Download - Ciberseguridad en Infraestructuras Críticas
![Page 1: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/1.jpg)
1Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS,
SECTOR PUBLICOSEPTIEMBRE 2015
![Page 2: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/2.jpg)
2
ACERCA DEL AUTOR:José Luis Aparicio C.Riesgos TI en Negocio e IndustriaConsultor
Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC.
Especialidades: TI, Riesgos, Seguridad, Control Interno, Auditoria, Centros de Datos.
Experiencia: +20 años, principalmente en Compañías globales de sectores Automotríz, Financiero, Manufactura y Turismo. Sector Público.
![Page 3: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/3.jpg)
AGENDA1. INFRAESTRUCTURAS CRITICAS.2. TECNOLOGIA QUE LAS SOPORTA.3. INCIDENTES.4. AMENAZAS.5. VULNERABILIDADES.6. MEXICO.7. RECOMENDACIONES.8. PREGUNTAS Y RESPUESTAS.
3
![Page 4: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/4.jpg)
4Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
1. INFRAESTRUCTURAS CRITICAS.
![Page 5: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/5.jpg)
1. INFRAESTRUCTURAS CRITICAS.
![Page 6: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/6.jpg)
6Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
2. TECNOLOGIA QUE LAS SOPORTA.
![Page 7: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/7.jpg)
7
• Sistemas de Control Industrial (SCI): Hardware y software para controlar y administrar procesos industriales e infraestructura crítica
• Primeros SCI: Mecánicos, eléctricos, comunicación local, protocolos propietarios, aislados.
Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg
2. TECNOLOGIA QUE LAS SOPORTA.
![Page 8: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/8.jpg)
8
2. TECNOLOGIA QUE LAS SOPORTA.
Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es
![Page 9: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/9.jpg)
9Fuente: www.indusoft.com/blog/?p=664
2. TECNOLOGIA QUE LAS SOPORTA.
![Page 10: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/10.jpg)
10Imagen: https://bensontao.files.wordpress.com/2013/10/vivante-iot-ecosystem.jpg
2. TECNOLOGIA QUE LAS SOPORTA.
![Page 11: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/11.jpg)
11
2. TECNOLOGIA QUE LAS SOPORTA.
![Page 12: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/12.jpg)
12Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
3. INCIDENTES.
![Page 13: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/13.jpg)
13Fuente: http://web.tofinosecurity.com/download-the-white-paper-using-ansi-/-isa-99-standards-to-improve-control-system-security/
3. INCIDENTES.
![Page 14: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/14.jpg)
14Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics.
3. INCIDENTES.
![Page 15: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/15.jpg)
15Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
3. INCIDENTES.
![Page 16: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/16.jpg)
16Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute.
3. INCIDENTES.
![Page 17: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/17.jpg)
17Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
4. AMENAZAS.
![Page 18: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/18.jpg)
18
• Errores humanos• Fallas en instalaciones y dispositivos• Naturales• Malware• Ex-empleados• Proveedores• Competidores• Criminales• Gobiernos• Hacktivistas• Etc.
4. AMENAZAS.
![Page 19: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/19.jpg)
19Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
4. AMENAZAS.
![Page 20: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/20.jpg)
20Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpgFuente: http://www.hackmageddon.com
4. AMENAZAS.
Febrero 2015Amenaza: The Equation GroupObjetivo: 30 países, sectores: Energía,Aeroespacial, Comunicaciones, Gas yPetroleo, Nuclear, Gobierno.
Marzo 2015Amenaza: Malware, Trojan.Loziak Objetivo: Información crítica del sector gas y petróleo; países afectados: Medio Oriente, Inglaterra, E.U., Uganda.
![Page 21: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/21.jpg)
21Imagen: http://www.networkworld.com/article/2366962/microsoft-subnet/spellbound-by-maps-tracking-hack-attacks-and-cyber-threats-in-real-time.html
4. AMENAZAS.DEMO: Ataques en tiempo-real.
![Page 22: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/22.jpg)
22Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
5. VULNERABILIDADES.
![Page 23: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/23.jpg)
23
• Desconocimiento• Enfoque limitado• Falta de integración• Frágil estrategia de seguridad• Arquitectura abierta y compleja• Hardware y software viejo• Métodos y procedimientos “obesos”• Etc.
