ISO/IEC 27019 es un conjunto de principios rectores para la gestión de la seguridad de la información de los sistemas de control de procesos (PCS) utilizados en el sector de servicios públicos de energía.
El objetivo principal del documento es aumentar la amplitud de ISO/IEC al dominio de la tecnología de automatización y PCS. Se trata de proporcionar un sistema específico y estandarizado. Sistema de Gestión de Seguridad de la Información (SGSI) para proteger los sistemas de tecnología de hardware y software responsables de monitorear y controlar la generación, transmisión, almacenamiento y distribución de petróleo, gas, energía eléctrica y calor, entre otros servicios energéticos.
La industria energética mundial ha sido responsable de algunos de los desastres más catastróficos que haya experimentado la humanidad.
Ejemplos de mal manejo destructivo de los recursos energéticos incluyen:
No sorprende que exista una sólida cultura de controles de seguridad en la industria de servicios públicos de energía. Este espíritu proviene de la conciencia de los efectos a largo plazo de que algunas operaciones y programas salgan mal.
La industria de servicios públicos de energía es uno de los mayores beneficiarios de la automatización. La mayoría de los sistemas utilizados dependen en gran medida de PCS electrónicos como:
Junto con otros procedimientos y redes asociadas, son responsables de:
En resumen, las fallas o interrupciones en los sistemas electrónicos de control de procesos utilizados provocarán la caída de todo el sistema.
Por ejemplo, la falla de un monitor en una planta de energía geotérmica provocará un sobrecalentamiento y, en el peor de los casos, una explosión desastrosa.
Aunque se cree que ISO / IEC 27002 Aunque los estándares describen pautas importantes para controlar la protección de los activos de seguridad de la información, su alcance no profundiza lo suficiente en la protección de los procesos de las empresas de servicios públicos de energía.
Por eso existe la norma ISO/IEC 27019:2017.
ISO e IEC publicaron por primera vez la norma ISO 27019 en 2013 como un Informe Técnico (TR), elaborado mediante el seguimiento rápido de una norma DIN. En 2017, se publicó una segunda edición de la norma, lo que la convierte en una norma internacional completa en armonía con la versión de 2013 de ISO 27001 y ISO 27002. Entonces, ¿por qué es tan importante la norma ISO 27019?
ISMS.online es un
solución integral que aceleró radicalmente nuestra implementación.
Con ISMS.online, los desafíos relacionados con el control de versiones, la aprobación y el intercambio de políticas son cosa del pasado.
Sin la industria energética, no tendríamos el nivel de avance tecnológico que tenemos ahora. En el corazón del sector se encuentran los sistemas y redes de control de procesos electrónicos responsables de mantener el sistema funcional, sin los cuales se producirían fallas masivas e incluso catastróficas. Tomemos, por ejemplo, la red eléctrica. Debido al limitado almacenamiento de energía a gran escala, la distribución efectiva de energía eléctrica para consumo doméstico e industrial depende de mantener un equilibrio entre la energía producida y la consumida.
Si los PCS utilizados fallaran, no habría forma de controlar el flujo de energía en tiempo real, y el resultado serían cortes y sobrecargas, lo que provocaría interrupciones en la distribución de energía. Si la infraestructura eléctrica de cualquier país cayera, casi todos los demás sectores harían lo mismo debido a lo fuertemente dependientes que son la mayoría de ellos de la tecnología de automatización.
Obtendrá una idea clara de la importancia de ISO/IEC 27019 cuando tenga en cuenta las amenazas, las vulnerabilidades y los impactos de las amenazas en las empresas de servicios públicos de energía.
Amenazas que enfrentan las empresas de servicios públicos de energía
Algunas de las amenazas que enfrentan los recursos energéticos incluyen desastres naturales y sabotajes deliberados por parte de ingenieros sociales, amenazas persistentes avanzadas (APT), piratas informáticos, personas internas, terroristas, estados extranjeros y grupos de presión. Existen otras amenazas más mundanas como las procedentes de fallos electromecánicos, competidores, accidentes, malware, etc.
