gestión del ciber-riesgo en el sector de energía eléctrica · para gestionar el ciber-riesgo en...

Gestión del ciber-riesgo en el sector de energía eléctricaNuevas amenazas a los sistemas de control industrial y cadena de suministro

Steve Livingston, Suzanna Sanborn, Andrew Slaughter y Paul Zonneveld

2 |

Gestión del ciber-riesgo en el sector de energía eléctrica. Nuevas amenazas a los sistemas de control industrial y cadena de suministro

e considera que la red de plantas de energía y cableado eléctrico que conecta hogares y empresas es una de las infraestructuras más vitales en el mundo, especialmente en economías desarrolladas. También es una de las más frecuentemente atacadas, con consecuencias que podrían ir más allá del sector energético1. Muchos países del mundo han clasificado a la infraestructura eléctrica como vital para el funcionamiento de la sociedad. El gobierno estadounidense califica a la energía como uno de los 16 sectores fundamentales de infraestructura considerados tan vitales que “su inhabilitación o destrucción tendría un efecto debilitante sobre la seguridad, la seguridad económica nacional y la integridad o salud pública nacional”.2 En particular, el sector energético se considera singularmente importante por la “función facilitadora” que brinda a todos los sectores de infraestructura crítica.3 Si hubiera un corte de energía en una amplia región durante un período prolongado, los sistemas altamente dependientes, como las redes financieras, de comunicaciones, de transporte, de agua y de desagüe, se verían gravemente afectados y dejarían a la población inmóvil, incomunicada y en la oscuridad. En una palabra, vulnerable.

El sector energético es uno de los blancos más frecuentes y de los primeros en responder a las ciber-amenazas con controles obligatorios. Pero las amenazas siguen en desarrollo y alcanzan a los sistemas de control industrial y a las cadenas de suministro, demandando así mayores esfuerzos para gestionar el riesgo.

Muchos países del mundo han clasificado a la infraestructura eléctrica como vital para el funcionamiento de la sociedad.

En este artículo, analizamos las crecientes fuentes de ciber-riesgo en el sector energético, rastreamos el desarrollo de amenazas, a los autores de amenazas y las brechas de seguridad, y que tuvieron sobre el sector energético, y debatimos los desafíos que implica atender estos riesgos. Por último, exploramos las medidas que las compañías de energía pueden tomar para gestionar el ciber-riesgo en la empresa y en la cadena de suministro.

S El creciente ciber-riesgo en el sector energético mueve el avisperoLa energía es uno de los tres sectores principales que son blanco de los ataques en Estados Unidos. Solo en 2016, el sector informó 59 incidentes (20% de un total de 290 incidentes informados ese año)4. Solo otros dos sectores superaron esa cifra: manufactura crítica y comunicaciones. Sin embargo, esto no se limita a Estados Unidos. El sector ha sido un blanco principal en Europa y Japón; en Australia se identificó como el sector con la mayor cantidad de incidentes o casi-incidentes denunciados en relación con infraestructuras críticas5. Más aún, las compañías de energía eléctrica informan un continuo bombardeo de intentos de intrusión y, aunque la mayoría fue fallida, la actividad está en aumento. El ecretario de Energía Rick Perry comentó que dichas intrusiones “suceden cientos de miles de veces al día" 6. A principios de 2018, hubo un “aumento extremo” en ciber-ataques a la red eléctrica en América del Norte7. No solo los ataques están aumentando. Las fuentes de inteligencia y los expertos en ciberseguridad informan que la cantidad de atacantes también se está incrementando y sus capacidades se están expandiendo8. Las amenazas internas por error humano, empleados disconformes o contratistas han sido una de las más comunes. Sin embargo, los estados-nación y el crimen organizado se están volviendo más activos y, lo que es más inquietante, se podrían estar entrecruzando9. Algunos creen que protagonistas de estados-nación estarían entrando en acuerdos con grupos del crimen organizado, posiblemente para garantizar la denegación10. El problema se puede ver agravado si hackers con bajo conocimiento institucional o técnico logran tener cada vez más acceso a herramientas sofisticadas en la dark web, la cual funciona fuera del internet tradicional. La Figura 1 ilustra la variedad de adversarios que pueden amenazar las redes eléctricas y la presunta gravedad de la amenaza y del impacto en Estados Unidos. Este perfil de amenazas suele cambiar con el transcurso del tiempo y de un país a otro. Uno de los vectores de ataque más comunes en el sector energético es el pishing, o ataques lanzados vía correo

3 |


electrónico en los que se pide al usuario que haga clic en un enlace que luego inyecta malware a sus sistemas, o en los que se solicitan datos personales para posibilitar el acceso no autorizado a la red. En 2017, de 226 ciber-comunicados publicados por el Centro de Análisis e Intercambio de Información de Electricidad (E-ISAC) de Estados Unidos en su portal, más del 30% involucraba pishing.11 Otros vectores comunes de ataque incluían “watering hole”, robo de credenciales, denegación de servicio y troyanos de acceso remoto.

FIGURA 1

El perfil de ciber-amenazas para el sector de energía eléctrica de EE. UU. es mayor respecto de tres protagonistas clave

Impacto

Aut

or

Los atacantes ponen el ojo en los sistemas de control industrial (ICS) y en tercerosLas compañías de energía están ya desde hace tiempo en conocimiento del creciente ciber-riesgo y fueron una de las primeras industrias en responder con requisitos para implementar controles de ciberseguridad a través de los estándares de Protección de Infraestructura Crítica (CIP) de la Corporación de Fiabilidad Eléctrica Norteamericana (NERC), iniciados en 2007. No obstante, la amenaza sigue creciendo a medida que los atacantes apuntan a los sistemas de control industrial (ICS) e intentan acceder a ellos a través de terceros en la cadena de suministro del sector industrial.

