Politica Integral de Seguridad Coordinador Electrico Nacional PDF
Politica Integral de Seguridad Coordinador Electrico Nacional PDF
Politica Integral de Seguridad Coordinador Electrico Nacional PDF
1. Introducción 3
2. Objetivo 3
3. Alcance 3
4. Definiciones 4
5. Principios Básicos 6
6. Gobierno de Seguridad, Roles y Responsabilidades 6
7. Modelo Integral de Seguridad 7
8. Lineamientos de la Política de Seguridad 8
9. Infraestructura Crítica Error! Bookmark not defined.
10. Evaluación y Seguimiento de la Política 9
11. Difusión y Comunicación 9
12. Vigencia y Aprobación 9
2
1. Introducción
El Coordinador Eléctrico Nacional, en adelante Coordinador, como organismo autónomo de derecho público, técnico
e independiente, debe velar por una operación segura y económica del conjunto de instalaciones del sistema eléctrico
que operan interconectadas entre sí, permitiendo de esta forma abastecer de energía al país y sus habitantes.
En este contexto, y en particular considerando el rol de coordinación de la operación del Sistema Eléctrico Nacional,
en adelante SEN, el Coordinador requiere garantizar la continuidad operacional de todos sus procesos, por lo que
resulta clave el crear, mantener y propiciar un ambiente que proteja todos sus Activos o Recursos de Información, de
las distintas amenazas que puedan poner en riesgo el funcionamiento e integridad de sus instalaciones, plataformas
y herramientas, así como de los activos de datos e información que utiliza el para el cumplimiento de las funciones
que le asigna la Ley General de Servicios Eléctricos (LGSE).
2. Objetivo
3. Alcance
Esta política aplica a toda la organización, siendo responsabilidad del Consejo Directivo, la Dirección Ejecutiva,
Gerencias y todo el personal del Coordinador, dar cumplimiento a los lineamientos establecidos en ella. Asimismo,
esta política aplica a todos los activos asociados con la creación, monitoreo, recolección, procesamiento y
almacenamiento de datos (señales y de control) e información, así como a toda la infraestructura crítica del
Coordinador. Finalmente, el conocimiento de las personas en materias propias del quehacer del Coordinador y según
el rol organizacional es considerado un activo más de información y está sujeto a los lineamientos de la presente
Política Integral de Seguridad.
Las políticas, procedimientos, manuales u otros documentos que apoyen la gestión de seguridad de la información,
ciberseguridad e infraestructura crítica ya existentes en el Coordinador y los que se establezcan en el marco de esta
Política Integral de Seguridad serán aplicables a terceros que se vinculen con esta política, en el contexto del uso,
implementación, suministro o desarrollo de activos o recursos de información, así como en lo referido a la
infraestructura crítica del Coordinador, sea esta interacción de forma presencial o remota.
1
Oficio Ordinario N°5778, de la Superintendencia de Electricidad y Combustibles, de Septiembre de 2020.
3
4. Definiciones
Para efectos de la presente Política, los términos definidos a continuación se utilizarán en el sentido de las
definiciones que se establecen a continuación:
• Ciberseguridad: Condición de estar protegido en contra de consecuencias físicas, digitales o de otro tipo que
resultan del fallo, daño, error, accidentes, perjuicios o cualquier otro evento en el ciberespacio que se pueda
considerar no deseable.
• Clasificación de la Información: Es el proceso bajo el cual se identifica la importancia que cada dato o
información tiene para el Coordinador, en función del posible daño que puede producir al Coordinador, si la
información es mal utilizada o divulgada sin autorización. Se reconocen cuatro categorías de clasificación:
• Pública: no se producen daños si la información es utilizada o conocida fuera del Coordinador.
• Uso Interno: no se producen daños si la información es utilizada o conocida dentro del ámbito del
Coordinador, pero sí puede existir daño si es utilizada o conocida por terceros al exterior de la
organización.
• Confidencial: se producen daños si la información es conocida fuera del Coordinador, sin su
autorización.
• Sensible: datos o información que requiere autorización explícita del Comité de Seguridad para su
utilización, uso o intervención.
• Ciberespacio: Entorno complejo que resulta de la interacción de personas, software y servicios en internet
por medio de dispositivos y redes de tecnología conectados a éste, los que no existen en forma física.
2
Los activos que forman la infraestructura crítica del Coordinador se detallan en el Anexo de esta política.
4
• Activo de Información: Comprende las instalaciones físicas y/o cualquier elemento, equipamiento, red,
instrumento, aplicación, plataforma o tecnología utilizada para los procesos que permiten la continuidad
operacional del Coordinador, cuya afectación, degradación, denegación, interrupción o destrucción podría
impedir la continuidad y seguridad operacional del sistema eléctrico y el cumplimiento de la función de
operador de red y de mercado eléctrico del Coordinador.
