamientos de seguridad de la información, tratamiento de datos personales y ciberseguridad.
Contamos con un Centro de Operaciones de Seguridad, Comité de Ciberseguridad y un Comité de Riesgos de Tecnología.
Realizamos Monitoreo 7x24x365 desde el Centro de Operaciones de Seguridad a las bases de datos que contienen datos personales, a los ciber activos críticos y a la infraestructura TIC.
A través del hacking ético y con el apoyo de herramientas de ciberseguridad realizamos una gestión de vulnerabilidades permanente, las cuales son reportadas por el Centro de Operaciones de Seguridad. Sus resultados y alcance son revisados mensualmente a través de las acciones correctivas asociadas.
Participamos en diferentes espacios interinstitucionales liderados desde Colombia, como:
- Comité de Ciberseguridad del Consejo Nacional de Operación.
- Comité de Infraestructura Crítica, liderado por el Comando Conjunto Cibernético del Ministerio de Defensa.
- Mesa AMI de Icontec para interoperabilidad y ciberseguridad.
- Unidad de Planeación Minero-Energética.
- Comité de Riesgos de Grupo Argos.
Monitoreamos la seguridad de la información a través de:
- Plan de Recuperación de Desastres del sistema comercial, Centro de Gestión de la Medida, Sistema de Gestión de Distribución Avanzada.
- Proyectos clave e inventario automático de ciber activos críticos, identificación de sus vulnerabilidades, amenazas y nivel de riesgo.
- Control de acceso a Dispositivos Electrónicos Inteligentes (IED).
- Seguridad perimetral para la protección de los ciber activos críticos.
- Campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
- Planes de Ciberseguridad para plantas eólicas, fotovoltaicas e hidráulicas en Centroamérica.
DJSI (1.8.1) GRI (102-20, 102-19) La Junta Directiva y el Comité Directivo se involucran activamente en la definición de la estrategia de ciberseguridad, su seguimiento y revisión. De acuerdo con el Código de Buen Gobierno, la Junta Directiva tiene definido un Comité de Auditoría, Finanzas y Riesgos donde participan miembros de la Junta Directiva, auditoría y miembros del Comité Directivo.
Dicho comité tiene como una de sus funciones revisar y evaluar la gestión de riesgos y proponer las mejoras que considere necesarias, buscando que las mismas propendan por la configuración de un perfil de riesgos, acorde con los objetivos estratégicos de la compañía. Este se reúne trimestralmente o cuando las necesidades lo aconsejen. Los principales responsables de supervisar la estrategia de ciberseguridad en la Junta Directiva son María Fernanda Mejía, David Yanovich y Alejandro Piedrahita.
En este marco, y teniendo en cuenta que la ciberseguridad es uno de los principales riesgos que enfrenta Celsia, el comité realiza la supervisión de la gestión desarrollada por la administración para la implementación de la estrategia de ciberseguridad, que es formulada por el Líder de Ciberseguridad. En cuanto al Comité Directivo, el encargado de mostrarle el programa de ciberseguridad y su respectivo avance es el Líder de Tecnología.
Para fortalecer el conocimiento de los miembros de la Junta Directiva y del Comité Directivo, estos realizaron el curso certificado Ciberseguridad para Ejecutivos de la Universidad de los Andes, en el que participaron también diferentes líderes de los equipos que gestionan el tema.
GRI (103-3)
Aplicamos el concepto de ciberseguridad por diseño, acompañando diferentes proyectos de la compañía, por ejemplo:
- NOVA: centro de monitoreo, control monitoreo y supervisión de toda la red eléctrica y nuevos negocios.
- AMI: infraestructura de Medición Avanzada (medidores inteligentes).
- Red Digital: digitalización de nuestra red para incorporar beneficios como el monitoreo en tiempo real y la identificación y atención más rápida de las interrupciones.
Realizamos el hacking ético a las centrales hidroeléctricas Alto Tuluá, Cucuana, Río Piedras, San Andrés de Cuerquia e Hidromontañitas, a la térmica Meriléctrica, al proyecto Esfera, a Internet Hogar, a las subestaciones Recreo, Palmira, Candelaria, Cerrito y Carmelo, y a Enerbit.
Mitigamos los riesgos de un ataque cibernético a los ciber activos críticos mediante la implementación de la guía de ciberseguridad del Consejo Nacional de Operación, a través de los siguientes controles:
- Inventario automático de ciber activos críticos, identificación de sus vulnerabilidades, amenazas y nivel de riesgo.
- Control del acceso a Dispositivos Electrónicos Inteligentes (IED).
- Preparación para la certificación del proceso de respuesta a incidentes del Centro de Operaciones de Seguridad en ISO 27000 y membresía FIRTS.
