Seguridad de la información

Objetivo

Precisar el impacto de la seguridad de la información en la

operación del Sistema Interconectado Nacional y la importancia del

rol que desempeñan los operadores en relación con su adecuado

manejo

Fuente: El Tiempo http://www.eltiempo.com/economia/bienestar/ARTICULO-

WEB-NEW_NOTA_INTERIOR-12164156.html, Agosto 25 de 2012

Seguridad de la información, parte del día a día de las personas

Fuente: Dinero http://www.dinero.com/actualidad/articulo/multan-

bancolombia-fallas-prestacion-del-servicio/148198, 4 de abril de 2012

Fuente: Enter.co http://www.enter.co/vida-digital/hackers-hacen-

visibles-vulnerabilidades-atacando-planta-de-agua/

Fuente: La República http://www.larepublica.com.co/archivos/FINANZAS/2010-

05-24/renuncio-mauricio-aranguren-a-la-uiaf_100987.php

Qué es la seguridad de la información

Disponibilidad: Se refiere a que la información exista y

esté disponible en el momento y lugar que se requiere y

sea recuperable bajo cualquier eventualidad.

Integridad: Se refiere a lo exacto y completo de la

información. Garantiza que la información almacenada

contenga la totalidad de los datos críticos requeridos

para el negocio, así como también que refleje de forma

veraz su situación.

Confidencialidad: Garantiza que la información esté

disponible únicamente para las personas indicadas.

Transparencia y confiabilidad: Cumplimiento de la

normatividad y compromisos que haya adquirido la

empresa, y la garantía plena de su veracidad y

posibilidad de ser verificada.

Preservación de la calidad de la información: integridad, disponibilidad, confidencialidad,

transparencia y confiabilidad en el momento en que se captura o genera, recibe, procesa,

divulga o entrega y en el medio en que se transmita.

Por qué es importante la Seguridad de la Información en la operación del SIN

• Operación de infraestructura crítica“Elemento o sistema que es esencial para el

mantenimiento de funciones sociales vitales, la salud,

la integridad y el bienestar social y económico de la

población y cuya perturbación o destrucción afectaría

gravemente a un Estado.” UE

• Toma de decisiones en tiempo real

• Estándares y regulación establecida rigurosa

• Las acciones que se lleven a cabo tienen un impacto a escala país

• Cada vez son más los ataques a la infraestructura eléctrica lo que implica que se debe estar mejor preparados

• Clara y precisa, sin errores

• Flujo, intercambio deinformación adecuado

• Disponible en forma oportuna ysolo para quien estéautorizado

• Trabajo en equipo, coordinado

• Protección adecuada de lainformación y los elementos enque reside o se transmite

Información

Aspectos de seguridad de la información a evaluar

• Cuáles son los activos críticos de mi proceso y dónde están ubicados?

• A qué riesgos están expuestos?

• Con qué medidas y controles cuento para mitigar el riesgo? Son efectivos?

� Física

� Recurso Humano

� Tecnológico

� Gobernabilidad

• Qué tan vulnerables son?

• Cuál es el impacto en los activos?

• Se cuenta con un plan de continuidad del negocio?

• Qué tipo de incidentes se han tenido y con qué frecuencia?

• Cuál es la brecha frente a las mejores prácticas?

• Cómo sé si he mejorado?

Objetivo:

Incorporar de manera sistemática, estructurada y documentada, las mejores prácticasinternacionales que sobre el tema existen para asegurar la confiabilidad en la operación del SINy la administración del Mercado de Energía, tomando como referencia la Norma ISO\IEC 27000.

