1- Definir Objetivos Claros:
- Identificar y comprender los objetivos específicos de la evaluación. ¿Se busca mejorar la seguridad de ciertos sistemas críticos o abordar riesgos específicos? Los objetivos deben ser claros y alineados con los resultados deseados.
2- Identificar Activos y Sistemas Críticos:
- Trabajar con los equipos operativos y de ingeniería para identificar los sistemas y activos críticos para la distribución eléctrica. Esto incluye subestaciones, redes de comunicación, sistemas de control SCADA, equipos de protección, entre otros.
3- Mapeo de Flujos de Datos e Información:
- Comprender cómo fluye la información crítica a través de los sistemas. Identificar las interconexiones y dependencias entre diferentes sistemas y activos. Esto es crucial para evaluar el impacto potencial de las amenazas.
4- Considerar Amenazas y Vulnerabilidades Conocidas:
- Evaluar amenazas y vulnerabilidades conocidas que podrían afectar los sistemas y activos identificados. Esto ayuda a definir los límites del alcance en función de los riesgos específicos que se pretende abordar.
5- Consultar con Partes Interesadas:
- Involucrar a las partes interesadas clave en discusiones sobre el alcance. Esto podría incluir a los responsables de operaciones, personal de seguridad, equipos de TI, y cualquier otra parte relevante. Obtener su perspectiva y expectativas.
6- Analizar Restricciones y Limitaciones:
- Identificar cualquier restricción o limitación que pueda afectar el alcance de la evaluación. Esto podría incluir restricciones presupuestarias, restricciones de tiempo, o limitaciones técnicas que podrían impactar en la profundidad de la evaluación.
7- Documentar los Límites del Alcance:
- Crear un documento formal que describa claramente los límites del alcance de la evaluación. Este documento debe incluir una lista detallada de los sistemas y activos incluidos, así como aquellos excluidos. Además, debe especificar los criterios utilizados para definir estos límites.
8- Revisar y Aprobar:
- Presentar el documento de límites del alcance a las partes interesadas para su revisión y aprobación. Asegurarse de que todas las partes clave estén al tanto y estén de acuerdo con los límites establecidos.
Estos procedimientos ayudan a garantizar que la evaluación de ciberseguridad se centre en los aspectos críticos y se alinee con los objetivos y expectativas de la organización. Además, proporcionan una base sólida para el desarrollo de políticas y acciones correctivas.