APUNTAR AL ICS BORRA EL LÍMITE ENTRE CIBER-ATAQUES Y ATAQUES FÍSICOS

Otra tendencia preocupante y creciente son los ciber-atacantes que apuntan cada vez más a los sistemas de control industrial (ICS), preparando a veces el terreno para perjudicar físicamente a la red. Antes, los atacantes apuntaban fundamentalmente a los sistemas de tecnología

de la información (IT) de servicios para robar datos o lanzar ransomware para obtener un beneficio económico. Ahora la amenaza se está volviendo aún más insidiosa, con informes de hackers vinculados a estados-nación y al crimen organizado con la intención de abrirse camino hacia los ICS de servicios, buscando aprender cómo operan los sistemas y posicionándose de modo de controlar los activos físicos críticos, tales como plantas de energía, subestaciones, redes de transmisión, y distribución, y para potencialmente interrumpirlos o destruirlos. Esta colocación de los ICS como objetivo, que se ha desarrollado durante una década, está desdibujando los límites entre el ciber-ataque y el ataque físico, lo cual hace que surjan inquietudes de seguridad nacional en muchos países. Los ataques a los ICS han crecido en alcance y en propósito en todo el mundo (figura 2). Los atacantes comenzaron sacando provecho de software desarrollado para fines legítimos, tales como Shodan y Metasploit, para hallar componentes y dispositivos conectados a internet, y para apuntar al control de supervisión y adquisición de datos (SCADA) y otros softwares de ICS. Una amenaza común es que se sabe o se sospecha que estos ataques han sido llevados a cabo o respaldados por estados-nación con otros objetivos

Fuente: Análisis de Deloitte.

4 |


FIGURA 2

Fuente: Análisis de Deloitte; Hank Kenchington, estrategia para la ciberseguridad del sector de energía del DOE, Departamento de Energía de EE. UU., Septiembre 14, 2018, p. 7; nuevos informes.

políticos, y esa actividad parece ir incrementándose. Durante un ataque particularmente perturbador dirigido a los ICS en 2007, un virus llamado Trisis o Triton penetró los sistemas de seguridad de una planta petroquímica saudí. Las investigaciones revelaron que el ataque, que se frustró sólo debido a un error en el código informático, estaba probablemente dirigido a causar una explosión que podría haber causado muertes o herido a personas.12

En este contexto de aumento de amenazas a las redes eléctricas de todo el mundo, hay una creciente fuente potencial de ciber-vulnerabilidad: la modernización de las redes de energía. A pesar de los avances ilimitados que se podrán obtener a partir de la digitalización y modernización de la red, esto también puede incrementar la “superficie de ataque” del servicio, o la cantidad de rutas que los hackers pueden aprovechar para ingresar a los sistemas. A medida que las redes se vuelven más “inteligentes” con la incorporación de dispositivos y tecnologías de información y comunicaciones, las redes se van vinculando, el sistema adquiere complejidad y aumenta la cantidad de puntos de acceso. Además, cuando los servicios introducen software y tecnologías de la información de uso más común en sus operaciones, sus sistemas pueden volverse más accesibles para los adversarios. Y cuando las funciones se automatizan cada vez más, el impacto de un ataque se magnifica potencialmente. En conjunto, todos estos factores significan una mayor vulnerabilidad.

FIGURA 2FIGURA 2

5 |


TAN FUERTE COMO SU ESLABÓN MÁS DÉBIL: EL CIBER-RIESGO DE LA CADENA DE SUMINISTRO

Las compañías de energía solían considerar el ciber-riesgo en términos de la vulnerabilidad de los sistemas de TI, es decir, software, hardware y tecnologías que procesan datos y otra información, o bien de los sistemas de redes operacionales (OT), es decir, software, hardware y tecnologías que ayudan a supervisar y controlar dispositivos físicos, bienes y procesos, incluido los ICS. En los últimos años, sin embargo, ambos sistemas han ido convergiendo al tiempo que las compañías digitalizan y construyen la versión del “internet de las cosas industrial” perteneciente al sector energético, incluida la “red inteligente”. Y por más desafiante que pueda ser para las compañías de energía identificar sus propios activos vitales y protegerlos, el reto parece estar expandiéndose exponencialmente dado que el mundo interconectado de hoy también les exige asegurar cadenas de suministro mundiales que son cada vez más complejas, vastas y remotas.

Las compañías de energía les compran información, hardware, software, servicios y otras cosas a terceros de todo el mundo. Los autores de las amenazas pueden introducir componentes peligrosos en un sistema o red, involuntariamente o por diseño, en cualquier punto del ciclo de vida del sistema. Esto puede ser a través de la descarga de actualizaciones de software o “parches”, o a través de firmware que se puede manipular para incluir códigos maliciosos para un futuro aprovechamiento. Los adversarios pueden también comprometer el hardware que instalan las empresas en sus sistemas operativos.13

Los autores de las amenazas pueden introducir comonentes peligrosos en un sistema, involuntariamente o pordiseño, en cualquier punto del ciclo de vida del sistema.

En el ataque que casi provoca una explosión y víctimas fatales en una planta petroquímica saudí en 2017 (figura 2), el virus Trisis o Triton se introdujo de manera remota a través de una marca de controladores utilizados en unas 18.000 plantas industriales en todo el mundo.14 Estos controladores cumplen funciones de seguridad tales como regular el voltaje, la presión y las temperaturas en las plantas nucleares y de tratamiento de agua, en refinerías y en plantas químicas. El objetivo del virus era interrumpir esas funciones en la planta. Los

investigadores sugieren que, si bien este malware no es altamente escalable, el método de ataque ofrece una guía para quienes buscan corromper equipos similares en algún otro lugar del mundo.15

Para analizar aún más esta amenaza, la figura 3 examina tres ciber-ataques recientes que se originaron en la cadena de suministro y afectaron al sector energético. Dos de ellos apuntaron específicamente al ICS y el tercero, a los sistemas de IT. Llamativamente, los tres estaban empeñados en una potencial interrupción del servicio futura o inmediata más que en el beneficio económico.

6 |


FIGURA 3Tres ciber-ataques demuestran la amenaza al sector energético a través de la cadena de suministro

DEL ATAQUEHackers violaron los ICS de una planta en EE. UU. y otros varios socios de la cadena de suministro (2016–17)

Dragonfly, aka Energetic Bear16

VECTOR• Los atacantes alteraron sitios web industriales comúnmente visitados (ataques “watering hole”) con el fin de diseminar contenido

malicioso, recoger credenciales de visitante (contraseñas) y usarlas para lanzar ataques a socios de confianza.• Más tarde obtuvieron acceso a los proveedores de servicios de TI y a las redes corporativas de TI de la planta, y buscaron

documentación que facilite violar los firewall de los ICS.17

IMPACTO• Accedieron a cientos de ICS de plantas y otras instalaciones industriales en Estados Unidos, Turquía y Suiza.18

• Se realizó reconocimiento; evaluación del diseño del sistema de control, capacidades, y vulnerabilidades.19

• Se copiaron información de configuración y pantallas de interfaz.