Org

an

izació

n d

e l

a

seg

uri

dad

de

la

info

rmació

n

Seguridad de la información en XM

Gestión de Activos

Gestión de

Riesgos

Gestión de Incidentes

Definición de lineamientos y

directrices

Monitoreo de la efectividad

Mejoramiento

Pers

on

as

Principales acciones Seguridad de la Información XM

Impacto de Activos Coordinar Operación

•Clientes Internos

•Clientes Externos•Proveedores Información

Flujo inf. entre aplicativos

•Aplicativo generador

•Aplicativo cliente

Medios de almacenamiento y divulgación Inf.

Criticidad de Activos

Clie

nte

s y

merc

ad

os

Pro

du

ctiv

idad

y e

ficie

ncia

Clientes

Pactar Niveles de servicio

Mejor servicio a clien-te interno\externo

Minimizar impacto en la disponibilidad de inf.

•Causas y consecuencias

•Aplicativo proveedor

Asegurar la integridad, confidencialidad y

disponibilidad de la inf.

•Medidas y controles

•Ubicación de Activos•Soportado por conti-nuidad de negocios

Minimizar riesgos

Costo de Activos

•Tipo de Activo

•Valor Adquisición

•Estado

Optimizar costos

Fin

an

cie

ra

Ap

ren

diz

aje

Pers

onas

Gestión de

Activos

Gestión de

Riesgos

Gestión de Inci-dentes

Def. li-neamien

tos

Verificar efectivi-

dad

Mejoramiento

Org

an

izació

n

seg

uri

dad

in

form

ació

n

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

90,00%

100,00%

R3 R5 R6 R7-c R8 R9 R10 R11 R16 R17 R18

2c-5m

0c-2m

10c-13m

13c-16m

12c-6m

8c-8m2c-37m

0c-4m

6c-5m

8c-15m

5c-6m

Principales acciones Seguridad de la Información XM

• Actualización de análisis de riesgos de Coordinar operación

• Incorporación de los 132 objetivos de control de la Norma 27000 y sus

respectivas medidas y controles al Mapa de Riesgos de XM (22 causas

y a qué riesgos apuntan)

Gestión de Riesgos:

Seguridad Información administra 11 riesgos del Mapa de XM

99

Gestión de

Activos

Gestión de

Riesgos

Gestión de

Inciidentes

Def. li-

neamientos

Verificar

efectivi-dadMejoramien

to

Fortalecimiento Cultura de la Información:

En XM: Capacitación – Campañas –Divulgación

• Plan anual de sensibilización unificado

• Inducción personal nuevo

• Asesoría, acompañamiento

Con terceros:

• Sensibilización a agente del Mercado sobre roles

y responsabilidades

• Sensibilización a proveedores sobre la

importancia del tema y su responsabilidad.

Gestión de Incidentes:

• Registro de incidentes como una herramienta para mejorar

el proceso

• Importancia del análisis de los incidentes y del seguimiento

de las acciones de mejoramiento

Indicador del estado de la seguridad de la información

Revisión de medidas y controles

• Levantamiento y revisión en sitio de medidas y controles de

seguridad física de centro de control y centro de cómputo

• Análisis de controles de TI a aplicativos de Coordinar

• Realización de auditorías de seguridad de la información

• Seguimiento a recomendaciones y planes de acción

Cuadro de Gestión Seguridad de Información - Gerencia CND

Dirección DCO DTM DPO DAO DI

Asistencia

capacitaciones

Gestión Activos 100% 70% 100% 100% 80%

Divulgación en GP´s

Concept Gestión Inf. Pendiente Finalizada Finalizada Finalizada Finalizada

Gestión de Activos Pendiente Pendiente Pendiente Finalizada Pendiente

Detalle

Detalle

Fortalecimiento Cultura Seguridad de Información

Incidentes Activos Clientes y

Mercados

Aprendizaje

y Desarrollo

Pers

onas

Gestión de

Activos

Gestión de

Riesgos

Gestión de Inci-dentes

Def. li-neamien

tos

Monitoreo efectivi-

dad

Mejoramiento

Org

an

izació

n

seg

uri

dad

in

form

ació

n

Dirección Activos No. Incidentes

Aplicativo 1 8

Activo Información 3 2

Activo físico 7 11

Aplicativo 4 4

Activo Información 9 2

Aplicativo 6 12

Aplicativo 8 17

Activo físico 2 6

Transacciones

del Mercado

Coordinar

Operación

Información

DTM

DAO

DCO

DIDPO

0%

3%

5%

8%

10%

13%

15%

18%

20%

23%

0 25 50 75 100 125 150 175 200

Activos por Dirección - % Activos Criticidad Muy Alta

P 1

P 2

P 3

P 1

P 2

P 3

P 4P 5

P 1 P 2 P 3 P 4 P 5

Transición de un proyecto a un proceso

Ajustar la estructura

organizacional de la seguridad

Integrar seguridad de información al

Sistema de Gestión de XM

Decisión de Certificación

• Definir y formalizar:o Objetivo\Alcance

o Roles y responsabilidades

o Recursos asignados

o Mecanismos para mantenimiento y monitoreo de la efectividad

• Definir ubicación en la estructura organizacional

• Definir Alcance

• Planear y realizar auditorías de

preparación a la certificación

• Incorporar elementos de seguridad identificados al Sistema de Gestión de XM • Documentar y formalizar• Divulgar

Pers

onas

Gestión de

Activos

Gestión de

Riesgos

Gestión de Inci-dentes

Def. li-neamien

tos

Monitoreo efectivi-

dad

Mejoramiento

Org

an

izació

n

seg

uri

dad

in

form

ació

n

Operadores, pieza clave en la seguridad de la información

Mejores prácticas

Cumplir el protocolo de comunicaciones y en general, acatar las directrices, estándares y

formatos establecidos en la normatividad vigente para el intercambio de información, en los

casos que aplique

Validar que la información que se entrega, recibe o intercambia sea completa, precisa y clara y

oportuna

Tener claridad respecto a la clasificación de la información (Pública\Reservada-Confidencial),

evaluar la pertinencia de entregarla\divulgarla e implementar las medidas y controles para que

solo personal autorizado tenga acceso a ella

Comunicar en forma oportuna cualquier duda, no entendimiento o información que se

considere pertinente para la operación

Ejecutar las acciones o maniobras requeridas en el momento indicado

Realizar un tratamiento adecuado de la información acorde con las políticas y lineamientos de

la organización

Operadores, pieza clave en la seguridad de la información

Mejores prácticas

Solicitar la capacitación que se requiera para el desempeño exitoso del cargo

Informar los incidentes o anomalías que sean detectadas en cuanto al funcionamiento de las

herramientas y canales de información y comunicación.

Hacer un uso adecuado de la clave de acceso a aplicaciones: no entregarla a terceros, no

dejarla expuesta, cambiarla frecuentemente.

Informar oportunamente sobre los cambios o modificaciones en el personal para la

interacción sea solo con el personal autorizado y de esta forma evitar ineficiencias y riesgos

en el intercambio de información que puedan afectar el desarrollo del Mercado.

Promover la implementación de medidas\controles o mejores prácticas de seguridad de la

Información tomando como base un estándar en el tema.

Seguridad de la Información

Compromiso de Todos.

16

Qué pasaría si…Algunos incidentes sobre seguridad de información

Fuente: La República http://www.larepublica.com.co/archivos/FINANZAS/2010-

05-24/renuncio-mauricio-aranguren-a-la-uiaf_100987.php

Fuente: Semana http://www.semana.com/noticias-nacion/contratista-une-asume-

responsabilidad-fallas-jornada-electoral/136462.aspx

Fuente: BBC Mundo http://www.bbc.co.uk/mundo/ciencia_tecnologia/2010/04/100420_ciberataque_goo

gle_lav.shtml

Fuente: BBC Mundo http://noticias.latam.msn.com/xl/economia/articulo_bbc.aspx?cp-

documentid=24164568