Vulnerabilidades de la industria energética
Existen algunas vulnerabilidades inevitables inherentes a los procesos y sistemas. Un ejemplo de tales debilidades son los sistemas de control de procesos a los que se puede acceder, conectar o exponer a Internet y otras redes. Esto los hace vulnerables a diversas amenazas cibernéticas, incluidas aquellas que resultan de errores de software y fallas de diseño causadas por un diseño, gestión o mantenimiento deficientes. Estas vulnerabilidades son especialmente frecuentes desde que se realiza una parche de seguridad para sistemas críticos para la seguridad podría ser un desafío.
El impacto de las amenazas a los recursos energéticos
Las consecuencias del fracaso de las empresas de energía son bien conocidas. Algunos de los impactos más graves incluyen:
La importancia estratégica de las organizaciones públicas y privadas en la industria de servicios energéticos ha llevado a clasificarlas como parte de las infraestructuras nacionales críticas. Es por eso que todas las organizaciones cubiertas en el alcance de ISO/IEC 27019 deben tomar todas las medidas posibles para implementar la norma para asegurar los sistemas de control de procesos utilizados.
ISO desarrolló ISO/IEC 27019 para garantizar que cumple con el lenguaje de ISO/IEC 27001 e ISO 27002. Establecer el estándar de esta manera garantiza que usted pueda implementar la norma ISO 27001 e ISO 27002 a nivel internacional como un sistema de guía aceptado para proteger los PCS utilizados en la industria de servicios públicos de energía.
ISO/IEC 27019 sigue de cerca la estructura de IEC 27002, con orientación adicional proporcionada cuando sea necesario. Durante la implementación, una organización en la industria de servicios públicos de energía debe utilizar ISO/IEC 27019 junto con ISO/IEC 27002 ya que la primera no incorpora el contenido de 27002.
Al implementar ISO 27019, las organizaciones también deben consultar ISO/IEC 27001 para completar el contexto más amplio de su SGSI. Su sistema debe incluir no sólo el control de procesos sino también otras redes comerciales generales, sistemas utilizados y procesos aplicables a la industria de servicios públicos de energía.
También debe considerar otras normas, como ISO / IEC 27005 al implementar ISO 27019 para atender las prácticas de gestión de riesgos de la información utilizadas por la industria de servicios públicos de energía.
Descargue su guía gratuita para una certificación rápida y sostenible
Solo necesitamos algunos detalles para que podamos enviarle por correo electrónico su guía para lograr la norma ISO 27001 por primera vez.
Descargue su guía gratuita ahora y si tiene alguna pregunta, entonces Solicito una demo or Contáctenos. Estaremos encantados de ayudarte.
Las siguientes son las áreas específicas donde la implementación de los controles ISO/IEC 27019:2017 es fundamental para proteger y garantizar la seguridad de la infraestructura energética crítica:
Después de realizar un Evaluación de seguridad y elaboración de riesgos de seguridad. y objetivos y decisiones sobre cómo abordar el riesgo identificado, se debe seleccionar e implementar el control necesario para garantizar que los riesgos se reduzcan a un nivel aceptable.
Además de los controles que ofrece un SGSI integral, ISO 27019 proporciona medidas adicionales específicas del sector y asistencia para ayudar en el control de procesos utilizado por la industria de servicios públicos de energía, en relación con los requisitos particulares de entornos específicos. Si fuera necesario, una organización podría tomar medidas adicionales para cumplir con los requisitos individuales.
Los controles que decidirá una organización dependen de:
Además de las medidas y directrices de seguridad presentadas en ISO/IEC 27002:2013, los sistemas de control de procesos para proveedores de energía y empresas de servicios públicos de energía tienen requisitos adicionales. En comparación con otros entornos de TIC convencionales, como los sistemas de comercio de energía y la tecnología de la información de oficina, el sector de servicios públicos de energía tiene diferencias fundamentales con respecto a la operación, desarrollo, mantenimiento, reparación y entorno operativo de los PCS.