CONSECUENCIASLos investigadores creen que el persistente y capacitado autor del ataque Dragonfly está respaldado por un estado-nación que estaba reuniendo información y posiblemente preparaba el terreno para ataques futuros.Estas brechas de seguridad y sus repercusiones preocupan mucho a los expertos en seguridad nacional.20

EJECUTOREl ataque a un pequeño proveedor de servicios en la nube afectó a los sectores de gas natural, petróleo y energía eléctrica (Abril 2018)21

Desconocido o no revelado

VECTOR• El vector no fue revelado, pero los analistas sugieren que pudo haber sido ransomware, y que los atacantes congelaron las

computadoras de la empresa y exigieron a cambio un pago por la clave para desencriptar los archivos.22

IMPACTO• Al menos cinco empresas de gasoductos de gas natural interrumpieron las comunicaciones electrónicas, demorando así el seguimiento

y la programación de los pasos de gas.23

• Algunos grandes proveedores de energía cortaron los enlaces con la plataforma que les brinda información de precios y modelos de demanda para las transacciones de electricidad y facturas estimadas emitidas. • Algunos proveedores emitieron facturas tarde y otros se arriesgaron a subestimar o sobrestimar el monto de la compra de energía para los clientes.

CONSECUENCIASNo se interrumpió el flujo de gas o electricidad, pero se destacó la interdependencia entre ambos sectores y la vulnerabilidad respecto de la diseminación a través de un ataque en la cadena de suministro.Se puso de relieve la importancia de la planificación y preparación para interrupciones de la cadena de suministro debido a ciber-ataques.Tales sistemas de intercambio de información (EDI) podrían permitir a los atacantes saltar desde la red de TI a los ICS24.

EJECUTOREl ataque NotPetya paralizó las operaciones de la compañía en varios sectores, lo cual tuvo un costo de al menos US$10 mil millones en daños en todo el mundo (primavera 2017)25

Actor financiado por el estado

VECTOR• Los atacantes hackearon los servidores de un proveedor de software contable ucraniano y enviaron actualizaciones corruptas de

software a los clientes de todo el mundo. El malware infectado imitó un ransomware a través de la encripción de archivos, pero no exigió dinero a cambio.

IMPACTO• El ataque infectó, al menos, seis plantas eléctricas locales y saltó a sucursales ucranianas de varias compañías mundiales importantes.• Se expandió por todo el mundo y provocó la interrupción de operaciones en el sector del transporte, farmacéutico, de la construcción y de bienes de consumo, entre otros. • Los camiones quedaron detenidos en los puertos, las mercaderías se acumularon en los depósitos, disminuyeron las provisiones de vacunas importantes. • Los daños alcanzaron al menos los US$10 mil millones.26

CONSECUENCIASEste fue el primer ataque mundial de alto impacto a las cadenas de suministro, lo cual demostró el poder destructivo de un ataque de este tipo. Ataques similares podrían ser así de terribles o peores.Se demostró una nueva norma diplomática; al autor le es indiferente el daño colateral a nivel mundial. Cualquier compañía podría convertirse en un objetivo involuntario.El ataque desencadenó un arsenal hiper-virulento de guerra informática desarrollado por estados-nación.27 Las empresas y otros deberían evaluar sus vulnerabilidades ante tales ataques y considerar ocuparse de ellas.


EJECUTOR

ATAQUE

ATAQUE

7 |


Cuando se trata de reducir el ciber-riesgo en la cadena de suministro, las empresas del sector energético se enfrentan a varios desafíos. En primer lugar, la responsabilidad y propiedad cibernética de la cadena de suministro no suele caer en grupos específicos y bien definidos dentro de una compañía. Es posible que involucre a diversos departamentos, incluidos los de suministro y Compras/Procurement, seguridad de la información corporativa, nube e infraestructura, legales, IT y OT. La mayoría de los CISO no tienen control alguno sobre la cadena de suministro de la empresa, y es posible que tengan muy poco acceso a la inteligencia de ciber-riesgo de la cadena de suministro. A fin de mitigar el ciber-riesgo de la cadena de suministro, se deben establecer claramente la propiedad y la responsabilidad.

En segundo lugar, es posible que el negocio presione a los gerentes a mover cada vez más las operaciones a la nube antes de poder determinar si el proveedor está protegido. No obstante, las compañías suelen tener escasa visibilidad respecto de los procesos de gestión, del riesgo de los proveedores y de lo que dichos procesos implican para sus operaciones.28 Si se les brinda el tiempo suficiente, pueden analizar el potencial impacto de un ciber-ataque y trazar, planificar y elaborar soluciones resilientes. Esto se debería hacer antes de mover las operaciones a la nube, especialmente los sistemas de datos y gestión de energía que podrían afectar la confianza si fueran hackeados.

Otro desafío frecuente es la falta de mano de obra, particularmente dada la abrumadora cantidad de proveedores que se deberían evaluar. Un estudio de 20 empresas de servicios públicos de gas y electricidad en América del Norte reveló que las plantas contaban con un promedio de 3,647 proveedores activos en total, 39 relaciones estratégicas y 140 proveedores que representaban el 80% de su inversión externa total.29 Es posible que las compañías no puedan tener acceso a algunos proveedores, y que algunos proveedores no puedan o no estén dispuestos a adoptar prácticas de seguridad. Además, ciertos tipos de potenciales ciber-amenazas pueden “pasar por delante” de los controles, como las actualizaciones de firmware de las cadenas de suministro. Hoy la mayoría de las compañías de energía tienen escaso control sobre lo que hacen los proveedores; apenas están comenzando a hacer que los proveedores tomen conciencia y asuman responsabilidad, y a exigirles integridad.

Aún así, hay esperanza. Existen diversas medidas que las compañías pueden tomar para hacer frente al ciber-riesgo, especialmente en la cadena de suministro.

Gestión del ciber-riesgo en la empresa y en la cadena de suministro: Nuevas medidas

La primera medida a tomar en cuenta en la reducción del ciber-riesgo en la empresa es identificar y ubicar bienes y sus conexiones, y priorizarlos según su importancia. Lo siguiente es determinar si las redes y los bienes vitales tienen vulnerabilidades conocidas de las que se pudieran aprovechar. Un ejemplo sería una red de sistemas de control con una contraseña codificada por defecto que esté disponible a través de una búsqueda en internet. La tercera medida es evaluar la madurez del entorno de controles en busca de amenazas de gestión proactiva. Para ello, suele ser útil usar un modelo establecido, como el modelo de madurez de ciberseguridad de Deloitte.30 El paso final sería elaborar un marco de trabajo para proteger bienes vitales que haga uso de personas, procesos y tecnología para que sea seguro, vigilante y resiliente (figura 4).

