Servicios de Ciberseguridad
Servicios de Ciberseguridad
La frecuencia y el grado de sofisticación de los ataques cibernéticos contra las infraestructuras energéticas esenciales es cada vez mayor. Por eso, no basta con las protecciones del perímetro de la red a la hora de proteger las señales de control y los datos confidenciales. S&C comprende que una ingeniería de seguridad eficaz requiere por tanto una aplicación multidisciplinar de la gestión de riesgos que garantice la resiliencia a lo largo de todo el ciclo de vida del sistema. Los sistemas de energía se caracterizan por ser sistemas de sistemas de varios proveedores que requieren una estrecha coordinación con diversas partes interesadas para garantizar que la estrategia de seguridad se diseñe, se aplique y se mantenga de manera adecuada. S&C integra la ciberseguridad en sus productos a fin de brindar resiliencia y defensa en profundidad.
S&C también ofrece un sólido conjunto de servicios de ciberseguridad que permite la integración global de la seguridad de las redes y los sistemas. S&C aporta un gran valor a nuestros clientes al combinar los servicios de ciberseguridad con nuestras Soluciones de Sistemas Eléctricos y Servicios de Ingeniería, a la vez que ofrecemos consultoría y servicios de ciberseguridad independientes. De este modo, ofrecemos a nuestros clientes que no cuentan con todo el personal de ciberseguridad el apoyo que necesitan para el cumplimiento de la normativa y así garantizar que sus sistemas y entornos de red permanezcan seguros.
Gracias a que contamos con una amplia experiencia en consultoría y servicios de ciberseguridad del Departamento de Defensa de EE. UU. (DoD), nuestro equipo está capacitado para ofrecer una gran variedad de servicios de ciberseguridad y redes a nuestros clientes federales, comerciales y de servicios públicos. El equipo cuenta con certificaciones de ciberseguridad aprobadas por el Departamento de Defensa (DoD) (por ejemplo, CISSP, Security+CE, GICSP, GPEN). Obtenga más información sobre la experiencia de S&C’ en materia de ciberseguridad del DoD…
Evaluaciones de Ciberseguridad
Los Servicios de Ciberseguridad de S&C cuentan con la preparación necesaria para sacar el máximo partido a nuestra sólida experiencia en materia de ciberseguridad a nivel federal y del Departamento de Defensa y, de esta manera, satisfacer las necesidades de nuestros clientes comerciales y de servicios públicos. En este sentido, S&C ofrece evaluaciones de ciberseguridad a medida que permiten mejorar la seguridad del sistema energético y gestionar los riesgos. Las evaluaciones de ciberseguridad de S&C tienen su fundamento en los marcos y las normas, tales como NERC-CIP, NIST IR 7628 y NIST 800-53
Las actividades específicas de evaluación incluyen, entre otras, las siguientes:
- Inventario de Wardware y Software
- Evaluación de la Amenaza
- Evaluación y Análisis de las vulnerabilidades del sistema y de la red
- Conformidad con NERC CIP
- Conformidad con los Marcos de Ciberseguridad o de Gestión de Riesgos del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST)
- Documentación de las conclusiones y recomendaciones de mitigación
- (Futuro) Apoyo a las auditorías del modelo de madurez de ciberseguridad (CMMC) del Departamento de Defensa.
Evaluación del Marco Federal de Gestión de Riesgos
Evaluación del Marco Federal de Gestión de Riesgos
Los sistemas de información del gobierno federal, incluida la infraestructura energética, deben diseñarse, protegerse y controlarse de conformidad con el Marco de Gestión de Riesgos (RMF) y la política y las directrices correspondientes. S&C comprende los desafíos a los que se enfrentan los propietarios de sistemas energéticos y de sistemas de control relacionados con las instalaciones (FRCS) del Departamento de Defensa (DoD) en lo que respecta a la implementación de la ciberseguridad y a la obtención de Autorizaciones para Operar (ATO).
S&C adopta un enfoque de resolución de problemas en la planificación y ejecución del RMF que se centra principalmente en reducir las dificultades del cliente (propietario del sistema), mantener los costos bajos y garantizar un camino viable y oportuno para asegurar una ATO. Los Servicios de Ciberseguridad de S&C orientarán al propietario del sistema a través de los procesos del RMF en función de nuestra amplia experiencia práctica en la planificación y ejecución de RMF para las microrredes del Ejército, la Armada, las Fuerzas Aéreas y el Cuerpo de Marines.
El equipo de S&C aporta uno de los mayores valores en la aplicación de los controles de seguridad del RMF. No solo contamos con experiencia en el acondicionamiento de los componentes del sistema energético de S&C, sino que también aplicamos la ciberseguridad y la gestión de riesgos a cualquier dispositivo de proveedores externos que se encuentre en el sistema energético o en la red o que esté conectado a ellos. La implementación del control de seguridad incluye la política de seguridad de la organización y la planificación de los procedimientos. Ofrecemos un apoyo integral a los propietarios de los sistemas en cada paso del RMF, lo que incluye:
- Paso 0 del RMF: S&C sienta las bases desde el principio, ya que identifica e involucra a quienes desempeñarán las funciones clave del RMF y el registro del sistema en los repositorios del DoD.
- Paso 1 del RMF: S&C provee una clasificación de seguridad del sistema recomendada, que incluye una descripción del concepto de operaciones (Concept of operations, CONOPS), los tipos de información procesada y los niveles de impacto en cuanto a confidencialidad, integridad y disponibilidad. Asimismo, desarrollamos artefactos de acompañamiento, como listas preliminares de hardware o software, y diagramas de flujo de datos y límites de la red.
- Paso 2 del RMF: S&C desarrolla el plan de seguridad del sistema (SSP) en función de la clasificación de seguridad aprobada y adapta la base de control de seguridad con las superposiciones aplicables así como los controles heredados o no aplicables.
- Paso 3 del RMF: S&C brinda todo su apoyo a la autoevaluación de los propietarios del sistema con la implementación de los requisitos de seguridad, entre los que se encuentran la configuración práctica y el desarrollo de políticas y artefactos de seguridad.
- Paso 4 del RMF: S&C participa de lleno en la visita de los equipos de validación de terceros, con el objetivo de prestar apoyo práctico a la validación del sistema. El Equipo de Servicios de Ciberseguridad de S&C’ llevará adelante el paquete del RMF en los procesos de control y aprobación, incluidas las actividades de análisis/corrección/análisis y la finalización de los artefactos.
- Pasos 5 y 6 del RMF: El equipo de S&C sigue prestando todo su apoyo para obtener la autorización mediante la continuidad de la reelaboración de los paquetes y la finalización de la formación y el traspaso del sistema. El enfoque RMF de S&C’ no concluye con la ATO. El mantenimiento permanente del RMF y el control continuo del sistema son fundamentales tanto para la seguridad como para la resiliencia de la microrred. Estos se programan en las políticas y procedimientos desarrollados con el propietario del sistema y para él. La oferta de servicios integrales de apoyo de este tipo es objeto de un contrato (independiente).
Más información sobre la experiencia de S&C en el marco de gestión de riesgos (Risk Management Framework, RMF) a Nivel Federal y del Departamento de Defensa (DoD)
Historia de S&C e IPERC
La adquisición por parte de S&C’ de IPERC, el proveedor de controles de microrredes y líder en ciberseguridad para los proyectos de Demostración de Infraestructuras Eléctricas Inteligentes para la Energía, la Fiabilidad y la seguridad (SPIDERS) de 2015 y otros proyectos del Departamento de Defensa, incorporó al equipo de S&C el Sistema de Control de Microrredes GridMaster® de última generación y la experiencia del RMF. Gracias a nuestro equipo, los clientes gubernamentales obtuvieron las primeras autorizaciones para operar sistemas de control de microrredes, primero en el Camp Smith de Hawái del Cuerpo de Marines para los Comandos de Ingeniería de las Instalaciones Navales (Naval Facilities Engineering Command, NAVFAC) y, posteriormente, para el Departamento de Obras Públicas de Fort Carson (Colorado) perteneciente al ejército de Estados Unidos.