- Implementación de firewalls en centrales hidroeléctricas.
- Documentación de los registros requeridos para demostrar la implementación de la Guía de ciberseguridad del Consejo Nacional de Operación.
- Implementación de los controles de ciberseguridad en las subestaciones críticas de Tolima.
- Ejecución de campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
- Automatización para detección y contención automática de ataques.
- Pruebas a los planes de respuesta a incidentes de ciberseguridad en las instalaciones de Merieléctrica y Seguridad física en NOVA.
- Pruebas a los planes de recuperación en el Software de sistema de información comercial (ESFERA), Alto Anchicayá, Telecomunicaciones, entre otros.
Para Centroamérica se realizó el inventario de ciber activos, campañas de ingeniería social y hacking ético a Chirquí, Planta solar Prudencia y Planta eólica Guanacaste.
GRI (418-1) DJSI (1.8.4) Indicador propio (Brechas e incidentes de ciberseguridad). En los últimos cuatro años hemos mantenido un número de cero violaciones a la seguridad de la información u otros incidentes de ciberseguridad relacionadas con nuestros clientes.
DJSI (1.8.5) GRI (103-2) SASB (IF-EU-550a.1.) En los últimos cuatro años hemos mantenido un número de cero incidentes sobre la infraestructura de TI por los cuales hayamos tenido que pagar multas o con los que hayamos sufrido pérdida de ingresos.
Nuevos desafíos
Estos son nuestros retos en el corto, mediano y largo plazo:
Pasar del nivel de madurez DEFINIDO a ADMINISTRADO y finalizar la implementación de la guía de ciberseguridad del Consejo Nacional de Operación para mitigar el riesgo de un ataque cibernético a los ciber activos críticos a través de la implementación de los siguientes controles:
- Realizar un inventario automático de ciber activos críticos, identificación de sus vulnerabilidades, amenazas y nivel de riesgo.
- Controlar el acceso a Dispositivos Electrónicos Inteligentes (IED).
- Implementar las buenas prácticas de ISO 27000 para los procesos del Centro de Operaciones de Seguridad y membresía FIRTS.
- Implementar los playbook requeridos para mejorar la oportunidad de respuesta frente a los ataques cibernéticos.
- Documentar los registros requeridos para demostrar la implementación de la Guía de Ciberseguridad del Consejo Nacional de Operación.
- Implementar los controles de ciberseguridad en las subestaciones de Tolima.
- Desarrollar campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
Mantener el nivel de madurez ADMINISTRADO mediante las siguientes actividades, adicionales a los controles ya existentes mencionados anteriormente:
- Fortalecer las capacidades de Analítica, Inteligencia y automatización del Centro de Operaciones de Seguridad.
- Mitigar el riesgo de un ataque cibernético para los ciber activos no críticos a través de la implementación de seguridad perimetral, inventario automático, identificación de vulnerabilidades, amenazas y nivel de riesgo.
Mitigar el riesgo de un ataque cibernético con un nivel de madurez ADMINISTRADO de ciberseguridad, manteniendo las buenas prácticas en ciberseguridad tales como ISO27000, NIST, NERC, 62443 y la membresía FIRTS para el Centro de Operaciones de Seguridad, en cumplimiento con los acuerdos de ciberseguridad del Consejo Nacional de Operación.
Glosario
Seguridad de información/ciberseguridad: protección de la infraestructura computacional y todo lo vinculado con esta, especialmente la información.
Ataque cibernético: intento de exponer, alterar, desestabilizar, destruir, o acceder sin autorización un activo informático.
Hacking ético: pruebas realizadas en redes por personas con conocimientos de informática y seguridad para encontrar vulnerabilidades, luego reportarlas y tomar medidas correctivas.
Campañas de ingeniería social: campañas que buscan sensibilizar a los colaboradores a las manipulaciones utilizadas para obtener acceso a información de manera indebida.
Dispositivos Electrónicos Inteligentes (IED): equipos de regulación electrónica inmersos en los sistemas eléctricos y utilizados en interruptores, transformadores, entre otros.
Ciberseguridad por diseño: introduce controles de seguridad ágiles que pueden adaptarse a los entornos digitales cambiantes; se basa en una comprensión del panorama de amenazas, personas, escalabilidad y velocidad.
Nivel de madurez: meseta evolutiva hacia la consecución de un proceso software maduro; cada nivel de madurez proporciona una capa en la base para una mejora continua del proceso. Bajo este marco:
- El Nivel de madurez DEFINIDO es cuando existe una política y procedimientos publicados en el sistema de calidad y los colaboradores y personas de interés los conocen.
- El Nivel de madurez ADMINISTRADO es cuando además de contar con las características del nivel de madurez DEFINIDO, existen también indicadores con seguimiento y planes de mejora continua.
