| Summary: | El presente trabajo analiza el sistema de la seguridad de la información de un Sistema de Supervisión, Control y Adquisición de Datos (SCADA) y las Unidades Terminales Remotas (RTU) para la Gestión de Energía Eléctrica de una Central Hidroeléctrica que aporta aproximadamente con el 25 % de Energía Eléctrica al sistema nacional interconectado (SNI) del Ecuador.
Los sistemas SCADA, por su concepción inicial, fueron aislados y utilizan protocolos de comunicación industriales que carecen de algoritmos de cifrado de datos, sin embargo, cada vez aumenta la necesidad que la información almacenada en su base de datos sea consultada por sistemas externos o de terceros, así como la necesidad de habilitar el acceso remoto para soporte externo. Estos factores que provocan que el sistema SCADA mantenga conectividad con la red corporativa de la organización.
En este sistema SCADA y las RTU se realizó un análisis de su plataforma tecnológica, una evaluación basada en las normas internacionales de seguridad ISO 27001/27002, NIST 800-53 y NER CIP; análisis de riesgo y pruebas de penetración. Esta metodología permitió determinar las debilidades y fortalezas del sistema, con el propósito de diseñar una política de seguridad ajustada a este sistema de producción, que permita protegerlo de amenazas externas e internas que pueden provocar un fallo parcial o total del sistema, afectando directamente a los elementos críticos que influyen sobre la producción de la Central Hidroeléctrica analizada.
Para mantener la seguridad de los activos de información de un sistema SCADA, por los riesgos existentes, es importante analizar sus vulnerabilidades y presentar soluciones prácticas, aplicables y ajustadas a su realidad e importancia. Por tal motivo la política de seguridad de la información debe ser actualizada de forma periódica.
|
|---|