sgpic - sistemas de gestión de protección de ... · ciberseguridad de la aei (cluster de...
Post on 25-Feb-2020
1 Views
Preview:
TRANSCRIPT
SGPIC - Sistemas de Gestión de
Protección de Infraestructuras críticas
CARLOS VILLAMIZAR R.
Director Desarrollo de Negocios LATAM
CISA, CISM, CGEIT, CRISC, CFC, ISO27001 LA, ISO 22301 LI
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .2
AGENDA
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .3
AGENDA
O realidad ?
Qué fue primero el huevo o la gallina ?
21/09/2016
Introducción
Pág .5
Ley 8/2011: Protección de Infraestructuras
Críticas
Homeland Security: Control Systems Security
Program National CyberSecurity Division “Defense in depth”
2004: PEPIC – Programa Europeo de Protección de Infraestructuras Críticas
Directiva 2008/114
Lineamientos de Política para Ciberseguridad,
Ciberdefensa y Seguridad Digital
CONPES 3701 – 2011 CONPES 3854 - 2016
Pag. 6
Introducción
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .7
AGENDA
Infraestructura crítica cibernética nacional: aquella soportada por las TIC
y por tecnologías de operación, cuyo funcionamiento es indispensable para
la prestación de servicios esenciales para los ciudadanos y para el Estado.
Su afectación, suspensión o destrucción puede generar consecuencias
negativas en el bienestar económico de los ciudadanos, o en el eficaz
funcionamiento de las organizaciones e instituciones, así como de la
administración pública.
CONPES 3854
Definiciones
Pag. 8
Quienes son infraestructuras críticas?
Qué servicios críticos brindan ?
Qué amenazas afectan la seguridad / disponibilidad de tales
servicios críticos ?
Cómo garantizar a la comunidad que no se verá afectada por la
suspensión de servicios críticos?
Definiciones
Pag. 9
Concepto de SGPIC
Es la suma de Sistema de Gestión + Protección de Infraestructura Crítica
¿Por qué crear un Sistema de Gestión para la Protección de
Infraestructuras Críticas ?
R/ La idea parte de la necesidad de gestionar adecuadamente la seguridad y
continuidad de los servicios esenciales.
SG PIC SGPIC
Definiciones
Pag. 10
Modelo para la definición, implementación,
mantenimiento y mejora continua de un sistema de
gestión para la protección de infraestructuras críticas
Definiciones
Concepto de SGPIC
Pag. 11
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .12
AGENDA
El modelo de madurez de la capacidad de seguridad cibernética es una medida que permite
calificar su madurez desde inicial (1) hasta dinámico (5).
La calificación anterior muestra el estatus de la posición actual y propuesta con relación
a las mejores prácticas, estándares y directrices de la industria.
1- Nada existe / naturaleza embrionaria.
2- Elementos casuales, desorganizadas, mal definidas.
3- Elementos establecidos y funcionando, mala asignación de recursos.
4- Se logra el resultado esperado de circunstancias particulares
5- Se logra adaptar la estrategia en función de circunstancias
imperantes (toma de decisiones rápida, reasignación de
recursos y atención constante a los cambios del entorno.
Estatus actual
Promedio
Meta
Capacidad de Seguridad Cibernética
Inicial Formativo Establecido Estratégico Dinámico
1 2 3 4 5
Pag. 13
Informe Ciberseguridad 2016 - Colombia
Pag. 14
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .15
AGENDA
Planificar
•Entendimiento de la entidad (legal, tecnológico, etc.)
•Requerimientos de las partes interesadas
•Alcance del SGPIC
Contexto Organizacional
• Liderazgo y Compromiso
•Políticas PIC
•Roles y responsabilidades Liderazgo
•Estrategia de PIC
•Objetivos de PIC
• Inventario de activos críticos
•Análisis de Riesgos
•Análisis de impacto al negocio
Planeación
•Recursos (dinero, personas, herramientas)
•Marcos de referencia (NIST, ISA99, NERC CIP, otros)
•Competencias
•Concienciación
•Documentación
Soporte
Pag. 16
Pag. 17
Planificar
Activos Críticos
Evaluación de Riesgos
Matriz de Riesgos BIA´s
Pag. 18
Planificar
Operar
Infraestructuras críticas
Gestión de Continuidad del Negocio
Gestión de Riesgos
Gestión de incidencias, incidentes o problemas
Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION
DATOS
APLICACIÓN
SERVIDORES
RED
PERIMETRO
SEGURIDAD FÍSICA
PROCEDIMIENTOS
DATOS
APLICACIÓN
SERVIDORES
RED
PERIMETRO
SEGURIDAD FÍSICA
PROCEDIMIENTOS
Defensa en Profundidad
Pag. 20
Verificar
Monitoreo
• Métricas
• Indicadores
Auditoría
• Interna
• Tercera parte
Revisión por la Dirección
• Informe gerencial
Pag. 21
Mejora Continua
No conformidades y Acciones correctivas
Mejora continua
Pag. 22
Mejorar requiere tiempo y dedicación
Certificación
Pag. 23
En Junio de 2016 se lanzó en España el Sello de
Ciberseguridad de la AEI (Cluster de Innovación
en Ciberseguridad ) quien ha desarrollado un
esquema de certificación completo dirigido
a infraestructuras críticas, su cadena de
proveedores y en general a toda entidad
pública o privada que quiera demostrar que
cumple con unos requisitos específicos de
Ciberseguridad, que incluyen:
•Protocolos de comunicaciones
•Protección de datos
•Infraestructura
•Recursos Humanos
•Proveedores
•Servicios
Mayor información: www.aeiciberseguridad.es
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .24
AGENDA
Más información
CARLOS VILLAMIZAR R.
Director Desarrollo de Negocios LATAM
cvillamizar@globalsuite.es
www.globalsuite.es
top related