¿Qué es la normativa NERC-CIP?

¿Qué es la normativa NERC-CIP?

Ciberseguridad en el Sector Energía.

Es una normativa que aplica a todas las empresas eléctricas en los Estados Unidos. Principalmente a las empresas de transmisión y generación, las empresas distribuidoras también la contemplan. Cubre aspectos de seguridad físicas y no físicas (Ciberseguridad), principalmente activos en las subestaciones y centros de control.

NERC siginifica, North America Electric Reliability Corporation, Corporación Norte Americana para la Confiabilidad Eléctrica
CIP: Critical Infraestructure Protection, Protección de la Infraestructura Crítica

La normativa NERC – CIP es utilizada como base para estándares de ciberseguridad en energía en la mayoría de países de la región que la han o están implementado, entre ellos están, USA, México, Colombia, Ecuador, Brasil, Chile y Perú.

Múltiples versiones se han ido desarrollando en los últimos años, siendo la mas reciente la versión 5 (V6) del estándar.

A partir de este primer artículo, en AprendaRedes.com empezaremos a publicar artículos relacionados a La Red Inteligente (Smart Grid) y todo lo relacionado a las tecnologías de información y comunicaciones aplicadas a las  empresas de energía y afines.

A primera vista nos preguntamos, ¿qué tiene que ver las tecnologías de la información y comunicaciones (TIC) con una empresa de energía?.

La respuesta tiene que ver mucho. Hoy en día, la red eléctrica tanto de transmisión como de distribución ya no es como hace muchos años atrás, se está automatizando y sin telecomunicaciones sin redes no hay automatización:

AUTOMATIZACION == TELECOMUNICACIONES

Alcance de una Red Inteligente (Imagen de Smart Energy International)

Nuevamente la transformación digital está haciendo converger la ingeniería eléctrica con las TIC, en ambos sentidos. Revisaremos temas como, FAN, NAN, HAN, LORA, SIGFOX, 6LOWPAN, RPMA, PLC, PLC PRIME, PLC G3, LTE y otras tecnologías de redes que permitirán construir una red Inteligente.

Este blog se renueva con la inclusión de nuevas categorías como Ciberseguridad, Smart Grid, IoT. Abordaremos temas de actualidad que te permitirán ampliar tus conocimientos , capacidades y habilidades. Con esta finalidad, te invitamos a suscribirte en nuestro boletín semanal, seguirnos también en las redes sociales que pronto estaremos fortaleciendo.

La nueva red intuitiva

¿Que es lo que nos hace humanos? La Colaboracion

Evento realizado por Cisco Peru en Lima

Cisco esta lanzando la serie Cisco Catalyst 9000.

Ahora todo en Cisco se va llamar Catalyst

  • La nueva red basada en la intension
  • La evolucion del 2960x es el 9200
Todos los modelos son capa 3

ENCRPTACION EN LA LAN CON MACsec 128-bits

Innovacion en POE

WIRELESS

Nueva red WiFi 6


¿Qué es el Internet de Todas las Cosas IoE?

Ayer 29 de Febrero del 2016, asistí a un evento realizado por IBM. Hubo varias presentaciones, de las que resaltaron la de Cisco: Tendencias Tecnológicas.

Las tendencias tecnológicas son denominadas:

  • Internet de Todas las Cosas (IoE)
  • Internet de las Cosas (IoT)

¿Que es IoE?

El Internet en todo este tiempo solo ha experimentado mejoras, no ha habido cambios drásticos. Internet Over Everything (IoE) es la primera evolución real de Internet, un salto que conducirá a aplicaciones revolucionarias con el potencial de mejorar drásticamente la manera en que las personas viven, aprenden, trabajan y se entretienen. IoE ya ha logrado que Internet sea sensorial (temperatura, presión, vibración, luz, humedad, estrés), lo que nos permite ser más proactivos y menos reactivos(1).

Me atrevería a decir que el Internet de todas las cosas es sinónimo a MEJORA DE LA EFICIENCIA. Cuanto más datos tenemos, cuanto más sensores tengamos, mejorará nuestro conocimiento y haremos mejor las cosas

Tal como lo describe en el artículo de la referencia (1).

ioe

Este gráfico es interesante ya que podemos ver que la entrada de datos finalmente genera sabiduría. Estamos en el 2016 y poco a poco vemos que esta tendencia ya es una realidad tangible.

Tantos sensores conectado en nuestras casas, en la empresa van a generar enormes cantidades de datos, los cuales deben procesarse para convertirlos en información.

Estamos ante una ventana abierta de oportunidades y tenemos que ser protagonistas de este cambio no solo espectadores. Primeramente, tienen que aprender a configurar switches y routers, eso es como aprender a leer y escribir.

EN CONCLUSIÓN: El IoE ya es una realidad, solo es cuestión de tiempo.

(1) Mas Información en http://www.cisco.com/web/LA/soluciones/executive/assets/pdf/internet-of-things-iot-ibsg.pdf

7 Errores Frecuentes en Proyectos de Redes y Telecomunicaciones

En muchas empresas, con frecuencia he notado que los administradores de red se quejan porque la gerencia no les aprueban los proyectos de redes o telecomunicaciones. La causa que se escucha repetidas veces es que la gerencia «no quiere».

