Entendiendo la norma ISO 27019

Controles de gestión de seguridad de la información para controles de procesos de servicios públicos de energía

compañeros de trabajo,trabajo,moderno,estudio.producción,gerentes,equipo,trabajando,nuevo,proyecto.joven,negocios

coworkers,work,modern,studio.production,managers,team,working,new,project.young,business

¿Qué es la norma ISO/IEC 27019:2017?

ISO/IEC 27019 es un conjunto de principios rectores para la gestión de la seguridad de la información de los sistemas de control de procesos (PCS) utilizados en el sector de servicios públicos de energía.

El objetivo principal del documento es aumentar la amplitud de ISO/IEC al dominio de la tecnología de automatización y PCS. Se trata de proporcionar un sistema específico y estandarizado. Sistema de Gestión de Seguridad de la Información (SGSI) para proteger los sistemas de tecnología de hardware y software responsables de monitorear y controlar la generación, transmisión, almacenamiento y distribución de petróleo, gas, energía eléctrica y calor, entre otros servicios energéticos.

Controles de información para la industria de servicios públicos de energía

La industria energética mundial ha sido responsable de algunos de los desastres más catastróficos que haya experimentado la humanidad.

Ejemplos de mal manejo destructivo de los recursos energéticos incluyen:

No sorprende que exista una sólida cultura de controles de seguridad en la industria de servicios públicos de energía. Este espíritu proviene de la conciencia de los efectos a largo plazo de que algunas operaciones y programas salgan mal.

La industria de servicios públicos de energía es uno de los mayores beneficiarios de la automatización. La mayoría de los sistemas utilizados dependen en gran medida de PCS electrónicos como:

Internet industrial de las cosas (IIoT)
Controladores lógicos programables (PLC)
Control de Supervisión y Adquisición de Datos (SCDA)
Sistemas de control industrial (ICS)

Junto con otros procedimientos y redes asociadas, son responsables de:

Gestión del riesgo seguimiento de las actividades de producción
dirección de las actividades de producción
control de las actividades de producción.

En resumen, las fallas o interrupciones en los sistemas electrónicos de control de procesos utilizados provocarán la caída de todo el sistema.

Por ejemplo, la falla de un monitor en una planta de energía geotérmica provocará un sobrecalentamiento y, en el peor de los casos, una explosión desastrosa.

Aunque se cree que ISO / IEC 27002 Aunque los estándares describen pautas importantes para controlar la protección de los activos de seguridad de la información, su alcance no profundiza lo suficiente en la protección de los procesos de las empresas de servicios públicos de energía.

Por eso existe la norma ISO/IEC 27019:2017.

La historia de ISO 27019

ISO e IEC publicaron por primera vez la norma ISO 27019 en 2013 como un Informe Técnico (TR), elaborado mediante el seguimiento rápido de una norma DIN. En 2017, se publicó una segunda edición de la norma, lo que la convierte en una norma internacional completa en armonía con la versión de 2013 de ISO 27001 y ISO 27002. Entonces, ¿por qué es tan importante la norma ISO 27019?

ISMS.online es un
solución integral que aceleró radicalmente nuestra implementación.

evan harris

Fundador y director de operaciones, Lleno de vida

Reserva tu demostración

Con ISMS.online, los desafíos relacionados con el control de versiones, la aprobación y el intercambio de políticas son cosa del pasado.

Campos de Dean

Director de TI Profesionales del NHS

El 100% de nuestros usuarios aprueban la certificación a la primera

Reserva tu demostración

¿Cuáles son los beneficios de ISO 27019?

Sin la industria energética, no tendríamos el nivel de avance tecnológico que tenemos ahora. En el corazón del sector se encuentran los sistemas y redes de control de procesos electrónicos responsables de mantener el sistema funcional, sin los cuales se producirían fallas masivas e incluso catastróficas. Tomemos, por ejemplo, la red eléctrica. Debido al limitado almacenamiento de energía a gran escala, la distribución efectiva de energía eléctrica para consumo doméstico e industrial depende de mantener un equilibrio entre la energía producida y la consumida.