• Entidad Responsable: Se refiere a las empresas Coordinadas (o Coordinados), al Coordinador, y a todo otro
organismo al cual le apliquen los requerimientos establecidos en el presente estándar.
Los incidentes que comprometan o interrumpan Ciber Sistemas o perímetros de seguridad según se indica
en los puntos anteriores, se deberán reportar como ICR, produzcan o no interrupción a los coordinados del
SEN, con la periodicidad y tiempos definidos en el Protocolo de Notificación de Incidentes de Ciberseguridad
para el Sector Eléctrico3.
• NERC CIP: North American Electric Reliability Corporation - Critical Infrastructure Protection.
• CSIRT: Computer Security Incident Response Team, Equipo de Respuesta ante Incidencias de Seguridad
Informáticas.
3
Protocolo-de-Notificacion-de-Ciberincidentes.pdf (coordinador.cl)
5
5. Principios Básicos
El Coordinador se encuentra sometido a diversos riesgos inherentes en las actividades que desarrolla, que pueden
impedir o limitar el logro de sus objetivos y ejecutar sus estrategias con éxito. Toda actuación dirigida a controlar y
mitigar los riesgos cibernéticos que afecten la disponibilidad, integridad y confidencialidad de la información y de su
infraestructura crítica y no crítica, se regirá por los siguientes principios básicos.
Las instancias formales a través de las cuales el Coordinador ejerce el gobierno de la Seguridad de la Información,
Ciberseguridad e Infraestructura Crítica, son las siguientes:
6
ii. Comité de Seguridad de la Información, Ciberseguridad e Infraestructura Crítica:
Esta Política Integral de Seguridad se basa en la normativa vigente aplicable, principalmente en el Estándar de
Ciberseguridad para el Sector Eléctrico de Chile. Además, serán referencias complementarias para este modelo la
familia de normas ISO/IEC 27000 y NIST, las cuales en su conjunto entregan las bases del Sistema de Gestión de
Seguridad de la Información; e ISO 22301 del Plan de Continuidad del Negocio (BCP), que tendrán como finalidad
fortalecer la resiliencia del Coordinador.
7
8. Lineamientos de la Política de Seguridad
• El Coordinador mantendrá debidamente actualizado un catálogo con los activos o recursos de información
de la organización, en base a criterios definidos en el Estándar.
• Los recursos de información del Coordinador definidos como críticos deberán ser protegidos de cualquier
riesgo o amenaza, física o informática, que afecte su funcionamiento y/o la obtención de los resultados
esperados por el Coordinador.
• La Seguridad de la Información deberá ser un elemento esencial para tener en consideración en el diseño,
implementación, operación y mantenimiento de los procesos, sistemas, redes y servicios del Coordinador,
tanto para aquellos de uso interno como para los ofrecidos por el Coordinador a la Autoridad, Coordinados,
o terceros.
• Todo el personal del Coordinador, sin excepción, es personalmente responsable por la custodia y protección
de los activos o recursos de Información que utiliza en el desempeño de sus funciones.
• El personal sólo tendrá acceso a los activos y recursos de información sensible que sean estrictamente
necesarios para el cumplimiento de sus funciones.
• Las tareas, funciones, actividades, procesos y sistemas que se relacionen o afecten plataformas críticas, datos
o información, en particular información sensible, deberán contar con etapas o niveles de
revisión/autorización que aseguren una clara definición de responsabilidades desde el punto de vista de
Seguridad de la Información, de manera de garantizar el acceso confiable a los datos o información que
requiere el personal del Coordinador para el desarrollo de sus funciones.
• El Coordinador protegerá los datos e Información, clasificándolos conforme a su importancia en cuanto a los
efectos negativos que pueda producir para la continuidad operacional y prestigio del Coordinador, el uso
malicioso o errado de estos datos e información, velando especialmente por su disponibilidad, integridad y
confidencialidad.
• El Coordinador tendrá procedimientos de contingencia establecidos y probados para procurar la Seguridad
de la Información y su continuidad operacional, en caso de ocurrir un desastre que afecte la integridad,
disponibilidad y confidencialidad de esta.
• Los Activos o Recursos informáticos del Coordinador sólo deberán ser utilizados para las funciones propias
del Coordinador.
• El personal del Coordinador sólo podrá utilizar elementos personales para las labores o funciones propias que
desarrolla en el Coordinador, cuando hayan sido autorizadas por el Oficial de Seguridad y siempre que
cumplan estrictamente con la presente Política Integral de Seguridad, la normativa interna de seguridad de
la información y con todas las normas internas de la organización.
