GRI (3-3) En Celsia velamos por la seguridad e integridad de todos nuestros activos, por eso nos la jugamos toda en el ámbito de la ciberseguridad, para así garantizar la continuidad del servicio.
GRI (3-3) En sintonía con nuestra estrategia corporativa, en Celsia nos esforzamos por minimizar la posibilidad de ataques cibernéticos a nuestras operaciones. Asimismo, prevenimos la filtración, adulteración y acceso no autorizado a los datos personales, mientras aseguramos la disponibilidad ininterrumpida de los activos cibernéticos críticos mediante una estrategia que integra la seguridad de la información, la protección de datos personales y la ciberseguridad. De esta manera garantizamos la entrega del servicio de energía eléctrica de una manera segura y confiable.
Nuestra gestión
Ejecutamos nuestra estrategia por medio de un modelo de gestión construido con base en las buenas prácticas del sector:
- Normas ISO 27000, NIST Cyber Security Framework standard, IEC 62443 y NERC CIP.
- Guía de Responsabilidad demostrada para el tratamiento de datos personales, emitida por la Superintendencia de Industria y Comercio.
- Guía de Ciberseguridad emitida por el Consejo Nacional de Operación para el sector eléctrico colombiano con el Acuerdo 1502.
- Modelo de Gobierno para la gestión de ciberseguridad: comité interdisciplinario y coordinado por el líder de Ciberseguridad, que vela por el cumplimiento de las políticas y los lineamientos de seguridad de la información, tratamiento de datos personales y ciberseguridad.
Contamos con un Centro de operaciones de seguridad, un Comité de ciberseguridad y un Comité de riesgos de tecnología.
Realizamos monitoreo 7x24x365 desde el Centro de operaciones de seguridad a las bases de datos que contienen información personal, a los ciberactivos críticos y a la infraestructura TIC.
A través del hacking ético y con el apoyo de herramientas de ciberseguridad realizamos una gestión de vulnerabilidades permanente, que es reportada por el Centro de operaciones de seguridad. Sus resultados, alcance y acciones correctivas asociadas son revisados mensualmente.
Participamos en diferentes espacios interinstitucionales liderados desde Colombia:
- Comité de ciberseguridad del Consejo Nacional de Operación.
- Comité de ciberseguridad de la Comisión de Integración Regional (CIER).
- Equipo de respuesta a incidentes de seguridad informática (CSIRT).
- Foro de respuesta a incidentes y equipos de seguridad (FIRST).
- Colombia Inteligente.
- Comité de Infraestructura Crítica del Ministerio de las TIC.
- Unidad de Planeación Minero-Energética.
- Comité de riesgos del Grupo Argos.
- Mesas de trabajo de estandarización de ICONTEC para la Norma NTC 6079.
Gestionamos el riesgo de un ataque cibernético a través de:
- Acompañamiento a los proyectos, aplicando el principio de ciberseguridad por diseño.
- Monitoreo 7x24x365 desde el Centro de operaciones de seguridad.
- Planes de ciberseguridad para plantas eólicas, fotovoltaicas e hidráulicas en Centroamérica.
- Proyectos clave e inventario automático de ciberactivos críticos, identificación de sus vulnerabilidades, amenazas y nivel de riesgo.
- Control de acceso a Dispositivos Electrónicos Inteligentes (IED).
- Seguridad perimetral para la protección de los ciberactivos críticos.
- Campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
- Plan de respuesta a incidentes para los ciberactivos críticos.
- Plan de recuperación de desastres del sistema comercial, Centro de gestión de la medida, Sistema de gestión de distribución avanzada.
Gobierno de la ciberseguridad
GRI (2-13) La Junta directiva y el Comité directivo se involucran activamente en la definición de la estrategia de ciberseguridad, su seguimiento y revisión. De acuerdo con el Código de Buen Gobierno, la Junta directiva tiene definido un Comité de Auditoría, Finanzas y Riesgos, cuyas funciones son revisar y evaluar la gestión de riesgos y proponer las mejoras que considere necesarias, buscando que propendan por la configuración de un perfil de riesgos acorde con los objetivos estratégicos de la sociedad.
Este comité se reúne trimestralmente o cuando las necesidades lo exijan. Los miembros de la Junta directiva que participan en él son: Eduardo Pizano, José Manuel Restrepo y Andrés Escobar.
En este marco y teniendo en cuenta que la ciberseguridad es uno de los principales riesgos que enfrenta Celsia, el comité supervisa la gestión de la administración para la implementación de la estrategia formulada por el líder de Ciberseguridad. En cuanto al Comité directivo, el encargado de mostrar el programa de ciberseguridad y su respectivo avance es el líder de Tecnología.
Los miembros de la Junta directiva y del Comité directivo que forman parte de este comité cuentan con el curso certificado en Ciberseguridad para Ejecutivos de la Universidad de Los Andes, en el que participaron también diferentes líderes de los equipos que gestionan el tema.
Principales resultados
Aplicamos el concepto de ciberseguridad por diseño y acompañamos los proyectos Red Digital, ADMS fase II, AMI y Apolo.
Ejecutamos el programa de hacking ético en 35 activos críticos(subestaciones y plantas).
En el 2023 se identificaron dos eventos del riesgo de la cadena de suministro. Fueron detectados, contenidos y no se materializó ningún incidente reputacional o económico a la empresa.
Gestionamos el inventario automático de ciberactivos críticos, identificando sus vulnerabilidades, amenazas y niveles de riesgo.
Ejecutamos el proyecto para la gestión de ciberactivos de 59 subestaciones de Tolima.
Gestionamos el control de acceso de los ciberactivos críticos de subestaciones y plantas.
Ejecutamos la auditoría externa para el cumplimiento del Acuerdo 1502 del Concejo Nacional de Operación y cerramos las brechas identificadas.
1.970 colaboradores tomaron el curso de E-learnig de ciberseguridad en SAP SuccesFactors (Software para la gestión de talento humano).
Ejecutamos campañas de ingeniería social para identificar la postura de los colaboradores frente al riesgo cibernético.
Ejecutamos el simulacro de cibercrisis para cada uno de los grupos primarios de los negocios y el Comité directivo.
Ejecutamos los planes de recuperación para tecnología, ciberactivos de generación, ciberactivos de transmisión y distribución, y NOVA.
Cuantificamos los riesgos cibernéticos.
Monitoreo desde el Centro de operaciones de seguridad (SOC) de los activos de internet.
Fuimos el primer Centro de operaciones de seguridad para el sector eléctrico en Colombia miembro del Foro Mundial del Equipo de Respuesta a Incidentes y Seguridad (FIRTS).
Indicador o Tema | Indicador propio | Indicador CSA S&P Global | Indicador SASB | Indicador GRI | TCFD | Verificacion externa |
|---|---|---|---|---|---|---|
Reclamaciones fundamentadas relativas a violaciones de la privacidad del cliente y pérdida de datos del cliente | – | – | – | 418-1 | – | |
Número de incidentes de incumplimiento de los estándares o regulaciones de seguridad física y / o cibernética | Brechas o incidentes de ciberseguridad | – | IF-EU-550a.1 | – | – |
Somos el primer Centro de Operaciones de Seguridad para el sector eléctrico en Colombia
En ser miembro del Foro mundial del equipo de respuesta a incidentes y seguridad (FIRTS).
Seguridad de información/ciberseguridad: protección de la infraestructura computacional, especialmente la información.
Ataque cibernético: intento de exponer, alterar, desestabilizar, destruir o acceder sin autorización a un activo informático.
Hacking ético: pruebas realizadas en redes por personas con conocimientos de informática y seguridad para encontrar vulnerabilidades, luego reportarlas y tomar medidas correctivas.
Campañas de ingeniería social: campañas que buscan sensibilizar a los colaboradores sobre las manipulaciones más frecuentes para obtener acceso a información de manera indebida.
Dispositivos Electrónicos Inteligentes (IED): equipos de regulación electrónica inmersos en los sistemas eléctricos y utilizados en interruptores, transformadores, entre otros.
Nivel de madurez: meseta evolutiva hacia la consecución de un proceso software maduro. Cada nivel de madurez proporciona una capa en la base para una mejora continua del proceso. En este marco:
- El nivel de madurez Definido indica que existe una política y procedimientos publicados en el sistema de calidad y los colaboradores y personas de interés los conocen.
- El nivel de madurez Administrado indica que, además de contar con las características del nivel de madurez Definido, existen también indicadores con seguimiento y planes de mejora continua.