Si los PCS utilizados fallaran, no habría forma de controlar el flujo de energía en tiempo real, y el resultado serían cortes y sobrecargas, lo que provocaría interrupciones en la distribución de energía. Si la infraestructura eléctrica de cualquier país cayera, casi todos los demás sectores harían lo mismo debido a lo fuertemente dependientes que son la mayoría de ellos de la tecnología de automatización.

Obtendrá una idea clara de la importancia de ISO/IEC 27019 cuando tenga en cuenta las amenazas, las vulnerabilidades y los impactos de las amenazas en las empresas de servicios públicos de energía.

Amenazas que enfrentan las empresas de servicios públicos de energía

Algunas de las amenazas que enfrentan los recursos energéticos incluyen desastres naturales y sabotajes deliberados por parte de ingenieros sociales, amenazas persistentes avanzadas (APT), piratas informáticos, personas internas, terroristas, estados extranjeros y grupos de presión. Existen otras amenazas más mundanas como las procedentes de fallos electromecánicos, competidores, accidentes, malware, etc.

Vulnerabilidades de la industria energética

Existen algunas vulnerabilidades inevitables inherentes a los procesos y sistemas. Un ejemplo de tales debilidades son los sistemas de control de procesos a los que se puede acceder, conectar o exponer a Internet y otras redes. Esto los hace vulnerables a diversas amenazas cibernéticas, incluidas aquellas que resultan de errores de software y fallas de diseño causadas por un diseño, gestión o mantenimiento deficientes. Estas vulnerabilidades son especialmente frecuentes desde que se realiza una parche de seguridad para sistemas críticos para la seguridad podría ser un desafío.

El impacto de las amenazas a los recursos energéticos

Las consecuencias del fracaso de las empresas de energía son bien conocidas. Algunos de los impactos más graves incluyen:

La falta o el compromiso de información comercial y de seguridad crítica que a su vez causaría interrupciones en el suministro de energía.
Suministro que está fuera de especificación; como subtensión/sobretensión.
La liberación de una cantidad catastrófica o enorme de energía e incidentes ambientales como fugas químicas y de petróleo.

La importancia estratégica de las organizaciones públicas y privadas en la industria de servicios energéticos ha llevado a clasificarlas como parte de las infraestructuras nacionales críticas. Es por eso que todas las organizaciones cubiertas en el alcance de ISO/IEC 27019 deben tomar todas las medidas posibles para implementar la norma para asegurar los sistemas de control de procesos utilizados.

Relación con otras normas

ISO desarrolló ISO/IEC 27019 para garantizar que cumple con el lenguaje de ISO/IEC 27001 e ISO 27002. Establecer el estándar de esta manera garantiza que usted pueda implementar la norma ISO 27001 e ISO 27002 a nivel internacional como un sistema de guía aceptado para proteger los PCS utilizados en la industria de servicios públicos de energía.

ISO 27019 e ISO 27002

ISO/IEC 27019 sigue de cerca la estructura de IEC 27002, con orientación adicional proporcionada cuando sea necesario. Durante la implementación, una organización en la industria de servicios públicos de energía debe utilizar ISO/IEC 27019 junto con ISO/IEC 27002 ya que la primera no incorpora el contenido de 27002.

ISO 27019 e ISO/IEC 27001

Al implementar ISO 27019, las organizaciones también deben consultar ISO/IEC 27001 para completar el contexto más amplio de su SGSI. Su sistema debe incluir no sólo el control de procesos sino también otras redes comerciales generales, sistemas utilizados y procesos aplicables a la industria de servicios públicos de energía.

Otras normas ISO

También debe considerar otras normas, como ISO / IEC 27005 al implementar ISO 27019 para atender las prácticas de gestión de riesgos de la información utilizadas por la industria de servicios públicos de energía.

Consigue tu primera ISO 27001

Descargue su guía gratuita para una certificación rápida y sostenible

Vea nuestra sencilla y potente plataforma en acción

Más información

¿Quién puede implementar la ISO 27019?