5. VULNERABILIDADES.
![Page 24: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/24.jpg)
24
5. VULNERABILIDADES.
![Page 25: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/25.jpg)
25
5. VULNERABILIDADES.
![Page 26: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/26.jpg)
26Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
5. VULNERABILIDADES.
![Page 27: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/27.jpg)
27Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
5. VULNERABILIDADES.
![Page 28: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/28.jpg)
28
![Page 29: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/29.jpg)
29
5. VULNERABILIDADES.
TARGETPREPARE WEAPONIZE ATTACK
HIDE AND
RESULTS
DEMOMétodo Lean, Ataque con Herramientas Libres
![Page 30: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/30.jpg)
30Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
6. MEXICO.
![Page 31: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/31.jpg)
31
6. MEXICO
VIDEO
![Page 32: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/32.jpg)
32
6. MEXICO
![Page 33: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/33.jpg)
33
6. MEXICO
Sitio web de MAAGTICSI, revisión de actividades:
ASI 4. Revisión del Catálogo de infraestructuras críticas, FORMATO ASI F2.
ASI 5. Revisión del Documento de resultados del análisis de riesgos, FORMATO ASI F3.
Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg
![Page 34: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/34.jpg)
34Imagen: http://www.nasmhpd.org/images/legalDivision.jpg
6. MEXICOMAAGTICSI, ASI 4 Y ASI 5
FORTALEZAS: Roles, responsabilidades, estructura,
procedimiento, valoración de Infra/Activos, control donde es necesario, estimación cuantitativa de riesgos
OPORTUNIDADES: Automatizar, sintetizar, graficar
![Page 35: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/35.jpg)
35Imagen: http://www.nasmhpd.org/images/legalDivision.jpg
6. MEXICOMAAGTICSI, ASI 4 Y ASI 5
DEBILIDADES: Manual, tiempo para completar, redundante (p.e. Formato ASI F3, secciones 5 y 7), confuso orden de ejecución, exceso en firmas requeridas.
AMENAZAS: Por cumplir y no por solucionar, los análisis de riesgo podrían NO completarse en tiempo y forma
![Page 36: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/36.jpg)
36Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
7. RECOMENDACIONES.
![Page 37: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/37.jpg)
37
7. RECOMENDACIONES.
![Page 38: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/38.jpg)
38
7. RECOMENDACIONES.
Enfoque 360º Equipo multi-diciplinario Capacitar Documentación actualizada Seguridad física, ambiental, lógica Identificar/cerrar vulnerabilidades con CUIDADO
!!! Administración de proveedores Seguridad en desarrollo de proyectos Ejecutar y mantener MAAGTICSI
Imagen: http://www.scisusa.com/img/sec04.jpg
![Page 39: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/39.jpg)
Fases Comunes de un ProyectoInicio
Planeación
Ejecució
n
Cierre
SEGURIDAD EN EL DESARROLLO DE PROYECTOS• Evaluación de Riesgos enfocada al proyecto, no a la seguridad
INCLUIR SEGURIDAD:
1. Equipo multi-diciplinario
2. Evaluar Riesgos de Seguridad
1. Requerimientos 2. Actividades,
responsables, y recursos para implementarla
1. Pruebas y corrección de errores
2. Aceptación e implementación
1. Documentación, mantenimiento, mejora (procedimientos, responsabilidades)
• Resultado: producto con seguridad básica o sin ella
39
7. RECOMENDACIONES.
![Page 40: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/40.jpg)
40
7. RECOMENDACIONES.RED Y COMUNICACIONES
Segmentación por zonas (ISA-195): Externa, Corporativa, Datos, Control, etc. Cifrado de la comunicación: VPN, WPA2 Separación lógica: VLAN Control de tráfico: Firewall, proxy, puerto,
protocolo Acceso: Basado en dirección MAC o elementos
conocidos Autenticación: EAP-TLS, RADIUS y certificados
![Page 41: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/41.jpg)
41
7. RECOMENDACIONES.ARQUITECTURA DE RED
Imagen: Homeland Security US, «Improving Industrial Control with Defense in Depth Strategies,» 2009.
![Page 42: Ciberseguridad en Infraestructuras Críticas](https://reader036.vdocuments.pub/reader036/viewer/2022081515/58ef19101a28abc66e8b46a7/html5/thumbnails/42.jpg)
42Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
8. PREGUNTAS Y RESPUESTAS.