Gestión de Ciberactivos: El control de dispositivos y su impacto en NERC-CIP
¿Quieres la guía de implementación NERC-CIP PDF?
Descargar Guía Ahora
Imagina esto: eres responsable de la ciberseguridad en una empresa del sector eléctrico. Un día cualquiera, un proveedor de servicios OT te comenta, casi como una anécdota, que se retiró un equipo crítico por fallas técnicas y se reemplazó por otro. El problema: nadie avisó formalmente, nadie dejó registro, y tú te encuentras con un nuevo activo funcionando sin contraseña segura, sin línea base configurada, y completamente fuera de tu radar.
¿Te suena familiar?
Este tipo de situaciones no solo generan brechas técnicas, también implican un riesgo normativo, operativo y reputacional. La trazabilidad se pierde, los procedimientos quedan en el aire, y lo más grave: podrías estar incumpliendo con marcos como NERC CIP sin siquiera saberlo.
¿Qué es un ciberactivo?
Según el estándar NERC CIP, un ciberactivo es cualquier dispositivo, sistema, hardware, software o componente tecnológico capaz de recibir, procesar, almacenar o transmitir información digital y que pueda —directa o indirectamente— afectar la operación segura del Sistema Eléctrico Nacional (SEN).
Esto abarca desde servidores, estaciones de trabajo y firewalls, hasta aplicaciones críticas, bases de datos y dispositivos de red. Pero la clave está en su impacto: aquellos ciberactivos que pueden alterar la operación del sistema eléctrico requieren una atención especial y controles más estrictos.
Tres pilares para una gestión efectiva
Gestionar ciberactivos no es un ejercicio aislado ni exclusivo del área TI. Requiere una estructura colaborativa y una mirada sistémica, apoyada en tres pilares esenciales:
1. Personas: ¿Quién soy y cuál es mi responsabilidad?
Toda persona que solicita, opera o da de baja un ciberactivo tiene un rol en su ciclo de vida. El propietario del activo debe actuar con responsabilidad; el equipo TI debe seguir el procedimiento al pie de la letra; y el encargado CIP tiene que resguardar que nada quede fuera del proceso.
2. Equipos: ¿Cómo trabajamos juntos?
La gestión de activos es un trabajo en equipo. Ciberseguridad, operaciones, compliance y las áreas responsables deben actuar coordinadamente, compartiendo información y apoyándose mutuamente. Cuando uno falla, todos quedan expuestos.
3. Organización: ¿Qué espera la empresa y qué exige la normativa?
El marco NERC CIP es claro: exige procedimientos, trazabilidad, evidencias y revisiones periódicas. Pero más allá del “checklist” está la cultura organizacional. Una empresa que entiende el valor de la trazabilidad y la mejora continua estará mejor preparada frente a cualquier auditoría o incidente.
El inventario: punto de partida
El inventario de ciberactivos es más que una lista: es el mapa que te permite entender qué tienes, dónde está y cómo se relaciona con tu operación crítica. Iniciar este proceso implica:
- Identificar todos los activos relevantes según la definición de ciberactivo.
- Clasificarlos según su impacto en el SEN.
- Registrar la información clave bajo una estructura clara y actualizable.
- Capacitar a los equipos en el proceso de gestión y cumplimiento.
Campos recomendados para tu inventario:
- Identificador único
- Nombre / Descripción
- Ubicación
- Clasificación de impacto BES (Alto, Medio, Bajo)
- Tipo de activo
- Sistema operativo / firmware
- Software instalado
- Puertos lógicos
- Parche de seguridad
- Estado actual
- Responsable
- Fecha de inclusión / modificación
- Fecha y responsable de la última revisión / aprobación
- …
¿Qué es la clasificación de Impacto BES?
La clasificación de impacto BES (Bulk Electric System) es un pilar fundamental en la gestión de ciberactivos según el estándar NERC CIP versión chilena. Esta clasificación determina el nivel de riesgo que representa un ciberactivo para la operación segura y confiable del Sistema Eléctrico Nacional (SEN) en caso de pérdida, compromiso o mal uso.