Las siguientes son las áreas específicas donde la implementación de los controles ISO/IEC 27019:2017 es fundamental para proteger y garantizar la seguridad de la infraestructura energética crítica:

Tecnología central y distribuida para la gestión, seguimiento y automatización de los procesos operativos y de los sistemas de información utilizados como parametrización y programación que los faciliten.
Componentes de automatización y controladores digitales como controladores lógicos programables (PLC), junto con elementos actuadores y sensores digitales.
Todos los demás sistemas de información de soporte que se aplican en el control de procesos como los que complementan la visualización de datos y los que involucrado en el monitoreo, control, registro histórico, archivo de datos, documentación y generación de informes.
Las tecnologías de comunicación aplicadas en el ámbito del control de procesos, como la telemetría, las redes, la tecnología de control remoto y las aplicaciones de telecontrol.
Componentes de la Infraestructura de Medición Avanzada (AMI) como medidores inteligentes.
Los dispositivos de medición como los utilizados en los valores de emisión.
Sistemas digitales de protección y seguridad como PLC de seguridad, relés de protección y mecanismos de gobernador de emergencia.
Sistemas para la gestión de la energía como infraestructuras para carga eléctrica, Recursos Energéticos Distribuidos (DER), instalaciones de clientes industriales, edificios residenciales e incluso en hogares privados.
Componentes distribuidos en entornos de redes inteligentes, como en hogares privados, redes eléctricas, instalaciones industriales de clientes y edificios residenciales.
Todo el firmware, aplicaciones y software instalados en los sistemas mencionados anteriormente, incluidos los sistemas de gestión de interrupciones (OMS), el sistema de gestión de distribución (DMS), etc.
Cualquier local que albergue los sistemas y equipos mencionados anteriormente.
Los sistemas de mantenimiento remoto de los sistemas mencionados anteriormente.

Cómo implementar la norma ISO 27019

Después de realizar un Evaluación de seguridad y elaboración de riesgos de seguridad. y objetivos y decisiones sobre cómo abordar el riesgo identificado, se debe seleccionar e implementar el control necesario para garantizar que los riesgos se reduzcan a un nivel aceptable.

Además de los controles que ofrece un SGSI integral, ISO 27019 proporciona medidas adicionales específicas del sector y asistencia para ayudar en el control de procesos utilizado por la industria de servicios públicos de energía, en relación con los requisitos particulares de entornos específicos. Si fuera necesario, una organización podría tomar medidas adicionales para cumplir con los requisitos individuales.

Los controles que decidirá una organización dependen de:

El enfoque de gestión de riesgos de la organización y su aceptación de riesgos.
Otras leyes, reglamentos y ordenanzas legales internacionales y nacionales pertinentes

Seguridad de la información para empresas de servicios energéticos

Además de las medidas y directrices de seguridad presentadas en ISO/IEC 27002:2013, los sistemas de control de procesos para proveedores de energía y empresas de servicios públicos de energía tienen requisitos adicionales. En comparación con otros entornos de TIC convencionales, como los sistemas de comercio de energía y la tecnología de la información de oficina, el sector de servicios públicos de energía tiene diferencias fundamentales con respecto a la operación, desarrollo, mantenimiento, reparación y entorno operativo de los PCS.

Dado que algunas de las tecnologías de control de procesos descritas en ISO/IEC 27019:2017 describen componentes integrales de algunas infraestructuras críticas, son esenciales para garantizar el funcionamiento confiable y seguro de dichas infraestructuras.

Cuando se tiene en cuenta su función y diseño, se deben considerar los PCS del sector de servicios públicos de energía como sistemas de procesamiento de información. Los datos sobre el estado de los procesos físicos se controlan mediante sensores. Luego, estos datos se procesan y se generan salidas de control para regular las acciones mediante actuadores. Aunque el proceso es automático, el personal operativo puede intervenir manualmente cuando sea necesario.

Dado que la información y los sistemas de procesamiento de información son una parte esencial del funcionamiento de las empresas de energía, las organizaciones deben tomar las medidas de protección necesarias para salvaguardar su información como otras unidades organizativas.

