Avances en Gestión de Riesgos

de Ciberseguridad en el Sector
Eléctrico Colombiano
Diciembre 2016
Taxonomía del Sector
Identificación de
Activos Críticos
 GUIAS CIBERSEGURIDAD SECTOR
ELÉCTRICO EN COLOMBIA

Identificación
de activos
críticos

Gestión de la
seguridad de
ciberactivos
Criterios para críticos
definir los
activos Ciberseguridad
críticos para Consejo
el SIN Nacional de
Operación
Seguridad
física de
ciberactivos
críticos
Plan de
recuperación
de
ciberactivos
críticos

*Acuerdo CNO 788 de 2015

 Identificación de Activos y
Ciberactivos

Criterios para
definir los
activos
críticos para
el SIN

Identificación
de activos
críticos

*Acuerdo CNO 788 de 2015

 Activos Críticos

Cada grupo de unidades de generación en una localización de planta

simple con capacidad máxima de potencia real neta mayor o igual
100 MW.

Cada recurso o grupo de recursos de reactiva (excepto generadores)

con una capacidad de en una localización simple mayor o igual a 100
Mvars.

Cada planta de generación que a criterio del operador del sistema, es

considerada critica para garantizar la confiabilidad del sistema,
considerado generación de seguridad.

Cada recurso identificado como importante por parte del operador del
sistema en el plan de restauración desde Blackstart.

Instalaciones que se encuentran en sitios particulares y cumplen con los requerimientos

de suicheo iniciales desde el Blackstart al primer punto de interconexión de las unidades
de generación a ser arrancadas o llevadas al camino donde existen más de una
alternativa y que es identificado como importante en el plan de recuperación.

*Acuerdo CNO 788 de 2015

 Activos Críticos

Instalaciones de transmisión operadas a 220 KV o mayor, es

decir, que pertenezcan al STN (Sistema de Transmisión
Nacional).

Instalaciones de transmisión operadas a 110 kV o más y que

contengan más de una instalación con otros niveles de tensión.

Instalaciones de transmisión que, a criterio del operador del

sistema, pertenezcan a cortes críticos desde el punto de vista
de confiabilidad.

Flexible AC Transmission Systems (FACTS), que, a criterio del

operador del sistema, pertenezcan a cortes críticos desde el
punto de vista de confiabilidad.

Instalaciones de transmisión que conectan generación al

sistema y que su indisponibilidad podría indisponer equipos de
generación como los considerados en los ítems 1.1. y 1.3.

*Acuerdo CNO 788 de 2015

 Activos Críticos

Esquemas especiales de protección como los Esquemas

Suplementarios, que operan de tal manera que garantizan la
confiabilidad del sistema.

Cada sistema que ejecuta desconexión automática de carga

por bajo voltaje o baja frecuencia.

Cada centro de control o centro de control de respaldo usado

para ejecutar las obligaciones funcionales del operador del
sistema, Generador, Transmisor o Distribuidor.

Cualquier activo adicional que soporte la operación confiable

de interconexiones internacionales.

Cualquier activo adicional que soporte la operación confiable

del SIN que la entidad responsable estime adecuado incluir en
su evaluación.

*Acuerdo CNO 788 de 2015

 Identificación de
Ciberactivos Críticos
 Ciberactivos
Ciberactivos

Ciberactivo: Dispositivo electrónico programable y elementos de las

redes de comunicaciones incluyendo hardware, software, datos e
información. Así como aquellos elementos con protocolos de
comunicación enrutables, que permitan el acceso al mismo de forma
local o remota.

Ciberactivo crítico: Dispositivo para la operación confiable de activos críticos que cumple los atributos
descritos:
El ciberactivo usa un protocolo enrutable con un centro de control
El ciberactivo usa un protocolo enrutable para comunicarse afuera del perímetro de seguridad electrónica
El ciberactivo es accesible por marcación.

*Acuerdo CNO 788 de 2015

 Agrupación de Ciberactivos

Infraestructura
Estratégica Cibernética

Tecnología Tecnología
Comunic
de de
Información aciones Operación

*Guía para la Identificació n, clasificació n y catalogació n de Infraestructura Crítica Cibernética (ICC) del país. V 1.0
 Ej. Agrupación

Centro de Computo de TO

Sistemas de Sistemas de
Servidores Intercambio de
Información entre Sincronizació
de proceso redes TO/TI n de Tiempo
 Ejemplo de Taxonomía critica Cibernética Propuesta
para Generación de Energía Eléctrica para Hidráulicas

Esquemas de protecciones Servidores de Procesos

Actuadores y sensores Estaciones de Operación

PLC de Control de procesos RTU / PMU / SCC

Controladores de unidad Equipos de Comunicaciones con el CND

Interfaz Humano Máquina Servicios de comunicaciones de voz operativa

Centro de Control de Generación Subsistemas de Safety

Equipos de comunicación en Campo Equipos de ciberseguridad del proceso

Subsistema de Vibraciones Sistema de Alertas tempranas

Sistemas Para recuperación desde BlackStart Sistema de Información Hidrometeorológico

Escalas de impacto
 Escala Propuesta Impacto Social

VALORACIÓN IMPACTO Muy Alta Alta Media Baja Muy Baja

Evento de
Evento de
sector que
sector que
afecta entre Evento de
afecta entre
1´000.000 y sector que
500.000 y
2´000.000 de afecta más
Evento de 1´000.000 de Evento de
usuarios por de 2´000.000
sector que usuarios por sector que
más de 8 de usuarios
afecta más más de 8 afecta menos
horas ó más por menos de
IMPACTO SOCIAL de 2´000.000 horas ó entre de dos horas a
de 2´000.000 dos horas o
de usuarios 1´000.000 y menos de
entre 4 y 8 hasta 1 millon
por más de 8 2´000.000 2´000.000 de
horas o más por menos de
horas. entre 4 y 8 usuarios.
de 1´000.000 4 horas en
horas o más
mas de 1 periodos no
de 2´000.000
hora en pico.
entre 2 y 4
periodos
horas.
pico.
 Escala Propuesta Económico

VALORACIÓN IMPACTO Muy Alta Alta Media Baja Muy Baja

Evento del
sector que Evento del Evento del Evento del Evento del
afecte en sector que sector que sector que sector que
una afecte en afecte en afecte en afecte en
proporcion una una una una
IMPACTO ECONOMICO
superior al proporcion proporcion proporcion proporcion
PIB de un dia. superior al superior al superior al superior al
(en 2013 80% dePIB 60% dePIB 40% dePIB 10% dePIB
>1´369.000.0 de un dia. de un dia. de un dia. de un dia.
00.000)
 Escala Propuesta Medioambiental

VALORACIÓN IMPACTO Muy Alta Alta Media Baja Muy Baja

Los daños
ocasionados
sobre el
Los daños
Daño medio son
ocasionados Daño Daño causado
causado graves y
sobre el causado sobre el medio
IMPACTO MEDIOAMBIENTAL sobre el requiere
medio son sobre el es mínimo e
medio es implementaci
recuperables medio es leve imperceptible.
irreversible. ón de obras
rapidamente
de
recuperación
.
 Escala Propuesta Imagen

VALORACIÓN IMPACTO Muy Alta Alta Media Baja Muy Baja

Evento de
Evento de Evento de Evento de
Evento de sector que
sector que sector que sector que
sector que afecte la
afecte la afecte la afecte la
IMPACTO EN IMAGEN afecte la imagen del a
imagen del imagen del imagen del
imagen del a nivel
país a nivel país a nivel país a nivel
nivel Nacional Departament
Global Continental Regional
al
Identificación de
Escenarios
 RI O?
E N A
E S C Describe el evento causa y
consecuencia que puede
materializar la ocurrencia
de un ciberataque contra
ciberactivos críticos como
se describen en el acuerdo
788.
Definiciones para Escenarios de Riesgo

Seguridad:
Ciberactivo que
habilita la
seguridad y
protecciones del
sistema.

Recuperación: Safety:
Ciberactivos Ciberactivos que
faciliten la
que permiten
protección de
recuperación
las personas y
del sistema el
incluido medioambient
Black Start. e
 Escenarios de Riesgos del Sector

Apagón generado Apagón generado

por ciberataques a por ciberataques a
Centrales de la Transmisión o
Generación incluyan Distribución incluyan
o no afectación a los o no afectación a los
mecanismos de mecanismos de
Seguridad, Safety y Seguridad, Safety y
Recuperación Recuperación
Cada agente
identificará los
Apagones generados Ciberataques subescenarios
por ciberataques a orientados a relacionados
Centros de Control manipulación no
incluyan o no
afectación a los
autorizada o
mecanismos de destrucción de
Seguridad, Safety y equipos u obras
Recuperación civiles.
Atributos de seguridad
Atributos de Seguridad

on ibili dad
Disp
 Definiciones para Subescenarios de Riesgos

Causa: Evento: Consecuencia:

Amenaza que Situación con el Resultado de un
potencial de
explota una evento que
materializar la
vulnerabilidad y afectación de los materializa los
da origen a un atributos de seguridad Escenarios de
evento de Riesgo. del ciberactivo. Riesgo del sector.

Cada agente
identificara los
subescenarios
relacionados
“Una amenaza es la causa potencial de un
incidente no deseado, que puede provocar
daños a un sistema o a la organización”
ISO 27000
Aentes de Amenaza
Agentes de Amenaza

Terroristas

Organizaciones criminales

Hackers

Trabajadores y ex trabajadores descontentos

Contratistas y ex contratistas descontentos

“Una vulnerabilidad es una
“Una vulnerabilidad
debilidad es una
del activo o control
debilidad
que puede del
ser activo o control
explotada por
que puede ser explotada
una o más amenazas.”* por
una o más amenazas.”*
Se entiende “activo o control”
enSeelentiende
sentido “activo
amplio o control”
tanto de
en el sentido
tecnología ampliodetantolasde
como
tecnología
personas como
y los [Link] las
personas y los procesos.
*ISO 27000
*ISO 27000
Ejemplos de Vulnerabilidades en
Tecnología

 Sistemas no parchados
 Uso de protocolos  Puertos de acceso no
inseguros disponibles o no controlados
 Sistemas vulnerables por  Contraseñas por defecto
defecto  Faltas de controles de acceso
 Falta de protección a la red
contra amenazas de día  Separación inadecuada de
cero redes
 Falta de protección del  Autenticación débil o
Malware inexistente
 Sistemas no  Imposibilidad de configurar
actualizados medidas de control
 Configuración  Acceso remoto no controlado
inadecuada de sistemas  Acceso no autorizado a redes
de control de Acceso externas
Ejemplos de Vulnerabilidades en
Personas

 Susceptibilidad a la Ingeniería
Social

 Falta de Capacitación

 Desconocimiento de Amenazas

 Desconocimiento de Procesos

 Desinterés en las medidas y el

seguimiento de procedimientos

 Inadecuado manejo de la
información

 Falta de conciencia situacional

 Ejemplos de Vulnerabilidades en
Procesos

 Procesos inadecuados
de seguridad física y  Procesos inadecuados
 Inadecuada asignación de
lógica. de respaldo, recuperación
roles.
y resiliencia.
 Falta de escenarios y  Topología de red inadecuada.
procedimientos de  Automatización
prueba. inadecuada.
 Arquitectura de red
inadecuada.
 Administración  Auditorías inadecuadas.
inadecuada de puertos  Falta de controles sobre la
USB.  Falta de controles a
información del sistema de
dispositivos móviles.
control.
 Manejo inadecuado de
contraseñas (selección y  Falta de vigilancia a
 Falta de seguridad física.
administración) terceros.

 Políticas y
procedimientos
inadecuados.
 Que sigue
PROXIMOS PASOS

Los agentes deberán realizar las siguientes

etapas:
• Etapa de Análisis y Evaluación
• Implementación de Controles de la Guía
de Ciberseguridad
• Tabla de probabilidad y consecuencia
teniendo en cuenta los lineamientos
PREGUNTAS Y COMENTARIOS
GRACIAS
 Afectaciones Mayores
• Evento que afecta mas del 5% de la
oferta o demanda
• Activos de transmisión que