La clasificación BES (Baja, Media, Alta) determina cuánto afectaría un activo si se ve comprometido:
- Alto: Su afectación puede generar inestabilidad o interrupciones significativas en el SEN.
- Medio: Impacta operaciones relevantes, sin comprometer el sistema completo.
- Bajo: Consecuencias localizadas y acotadas.
Ejemplos:
- Un servidor SCADA que controla una subestación principal → Impacto Alto
- Un firewall en una planta secundaria → Impacto Medio
- Una estación de monitoreo sin acceso crítico → Impacto Bajo
Procedimientos para controlar el ciclo de vida de los ciberactivos
Alta de activos
Comienza cuando se necesita incorporar un nuevo equipo o sistema. El propietario del activo solicita su incorporación, justificando su uso, ubicación y responsable. Esto asegura que desde el inicio se entienda el rol del activo y quién lo gestiona.
El área de IT/OT o Ciberseguridad evalúa riesgos: revisa configuraciones por defecto, puertos abiertos y exposición a la red. Se realiza un escaneo de vulnerabilidades y se asegura el cumplimiento de las políticas internas. Se instala y configura el activo: sistema operativo, firmware actualizado, software necesario, parches de seguridad y contraseñas seguras. Se registra todo como línea base técnica.
Luego, el Coordinador de Ciberseguridad (encargado CIP) ingresa el activo al inventario con su clasificación de impacto BES, ubicación, estado y responsable. Finalmente aprueba el alta y habilita su operación.
Ejemplo: Se instala un servidor SCADA en una subestación. Se escanea, configura y documenta correctamente. Se clasifica como de impacto Alto y entra en producción con trazabilidad completa.
Actualización de activos
La actualización ocurre cuando hay cambios relevantes: nuevo software, parches, ubicación o responsable. El proceso parte con una solicitud formal, que detalla el motivo y alcance.
El área de IT/OT o Ciberseguridad evalúa el impacto del cambio: analiza si se afectan configuraciones, si se amplía la exposición o si hay nuevas dependencias.
Si el cambio es seguro, el encargado CIP lo autoriza. TI ejecuta el cambio bajo control: hace respaldo, aplica la modificación y valida su funcionamiento. Luego en un plazo de 30 días, el Coordinador de Ciberseguridad (encargado CIP) actualiza el inventario y la línea base del activo. Se registran los cambios, la fecha y el responsable.
Ejemplo: Se actualiza el software de control en un servidor OT. El nuevo instalador modifica los puertos utilizados, lo que requiere revisión. Todo queda documentado y aprobado.
Baja de activos
Cuando un activo deja de usarse, el propietario solicita su baja indicando el motivo y el destino del equipo. Esto puede ser destrucción, almacenamiento o reutilización.
El encargado de Ciberseguridad (encargado CIP) revisa que el activo no sea crítico ni esté vinculado a procesos aún activos. Si todo está en orden, autoriza la baja. IT/OT y Ciberseguridad realizan el retiro técnico y la sanitización: borrado seguro de datos, revocación de accesos y desconexión del entorno.
El encargado de Ciberseguridad (encargado CIP) actualiza el inventario marcando el activo como inactivo, pero conservando su historial. Se registra la baja, la fecha y el responsable.
Ejemplo: Se retira un switch de una planta que fue modernizada. Se desconecta, se elimina su configuración, se almacena y se conserva el registro en el inventario.
¿Por qué tanto detalle?
Porque cada paso, cada firma y cada registro es una red de seguridad. Cuando llegue una auditoría o ocurra un incidente, sabrás quién hizo qué, cuándo y cómo. La trazabilidad no es opcional.
Así termina el ciclo de los ciberactivos. Un proceso que, cuando se sigue con disciplina, asegura no solo el cumplimiento normativo, sino también la tranquilidad de todo el equipo. Porque en ciberseguridad, cada alta, cada cambio y cada retiro puede ser la diferencia entre la continuidad operacional… o una crisis innecesaria.
¿Tu organización está preparada? En Codevsys ayudamos a empresas de todos los tamaños a entender y aplicar estas leyes, diseñar sus políticas, entrenar a sus equipos y fortalecer su seguridad digital. Contáctanos para una evaluación inicial sin costo.