La automatización del cumplimiento de NERC CIP consiste en el uso continuo de la automatización de la red para satisfacer los requisitos de las normas de protección de infraestructura crítica de NERC y la norma de la FERC de 2023 sobre monitorización interna de la seguridad de la red (INSM). El objetivo es mantener líneas base de configuración en tiempo real, registros de cambios y datos de monitorización interna, generando evidencia lista para auditorías a partir del estado actual de la red, en lugar de ciclos de documentación manual elaborados bajo presión. Para los equipos de ingeniería que gestionan los programas NERC CIP a diario, esto transforma el cumplimiento, pasando de ser una tarea frenética periódica a un proceso que la red realiza de forma autónoma.
En 2023, la FERC emitió su norma definitiva sobre la monitorización de la seguridad de la red interna para los sistemas cibernéticos de alto impacto del sistema eléctrico a granel. Dicha norma estableció un requisito de cumplimiento que la arquitectura de seguridad existente de la mayoría de las empresas de servicios públicos no estaba preparada para satisfacer: la monitorización continua del tráfico de la red interna, incluidas las comunicaciones este-oeste entre los componentes dentro del entorno regulado.
El requisito llegó a empresas de servicios públicos que ya estaban sobrecargadas por la magnitud de las tareas que sus equipos debían gestionar manualmente. La gestión de la configuración era en gran medida retrospectiva. La documentación de auditoría se recopilaba antes de cada ciclo de revisión, lo que obligaba a los ingenieros a dejar otras tareas durante semanas. Las subestaciones y la infraestructura de red distribuida en amplias zonas de servicio generaban datos que nadie interpretaba de forma continua. La convergencia de OT/IT había ampliado el perímetro regulado sin una expansión equivalente en la capacidad de monitorización ni en el número de empleados.
Esta publicación aborda los requisitos del NERC CIP para los equipos de operaciones de red, lo que la norma INSM de la FERC añade a esa carga, dónde suelen encontrarse las deficiencias de cumplimiento en un entorno de servicios públicos moderno y cómo la automatización las subsana antes de que lo haga un auditor o un adversario.
NERC CIP se entiende generalmente como un marco de ciberseguridad. Sin embargo, lo que se analiza con menos frecuencia es que una parte importante del cumplimiento de NERC CIP es un problema de evidencia y documentación, no un problema de herramientas de seguridad.
Los estándares más directamente relevantes para las operaciones de red son CIP-007 (Gestión de seguridad del sistema), CIP-010 (Configuración Change Management y Gestión de Vulnerabilidades), y CIP-013 (Gestión de Riesgos de la Cadena de Suministro).
CIP-007: Gestión de la seguridad del sistema
Requiere controles documentados para puertos y servicios, parches de seguridad y monitoreo de eventos de seguridad. Operativamente, esto implica mantener las configuraciones de los dispositivos conforme a una base de seguridad documentada y demostrar, cuando se solicite, que los cambios no autorizados se detectan y corrigen con prontitud. La carga de documentación es tan significativa como el requisito de control técnico.
CIP-010: Configuración Change Management y gestión de vulnerabilidades
Requiere que las empresas de servicios públicos detecten desviaciones de las configuraciones de referencia, autoricen los cambios antes de su implementación y documenten el impacto de dichos cambios en la postura de seguridad cibernética del sistema BES. CIP-010 impulsa directamente el monitoreo continuo de la configuración y los registros de auditoría de cambios que la mayoría de los equipos del NOC generan manualmente. La norma no prescribe cómo las empresas de servicios públicos generan esta evidencia, solo que debe existir, estar actualizada y poder generarse bajo demanda.
CIP-013: Gestión de riesgos en la cadena de suministro
Requiere la gestión de los riesgos de ciberseguridad en las relaciones de la cadena de suministro de hardware, software y servicios de sistemas de control industrial (ICS). Para las operaciones de red, esto amplía el seguimiento del inventario y la configuración de los dispositivos para incluir la gestión del ciclo de vida del proveedor. El hardware obsoleto y sin soporte que se ejecuta en sitios remotos constituye un riesgo de incumplimiento documentado según esta norma. Descubrirlo durante una auditoría en lugar de mediante una evaluación continua representa una exposición evitable.
El hilo conductor de los tres estándares es el mismo. NERC CIP exige configuraciones seguras y evidencia continua, lista para auditorías, de que dichas configuraciones siguen siendo seguras. Se trata de una disciplina operativa, y los procesos manuales no pueden mantenerla a la escala de una red de servicios públicos moderna.
La norma INSM de la FERC amplió el perímetro de cumplimiento, dejando al descubierto una deficiencia estructural en el diseño de la mayoría de las arquitecturas de seguridad de las empresas de servicios públicos: un enfoque centrado en el perímetro en lugar de uno centrado en el interior. Las entidades responsables de sistemas cibernéticos BES de alto impacto ahora deben monitorear el tráfico interno de la red, específicamente las comunicaciones este-oeste entre los componentes conectados dentro del entorno regulado.
Las herramientas de monitorización perimetral y las plataformas SIEM proporcionan visibilidad a nivel de límite. Sin embargo, por sí solas no cumplen con los requisitos de INSM. La normativa hizo obligatorio lo que las mejores prácticas de seguridad habían establecido desde hace tiempo como necesario: visibilidad continua de las comunicaciones entre los componentes dentro de los entornos de red más críticos.
Para las empresas de servicios públicos donde la convergencia de OT/IT ya está en marcha, el alcance de INSM es amplio. Los sistemas SCADA, los sistemas de gestión de energía y las redes de control de procesos convergentes con la infraestructura corporativa se incluyen dentro del alcance de los sistemas cibernéticos BES de alto impacto. La ruta de red desde un activo de generación hasta su infraestructura de suministro atraviesa la misma red que el tráfico corporativo, y la FERC ahora exige que dicha ruta se supervise y documente continuamente.
Las infracciones de la norma NERC CIP conllevan multas de hasta 1.5 millones de dólares por infracción y por día. La norma INSM de la FERC amplió el ámbito de aplicación de dicha sanción.
Existe una versión del cumplimiento de NERC CIP que muchas empresas de servicios públicos practican, y otra versión que NERC CIP exige. La brecha entre ambas no se está ampliando debido al deterioro de los programas de las empresas de servicios públicos, sino que se está volviendo más importante porque tanto los auditores como las partes contrarias son cada vez más eficaces para detectarla.
La deficiencia radica en la documentación. En la mayoría de los entornos de servicios públicos, la evidencia de cumplimiento de NERC CIP se genera manualmente. Antes de cada ciclo de auditoría, los ingenieros obtienen las configuraciones de los dispositivos, elaboran diagramas de topología, preparan hojas de cálculo y recopilan registros de cambios. Este proceso suele consumir varias semanas del tiempo de los ingenieros sénior. La documentación resultante refleja con precisión la red tal como existía durante ese período de recopilación, que generalmente es meses antes de que los auditores lleguen para revisarla.
| $5.29 M | Coste medio de una filtración de datos en el sector energético (Informe de IBM sobre el coste de una filtración de datos de 2024) |
|---|---|
| $1.5 M | Multa máxima de NERC CIP por infracción por día |
| un 70% | Aumento de los ciberataques contra el sector energético y los servicios públicos, año tras año, en 2024 (Check Point Research) |
| $4.4 M | Se pagó el rescate a Colonial Pipeline tras el ataque de ransomware de 2021. |
La desviación de la configuración —la diferencia entre una línea base documentada y el estado real del dispositivo— es una de las causas más comunes de hallazgos en las auditorías de NERC. Esta desviación se acumula entre los ciclos de auditoría, a menudo sin generar ninguna alerta, debido a que los procesos de monitoreo que la detectarían son manuales, poco frecuentes o inexistentes en sitios remotos. Un dispositivo en una subestación que se desvía de su configuración preestablecida durante un fin de semana generalmente no se descubre hasta que se realiza una inspección física, se recibe una alerta de otro sistema o una pregunta directa del auditor.
El informe de IBM sobre el costo de una filtración de datos de 2024 sitúa el costo promedio de una filtración en el sector energético en 5.29 millones de dólares antes de calcular la exposición regulatoria. Una sola desviación de configuración no detectada en una ruta crítica puede desencadenar simultáneamente un incidente de seguridad, una resolución regulatoria y un incidente de reputación derivados de la misma causa raíz. Los programas de evidencia manual no están diseñados para evitar que se produzca esta correlación.
El problema de la documentación del NERC CIP es, estructuralmente, un problema de automatización. La evidencia que requieren los auditores (estados de configuración, registros de auditoría de cambios, diagramas de topología, inventarios de activos, alertas de desviación) son datos que una red en operación continua ya genera. Lo que les falta a la mayoría de los entornos de servicios públicos es la capa de automatización que captura, estructura y pone esos datos a disposición bajo demanda.
NetBrain Establece una base operativa actualizada continuamente en todos los dispositivos de la red, desde los centros de datos centrales y la nube hasta las subestaciones remotas y la infraestructura de red distribuida. Las configuraciones se evalúan periódicamente con respecto a las bases de referencia NERC CIP y los estándares de configuración óptimos. Cuando un dispositivo se desvía de su estado de seguridad predefinido, la plataforma lo detecta el mismo día, mucho antes del siguiente ciclo de auditoría y antes de que un atacante tenga tiempo de explotar la desviación.
Desde semanas de preparación de auditorías hasta horas de generación de informes.
El impacto más inmediato de la automatización de redes en el cumplimiento de NERC CIP es la eliminación del ciclo de documentación manual. La evidencia lista para auditorías —mapas de red en tiempo real, informes de inventario de dispositivos, alertas de desviación, registros de auditoría de cambios e informes de cumplimiento— se genera bajo demanda a partir del estado actual de la red. La documentación refleja la red tal como existe hoy, no como se reconstruyó hace seis meses.
En una gran empresa de servicios públicos norteamericana, la NetBrain La plataforma automatizó el 58% de los principales tipos de incidentes, recuperó más de 17,000 horas de ingeniería al año y redujo MTTR en un 25 % durante el primer año. La carga de preparación de auditorías, que antes consumía semanas del tiempo de los ingenieros sénior antes de cada ciclo de revisión, fue reemplazada por la generación de informes bajo demanda a partir del estado de la red mantenido de forma continua.
Gestión de cambios que valida antes de ejecutarse
Una parte importante de los hallazgos del programa NERC CIP tiene un origen interno, derivado de fallos en la gestión del cambio más que de amenazas externas. Los cambios aplicados sin la validación previa adecuada crean estados de configuración que se desvían de las líneas base documentadas, a menudo de forma imperceptible hasta que una auditoría o un incidente los saca a la luz.
NetBrainEl marco de automatización sin código ejecuta automáticamente la validación previa y posterior al cambio. Cada cambio se evalúa comparándolo con una línea base conocida y estable antes de su implementación; el estado posterior al cambio se verifica y documenta antes de que finalice el período de cambio. Tasas de fallos de cambio en producción NetBrain Las implementaciones disminuyen desde un nivel base de la industria del 15-20% al 2-5%. Para los fines de NERC CIP, la documentación de cada evento de cambio se genera automáticamente como parte del flujo de trabajo, no se recopila posteriormente a partir de los registros.
El problema de las ubicaciones remotas merece una atención aparte, ya que es donde la norma INSM de la FERC y los límites prácticos de los programas de cumplimiento manual chocan de forma más visible.
Las subestaciones, los emplazamientos de campo distribuidos y la infraestructura de monitorización remota están geográficamente dispersos, se visitan con poca frecuencia y, en muchos entornos de servicios públicos, no se monitorizan de forma continua. Las inspecciones físicas proporcionan una instantánea del estado de los dispositivos en un momento dado. No proporcionan la monitorización continua que exige la norma FERC INSM para entornos BES de alto impacto. Las herramientas de acceso remoto cubren la respuesta a emergencias, pero rara vez proporcionan la evaluación continua de la configuración que exige el cumplimiento normativo.
Un dispositivo en una subestación remota que se desvía de su configuración reforzada —ya sea por un cambio no autorizado, una actualización de software que alteró los parámetros de seguridad o un reemplazo de hardware que no se configuró correctamente— puede pasar desapercibido hasta que una auditoría, un incidente o una investigación de un adversario obligue a detectarlo. En una extensa área de servicio con cientos de subestaciones, la probabilidad de que al menos una se encuentre en un estado de incumplimiento no detectado en un momento dado no es teórica.
NetBrain, auto-discovery La evaluación continua abarca toda la infraestructura híbrida, incluidos los sitios remotos, sin necesidad de inspección física. Cada dispositivo se somete a una evaluación continua de su configuración según las directrices NERC CIP, independientemente de su ubicación. El cumplimiento normativo se aplica de forma uniforme en toda la red, no solo en los sitios a los que los ingenieros tienen acceso físico.
Antes de la automatización de la red, la preparación para la auditoría NERC CIP en la mayoría de las empresas de servicios públicos seguía un patrón reconocible. Los auditores anunciaban una revisión. El equipo directivo de ingeniería reasignaba a dos o tres ingenieros sénior durante dos a cuatro semanas. Los diagramas de topología se reconstruían a partir de los registros de cambios recientes y la memoria institucional. Las configuraciones de los dispositivos se extraían manualmente y se comparaban con la documentación de referencia, que podía tener meses de antigüedad. Los inventarios de activos se cotejaban con los registros de la CMDB, que reflejaban el historial de adquisiciones en lugar del estado actual de la red.
El conjunto de pruebas elaborado es preciso según el mejor esfuerzo del equipo. Sin embargo, se trata de una reconstrucción. Los auditores experimentados de NERC CIP han revisado suficientes casos como para saber cómo es un paquete de cumplimiento elaborado manualmente, y los hallazgos suelen reflejar las limitaciones del proceso más que fallos de seguridad reales.