8 |


FIGURA 4Desarrollo de la madurez en ciberseguridad siendo más seguro, vigilante y resiliente

Nota: Conozca más acerca del marco de trabajo, seguro, vigilante y resiliente en Andrew Slaughter y Paul Zonneveld, An integrated approach to combat cyber risk: Securing industrial operations in oil and gas, Deloitte, Mayo 2017, pág. 8.


GESTIÓN DEL CIBER-RIESGO EN LA CADENA DE SUMINISTRO Para gestionar el ciber-riesgo en la cadena de suministro de energía eléctrica, considere comenzar involucrando a la función de Compras o Procurement de la cadena. Suele ser útil reunir a todos en la misma sala y centrarse en la buena administración. Utilice lenguaje del área Compras y obtenga evaluaciones de riesgo confiables del proveedor y ciber-inteligencia. Enfóquese en proveedores importantes primero y aparte a los que no esté usando. Entienda que los riesgos pueden “pasar por delante” de los controles, como las actualizaciones de firmware de las cadenas de suministro. Realice análisis comerciales y planificación de negocios para tener resiliencia en caso de que un ataque tenga éxito. Refuerce las prácticas de Compras

Al momento de evaluar potenciales proveedores, un objetivo clave debería ser entender la madurez y los procesos de seguridad del proveedor respecto de los productos y servicios conectados. Las compañías pueden ellas mismas llevar a cabo el análisis de riesgo de proveedores y recabar inteligencia actual, o pueden hacerlo a través de firmas y consultores en ciberseguridad especializados. A nivel del programa, concéntrese en si los procesos del proveedor adhieren a prácticas de seguridad líderes y mantienen el producto o servicio protegido una vez recibido o vendido. Tales prácticas tienden a incluir inteligencia de amenazas y gestión de parches y vulnerabilidad. A nivel del producto, enfóquese en si los procesos corporativos del proveedor incluyen en última instancia protecciones de seguridad en el diseño del producto o servicio. Para lograr esto, pida al proveedor que brinde un resumen de sus características de seguridad. Las compañías también pueden requerir que el proveedor responda un cuestionario de ciberseguridad y ofrezca evidencia de haber completado una evaluación de riesgos en seguridad.

9 |


Al momento de evaluar potenciales proveedores, un objetivo clave debería ser entender la madurez y los procesos de seguridad del proveedor respecto de los productos y servicios conectados.

Las compañías de energía también pueden considerar las siguientes prácticas para integrar la ciberseguridad en el proceso de adquisición/compras:

• Establecer los criterios para determinar las prioridades. Las compañías podrían considerar atributos tales como dependencia a gran escala donde la confianza es fundamental o cuando se usan grandes cantidades del producto.

• Generar y socializar información a recabar antes de la adquisición. Las evaluaciones pueden variar de simples listas de control basadas en atributos a evaluaciones integrales de control basadas en necesidades e iniciativas de seguridad exclusivas.• Usar la adquisición y las ventas para abrir el diálogo con proveedores de servicios. Los fabricantes de productos y proveedores deservicios son más propensos a involucrarse por completo cuando Compras inicia la conversación.• Asegurarse de que se involucren las personas indicadas y que tengan propiedad del proceso. Deben involucrarse el fabricante pertinente del producto y los especialistas en la materia del proveedor de servicio (como ingenieros) para ofrecer sus perspectivas.• La integración, la automatización, las herramientas y la escala del proceso pueden aumentar la eficiencia. La compra organizacional, la colaboración interfuncional, las herramientas y las eficiencias de aprendizaje pueden reducir significativamente el costo y el tiempo necesarios para integrar la ciberseguridad y la adquisición.

Existen muchas otras medidas que las compañías de energía pueden implementar para reforzar las prácticas de Compras. Una práctica cada vez más común es requerir una lista de materiales (BOM) del software, o análisis de composición, para realizar el seguimiento de los componentes de software en un sistema a través de la cadena de suministro para revelar potenciales problemas. Esto generalmente exige la revelación de componentes del software comercial y de código abierto de terceros así como cualquier defecto detallado en las bases de datos públicas de referencia.31

COMPROMISO CON COLEGAS DE LA INDUSTRIA Y AGENCIAS GUBERNAMENTALES

Para una mejor gestión del ciber-riesgo de la cadena de suministro y de la empresa, considere ir más allá de los esfuerzos empresariales individuales. Esto puede significar ayudar a desarrollar estándares de la industria y programas de certificación, intercambiar inteligencia de amenazas con colegas y agencias gubernamentales, y probar nuevas tecnologías y procesos innovadores.

Ayudar a desarrollar estándares y programas de certificación Considere comprometerse con colegas de la industria y agencias del gobierno para trabajar en reducir el ciber-riesgo en el sector energético a nivel local, nacional, regional y mundial. Participe en los esfuerzos de establecer estándares nacionales e internacionales o únase a iniciativas para establecer marcos de trabajo en común a fin de reducir el ciber-riesgo a nivel mundial. Colabore con colegas y agencias del gobierno para intercambiar inteligencia respecto de amenazas y vulnerabilidades. Participe en ejercicios locales, nacionales y mundiales de ciberseguridad, como GridEx de la Corporación de Fiabilidad Eléctrica Norteamericana (NERC) o EarthEx del Consejo de Seguridad de Infraestructura Eléctrica (EIS).32 Por último, manténganse al corriente de las tecnologías y los procesos innovadores en desarrollo para la gestión del ciber-riesgo. A fin de involucrarse en el establecimiento de estándares mundiales, póngase en contacto con organizaciones como la Sociedad Internacional de Automatización (ISA) y la Comisión Electrotécnica Internacional que estableció la serie IEC-62443 de estándares de ciberseguridad multi-industria para los sistemas de automatización y control industrial (IACS).33 Se está desarrollando un conjunto de estándares de OT comúnmente aceptados porque, si bien la mayoría de los sistemas de IT permiten que el usuario implemente una amplia variedad de software, los dispositivos y sistemas de OT pueden no ser compatibles con otros sistemas de software. Estos estándares se aplicarán a los sistemas de hardware y software tales como SCADA, sensores electrónicos en red y sistemas de monitoreo y diagnóstico, así como interfaces internas asociadas de red, humanas o de máquina.34

