la inportancia de la protecciÓn de las …media.arpel2011.clk.com.uy/ciber/17.pdf · política de...
TRANSCRIPT
1
LA INPORTANCIA DE LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Y
LA DEFENSA NACIONAL
TCL L. CARNEIRO
Comando de Defesa Cibernética - Brasil
SUMÁRIO
1.INTRODUCCIÓN: AMENAZAS
2.DESAROLLO: PROTECCIÓN DE IC
1. NIVEL POLÍTICO
2. NIVEL ESTRATÉGICO
3. JO RIO 2016
3.CONCLUSIÓN
4
NIVEL POLÍTICO
1. Macroprocesos para mapeo de activos de información2. Instrumentos para información cartográfica y de
seguimiento de activos3. Requisitos Mínimos de seguridad de infraestructuras
críticas de información: seguridad, resistencia y formación
4. Método de identificación de amenazas y seguridad virtual de generación de alertas de seguridad de las infraestructuras críticas de información
Anexos:1. Soporte para registro y gestión de activos de información2. Ejemplos de amenazas comunes3. Perfiles de amenazas4. Estructura genérica para la infraestructura de seguridad
informática crítica5. Visualización de las capas de seguridad
Categorías de Control Elementos de Control
Grado de Implementación (0 a 5 o NA)
Política de Proteción de la Información
Gestión de Riesgo
Gestión de Configuración
Mantenimiento
Protección de Medios Informáticos
Cultura de Seguridad
Gestión de crisis
Proteción Física e Ambiental
Seguridad de Personal
Respuesta a incidentes
Auditoría y Seguimiento de Responsabilidades
Control de Asceso al Sistema y Protección de las Comunicaciones
Aplicación
REQUISITOS MÍNIMOS NECESARIOS A LA SEGURIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS DE LA INFORMACIÓN
6
Todos los órganos del Estado deben contribuir aaumentar el nivel de seguridad nacional, conespecial énfasis en: [...] Las medidas para laseguridad de las áreas de infraestructuraestratégica, incluidos los servicios, especialmenteen lo que respecta a la energía, el transporte, elagua, las finanzas y las comunicaciones, a cargo delos Ministerios de Defensa, Minas y Energía,Transporte , Finanzas, Integración Nacional y decomunicaciones, así como la coordinación, laevaluación, el seguimiento y la reducción deriesgos, interpretado por el Gabinete de SeguridadInstitucional;
[...] Desarrollar la formación, la preparación y eluso de poderes cibernéticos operativas yestratégicas, en apoyo de las operacionesconjuntas y la protección de la infraestructuraestratégica;
NIVEL ESTRATÉGICO
En el sector de la cibernética, el Ministerio de Defensa yel Ministerio de Ciencia, Tecnología e Innovación, a través delDepartamento de Ciencia y Tecnología del Ejército, promoveránacciones que consideren el multidisciplinaria y la dualidad delas solicitudes; fomentar la defensa de la base industrial condoble sesgo: adquisición de conocimientos y la creación deempleo; y la protección de la infraestructura estratégica, conénfasis en el desarrollo de soluciones innovadoras nacionales,tales como:
NIVEL ESTRATÉGICO
7
- sistema integrado de protección del ambiente computacional; - simulador de ciberdefensa; - herramientas para el contenido web;- herramientas de inteligencia artificial; - algoritmos criptográficos y la autenticación propia; - Infraestructura de clave pública de la defensa; - sistema de análisis de malware; - herramientas de análisis de interés para el sector cibernético (voz, vídeo,
lenguaje y protocolos); - Sistema de Certificación de Tecnología de la Información; - Sistema de apoyo a la toma de decisiones; - Sistema de recuperación de negocios; - Sistemas de Gestión de Riesgos; - Sistema de Conocimiento de la situación; - computación de alto rendimiento; - radio definida por software; y - investigación científica a través de la Escuela Nacional de Ciberdefensa,
instituciones académicas, bajo el Ministerio de Defensa y otras instituciones de educación superior nacional e internacional.
(VIDEO)
NIVEL ESTRATÉGICO
PROTECCIÓN IC - JO 2016
8
• En los Juegos Olímpicos y Paralímpicos de Río 2016 (JO 2016) se llevaron a cabo Visitas de Orientación Técnica (VOT).
• En estas VOT, hubo presentaciones sobre:• las Estructuras Estratégicas (Etta Estr), con el despliegue de
destacamentos para los Juegos Olímpicos y Paralímpicos, • el escenario de la operación,• la protección de los activos de información• Cuaderno de recomendaciones de seguridad, que también estaba
disponible para las Etta Estr.
PROTECCIÓN IC - JO 2016
Entre las Estructuras Estratégicas que fueram visitadas, están:
-> ELETRONUCLEAR (Usina Nuclear de Angra 2) - Angra dos Reis, RJ-> ITAIPU BINACIONAL (Usina Hidreléctrica de Itaipu) - Foz do Iguaçu, PR-> LIGHT (Energía Eléctrica) - Rio de Janeiro, RJ-> CEDAE (Tratamiento y distribuición de água) - Rio de Janeiro, RJ-> AEROPORTO INTERNACIONAL DO GALEÃO - Rio de Janeiro, RJ-> AEROPORTO SANTOS DUMONT - Rio de Janeiro, RJ-> ONS (Operador Nacional del Sistema de Energía) - Rio de Janeiro, RJ-> LADETEC (Laboratório de Apoyo al Desarollo Tecnológico - Antidoping de los JO Rio 2016) - Rio de Janeiro, RJ-> INFRAERO (Empresa Brasileira de Infraestructura Aeropuertuaria) - Brasília, DF-> SAC (Secretaría de Aviación Civil de la Presidencia de la República) - Brasília, DF-> ANEEL (Agencia Nacional de Energía Eléctrica) - Brasília, DF-> ANAC (Agencia Nacional de Aviación Civil) - Brasília, DF-> ANATEL (Agencia Nacional de Telecomunicaciones) - Brasília, DF
PROTECCIÓN IC - JO 2016
9
CAMBIO DE PARADIGMAS
Antes:Preparación, detección, respuestaDetección = búsqueda de estándares, firmas Reacción = bloqueo planeado de ataque
Hoy :Preparación, Detección y Reacción Conocimiento de la situación y Adaptabilidad Resiliencia y Sanción de
los Responsables
SERVICIOS
� Análisis de riesgos y vulnerabilidad en activos de TI
� inteligencia cibernética.
� Detección automática de incidentes.
� Análisis de Incidentes (notificaciones de eventos deSeguridad).
� Soporte para recuperación a incidentes (Dst Rmto)
� Coordinación de la respuesta al incidente (Cooperación conotros Equipos de Tratamiento de incidentes).
� Distribución de alertas, recomendaciones y estadísticas.
11
- Los ataques a los sistemas SCADA tienen
un gran impacto y enormes pérdidas.
- CDCiber no interviene directamente en los
activos de la infraestructura informática crítica.
- Coordinación e Integración.
- Práctica colaborativa.
- La responsabilidad es compartida por todos.
CARACTERÍSTICAS DE LAS OPERACIONES
CUADERNO DE RECOMENDACIONES DE SEGURIDAD
�Propósito: aumentar el nivelde la madurez deSeguridad de la Información
�Beneficios: identificar lasamenazas, reducir los impactos de lasvulnerabilidades
12
ESTRUCTURA
•Sensibilización a nivel estratégico;
•riesgos y gestión de la seguridad;
•Activos de seguridad;
•Ingeniería de seguridad;
•Seguridad de las redes y las comunicaciones;
•Gestión de Identidad y acceso;
•Evaluación de la seguridad y testes;
•Operaciones de seguridad;
•Desarrollo de software seguro;
•Toma de conciencia de los usuarios.
REFERENCIAS
�CISSP;
�Normas ISO 27000;
�ITIL;
�COBIT;
�NIST (National Institute of
Standards and Technology);
�Department of Defense - GoviernoAustraliano;
�Common Criteria.
CUADERNO DE RECOMENDACIONES DE SEGURIDAD
CUADERNO DE RECOMENDACIONES DE SEGURIDAD
13
PUNTUACIÓN DE LOS CONTROLES
Los controles se puntuaron en una escala de 1 a 5 de acuerdo con la siguienteclasificación:
Aumento efectivo de seguridad: ¿ Cuál la ganancia efectiva que la corporación tendráen seguridad de la información con la aplicación del control? Siendo 1 la más baja y 5 la másalta;
La aceptación del usuario / organización: ¿ Cuál el nivel de aceptación del usuario uorganización (usuario es alguien que se verá afectado por esta implementación; organizaciónes la cultura de la organización)? 1 siendo el nivel más bajo de aceptación y 5 el más altonivel de aceptación;
Costo de implementación: ¿Cuál es el costo de implementar el control (el alquiler o laasignación de personas, adquisición de nueva tecnología, un nuevo diseño del proceso)? 1siendo el mayor costo de la implementación y 5 la más baja;
El costo de mantenimiento: ¿Cuál es el costo de mantener el control de la operación(costo de personal adicional, el mantenimiento de hardware o software, proceso deadaptación constante)? 1 siendo el mayor costo de mantenimiento y 5 la más baja.
APLICACIÓN DE CONTROLES�Implementado: para los casos en que el control se ha implementado demanera efectiva y se mitigan los riesgos;
�Control definido: para los casos en que la aplicación de un control decompensación que reduce la probabilidad de una vulnerabilidad fueaprobada;
�Control implementado: para los casos en que el control decompensación autorizado ha sido implementado de manera efectiva;
�Riesgo aceptado: donde, por las limitaciones presupuestarias, fechalímite para la aplicación o la posición técnica de desacuerdo sobre elcontrol, no se toma ninguna acción. En este caso, el responsable de lainfraestructura debe ser consciente de que asume los riesgos;
�riesgo subcontratado: Cuando la responsabilidad de la realización deun riesgo se subcontrata a otra, como la realización de seguros, porejemplo.