Con la automatización continua de la red, el ciclo de auditoría comienza de manera diferente. Los auditores solicitan documentación. El responsable de cumplimiento genera un informe. Mapas de red en tiempo real, diagramas de topología, informes de inventario de dispositivos, comparaciones de configuración base, registros de desviaciones y pistas de auditoría de cambios se generan en cuestión de horas, no de semanas. La documentación refleja la red tal como se encuentra el día en que los auditores la revisan.
La consecuencia práctica para el CISO va más allá de la eficiencia operativa. La automatización continua genera el tipo de evidencia que NERC CIP y FERC INSM requieren como resultado operativo diario, no como un ejercicio periódico. El nivel de cumplimiento se puede verificar en cualquier momento durante el período de auditoría, no solo al final.
Uno de los cambios más significativos en el cumplimiento de las normas de la red energética desde la entrada en vigor de la norma INSM es la desaparición efectiva de la frontera entre la supervisión del cumplimiento y la supervisión de la seguridad. Durante la mayor parte de la década en que se redactó y perfeccionó el NERC CIP, estas disciplinas estaban claramente diferenciadas.
El monitoreo de cumplimiento documentó que las configuraciones cumplían con los estándares definidos a intervalos programados. El monitoreo de seguridad detectó amenazas y actividad anómala en tiempo real. Estos sistemas alimentaban a diferentes equipos, herramientas y cadenas de informes. En principio, una empresa de servicios públicos podía cumplir con los requisitos de cumplimiento y aun así presentar importantes deficiencias de seguridad, y muchas las presentaban.
Los requisitos INSM de la FERC y los estándares de evidencia continua de NERC CIP ahora exigen simultáneamente ambos: evidencia documentada del cumplimiento de la configuración y monitoreo continuo de las comunicaciones internas de la red. Una plataforma de automatización de red que evalúa continuamente el estado de la configuración con respecto a las líneas base de NERC CIP, manteniendo la topología de red en tiempo real y un registro de auditoría de cambios continuo, satisface ambos requisitos desde una única capa operativa.
La alternativa consiste en mantener dos conjuntos de herramientas que deben conciliarse periódicamente, lo que implica costes, retrasos y deja al descubierto las brechas entre ellos. Por ello, los CISO de las empresas energéticas están considerando cada vez más la automatización de la red como infraestructura de cumplimiento normativo, en lugar de una herramienta para mejorar la eficiencia del NOC. La plataforma que genera la evidencia operativa diaria es la misma que genera el paquete de auditoría. No existe conciliación periódica, ni traducción manual de los datos de monitorización a la documentación de cumplimiento, ni periodo durante el cual la red opere sin estar documentada.
El cumplimiento de la normativa NERC CIP siempre ha conllevado riesgos financieros. La norma INSM de la FERC amplió dichos riesgos y elevó el nivel de exigencia probatoria. Los ciberataques contra la infraestructura energética aumentaron un 70 % interanual en 2024, y el coste medio de una brecha de seguridad en el sector energético asciende ahora a 5.29 millones de dólares antes de aplicar las sanciones regulatorias.
La mayoría de los programas de cumplimiento normativo de las empresas de servicios públicos cuentan con una sólida arquitectura sobre el papel. El problema radica en la infraestructura de ejecución: la capacidad de mantener evidencia continua y documentada en un entorno distribuido, híbrido y convergente de tecnología operativa (OT) e informática (TI) en el día a día. Los procesos manuales nunca se diseñaron para esta tarea a la escala de una red de servicios públicos moderna, y los ciclos de auditoría que toleraban la documentación manual se crearon para un entorno de amenazas que ya no existe.
La automatización de la red transforma la evidencia de cumplimiento, que antes era un ejercicio periódico, en un resultado operativo que se mantiene de forma continua. Cuando se inicia el siguiente ciclo de revisión del NERC CIP, el responsable de cumplimiento genera informes sobre el estado real de la red. El maratón de preparación para la auditoría, y las semanas de ingeniería que consumía, ya no son un requisito del proceso.
NetBrainEl gran anuncio de fue tan importante que acaparó toda la atención en Sphere. Pero esto era Cisco Live, así que hablemos también de lo que Cisco tenía que decir. En su discurso principal, Jeetu...
Una interrupción del servicio informático en 2024 le costó a una operadora estadounidense más de 500 millones de dólares. Dos años antes, un colapso operativo en otra operadora costó más de 750 millones de dólares. La Oficina de Responsabilidad Gubernamental de Estados Unidos...
Guía práctica de integración para equipos de redes y herramientas. La mayoría de los equipos de operaciones de red empresariales utilizan una docena de herramientas. La monitorización detecta anomalías, ITSM gestiona la cola de incidencias, IPAM almacena datos de direcciones,...
Utilizamos cookies para personalizar el contenido y comprender su uso del sitio web con el fin de mejorar la experiencia del usuario. Al utilizar nuestro sitio web, acepta todas las cookies de acuerdo con nuestra política de privacidad.