Análisis: Electricity Subsector Cybersecurity CMM (ES-C2M2)

El Departamento de Energía de los EE.UU. (DOE) publicaba el pasado 31 de mayo, en colaboración con la Universidad Carnegie Mellon este modelo de madurez de capacidad en ciberseguridad para el subsector de la electricidad (pdf). Dada la importancia del sector eléctrico en el ámbito de las infraestructuras críticas nos ha parecido interesante comentar dicho documento. El […]

El Departamento de Energía de los EE.UU. (DOE) publicaba el pasado 31 de mayo, en colaboración con la Universidad Carnegie Mellon este modelo de madurez de capacidad en ciberseguridad para el subsector de la electricidad (pdf). Dada la importancia del sector eléctrico en el ámbito de las infraestructuras críticas nos ha parecido interesante comentar dicho documento.

El objetivo del modelo es apoyar el desarrollo continuo y la medición de las capacidades en ciberseguridad en este sector de actividad para lo que se establecen cuatro objetivos:

  1. Fortalecer las capacidades en ciberseguridad.
  2. Permitir la evaluación y comparación efectivas y consistentes de las capacidades en ciberseguridad.
  3. Compartir conocimiento, mejores prácticas y referencias relevantes.
  4. Priorizar acciones e inversiones para la mejora de la ciberseguridad.

El primer aspecto que nos gustaría resaltar es que se trata del resultado de una iniciativa público-privada (ya sabéis, PPP) entre el mencionado Departamento de Energía, junto con el de Interior y más de 40 expertos en la materia del sector privado.

En cuanto a su estructura es bastante sencilla, se compone de 10 dominios y de 4 niveles de madurez (por el momento, ya que se menciona que pueden existir más en el futuro). Cada dominio agrupa un conjunto de prácticas de ciberseguridad y cada nivel, define la progresión del modelo de madurez en cada dominio. Los principios para establecer los niveles de madurez son:

  • Los niveles de madurez aplican independientemente a cada dominio.
  • Los niveles son acumulativos en cada dominio, es decir, para estar en un determinado nivel, la organización debe realizar todas las prácticas en el nivel y en los niveles anteriores.
  • Tratar de alcanzar el mayor nivel en todos los dominios puede no ser óptimo para todas las organizaciones.

Los diez dominios en los que se divide el modelo son los siguientes (con un total de 37 objetivos de segundo nivel):

  1. Gestión de riesgos
  2. Activos, cambios y gestión de la configuración
  3. Gestión de accesos e identidades
  4. Gestión de amenazas y vulnerabilidades
  5. Conocimiento de la situación
  6. Comunicar y compartir información
  7. Respuesta a eventos e incidentes, continuidad de operaciones
  8. Gestión de la cadena de suministro y de las dependencias externas
  9. Gestión del personal
  10. Gestión del programa de ciberseguridad

Para finalizar destacar un par de cuestiones que nos han llamado la atención:

  • El dominio de conocimiento de la situación.  Para nosotros es novedoso porque no lo habíamos visto antes en ningún otro documento pero nos ha parecido muy relevante porque incluye aspectos relacionados con la aplicación de prácticas de inteligencia (recoger, analizar, alertar, presentar y utilizar información sobre el sistema eléctrico y la ciberseguridad…). La herramienta utilizada es lo que han denominado imagen operativa común (COP – common operating picture) que persigue tener un conocimiento en cuasi tiempo real del entorno operativo dinámico mediante el registro y monitorización de las TIC, las operaciones y las comunicaciones pero, también, de eventos externos a la organización.
  • Además del modelo, el DOE ha elaborado una encuesta y un mecanismo de scoring para las organizaciones, de forma que puedan evaluar su nivel de capacidad en función del modelo (disponible bajo petición). Asimismo, también va a permitir compartir de manera anónima los niveles de madurez de las distintas organizaciones.

En definitiva un modelo muy sencillo y claro que, aunque supone un buen punto de partida para nosotros adolece de dos aspectos: Por un lado, no incluye medidas concretas de ciberseguridad y, por otro, no vemos que sea específico del subsector eléctrico, es decir, los procesos son tan generales que pueden ser aplicados en cualquier otro subsector.

Puedes seguirnos en twitter.com/enplusone.