All for Joomla All for Webmasters

Protección a infraestructuras críticas bajo lineamientos de NERC CIP

CIP-001 Sabotage Reporting
Sospechas de sabotaje deben ser reportadas a las entidades apropiadas
lograr hacer análisis forense de los movimientos laterares, capturar el hash sospechoso, reportar el tipo de contención logrado, descubrir anomalías de comportamiento en las aplicaciones, monitoreo de integridad de los archivos, monitoreo de múltiples protocolos incluyendo IRC, manejo de señuelos (sandboxes) con la semilla propia de la institución. Visibilidad de la brecha correlacionando la mayor cantidad de información, triaje de la información para reportar relevancia o pertinencia del ataque (ej, vulnerable y atacado o atacado pero no vulnerable). Tener un centro de operaciones de seguridad con: Procedimiento de reconocimiento de eventos de sabotaje, procedimiento de comunicación de la información sobre el savotaje, lineamientos de respuestas


CIP-002 Critical Cyber Asset Identification
Conocer criticidad y vulnerabilidad de los assets y los riesgos a los que están expuestos
Analizar vulnerabilidades y mantener un score basado en criticidad del dispositivo e inventario de assets, correlacionar información de vulnerabilidades, vulnerabilidades parchadas virtualmente, y ataques (amenazas) detectadas, en base a esto definir mapa de calor e información de riesgo tecnológico basado en un GRC


CIP-003 Security Management Controls
Controles de gestión de la seguridad sobre infraestructura crítica, implementar políticas de ciberseguridad
Centro de operaciones de seguridad debe tener políticas para situaciones de emergencia, accesible para todo el personal (mesa de ayuda basada en ITIL), revisión y aprobación anual de las políticas (no olvidar tener un file server seguro). Tener un Senior Manager, documentar excepciones, programa de identificación, clasificación y protección de información asociada a infraestructura crítica (DLP, cifrado y control de dispositivos), Manejo de control de acceso a la información, cifrado transparente del file server.


CIP-004 Personnel & Training
Proveedores y personal debe estar entrenado en riesgos, security awareness
e-learning para usuarios con seguimiento de progreso, programa de comunicaciones indirectas (posters, brochures), presentaciones y meetings programados. Entrenamiento anual en ciberseguridad, análisis de riesgo del personal dentro de los primeros 30 días de su contratación. Gestión de identidad de usuarios con sus respectivos roles y permisos.


CIP-005 Electronic Security Perimeter(s)
Conocer y establecer el perímetro y los puntos de acceso a la red de infraestructura crítica, los cuales deben estar dentro de un perímetro asegurado
Segmentos de firewall perimetral para redes SCADA, Segmentos de IPS perimetrales con filtros de SCADA. Monitoreo y loggeo de accesos (incluso grabación de sesiones sobre servidores Windows), visibilidad complleta de usuarios privilegiados con accesos cifrados. (Recomendable guardar esta info por una semana). Análisis de vulnerabilidades sobre la infraestructura de seguridad perimetral y auditoría de red. Control de cambios documentado.


CIP-006 Physical Security of Critical Cyber Assets
Crear y mantener un plan de seguriad físisca
Cámaras de videovigilancia, Sensores y controles de acceso en Daacenter (incluye DCIM), Videowalls. Creación en el cliente de centros de monitoreo. Integración de controles de accesos físicos con el SIEM dentro del SOC. Revisión anual del plan, controles operacionales y procedimentales 24-7, monitoreo 24-7, retención de logs de accesos por 90 días, programas anuales de mantenimiento y testing.


CIP-007 Systems Security Management
Procedimientos de pruebas, puertos y servicios, gestión de parches, prevención de software malicioso, gestión de cuentas, monitoreo de status de seguridad, disposal o redeployment, análisis de vulnerabilidades, mantenimiento y revisión de documentación
Gestión de cambios en parches autorizados (incluyendo tracking, evaluación, pruebas e instalación de ser el caso), service packs acumulados, releases del fabricante, upgrades de la versión del sistema operativo, bases de datos, aplicaciones, plataformas de bases de datos, documentar y establecer seguridad para que solo los puertos y servicios requeridos para operaciones normales y de emergencia sean habilitados a nivel perimetral y de endpoint. Solución antimalware con capacidades de detectar, prevenir, impedir y mitigar movimientos laterales, ataques de día cero, ataques con firma desconocida, integración del BDS con la solución de endpoint para contener amenazas. Monitoreo de usuarios, gestión de autenticación de accesos e identidad, monitoreo de eventos a través del SIEM, Establecimiento de métodos para desechar o redistribución de software, análisis de vulnerabilidades que incluye búsqueda de cuentas con passwords por defecto, Mantenimiento de la estrategia de seguridad dentro de los 90 primeros días de un cambio sustacial y revisión anual junto con el cliente.


CIP-008 Incident Reporting and Response Planning
Identificación, clasificación, respuesta y reportes  ante incidentes
Procedimientos de caracterización y clasificación de eventos, procesos para triaje y reporte de incidentes, actualización del plan de respuesta dentro de los primeros treinta días de un cambio sustancial, revisión anual del plan de respuesta a incidentes, pruebas anuales del plan de respuestas a incidentes, acciones de respuesta (responsabilidades del equipo de respuesta a incidentes, procedimientos de manejo de incidentes, planes de comunicación), resguardo de la documentación de incidentes por 3 años. Todo esto se carga en una herramienta GRC dentro del manejo de riesgo operativo y BCP.


CIP-009 Recovery Plans for Critical Cyber Assets
Plan de continuidad del negocio y recuperación ante desastres
Personal certificado por el Disaster Recovery Institute (BCLS) colaborará en la definición de roles y responsabilidades, creación de planes de recuperación, definición de acciones de respuesta a eventos, realización de un ejercicio anual, control de cambios dentro de los primeros noventa días de un ejercicio o lección aprendida de un incidente, procedimientos de backup y restore con comprobación contínua de la validez de los respaldos. El BCP será documentado en un software GRC creado para este propósito