Dado que algunas de las tecnologías de control de procesos descritas en ISO/IEC 27019:2017 describen componentes integrales de algunas infraestructuras críticas, son esenciales para garantizar el funcionamiento confiable y seguro de dichas infraestructuras.
Cuando se tiene en cuenta su función y diseño, se deben considerar los PCS del sector de servicios públicos de energía como sistemas de procesamiento de información. Los datos sobre el estado de los procesos físicos se controlan mediante sensores. Luego, estos datos se procesan y se generan salidas de control para regular las acciones mediante actuadores. Aunque el proceso es automático, el personal operativo puede intervenir manualmente cuando sea necesario.
Dado que la información y los sistemas de procesamiento de información son una parte esencial del funcionamiento de las empresas de energía, las organizaciones deben tomar las medidas de protección necesarias para salvaguardar su información como otras unidades organizativas.
Los entornos de control de procesos de las empresas de energía utilizan cada vez más componentes de hardware y software. Un ejemplo de esto es la lógica programable basada en tecnología TIC estándar. Numerosas interconexiones también forman sistemas complejos. Sería útil si consideraras estos nuevos riesgos durante una evaluación de riesgos y las medidas necesarias adoptadas para rectificarlo.
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
Para comenzar con 27019, las organizaciones de la industria de servicios públicos de energía deben realizar una evaluación de riesgos de sus sistemas utilizados para conocer sus amenazas, vulnerabilidades y posibles impactos de los riesgos. Dependiendo de la tecnología de automatización de hardware y software específica utilizada por las organizaciones de servicios públicos de energía, deben seleccionar las pautas y controles apropiados para garantizar la seguridad de sus sistemas.
La disponibilidad de software y herramientas de seguridad de la información facilita a las organizaciones comparar su cumplimiento con la norma ISO 27019. Con la ayuda de dichas herramientas, aquellos involucrados en la gestión de seguridad o el control de procesos utilizados por la industria de servicios públicos de energía tendrán una idea más clara de cómo su políticas y controles comparados con los requisitos establecidos del SGSI. Conocer las áreas a mejorar permite aplicar los controles pertinentes basados en la norma ISO 27019.
Para obtener la certificación ISO, una organización debe seguir un procedimiento específico para garantizar que todos aborden los riesgos relacionados con entornos comerciales particulares.
El primer paso para obtener la certificación es identificar el proceso empresarial principal y documentarlo ante los miembros relevantes de la organización. La documentación debe indicar los procedimientos y las medidas adoptadas para proteger los distintos sistemas de información y tecnología de automatización.
El siguiente paso es implementar los procedimientos descritos en la documentación y garantizar que todos los empleados estén calificados para realizar las tareas que se les requieren. Debería existir un sistema de información eficaz para atender las pruebas, inspecciones, acciones preventivas, acciones correctivas, técnicas estadísticas, reuniones de revisión de la dirección, seguimiento de objetivos, etc.
La eficacia de estos procesos debería entonces ser monitoreado usando datos medibles donde sea posible. Las organizaciones de servicios públicos de energía también deben realizar la revisión necesaria y auditoría del sistema.
Estas auditorías garantizan que implemente correctamente todos los controles y pautas sugeridas por la norma ISO 27019. Las auditorías del sistema deberían:
El último paso para las organizaciones de la industria de servicios energéticos que deseen obtener la certificación ISO/IEC 27019 es seleccionar un organismo de auditoría independiente que se ocupe del registro externo.
Luego, la documentación del sistema de gestión debe presentarse para su revisión para garantizar el cumplimiento de las normas aplicables.
Para cumplir con ISO/IEC 2019, empresa de energía Las organizaciones necesitan identificar sus requisitos de seguridad. basado en su tecnología de automatización. Estos requisitos provienen principalmente de:
Las organizaciones de servicios públicos de energía deben asegurarse de que todos los requisitos de seguridad de los PCS se analicen y cubiertos en sus políticas de seguridad de la información. Algunas de las consideraciones vigentes incluyen:
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez