Nueva herramienta de ciberseguridad simplifica las evaluaciones de sitios

A medida que los sitios federales invierten en recursos de energía distribuida (DER) como paneles solares y baterías de respaldo, también se deben considerar las inversiones en seguridad cibernética. Más recursos energéticos crean más complejidad para administrar, presentando el potencial de nuevas vulnerabilidades cibernéticas y costos adicionales en el futuro.

Afortunadamente, hay una nueva herramienta disponible para ayudar a gestionar este riesgo: el Laboratorio Nacional de Energía Renovable (NREL) Gerente de Riesgos DER (DER-RM), una aplicación descargable que implementa y automatiza un marco ampliamente confiable para la seguridad de la información del Instituto Nacional de Estándares y Tecnología (NIST). El DER-RM, desarrollado con el apoyo del Programa Federal de Administración de Energía (FEMP) del Departamento de Energía de EE. UU., ofrece una solución fácil de usar para los sitios que deben cumplir con el marco de administración de riesgos del NIST.

«Después de dos años de arduo trabajo del equipo y una extensa investigación sobre el marco de gestión de riesgos NIST 800-37, estamos muy emocionados de lanzar la versión beta de esta herramienta», dijo Tami Reynolds, líder del proyecto de seguridad cibernética de NREL. «El marco NIST de siete pasos es un proceso integral que ayuda a las organizaciones a administrar la seguridad de la información y el riesgo de privacidad, pero no fue diseñado específicamente para tecnologías operativas como la energía distribuida. El DER-RM ofrece este servicio para organizaciones que buscan adoptar tecnologías más renovables y sistemas de energía distribuida”.

El cumplimiento a menudo requiere evaluaciones cíclicas que consumen mucho tiempo, que el DER-RM agiliza. Además del cumplimiento de NIST, el diseño del DER-RM fue informado por NREL previamente desarrollado Marco de Ciberseguridad DER (DER-CF), una herramienta de evaluación cibernética que proyecta una red más amplia, evaluando múltiples dominios de la seguridad de un sitio, como su gobierno cibernético, la gestión técnica ciberfísica y la seguridad física. Ambas aplicaciones guían a los usuarios a través de preguntas personalizadas para crear un perfil de su sistema de energía, que luego se evalúa, califica y mejora con recomendaciones únicas.

«DER-RM proporciona un proceso simplificado para completar y generar informes asociados para lograr el cumplimiento, mientras que DER-CF es una aplicación híbrida flexible que permite la implementación de prácticas fundamentales de ciberseguridad», dijo Anuj Sanghvi, investigador de ciberseguridad y líder técnico de la proyecto. «Para las organizaciones que comienzan a evaluar la postura de seguridad cibernética para sus activos de generación distribuida, la aplicación DER-CF juega un papel vital para incorporar los sistemas DER a las empresas federales».

Además del lanzamiento de DER-RM, el equipo de NREL lanzó recientemente una serie de módulos de capacitación sobre la herramienta de evaluación más fundamental, DER-CF, a través del portal de capacitación acreditado de FEMP.

Fácil cumplimiento para controles y comunicación.

Para la gestión de riesgos, el DER-RM se basa en el marco NIST orientado a los controles, que es obligatorio para las agencias federales y muchas otras organizaciones. La herramienta brinda específicamente orientación para ayudar a las organizaciones a obtener una Autorización para operar (ATO), que permite a las instalaciones documentar y sopesar los riesgos que el sistema presenta para el personal, las operaciones y otras organizaciones de una organización. Con una aprobación de ATO, los funcionarios autorizadores aceptan los riesgos involucrados, y el plan para mitigarlos, al integrar el sistema en las redes federales.

Los usuarios pueden ingresar la información de su sistema, que el DER-RM evalúa aplicando ataques comunes de ciberseguridad y probando la defensa del sistema. Los usuarios también pueden cargar sus archivos de datos de control directamente, que DER-RM verifica para el cumplimiento de NIST e informa dónde se necesitan los pasos de gestión de riesgos. Debido a que el marco del NIST requiere evaluaciones continuas, el DER-RM ahorra mucho tiempo para mantener el cumplimiento.

«El DER-RM utiliza tantos componentes dinámicos como sea posible para proporcionar una experiencia verdaderamente personalizada para el usuario», dijo Ryan Cryar, desarrollador principal de DER-RM y DER-CF. «Al utilizar el Lenguaje de evaluación de controles de seguridad abiertos de NIST, u OSCAL, tenemos un esquema único que nos permite desarrollar un modelo de datos centralizado para importar y exportar más fácilmente desde diferentes herramientas para una experiencia de usuario más personalizada. No hay dos evaluaciones iguales. «

Tanto el DER-RM como el DER-CF están disponibles sin costo, con una interfaz de usuario accesible y la opción de anonimizar a los usuarios. Para las organizaciones que requieren el cumplimiento de la seguridad cibernética, estas herramientas ofrecen un enfoque rápido y fácil de usar para alinearse con varios marcos y mejores prácticas de seguridad cibernética. Para las organizaciones que simplemente están interesadas en mejorar la seguridad de sus instalaciones y DER, DER-RM y DER-CF ofrecen soluciones accesibles con un enfoque único en DER, lo que permite a las organizaciones continuar con la evolución de sus sistemas de energía y mantenerse a la vanguardia de la amenaza cibernética. .

---

---