A nivel de una subestación eléctrica, para cumplir con NERC 002 a 009, se debe, en primera instancia identificar los activos críticos que soportan la operación confiable del sistema eléctrico, éstos activos críticos deben identificarse siguiendo una evaluación basada en riesgos como está descrito en NERC CIP 002 Crytical Cyber Asset Identification.
Posteriormente, se requiere una gestión de la seguridad mínima para proteger recursos críticos. Para esto, es necesario definir una política de seguridad y un encargado de su implementación que garantice el cumplimiento de NERC 002 a 009, incluido el manejo de situaciones de emergencia. Finalmente, la información asociada a los recursos críticos debe ser identificada, clasificada y protegida así como también el acceso a ciber recursos críticos.
Ésta información puede incluir procedimientos de operación, listas de recursos como las requeridas en CIP 002, diagramas de topología de red y similares, planos de piso de centros de computación que contienen ciber activos críticos, planes de recuperación de desastres, planes de respuesta a incidentes e información de configuración de seguridad. Más detalles en NEP CIP 003 Security Management Controls.
El personal que tiene acceso físico a los activos críticos, incluidos los contratistas y proveedores de servicio, deben tener un nivel de evaluación de riesgo personal apropiado, entrenamiento y sensibilización en seguridad. El entrenamiento debe cubrir las políticas de seguridad, control de acceso y procedimientos indicados por NERC CIP 004 Personnel & Training e incluir al menos los siguientes ítems:
- Uso apropiado de los ciber activos críticos.
- Control de acceso físico y electrónico a los ciber activos críticos.
- Manejo apropiado de la información de los ciber activos críticos.
- Planes de acción y procedimientos para restablecer los ciber recursos críticos y acceso a los mismos después de un incidente de seguridad cibernética.
De acuerdo a CIP-005 Electronic Security Perimeter(s), se debe identificar y proteger un perímetro de seguridad electrónico dentro del cual residen los ciber recursos críticos, así como los puntos de acceso del perímetro. Los ciber activos usados para el control y monitoreo de acceso al perímetro de seguridad deben tener las medidas de protección especificadas en CIP-003, los requisitos de CIP-004 R3 y CIP-005 R2 y R3, CIP-006 R3, CIP-007 R1 y R3 a R9, CIP-008 y CIP-00. CIP-006 busca asegurar la implementación de un programa de seguridad física para la protección de los ciber activos críticos. Tiene como requisitos un plan de seguridad física, control, monitoreo y manejo de logs de acceso físico, conservación de logs de acceso, mantenimiento y pruebas. El plan de seguridad física debe contener al menos las siguientes directrices:
- Procesos para asegurar y documentar todos los ciber activos dentro de un perímetro de seguridad electrónico así como también dentro de un perímetro físico identificado.
- Procesos para identificar los puntos de acceso en cada perímetro físico y medidas para controlar la entrada a esos puntos de acceso.
- Procesos, herramientas y procedimientos para monitorear el acceso físico al(a los) perímetro (s).
- Procedimientos para el uso apropiado del acceso físico, incluido el manejo de paso de visitantes, respuesta a pérdidas, y prohibición del uso inapropiado del control de acceso físico.
- Procedimiento para revisión de solicitud de autorización de acceso y revocación de autorización de acuerdo a los requisitos CIP-004 R4.
- Procedimientos para el acceso vigilado de personal no autorizado.
- Procedimientos de actualización del plan de seguridad física.
Por su parte, CIP-007 Systems Security Management busca que las entidades se responsabilicen de definir métodos, proceso y procedimientos para asegurar aquellos sistemas definidos como Ciber Activos Críticos y los no críticos dentro del (de los) perímetro (s) de seguridad electrónico(s). Para ellos, se debe cumplir con requisitos como procedimientos de prueba, puertos y servicios, manejo de parches de seguridad, prevención de software malicioso, gestión de cuentas, monitoreo del estado de seguridad, Eliminación o Redistribución de Ciber Activos, evaluación de ciber vulnerabilidades, mantenimiento y revisión de la documentación.
CIP-008 Incident Reporting and Response Planning, asegura la identificación, clasificación, respuesta y reporte de incidentes de ciberseguridad relacionados con Ciber Activos críticos.
Debe incluir al menos las siguientes directrices:
- Procedimientos para caracterizar y clasificar eventos como incidentes de ciberseguridad reportables.
- Procesos para el reporte de incidentes de ciberseguridad a ES-ISAC (Electricity Sector Information Sharing and Analysis Center) directamente o través de un intermediario.
- Procesos para la actualización y revisión y prueba del plan de respuesta a incidentes de ciberseguridad.
Finalmente, CIP-009 Recovery Plans for Critical Cyber Assets, busca asegurar que el(los) plan(es) de recuperación se ponga (n) en marcha para los ciber cctivos críticos y que esos planes lleven al establecimiento de la continuidad del negocio y a las prácticas y técnicas de recuperación de desastres. El plan de recuperación debe seguir al menos las siguientes directrices:
- Ejercicios, que van desde el diseño en papel pasando por un ejercicio operacional completo, hasta la recuperación de un incidente real.
- Control de cambios.
- Backup y restauración.
- Prueba de los backups.