10 |


EL SECTOR ENERGÉTICO ESTÁ A LA CABEZA DE

QUIENES DEBEN REDUCIR EL CIBER-RIESGO,

INCLUIDA LA CADENA DE SUMINISTRO

Los estándares de fiabilidad de Protección de Infraestructura Crítica (CIP) de la Corporación de Fiabilidad Eléctrica Norteamericana (NERC) puso al sector energético al frente del establecimiento de regulaciones para reducir el ciber-riesgo. Los estándares NERC-CIP se convirtieron en un requisito legal para los generadores de sistemas eléctricos (BES), propietarios, operadores y usuarios en 2007. En 2018, NERC agregó un nuevo estándar (NERC-CIP 013) y modificó dos estándares existentespara hacer frente al ciber-riesgo de la cadena de suministro. Sin embargo, los estándares NERC-CIP aplican sólo a entidades y compañías de generación de energía de alto y medio impacto y no a sus proveedores o vendedores, o a entidades de bajo impacto, lo cual deja a otros sistemas y bienes ante un potencial riesgo si no se toman cartas en el asunto.35

Otra opción es aunar esfuerzos para elaborar marcos de trabajo integrales que ayuden a proteger hardware, software y redes vitales de ciber-amenazas. Por ejemplo, Siemens se unió en colaboración con la Conferencia de Seguridad de Múnich y otros socios gubernamentales y comerciales (incluidas las compañías de energía mundiales AES Corporation y Enel SpA) para lanzar la iniciativa Charter of Trust (Carta de confianza).36 La iniciativa exige normas y estándares obligatorios para garantizar la ciberseguridad y la digitalización avanzada. Alienta a los socios de negocios y comercialización para que implementen procedimientos de identificación más sólidos para el acceso a redes, aumenten el uso de encripciones y firewall, se comprometan al monitoreo continuo y a la protección anti-virus, y usen estándares internacionales, como IEC 6244337

Existen también diversos esfuerzos de certificación en camino. Una es la iniciativa de la Comisión Internacional de Certificación de Ciber-productos, que busca crear un mecanismo centralizado impulsado por la industria para certificar productos de hardware y software y brindar un proceso de validación sostenido.38 Otro es el programa de la Agencia Europea de Seguridad de la Redes y de la Información para crear un marco de trabajo de certificación orientado a la seguridad de la tecnología de la información y la comunicación.39 Los grupos como la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) brindan actualmente estándares y certificación para productos y procesos de IT y IACS a nivel mundial, y han estado desarrollando estándares relacionados con la ciberseguridad. Entre las muchas otras iniciativas, Eaton está colaborando con la compañía mundial de certificación y consultoría en seguridad Underwriters Laboratories para ayudar a establecer criterios de ciberseguridad medibles para productos y sistemas de gestión de energía.40

Independientemente del marco de trabajo y de losesquemas de certificación en ciberseguridad que se adopten, las empresas están en busca de una participación amplia e incluso obligatoria con colegas a nivel mundial para evitar que cualquier incentivo

saque ventaja competitiva a través del incumplimiento. En última instancia, para que estos esfuerzos rindan frutos, los clientes necesitarían entender el valor de la ciberseguridad y estar dispuestos a pagar por ella. Después de todo, el costo de no proteger la red será probablemente mucho más alto.

Intercambio de inteligencia de amenazas con colegas y agencias de gobierno La colaboración respecto de la inteligencia de amenazas y la respuesta a incidentes implica intercambiar información acerca de las ciber-amenazas, las amenazas físicas y las vulnerabilidades en la red. Muchos países han puesto en marcha centros de análisis e intercambio de información (ISAC) como E-ISAC administrado por el NERC. El E-ISAC busca impulsar las capacidades de respuesta de la industria a través de la recolección, el análisis y el intercambio de datos, la coordinación de la gestión de incidentes y la comunicación de estrategias de mitigación. El grupo también gestiona una asociación público-privada llamada Programa de Intercambio de Información de Riesgos de Ciberseguridad, la cual colabora con los socios del sector energético para compartir información de amenazas y desarrollar herramientas para ayudar a proteger infraestructura crítica. Algunos países también cuentan con equipos de respuesta a incidentes de seguridad informática y equipos de respuesta a emergencias informáticas para el sector energético. El Departamento de Seguridad Nacional, el Departamento de Energía (DOE) y las agencias de inteligencia de EE. UU. buscan mejorar la coordinación y acelerar el intercambio de inteligencia práctica sobre ciber-amenazas y vulnerabilidades con la industria.41 Aparte de las fuentes de inteligencia gubernamentales, las consultoras en ciberseguridad privadas, cuyo personal está frecuentemente formado por analistas de inteligencia, pueden ofrecer monitoreo de ciber-amenazas y vulnerabilidad en tiempo real a compañías de energía. Algunas incluso realizan evaluaciones de riesgo de proveedores y proveen inteligencia continua de amenazas de terceros.

11 |


INNOVAR E IMPLEMENTAR NUEVASTECNOLOGÍAS PARA GESTIONAR EL CIBER-RIESGO

La innovación está al frente de la búsqueda que emprenden las compañías de energía y sus proveedores para reducir el ciber-riesgo en la cadena de suministro. Los laboratorios de investigación de gobiernos, universidades y del sector privado están desarrollando nuevas herramientas y tecnologías para ayudarlos en ese sentido. Las iniciativas pueden involucrar el rediseño de dispositivos, componentes y procesos. Por ejemplo, algunos proveedores están automatizando la manufactura para reducir el riesgo asociado a la intervención humana. O están implementando nuevos programas de seguimiento y rastreo para establecer el origen a través de la captura de la identidad “as built” (tal como fue construida) del componente y su vinculación con información de la fuente. Muchos dispositivos ahora contienen chips informáticos que se pueden rastrear por escaneo y auditoría a lo largo de su ciclo de vida. Esto puede ayudar a las compañías a explorar maneras de reducir el ciber-riesgo, procesar datos de manera más eficiente y archivar esos datos de forma segura usando blockchain (consulte el recuadro).

BLOCKCHAIN PUEDE RASTREAR COMPONENTES A LO LARGO DE LA CADENA DE SUMINISTRO

Descrito con frecuencia como un registro contable distribuido y automático, la tecnología de blockchain se puede usar para rastrear una transacción o seguir el trayecto físico de un componente a través de cada etapa de su ciclo de vida, traduciéndolo a un código que provee un registro digital preciso e inmutable de dónde estuvo y de quién pudo haber tenido acceso a él. A fin de evitar los casi constantes ciber-ataques, Estonia ha digitalizado la mayoría de las operaciones gubernamentales y las ha colocado en blockchain.42 Los protocolos de encripción de la tecnología permiten que los datos se re-encripten más rápido de lo que los hackers pueden interceptarlos, brindando así una red de seguridad virtual que hasta el momento no ha sido hackeada. Blockchain puede hacer que el procesamiento en la nube sea más seguro ya que crea nodos descentralizados que contienen copias de todos los datos en el ecosistema. Se hace más difícil alterar cualquier registro porque cada uno existe en varios lugares.

En Estados Unidos, el DOE, sus laboratorios y socios de investigación están desarrollando herramientas y tecnologías para ayudar a identificar el funcionamiento malicioso en hardware, firmware o software de componentes a lo largo de la cadena de suministro.43 Los investigadores ya han desarrollado maneras de: controlar y detectar tráfico sospechoso, intrusiones y anomalías

en las redes; detectar ataques provenientes del interior de una red, datos falsificados y comandos maliciosos; y reconocer amenazas emergentes y desarrollar respuestasen tiempo real. Una herramienta útil para implementar contra amenazas a la cadena de suministro examina cómo operará un archivo ejecutable sin ejecutar el archivo, permitiendo a los operadores examinar nuevo software y detectar si fue alterado antes de implementarlo.44

Los investigadores están también trabajando en tecnologías para ayudar a prevenir ciber-incidentes, como las que pueden reducir la superficie del ciber-ataque al permitir el intercambio seguro de claves criptográficas para evitarel compromiso de los datos vitales del sector energético.45 También están trabajando en herramientas que podrían potencialmente evitar que se produzca cualquier ciber-actividad imprevista en un sistema de suministro de energía (evitando que haga algo fuera de lo especificado) y que luego cambie dinámicamente la configuración del sistema de control, creando un blanco móvil para ayudar a prevenir el reconocimiento e impedir la planificación del ataque.46 Tales herramientas podrían ser útiles para enfrentar amenazas tales como los ataques Dragonfly en 2017 o Energetic Bear.

USO DE ANALÍTICA Y VISUALIZACIÓN PARA AUDITAR EL PERFIL DEL CIBER-RIESGO EN TIEMPO REAL

El rol de la auditoría interna es importante para reducir el ciber-riesgo. Para ayudar a obtener visibilidad del perfil de ciber-riesgo de una compañía en tiempo real, los analistas pueden recabar datos relevantes, volcarlos en un modelo analítico y elaborar un tablero personalizado para rastrear el ciber-riesgo en tiempo real.

El escenario de ciber-amenazas del sector energético está creciendo y se está expandiendo rápidamente, con ataques más frecuentes, más cantidad y variedad de autores de amenazas, y malware y herramientas cada vez más sofisticados que están a mayor disposición y a veces indiscriminadamente desplegados. Las compañías de energía están entre los blancos más frecuentemente atacados, cada vez más por parte de estados-nación cuyo objetivo es la interrupción e incluso la destrucción del servicio a través de los ICS. Una de las vulnerabilidades que resulta más retadora de enfrentar es el ciber-riesgo de la cadena de suministro dada su naturaleza cada vez más remota y compleja. La responsabilidad y propiedad cibernéticas de la cadena de suministro no están bien definidas dentro de las compañías; la mayoría de los CISO no tienen control alguno sobre la cadena de suministro de la empresa, y es posible que tengan muy poco acceso a la inteligencia de ciber-riesgo de la cadena de suministro o visibilidad en los procesos de gestión del riesgo de los proveedores. A eso hay que agregarle la falta de mano de obra y la enorme cantidadde proveedores y transacciones, y ahí se comienza a apreciar el alcance del desafío. La mayoría de las compañías están apenas comenzando a hacer que los proveedores tomen conciencia y asuman responsabilidad, y a exigirles integridad.

12 |


Conclusión

13 |


Ocuparse del ciber-riesgo es todo un desafío, pero las compañías

pueden empezar por identificar y ubicar bienes vitales en toda la

empresa, usar un modelo de madurez de ciberseguridad para evaluar la

madurez del entorno de control, y elaborar un marco de trabajo que sea

seguro, vigilante y resiliente.

Una vez que hayan reducido sus propios perfiles de ciber-riesgo,

las compañías de energía pueden colaborar con colegas, gobiernos,

proveedores y otros sectores industriales para compartir inteligencia,

participar en ejercicios de práctica, desarrollar nuevos estándares y

marcos de trabajo, y probar nuevas tecnologías. Hay cada vez más

herramientas disponibles, y la capacidad de vigilar las redes en tiempo

real, descubrir amenazas y abordarlas también avanza rápido. Si las

compañías de energía eléctrica aprovechan estas oportunidades,

pueden reducir significativamente el riesgo para ellos mismos, para el

sector energético y, dada la naturaleza vital del servicio que brindan,

para la sociedad en su totalidad.

14 |


Notas1. National Cybersecurity y Communications Integration Center, FY 2016 incidents by sector, U.S. Department of Homeland

Security, accessed October 28, 2018, p. 1.2. U.S. Department of Homeland Security, “Critical infrastructure sectors,” accessed October 28, 2018.3. U.S. Department of Homeland Security, “Energy Sector,” accessed October 28, 2018.4. National Cybersecurity and Communications Integration Center, FY 2016 incidents by sector.5. Australia Cyber Security Centre, 2016 threat report, accessed October 2018, p. 15.6. Jeff St. John, “U.S. government accused Russia of hacking into energy infrastructure,” Greentechmedia, March 19, 2018.7. Rich Heidorn, Jr., “Expert sees ‘extreme uptick’ in cyberattacks on utilities,” RTO Insider, February 19, 2018.8. Ibid.9. Matthew J. Schwartz, “Cybercrime groups and nation-state attackers blur together,” Bankinfosecurity.com, June 28, 2018.10. Lillian Ablon, “Data thieves: The motivations of cyber threat actors and their use and monetization of stolen data,” The Rand

Corporation, testimony presented before the House Financial Services Committee, Subcommittee on Terrorism and Illicit Finance, March 15, 2018, p. 6.

11. E-ISAC serves as the primary security communications channel for the electricity industry. Consulte: North American Electric Reliability Corporation, State of reliability 2018, June 2018, p. 40.

12. Nicole Perlroth and Clifford Krauss, “A cyberattack in Saudi Arabia had a deadly goal. Experts fear another try,” New York Times, March 15, 2018.