S&C conoce muy bien las normas y orientaciones relacionadas con el RMF para los sistemas de control industrial (por ejemplo, los sistemas de control de microrredes y los correspondientes a la gestión energética), incluidos los procesos y formatos específicos del servicio del Departamento de Defensa, entre otros:
- Criterios de Instalaciones Unificadas (Unified Facilities Criteria, UFC) 4-010-06, Cybersecurity of Facility-Related Control Systems (Ciberseguridad para los Sistemas de Control de las Instalaciones), Modificación 1, 18 de enero de 2017
- Especificaciones de Orientación para Instalaciones Unificadas (Unified Facilities Guidance Specification, UFGS) 25 05 11, Cybersecurity of Facility-Related Control Systems (Ciberseguridad para los Sistemas de Control de las Instalaciones), 1.° de noviembre de 2017
- Directiva del DoD 8500.01, Cybersecurity (Ciberseguridad), 14 de marzo de 2014
- Directiva del DoD 8510.01, Risk Management Framework (RMF) for DoD Information Technology (IT) (Marco de gestión de riesgos (RMF) para el Departamento de Tecnología de la Información [IT] del DoD), Modificación 2, 28 de julio de 2017
- Publicación Especial 800-82 del Instituto Nacional de Normas y Tecnología (NIST), Guide to Industrial Control Systems (ICS) Security (Guía para la Seguridad de los Sistemas de Control Industrial [ICS]), Revisión 2, mayo de 2015
- Publicación especial del NIST 800-53, Revisión 5, Security and Privacy Controls for Information Systems and Organizations (Controles de Seguridad y Privacidad para Sistemas de Información y Organizaciones)
- Publicación especial del NIST 800‐60 Information Security (Seguridad de la Información), Revisión 1, volúmenes I y II, de Seguridad de la Información,
Agosto de 2008
- Publicación especial del NIST 800‐171, Revisión 1, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (Protección de la Información Controlada sin Clasificar en Sistemas y Organizaciones que no son del ámbito federal), diciembre de 2016, actualizado el 7 de junio de 2018
- Normativa Empresarial de NAVFAC Echelon II RMF para los Sistemas de Control de Instalaciones (FRCS), Versión 1.0, 4 de Octubre de 2019
- Guide for Cybersecurity Requirements for Vendors on FRCS (Guía de Requisitos de Ciberseguridad para Proveedores en FRCS) del Centro de Ingeniería Civil de la Fuerza Aérea (AFCEC), actualizado el 25 de agosto de 2020
- División de Seguridad Cibernética (Cyber Security Division, CSD) del Comando de Material del Ejército de Estados Unidos (Army Material Command, AMC) Standard Operating Procedures (SOPs) for RMF (Procedimientos Operativos Estándar en el RMF)
- Cláusula DFARS 252.204‐7012, Safeguarding Unclassified Controlled Technical Information (Protección de la Información Técnica Controlada sin Clasificar)
Diseño y Configuración de Redes Seguras
Nuestro equipo cuenta con una amplia experiencia en el diseño y la configuración de redes y seguridad completas para clientes del sector federal, comercial y de servicios públicos. El equipo de expertos de S&C’ está capacitado para evaluar el nivel de ciberseguridad y las arquitecturas de red de los sistemas actuales o de los nuevos, desde el diseño conceptual de la red hasta la puesta en marcha definitiva. S&C puede prestar servicios de consultoría a los operadores y al personal de seguridad del cliente o realizar la configuración práctica de los dispositivos conectados a la red, de manera tal que garantice que los sistemas energéticos permanezcan seguros y cumplan con los requisitos de seguridad aplicables.
Entre los servicios de configuración de seguridad de S&C’ se incluyen la implementación y documentación de una base de seguridad completa, el análisis de vulnerabilidades y de conformidad, la mitigación de los resultados obtenidos y el nuevo análisis. La instalación, el acondicionamiento y las pruebas adecuadas de la red y los equipos resultan de vital importancia y deben llevarse a cabo por analistas de seguridad con experiencia. Podemos ofrecer este servicio completo de diseño y configuración de redes seguras a fin de satisfacer las necesidades de nuestros clientes en un entorno de ciberseguridad que cambia constantemente.