No es que la gerencia no quiera sino que los proyectos que presentan los administradores de red no están bien elaborados.

¿Qué consideraciones se deben tener a la hora de elaborar un proyecto de redes?

Los principales errores que se cometen al principio de un proyecto de red o tecnología en general, son los siguientes:

  1. Tener un sesgo operativo. Quiere decir que el administrador de red plantea el proyecto porque es una tecnología novedosa que tiene que implementarse para que la empresa esté a la vanguardia de la tecnología.
  2. El proyecto no está alineado al Plan Estratégico de TI. Hoy en día, el administrador de red ya no solo es un operador de switches y routers, sino que su rol HA CAMBIADO. Actualmente, el administrador de red tiene que ver las redes y telecomunicaciones como un servicio que apoya a alcanzar los objetivos de la empresa. Saber configurar routers y switches ya no es una necesidad sino que es un «comodity», es como saber leer y escribir.
  3. No venden el proyecto. Al principio, el proyecto tiene que ser vendido a la gerencia. Es decir, que el administrador de red, tiene que tener las capacidades y habilidades para salir y exponer a la gerencia el proyecto en su conjunto. Tiene que tener facilidad para la comunicación efictiva.
  4. Presentan el proyecto con un lenguaje técnico. Este error es muy frecuente, las presentaciones a la gerencia lo hacen utilizando términos y conceptos muy técnicos, que solo son entendidos por los profesionales de TI. Generalmente la gerencia está compuesta por profesionales de otras carreras que tienen conocimientos mínimos de tecnología.
  5. No hablar en el lenguaje de la gerencia. El proyecto de redes debe presentarse desde varios contextos, como por ejemplo, financiero, riesgos, comercial, estrategia, beneficios cuantitativos, beneficios cualitativos, eficiencia productividad. Es decir, que el administrador de red debe preparar varias presentaciones para diferentes audiencias.
  6. No realizar un caso de negocios. El Caso de Negocios, es una herramienta de planificación y de soporte al proceso de toma de decisiones, es una metodología para analizar y evaluar el impacto económico y financiero que tendrá la adopción de una iniciativa o decisión al interior de la organizació y es un documento que proporciona la información necesaria desde una perspectiva de negocio para determinar si un proyecto es viable o no en términos de la inversión requerida (PMI, 2013).
  7. No conocer la metodología de gestión de proyectos aplicado a proyectos de redes y telecomunicaciones (PMBOOK). Prepara un proyecto tiene pasos ya establecidos como las mejores prácticas. El administrador de red tiene que tener conocimientos de PMBOOK para el manejo de proyectos. Una cosa es ser un buen administrador de red y otra cosa es gerenciar un proyecto.

Las capacidad y habilidades del administrador de red tienen que mejorar para las necesidades actuales.

¿Qué podrías hacer hoy para construir un mundo mejor?

Mucha de la información que les comparto lo obtengo de eventos como Cisco Summit 2016 que se está realizando en Lima hoy 02/02/16.

image

Resumen del Evento

El expositor de Ernst & Young (EY), Elder Cama, resaltó la importancia de alinear los procesos de seguridad a la estrategia del negocio. Indica que el tema de seguridad no solo debe manejarse desde el punto de vista de TI sino que también debe haber participación de otras áreas de la empresa, tales como el área comercial y producción quienes se vería afectados ante un ataque.

Para alinear la Seguridad con las necesidades del negocio consideremos los siguientes:

  • Debemos saber quienes tienen acceso a los datos de clientes y corporativos.
  • ¿Cuánto tiempo necesitamos para revocar el acceso a usuarios que se van de la empresa?
  • ¿Cuánto tiempo necesitamos para neutralizar un dispositivo conectado a la red?
  • ¿Qué tan rápido podemos reaccionar a un incidente de seguridad?
  • ¿Tenemos un programa maduro, capaz de administrar el acceso a sistemas críticos como redes, aplicativos y datos?

El segundo expositor, Alejandro Buschel, consultor de servicios de seguridad de Cisco, propuso las siguientes perspectivas y soluciones. Plantea realizar la propuesta de seguridad desde un enfoque estratégico, táctico y operacional.


Estrategia

  • Reportar al Directorio el Perfil de Riesgos de la organización
  • Iniciativas claves basadas en requerimientos externos e internos de cumplimiento (PCI, Privacidad, Ley de Protección de Datos)

Táctica

  • Madurez del Programa de Seguridad de la Información.
  • Análisis de Brecha.

Operacional

  • Implementación del Programa de Seguridad de la Información.
  • Cobertura de distintos canales de servicio, redes y proveedores.

Como vemos, tenemos que cambiar nuestra forma de pensar el tema de Seguridad, ya no solo son equipos sino que considera procesos, metas, planes, compromisos siempre alineados a las necesidades del negocio.

Hay varios conceptos, que quedan para desarrollar y les dejo para que lo analicen.