• El personal del Coordinador tiene la obligación de notificar al Oficial de Seguridad ante cualquier incidente,
actividad o situación que, a su entender, pueda estar afectando la seguridad de los activos o recursos de
Información, conforme al procedimiento que se defina para tal efecto.
• Los incumplimientos a las normas internas de Seguridad de la Información, Ciberseguridad e Infraestructura
Crítica, e Incidentes de Seguridad, serán gestionados por el Oficial de Seguridad.
• El Coordinador implementará un sistema de gestión de la seguridad de la información y utilizará la Política
Nacional de Ciberseguridad, el estándar NERC CIP, u otra que establezca la normativa aplicable, como guía
de referencia para la Gestión de Seguridad de la Información al objeto de mitigar y reducir de manera efectiva
y permanente los riesgos de Seguridad de la Información.
• El Coordinador se encargará de monitorear los planes de acción de los Coordinados en materias de seguridad
de la información, de acuerdo con los requerimientos establecidos en el Estándar, así como de verificar que
8
se tomen las medidas de protección necesarias para asegurar la continuidad y seguridad de la operación, con
el objeto de resguardar la continuidad operacional del Coordinador.
• El Coordinador adherirá, en lo relativo a las funciones de Coordinación de la operación del sistema eléctrico
nacional, al estándar NERC CIP para la protección de su infraestructura crítica.
• El Coordinador se compromete a fomentar la Seguridad de la Información y proporcionar toda su
colaboración, además de proporcionar los recursos necesarios para implementar la normativa interna de
Seguridad de la Información e iniciativas que hayan sido aprobadas por el Comité de Seguridad de
Información, Ciberseguridad e Infraestructura Crítica.
Adicionalmente a lo anterior, el Coordinador definirá toda la normativa interna necesaria para cumplir con la actual
política y la normativa aplicable en materia de ciberseguridad e infraestructura critica.
La Unidad de Ciberseguridad e Infraestructura Crítica dependiente del Consejo Directivo, en conjunto con la Dirección
Ejecutiva ejercerá el rol de monitoreo de cumplimiento continuo de esta Política Integral de Seguridad.
La Unidad de Ciberseguridad e Infraestructura Crítica debe propender a que esta Política Integral de Seguridad y sus
actualizaciones sean oportunamente difundidas.
La presente política tiene vigencia a partir de 17 de agosto de 2022. Todas las modificaciones que sean efectuadas a
este documento deberán constar por escrito y entrarán en vigor una vez aprobadas por el Consejo Directivo.
9
ANEXO
Infraestructura Crítica
Edificio ENEA
• Centro de Despacho y Control Primario
• Oficinas Corporativas y su todo su perímetro.
• Network Operation Center (NOC).
• Security Operation Center (SOC).
• Sistema BMS y sistema de respaldo de energía (UPS y grupos electrógenos).
Edificio Apoquindo
• Centro de Despacho y Control Secundario
Data Centers
• Data Center Lídice II, Grupo Gtd.
• Data Center Apoquindo_Movistar
• Data Center Amunátegui_Entel
Sistemas de Telecomunicaciones
• Enlaces Principal y Respaldo TO (Data Center ENEA – Data Center Lídice _GTD)
• Enlaces Principal y Respaldo TO (Data Center ENEA – Data Center Apoquindo _Movistar)
• Enlaces Principal y Respaldo TO (CDC Apoquindo – Data Center Apoquindo_Movistar)
• Enlaces Principal y Respaldo TO (CDC Apoquindo – Data Center Lídice_GTD)
• Enlaces Principal y Respaldo TO (Data Center Apoquindo – Data Center Lídice_GTD)
• Enlaces Principal y Respaldo TI (Data Center ENEA – Data Center Amunátegui_Entel)
• Enlaces Principal y Respaldo TI (Data Center ENEA – Data Center Apoquindo_Movistar)
• Enlaces Principal y Respaldo TI (Data Center ENEA – Internet)
• Enlaces Principal y Respaldo TI (CDC Amunátegui – Internet)
• Firewall de Borde (Todos los Data Centers)
• Switch Core (Todos los Data Centers)
• Plantas telefónicas Hotlines (Data Center ENEA y Data Center Amunátegui)
• Sistema de Telefonía Público y Celular
• Sistema de Telefonía Satelital
Sistemas Críticos
• Todos los sistemas y plataformas que el Coordinador utiliza para desempeñar su rol
internamente y en interacción con el Sistema Eléctrico Nacional, por ejemplo: SCADA, Neomante,
PI, entre otros según se especifican en el Plan de Continuidad del Negocio (BCP) del Coordinador.
10