Los entornos de control de procesos de las empresas de energía utilizan cada vez más componentes de hardware y software. Un ejemplo de esto es la lógica programable basada en tecnología TIC estándar. Numerosas interconexiones también forman sistemas complejos. Sería útil si consideraras estos nuevos riesgos durante una evaluación de riesgos y las medidas necesarias adoptadas para rectificarlo.

Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.

Peter Risdón

director de seguridad de la información, viital

Reserva tu demostración

¿No ves lo que estás buscando?
Podemos construirlo fácilmente.

Consultas generales

¿Cómo empezar con ISO 27019?

Para comenzar con 27019, las organizaciones de la industria de servicios públicos de energía deben realizar una evaluación de riesgos de sus sistemas utilizados para conocer sus amenazas, vulnerabilidades y posibles impactos de los riesgos. Dependiendo de la tecnología de automatización de hardware y software específica utilizada por las organizaciones de servicios públicos de energía, deben seleccionar las pautas y controles apropiados para garantizar la seguridad de sus sistemas.

La disponibilidad de software y herramientas de seguridad de la información facilita a las organizaciones comparar su cumplimiento con la norma ISO 27019. Con la ayuda de dichas herramientas, aquellos involucrados en la gestión de seguridad o el control de procesos utilizados por la industria de servicios públicos de energía tendrán una idea más clara de cómo su políticas y controles comparados con los requisitos establecidos del SGSI. Conocer las áreas a mejorar permite aplicar los controles pertinentes basados en la norma ISO 27019.

Certificación ISO 27019

Para obtener la certificación ISO, una organización debe seguir un procedimiento específico para garantizar que todos aborden los riesgos relacionados con entornos comerciales particulares.

El primer paso para obtener la certificación es identificar el proceso empresarial principal y documentarlo ante los miembros relevantes de la organización. La documentación debe indicar los procedimientos y las medidas adoptadas para proteger los distintos sistemas de información y tecnología de automatización.

El siguiente paso es implementar los procedimientos descritos en la documentación y garantizar que todos los empleados estén calificados para realizar las tareas que se les requieren. Debería existir un sistema de información eficaz para atender las pruebas, inspecciones, acciones preventivas, acciones correctivas, técnicas estadísticas, reuniones de revisión de la dirección, seguimiento de objetivos, etc.

La eficacia de estos procesos debería entonces ser monitoreado usando datos medibles donde sea posible. Las organizaciones de servicios públicos de energía también deben realizar la revisión necesaria y auditoría del sistema.

Estas auditorías garantizan que implemente correctamente todos los controles y pautas sugeridas por la norma ISO 27019. Las auditorías del sistema deberían:

Identificar y reportar las fortalezas y debilidades del sistema de gestión.
Tomar las medidas correctivas o preventivas necesarias

El último paso para las organizaciones de la industria de servicios energéticos que deseen obtener la certificación ISO/IEC 27019 es seleccionar un organismo de auditoría independiente que se ocupe del registro externo.

Luego, la documentación del sistema de gestión debe presentarse para su revisión para garantizar el cumplimiento de las normas aplicables.

Requisitos de la norma ISO 27019

Para cumplir con ISO/IEC 2019, empresa de energía Las organizaciones necesitan identificar sus requisitos de seguridad. basado en su tecnología de automatización. Estos requisitos provienen principalmente de:

una organización evaluación de riesgos resultados. Deben tener en cuenta los objetivos y estrategias comerciales generales de una organización. Eventos y fuentes de riesgo, junto con la probabilidad de ocurrencia y las posibles consecuencias de la ocurrencia de un riesgo determinado.
Otros requisitos resultarán de los estatutos y la legislación, los contratos y los reglamentos, y otras condiciones socioculturales que una organización debe cumplir. Algunos ejemplos particulares incluyen salvaguardar un suministro de energía que sea confiable, seguro y eficaz, y también el cumplimiento de los requisitos de un mercado energético liberalizado.
Los requisitos, principios y objetivos comerciales específicos impuestos a la procesamiento de información desarrollado por la empresa para respaldar sus operaciones.

Las organizaciones de servicios públicos de energía deben asegurarse de que todos los requisitos de seguridad de los PCS se analicen y cubiertos en sus políticas de seguridad de la información. Algunas de las consideraciones vigentes incluyen: