Vulnerabilidad y Resiliencia
1
29 Mayo 2015
La continuidad de las Redes Energéticas Enfoque Gas Natural Fenosa
CLUB DE ROMA
Jose Luis Bolaños Ventosa
2
Vulnerabilidad y Resiliencia ¿Quiénes somos?
• Iluminamos las ciudades desde 1843
• Cubriendo todos los puntos de la
cadena de suministro de energía
• Con mas de 20 millones de clientes en 25 países
• Mayor compañía integrada en Gas y Electricidad en España y LATAM
• Uno de los mayores operadores mundiales de GNL
Las infraestructuras críticas se describen como el conjunto de activos que son esenciales para el funcionamiento de una sociedad y de su economía.
● Necesarias para el suministro de servicios esenciales, agua, energía, transporte, etc.
● Son indispensables por no disponer de
solución alternativa. • Están bajo gestión de operadores tanto
Están bajo gestión de operadores tanto públicos como privados..
● Están bajo gestión de operadores tanto públicos como privados.
● Su perturbación o destrucción tendría un grave impacto sobre la sociedad.
4
Vulnerabilidad y Resiliencia Infraestructuras críticas .Concepto
5
Vulnerabilidad y Resiliencia Infraestructuras críticas Sector Electricidad y Gas
Distribución
ELECTRICIDAD
GAS
Distribución Transporte
Transporte Generación
Almacenamiento
6
Sistemas de Información y Telecomunicaciones
Centro de Proceso de Datos
Centro de control operativo
SCADAS Y SMART GRID
Vulnerabilidad y Resiliencia Infraestructuras críticas Sector Electricidad y Gas
Datos / CPD
Aplicaciones Dispositivos
Entornos Cloud
Accesos Contratistas
Enlaces internacionales
Redes Smart
Redes públicas Smartgrids Gestión del RR HH
Las personas en la gestión de la seguridad de la información
• Alta dirección • Comportamientos • Movilidad • Dispersión • ¿?
Vulnerabilidad y Resiliencia Infraestructuras Criticas. Evolución tecnologías TIC
8
• Cambios Tecnológicos • Extensión perímetro red datos • Ampliación tele medida • Automatización telecontrol
• Nuevas Vulnerabilidades
• Millones de puntos de acceso • Tecnologías existentes obsoletas • Nuevas tecnologías no estandarizadas.
• Incremento de amenazas
• Alteración de información • Violación de privacidad • Toma de control
Vulnerabilidad y Resiliencia ¿Qué nos preocupa?
9
Nuevos intereses • Económicos
• Políticos
• Militares
Nuevas técnicas • Advanced persistent threats (APT): financiados, preparados, pacientes
Nuevos actores • Terroristas
• Delincuencia
• Hacktivistas
• Gobiernos
Vulnerabilidad y Resiliencia ¿Qué nos preocupa?
10
Anti-Sistemas • Robo y divulgación de información sensible
• Hackeo para la búsqueda de notoriedad
Ciber-Terrorismo
• Intrusión y control de SCI
• Utilización de la red (difusión de información,
propaganda)
Delincuencia organizada
• Robo y venta de información sensible
• Extorsión económica (cifrado de equipos)
• Intrusión en las redes y sistemas de comunicaciones
Vulnerabilidad y Resiliencia ¿Qué nos preocupa?
Para cada infraestructura crítica
Parlamento / Gobierno Documento estructural para dirigir y coordinar actuaciones de protección.
Operador Crítico: Identificar infraestructuras críticas Especificar e implantar políticas y
medidas de seguridad
GTPIC Definición y lista de operadores críticos
Criterios definidores de las medidas a adoptar para hacer
frente a una situación de riesgo
Plan Nacional
Protección Infraestructuras
Críticas
Planes Sectoriales
Planes de Seguridad Operador
Planes de Protección Específicos
Planes Apoyo Operativo
Fuerza y Cuerpos de Seguridad, Delegación de Gobierno: Medidas de vigilancia, prevención y reacción complementarias a las
previstas por los Operadores Críticos
Vulnerabilidad y Resiliencia Enfoque GNF. Marco Legal
• Visión de conjunto
• Análisis Integral de Riesgos
• Valoración de interdependencias
• Evaluación de sistemas de protección
• Definición y desarrollo de nuevos sistemas de protección integral
• Proyecto INCRIT
Acorde con el entorno cambiante, que asegure la continuidad y recuperación de los servicios esenciales que prestamos a la sociedad
12
Vulnerabilidad y Resiliencia Enfoque GNF. Modelo Security
Protección Infraestructuras Críticas
Ciber seguridad y activos de Información
Crisis & Resiliencia
25
Vulnerabilidad y Resiliencia Enfoque GNF. Modelo Security
Organización
Diagnóstico Framework Productos y Servicios
Coordinación y relación pública
Normalización (PSO / PPEs)
Análisis de riesgos
Seguridad física
Seguridad de la información
Resiliencia y Crisis
CESEC - SOC
Marco de control
Organismos oficiales
Asociaciones y grupos de trabajo
internacionales
Asociaciones y grupos de trabajo del sector
energético
Medidas Organizativas y de Gestión Medidas técnicas Medidas operacionales
y procedimentales
14
Vulnerabilidad y Resiliencia Enfoque GNF. Proyecto INCRIT
15
Sistema de Telegestión SATURNE
Red Privada Operador Público
Centros de Transformación Concentradores
Red Baja Tensión
(Red PLC DLMS /PRIME)
Contadores Inteligentes
Red Comunicaciones
Operadores Públicos
Servidor de Seguridad 1 2
3 4
9
Concentrador con Seguridad Avanzada
Ciberseguridad en contadores inteligentes
Contadores
Vulnerabilidad y Resiliencia Enfoque GNF. Proyecto INCRIT
16
Magnitud
Tiempo Respuesta
Tiempo Preparación Suceso adverso
Modelo Integrado de Gestión de Crisis
Análisis posibles escenarios
Desarrollo del MIGC
Implantación y formación
Simulacros
Evaluación
P. Mejora
Continuidad del Negocio
Gestión de Crisis
Inci
dent
es y
Em
erge
ncia
s
• PLAN CONTINUIDAD DEL NEGOCIO • PLAN RECUPERACIÓN
PLAN GESTIÓN DE CRISIS
• PLANES DE EMERGENCIA • PLANES AUTOPROTECCIÓN
Vulnerabilidad y Resiliencia Enfoque GNF. Modelo Integrado de Gestión de Crisis
17
“Los balances de las aseguradoras no son lo suficientemente grandes para cubrir los riesgos de ciberseguridad. Es, sin duda, el mayor y el más sistémico de los riesgos que he afrontado en toda mi carrera"
Stephen Catlin Presidente de la aseguradora Lloyd´s (42 años de experiencia)
Febrero 2015 (Londres)
Vulnerabilidad y Resiliencia Para reflexionar