en día saben aprovechar los servicios colaborativos, como las IT y las telecomunicaciones. A medida que las compañías eléctricas experimentan una convergencia entre IT y OT, es cada vez más necesario desarrollar equipos multifuncionales para abordar retos únicos de tecnología segura que abarquen ambos mundos. Proteger contra las ciberamenazas actuales requiere una mayor colaboración entre ingenieros, responsables de IT y responsables de seguridad, que deben compartir sus conocimientos para identi car los posibles problemas y ataques que afectan a sus sistemas. EvALUAR, DISEñAR, IMPLEMENTAR, ADMINISTRAR Los expertos en ciberseguridad coinciden en que los estándares por sí mismos no aportarán el nivel de seguridad adecuado. No se tratar de haber “conseguido” un nivel de ciberseguridad. Una protección adecuada contra las ciberamenazas requiere todo un conjunto de medidas, procesos, medios técnicos y una organización apropiada. Es importante que las compañías eléctricas tengan en cuenta cómo evolucionarán las estrategias de ciberseguridad. Se trata de mantenerse al día contra las amenazas conocidas de una manera plani cada e iterativa. Contar con una buena defensa contra ciberataques es un proceso continuo y requiere un esfuerzo constante y una inversión anual recurrente. La ciberseguridad implica a personas, procesos y tecnologías. Las compañías eléctricas deben implementar un programa completo que integre una buena organización, unos procesos y unos procedimientos adecuados, para aprovechar al máximo las tecnologías de ciberseguridad. Para establecer y mantener sus sistemas ciberseguros, las compañías eléctricas pueden seguir un enfoque basado en cuatro puntos: 1. realizar una evaluación de riesgos El primer paso consiste en llevar a cabo una evaluación integral del riesgo basada en amenazas internas y externas. Al hacerlo, los especialistas en OT y otros stakeholders de las compañías eléctricas podrán entender cuáles son sus puntos más vulnerables, y documentar la creación de políticas de seguridad y migración de riesgos. 2. diseñar una política y procesos de seguridad La política de ciberseguridad de una compañía eléctrica proporciona un conjunto de reglas a seguir. Estas deben ir encabezadas por el conjunto de estándares (ISO27k) de la Organización Internacional de Estandarización (ISO) y de la Comisión Electrotécnica Internacional, que proporcionan recomendaciones y buenas prácticas sobre gestión de la seguridad de la información. El propósito de la política de una compañía eléctrica es informar a los empleados, proveedores y otros usuarios autorizados de sus obligaciones con respecto a la protección de los activos tecnológicos y de la información. Describe la lista de activos que deben protegerse, identi ca las amenazas a dichos activos, describe las responsabilidades de los usuarios autorizados y los privilegios de acceso asociados, y describe las acciones no autorizadas y la consiguiente responsabilidad en caso de violación de la política de seguridad. También es importantes contar con procesos de seguridad bien diseñados. A medida que las bases del sistema de seguridad cambian para abordar GESTIÓN Y EFICIENCIA ENERGÉTICA www.energiadehoy.com 63