13. Paul Stockton, Securing critical supply chains, Electric Infrastructure Security Council, June 19, 2018.14. Ibid.15. Robert M. Lee, TRISIS: Analyzing safety system targeted malware, Dragos Blog, December 14, 2017.16. United States Computer Emergency Readiness Team, “Alert (TA18-074A): Russian government cyber activity targeting energy

and other critical infrastructure sectors,” U.S. Department of Homeland Security, March 15, 2018.17. Ibid.18. Security Response Attack Investigation Team, “Dragonfly: Western energy sector targeted by sophisticated attack group,”

Symantec Blogs, October 20, 2017.19. United States Computer Emergency Readiness Team, “Alert (TA18-074A): Russian government cyber activity targeting energy

and other critical infrastructure sectors.”20. Ibid.21. Naureen S. Malik and Ryan Collins, “The cyberattack that crippled gas pipelines is now hitting another industry,” Bloomberg,

April 5, 2018.22. Blake Sobczak, “Attack on natural gas network shows rising cyberthreat,” E&E News, April 6, 2018.23. Malik and Collins, “The cyberattack that crippled gas pipelines is now hitting another industry.”24. Sobczak, “Attack on natural gas network shows rising cyberthreat.”25. Andy Greenberg, “The untold story of NotPetya, the most devastating cyberattack in history,” Wired, August 22, 2018.26. Ibid.27. Scott Shane, Nicole Perlroth and David E. Sanger, “Security breach and spilled secrets have shaken the N.S.A. to its core,” New

York Times, November 12, 2017.28. Beau Woods and Andy Bochman, “Supply chain in the software era,” The Atlantic Council, May 30, 2018, p. 4.29. Tim Schmidt, “Three critical procurement best practices for electric utilities: Are you doing these?,” Procureware. com, July 1,

2016.30. Andrew Slaughter and Paul Zonneveld, An integrated approach to combat cyber risk: Securing industrial operation in oil and

gas, Deloitte, May 2017, p. 6.31. Woods and Bochman, “Supply chain in the software era.”32. North American Electric Reliability Corporation, “GridEx,” accessed November 6, 2018; Electric Infrastructure Security Council,

“EarthEx 2017,” August 22, 2018.33. The International Society of Automation, “ISA99, industrial automation and control systems security,” accessed November 6,

2018.34. Ibid.35. North American Electric Reliability Corporation, Reliability Standards for the Bulk Electric Systems of North America, updated

July 3, 2018.36. Siemens, “Time for action: Building a consensus for cybersecurity,” May 17, 2018.37. Ibid.38. Stockton, “Securing critical supply chains.”39. The European Commission, “The EU cybersecurity certification framework,” August 22, 2018.40. Eaton, “Eaton establishes cybersecurity collaboration with UL, announces industry’s first lab approved for participation in UL

program for cybersecurity testing of intelligent products,” February 13, 2018.41. Cyber GRX, “CyberGRX is transforming third-party cyber risk management,” accessed October 2018.42. Nathan Heller, “Estonia, the digital republic,” New Yorker, December 18 and 25, 2017.

15 |


43. Stockton, “Securing critical supply chains,” p. 19.44. Office of Electricity Delivery & Energy Reliability, Multiyear plan for energy sector cybersecurity, U.S. Department of Energy,

March 2018.45. Ibid, p. 34.46. Ibid.

Acerca de los autoresSTEVE LIVINGSTON, principal en Deloitte & Touche LLP, cuenta con más de 24 años de experiencia en seguridad

informática y gestión del riesgo. Su variada cartera de proyectos de cyber incluye: Implementaciones en Identity and Access Management (IAM), Enterprise Resource Planning (ERP) security, Governance Risk and Compliance (GRC) y Security Event Management (SIEM). Vive en Seattle. Contáctelo por LinkedIn en www.linkedin.com/in/stlivingston/.

SUZANNA SANBORN es gerente senior en el equipo de Research & Insights de Deloitte donde analiza tendencias mundiales de energía con un foco en los sectores de energía, servicios y energía renovable. Cuenta con más de 20 años de experiencia en investigación, análisis, marketing, comunicaciones y gestión de programas en los sectores de energía y servicios, petróleo y gas, y energías renovables. Vive en McLean, Virginia. Contáctela por LinkedIn en www.linkedin.com/in/suzanna-sanborn-510164/.

ANDREW SLAUGHTER es director ejecutivo en el Deloitte Center for Energy Solutions, trabaja conjuntamente con la dirección de Energía & Recursos de Deloitte para definir, implementar y gestionar la ejecución de la estrategia del Centro; desarrollar e impulsar iniciativas de investigación de energía; y gestionar el desarrollo del prestigio del Centro y el liderazgo intelectual. Se especializa en estrategia, análisis fundamental de mercado, diseño organizacional y asesoramiento normativo. Vive en Houston. Contáctelo por LinkedIn en www.linkedin.com/in/slaughterandrew/.

PAUL ZONNEVELD es socio en la firma canadiense y cuenta con más de 25 años de experiencia al servicio de clientes en petróleo y gas, minería, energía y servicios. Tiene un profundo conocimiento de temas comerciales frente a clientes ER&I que incluyen gestión digital, de innovación, cyber, sostenibilidad, comercialización de energía y riesgo operativo. Zonneveld también es LCSP global para Husky Energy, una de las cuentas más importantes de la firma canadiense. Vive en Calgary, Canadá. Contáctelo por LinkedIn en www.linkedin.com/in/paul-zonneveld-917b7a3/.

AgradecimientosLos autores quisieran darles las gracias a los ejecutivos de servicios, ejecutivos de asociaciones y a otros expertos de la industria que compartieron sus perspectivas con nosotros para este artículo. Queremos agradecer a Jaya Nagdeo y Deepak Vasantlal Shah de Deloitte Support Services India Pvt. Ltd. por su apoyo de investigación; y Sharon Chand, Michael Prokop, Brad Singletary, Nick Sikorski y Steve Batson de Deloitte EE. UU.; Adam Crawford de Deloitte Canadá; y Charlie Hosner y Dave Clemente de Deloitte Reino Unido por compartir su experiencia en ciberseguridad.

16 |


Deloitte ofrece una completa cartera de servicios para ayudar a organizaciones complejas a establecer su interés en el ciber-riesgo; diseñar e implementar programas de ciberseguridad; y colaborar en la gestión, el mantenimiento y la adaptación permanentes de sus programas a medida que el negocio y las amenazas cambian. Además, la oferta integral de ICS de Deloitte Risk and Financial Advisory Cyber Risk Services disponible gracias a la tecnología Dragos puede ayudar a las organizaciones a gestionar sus ciber-riesgos en los entornos del ICS y OT a través del uso de una combinación de productos y servicios innovadores de ciberseguridad. Esta combinación ofrece capacidades de captura y reconocimiento que ahora permiten que las organizaciones miren más allá de los datos internos hacia documentación de riesgo hallada en bases de datos externas. Además de proteger los sistemas de ICS y OT, esta combinación de tecnologías y servicios de ciber-riesgo puede dar una idea más cabal del escenario de amenazas al ICS y OT de una organización y brindar respuestas guiadas más eficientes a las amenazas industriales.

