Español | English
rss facebook linkedin Twitter

NERC-CIP

NERC CIP constituye un conjunto de estándares de ciber-seguridad, que el Gobierno Federal ha establecido como de obligado cumplimiento, para compañías relacionadas con el subsector eléctrico de la alta tensión en los Estados Unidos.

Los hechos

En agosto de 2005 se aprueba el acta de modernización del sector eléctrico estadounidense, la cual exige, entre otras cosas, la organización de una comisión gubernamental que desarrolle estándares que se centren en garantizar la fiabilidad de sus infraestructuras. La agencia que toma las riendas de esta tarea es la comisión federal para la regulación de la energía (FERC).

En febrero de 2006 la FERC, en calidad de representante del Gobierno, encarga a la NERC la tarea de desarrollar dichos estándares. La NERC (North American Electric Reliability Corporation) es una empresa sin ánimo de lucro que se refundó en 2006 (la anterior NERC se fundó en 1968 y sus siglas hacían referencia a North American Electric Reliability Council) y que representa con una única voz a la industria eléctrica norteamericana.

Seis meses después, la NERC ya propone un primer borrador del conjunto de estándares CIP-002-1/CIP-009-1. En diciembre de ese mismo año la FERC emite una primera valoración, y da de plazo hasta febrero de 2007 para que la Comunidad pueda aportar su opinión y sugerencias sobre los mismos. En julio de 2007, la FERC anuncia la inminente aprobación de dichos estándares, después de que la NERC estudiara la aportación de la Comunidad y los revisara. De paso vuelve a dar un plazo de tres meses para que la Comunidad vuelva a aportar sus sugerencias y comentarios.

Finalmente, el 17 de enero de 2008 la FERC aprueba los estándares NERC-CIP.

Los estándares

Como ya se ha adelantado, el conjunto NERC-CIP está constituido por ocho estándares de obligado cumplimiento para la industria del subsector eléctrico de la alta tensión. Los listamos traducidos a continuación:

  • CIP-002-1 Identificación de activos cibernéticos
  • CIP-003-1 Controles en la gestión de la seguridad
  • CIP-004-1 Personal y formación/capacitación
  • CIP-005-1 Perímetros de seguridad electrónica
  • CIP-006-1 Seguridad física
  • CIP-007-1 Gestión de la seguridad de sistemas
  • CIP-008-1 Notificación de incidentes y respuesta
  • CIP-009-1 Plan para la recuperación de activos cibernéticos de carácter crítico

El propósito de estos estándares es asegurar que se protegen adecuadamente los activos cibernéticos que están detrás de la red eléctrica estadounidense, de tal manera que se garantice la fiabilidad de la misma frente a posibles ataques o simplemente incidentes de seguridad en el ámbito de la seguridad digital.

El CIP-002-1 exige la identificación y documentación de los activos cibernéticos críticos asociados a los activos con una mayor criticidad para la red eléctrica de alta tensión. Los activos de mayor criticidad los constituyen las instalaciones (torres de transporte), sistemas varios (sistemas de potencia auxiliar), equipamiento específico (transformadores y bobinas), etc.

El CIP-003-1 busca que las empresas cuenten con un conjunto de controles adecuado (de carácter más bien gerencial) que minimice el riesgo de incidentes de seguridad. Entre otros controles se exige la existencia de una política adecuada de ciber-seguridad, la definición de una dirección que vele por la implementación de los estándares NERC-CIP, la documentación e implementación de un programa para la gestión de accesos a la información relacionada con activos cibernéticos críticos, etc.

El CIP-004-1 requiere que todo el personal con acceso de cualquier tipo a los activos cibernéticos críticos, incluyendo contratistas y proveedores, tengan un nivel apropiado de formación y concienciación en materia de seguridad.

El estándar de perímetros de seguridad electrónica, CIP-005-1, exige la identificación y protección los perímetros electrónicos de seguridad en los que residen los activos ciber-críticos, incluyendo los puntos de acceso al mismo (a.k.a. seguridad perimetral de toda la vida).

El CIP-006-1 busca la implantación de un programa de seguridad física, una vez más con el objetivo de proteger los activos cibernéticos críticos. Entre las medidas que se requieren se incluyen la instalación de sistemas de control de accesos biométricos, por token, por tarjeta, etc. También se requieren: la monitorización de los accesos en formato 24x7 e instalación de alarmas; el registro de los accesos físicos; la retención de información suficiente para identificar de manera unívoca a cada persona; etc.

El CIP-007-1 exige la definición de métodos, procesos y procedimientos para asegurar los sistemas considerados activos cibernéticos, tanto si son críticos como si no lo son. Básicamente define controles técnicos, en contraposición con los gerenciales del CIP-002-1, y entre los que encontramos: inhabilitación de puertos y servicios innecesarios, una adecuada gestión de parches, prevención de software malicioso, gestión de credenciales, etc.

El CIP-008-1 busca garantizar la identificación, clasificación, respuesta y notificación de los incidentes de seguridad digital relacionados con activos cibernéticos críticos. Exige el desarrollo y mantenimiento de un plan de respuesta ante incidentes y la documentación de todos ellos, entre otras cosas.

Finalmente, el CIP-009-1 complementa a la anterior a través de la exigencia de la definición e implantación de planes de recuperación que permitan garantizar la continuidad del negocio.

El calendario

Una vez fueron aprobados los estándares NERC-CIP en enero del año pasado, se estableció un calendario para la adopción de los mismos por las empresas afectadas. Para ello se establecieron tres grados distintos de conformidad con dichos estándares: substancialmente conformes, conformes, y conformes auditables.

El grado <<conformes auditables>> indica que la empresa, en caso de ser sometida a un proceso de auditoría de conformidad, ha de ser capaz de superarla con éxito cumpliendo con todos los requisitos del conjunto NERC-CIP.

El calendario exige que durante el presente mes las empresas ya sean plenamente conformes a los estándares NERC-CIP y que durante el primer semestre de 2010 ya adquieran el grado de <<conformes auditables>>.

La evolución

Recientemente, concretamente el 6 de mayo de 2009, la NERC ha aprobado una nueva revisión de los estándares. Podéis acceder a los mismos desde aquí.

Parece que la industria eléctrica estadounidense está dando su claro apoyo a estos estándares (tampoco les han dado muchas opciones) y probablemente en un corto plazo de tiempo veamos una iniciativa similar en Europa.

Por ello, desde S21sec estamos ya trabajando para ayudar a las empresas a cumplir este tipo de normativas. Hemos hecho uso del NERC-CIP como modelo de referencia para nuestros servicios de ciber-seguridad en infraestructuras críticas, y en breve comenzaremos a ofrecer herramientas que faciliten su cumplimiento. Os mantendremos informados.


Elyoenai Egozcue,

S21sec labs


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login