El CVF es una herramienta accesible a la industria para realizar evaluaciones de ciberseguridad basadas en el riesgo y de fácil uso. Este informe describe la herramienta y su papel en la mejora de la postura de ciberseguridad de las centrales hidroeléctricas y presas. El CVF proporciona a los propietarios y operadores de las instalaciones una valiosa orientación e identifica los próximos pasos para mitigar los riesgos, incluyendo puntuaciones que las partes interesadas pueden utilizar para priorizar futuras inversiones en ciberseguridad. La herramienta en línea del CVF guía a los usuarios a través de un análisis detallado de las prácticas de control de la ciberseguridad de la planta. Los usuarios responden a una serie de preguntas y sus respuestas se comparan con criterios multidimensionales de riesgo de impacto medioambiental, operativo y económico. El CVF tiene en cuenta factores como el modo operativo del sistema, la configuración y la disponibilidad de personal para la intervención manual a fin de generar puntuaciones que representen la probabilidad de un ciberataque. La evaluación del CVF también genera puntuaciones que indican el valor financiero de las posibles consecuencias de riesgos específicos para los que se requieren mejoras de ciberseguridad a fin de resistir futuras amenazas. Este informe describe el enfoque del CVF para la valoración de la ciberseguridad mediante el examen de varios factores específicos de cada instalación, como el perfil de riesgo, la implantación de controles de seguridad, la resistencia de la ciberseguridad, la probabilidad de que se produzca un ataque y la magnitud potencial de las consecuencias negativas de una implantación inadecuada. Dado que todos estos factores están influidos por los procesos de una organización, los requisitos de las funciones de apoyo y las implementaciones específicas de los procesos empresariales y los controles de seguridad, la herramienta evalúa estas diferencias específicas de las instalaciones para evaluar con precisión y recomendar mitigaciones para los riesgos de ciberseguridad.  

Las centrales hidroeléctricas son una parte importante no sólo del sistema energético, sino también de las comunidades locales y del medio ambiente. Proporcionan energía flexible y renovable y ventajas para la red, como la reserva rotatoria, al tiempo que a menudo apoyan muchos fines no energéticos, como el control de inundaciones, el riego y las actividades recreativas. A medida que las centrales hidroeléctricas se integran cada vez más a través de dispositivos inteligentes avanzados junto con los sistemas heredados, es fundamental abordar los desafíos de ciberseguridad que surgen. Más de 40 ciberataques en los últimos 20 años han tenido como objetivo las instalaciones hidroeléctricas, incluyendo tanto la tecnología de la información (TI) como la tecnología operativa (OT), con una clara tendencia a centrarse cada vez más en el sistema OT. Un obstáculo para el despliegue de un programa eficaz de medidas de ciberseguridad es la falta de una metodología formal para evaluar el valor de la mejora de la postura de ciberseguridad de las centrales hidroeléctricas. Sin esta orientación, es difícil para los gestores de centrales hidroeléctricas justificar o priorizar las inversiones para mejorar la madurez de la ciberseguridad de sus centrales y reforzarlas contra los ciberataques. 

Para leer más ingrese a:

https://www.osti.gov/biblio/1924011/  

https://www.osti.gov/servlets/purl/1924011