Contactos

Nicolás CorradoSocio Líder Ciberseguridad +56 227 298 665 | +56 992 570 046

[email protected]

Scott SmithVice chairmanUS Power & Utilities leader Deloitte LLP+1 619 237 [email protected]

Sharon ChandRisk Advisory principal Cyber Risk Services leaderEnergy, Resources & Industrials Deloitte & Touche LLP+1 312 486 [email protected]

Steve LivingstonRisk Advisory principal Cyber Risk Services leader Power & UtilitiesDeloitte & Touche LLP+1 206 716 [email protected]

David NowakRisk Advisory principal Cyber Risk Services Deloitte & Touche LLP+1 312 486 [email protected]

17 |


CONTACTOS GLOBALES

Paul ZonneveldGlobal Risk Advisory leader—Energy, Resources & IndustrialsDeloitte Canadá+1 403 503 [email protected]

Brian MurrellGlobal Risk Advisory leader—Power & Utilities Deloitte EE. UU.+1 212 436 [email protected]

Felipe RequejoGlobal Sector leader—Power & Utilities Deloitte Touche Tohmatsu Limited+34 914 381 [email protected]

Rajeev ChopraGlobal leader—Energy, Resources & Industrials Deloitte Touche Tohmatsu Limited+44 20 7007 [email protected] Jonathan GiliamRisk Advisory leader—Power & Utilities Deloitte África+27 112 027 [email protected]

Hendri MentzRisk Advisory leader—Power & Utilities Deloitte Australia+61 8 9365 [email protected]

Anthony HamerSector leader—Power & Utilities Deloitte Canadá+1 416 643 [email protected]

Tsutomu YamadaRisk Advisory leader—Power & Utilities Deloitte Japón+81 906 520 [email protected] Andreas LangerRisk Advisory leader—Power & Utilities Deloitte Alemania+49 711 1655 [email protected]

Charles HosnerRisk Advisory leader—Power & Utilities Deloitte Europa Noroccidental: Reino Unido+44 20 7007 [email protected]

Arup SenRisk Advisory leader—Power & Utilities Deloitte India+91 22 6185 [email protected]

Richard KuangRisk Advisory leader—Power & Utilities Deloitte China+86 1085 207 [email protected]

18 |


Suscríbase para las actualizaciones de Deloitte Insights en www.deloitte.com/insights.

Contribuyentes con Deloitte InsightsEditorial: Kavita Saini, Abrar Khan, Rupesh Bhat y Preetha DevanCreativo: Kevin Weier y Molly WoodworthPromoción: Nikita GariaArte de tapa: Infomen

Acerca de Deloitte Insights Deloitte Insights publica artículos originales, informes y publicaciones periódicas que brindan perspectivas para

los negocios, el sector público y las ONG. Nuestro objetivo es aprovechar la investigación y la experiencia de toda nuestra organización de servicios profesionales, y la de coautores en el mundo académico y comercial, para llevar la conversación a un espectro más amplio de temas de interés para líderes ejecutivos y del gobierno.

Deloitte Insights es una impresión de Deloitte Development LLC.

Acerca de esta publicación Esta publicación contiene solo información general, y nadie de Deloitte Touche Tohmatsu Limited, ni de sus

firmas miembro, ni ninguno de sus respectivos afiliados está, por medio de esta publicación, ofreciendo servicios o asesoramiento profesional contable, comercial, financiero, de inversión, legal, impositivo o de cualquier otro tipo. Esta publicación no reemplaza los servicios o el asesoramiento profesional ni debería usarse como una base para cualquier decisión o acción que pudiera afectar sus finanzas o su negocio. Antes de tomar cualquier decisión o de tomar cualquier medida que pudiera afectar sus finanzas o su negocio, usted debe consultar a un asesor profesional idóneo.

Nadie de Deloitte Touche Tohmatsu Limited, ni de sus firmas miembro, ni ninguno de sus respectivos afiliados será responsable de cualquier pérdida sufrida por cualquier persona que se fundamente en esta publicación.

Acerca de Deloitte Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada limitada por garantía en el Reino Unido

(“DTTL”), a su red de firmas miembro y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro es una entidad legal única e independiente. DTTL (conocido también como “Deloitte Global”) no provee servicio a clientes. En Estados Unidos, Deloitte se refiere a una o más de las firmas miembro estadounidenses de DTTL, sus entidades relacionadas que operan usando el nombre “Deloitte” en Estados Unidos y sus respectivas afiliadas. Algunos servicios pueden no estar disponibles para dar fe de los clientes bajo las reglas y regulaciones de la contabilidad pública. Visite www.deloitte.com/about para conocer más acerca de nuestra red global de firmas miembro.

Copyright © 2018 Deloitte Development LLC. Todos los derechos reservados. Miembro de Deloitte Touche Tohmatsu Limited

19 |


www.deloitte.com

Deloitte © se refiere a Deloitte Touche Tohmatsu Limited, una compañía privada limitada por garantía, de Reino Unido, y a su red de firmas miembro, cada una de las cuales es una entidad legal separada e independiente. Por favor, vea en www.deloitte.com/cl/acercade la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte Touche Tohmatsu Limited es una compañía privada limitada por garantía constituida en Inglaterra & Gales bajo el número 07271800, y su domicilio registrado: Hill House, 1 Little New Street, London, EC4A 3TR, Reino Unido.

© 2019 Deloitte. Todos los derechos reservados

Oficina central

Rosario Norte 407Las Condes, SantiagoChileFono: +56 227 297 000Fax: +56 223 749 [email protected]

Regiones

Av. Grecia 860Piso 3AntofagastaChileFono: +56 552 449 660Fax: +56 552 449 [email protected]

Alvares 646Oficina 906Viña del MarChileFono: +56 322 882 026Fax: +56 322 975 [email protected]

Chacabuco 485Piso 7ConcepciónChileFono: +56 412 914 055Fax: +56 412 914 [email protected]

Quillota 175Oficina 1107Puerto MonttChileFono: +56 652 268 600Fax: +56 652 288 [email protected]

gestión del ciber-riesgo en el sector de energía eléctrica · para gestionar el ciber-riesgo en...

Documents