DOCUMENTO NO CLASIFICADO

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

GMV SOLUCIONES GLOBALES INTERNET S.A.

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICASCÓDIGO: GMVSGI-CRICTISIM-PRE-013FECHA: 17/10/2011VERSIÓN: 1CÓDIGO INTERNO: GMVSGI 21028/11 V1/11

With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-

related Risks Programme European Commission - Directorate-General Home Affairs

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 217/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

1. Introducción

2. Datos de proyecto

3. Metodología MIMICS

4. Conclusiones

INDICE

DOCUMENTO NO CLASIFICADO

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

GMV SOLUCIONES GLOBALES INTERNET S.A.

INTRODUCCIÓN

DOCUMENTO NO CLASIFICADO

With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-

related Risks Programme European Commission - Directorate-General Home Affairs

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 417/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

MOTIVACIÓN

� Aumento de la dependencia de los sistemas de información.

� Aumento de la complejidad de las infraestructuras y aumento de la incertidumbre sobre su rendimiento.

� Aparición de organizaciones de hacktivistas, no siempre bienintencionados.

� Inicio del despliegue de las estrategias de ciberdefensa por parte de los gobiernos.

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 517/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

� Análisis y detección de puntos críticos.

� Análisis de los procesos asociados a una infraestructura crítica ICT.

� Evaluar dependencias entre entidades y el impacto en el sistema global.

� Determinar y priorizar puntos de acción para mejorar la seguridad y fiabilidad.

� Simular y evaluar escenarios, calcular y reducir el impacto de un cambio o incidente.

OBJETIVOS DEL PROYECTO

DOCUMENTO NO CLASIFICADO

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

GMV SOLUCIONES GLOBALES INTERNET S.A.

DATOS DE PROYECTO

DOCUMENTO NO CLASIFICADO

With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-

related Risks Programme European Commission - Directorate-General Home Affairs

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 717/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

HITOS Y PRESUPUESTO

� Hitos� Inicio de proyecto: Julio de 2010

� Fin de proyecto: Diciembre de 2011

�Presupuesto total: 505.826,98 €

�Se trata de un proyecto que se incluye dentro del programa CIPS de Comisión Europea.

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 817/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

CONSORCIO

Co-beneficiario

Líder de proyecto Asociado

Co-beneficiario

DOCUMENTO NO CLASIFICADO

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

GMV SOLUCIONES GLOBALES INTERNET S.A.

MIMICSMETODOLOGÍA

DOCUMENTO NO CLASIFICADO

With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-

related Risks Programme European Commission - Directorate-General Home Affairs

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 1017/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

BASADA EN RAMS

– Reliability

– Availability

– Maintainability

– Safety

• Técnicas usadas en los sectores aeronáutico y aeroespacial para diseñar servicios críticos que podrían provocar:– Pérdida de vidas humanas.– Costes económicos muy altos.

• GMV aplica habitualmente estas técnicas para los satélites de la Agencia Espacial Europea y operadores privados (EUTELSAT, EUMETSAT, INMARSAT, HISPASAT, etc.)

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 1117/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

WORKFLOW DE UN PROYECTO MIMICS

INVENTORY CONTROL

INVENTORY CONTROL

ARCHITECTURESIDENTIFICATIONARCHITECTURESIDENTIFICATION

OPERATIONALPROFILE

DESCRIPTION

OPERATIONALPROFILE

DESCRIPTION

DATA SOURCEIDENTIFICATION

DATA SOURCEIDENTIFICATION

RAMSMODELLING

RAMSMODELLING

METRICS PLANMETRICS PLAN

ASSESSMENT: BASE LINE

ASSESSMENT: BASE LINE

SIMULATION ANDFINE-TUNING

SIMULATION ANDFINE-TUNING

SENSITIVITYANALYSIS

SENSITIVITYANALYSIS

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 1217/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

BLOQUES DE LA METODOLOGÍA

HardwareHardware SoftwareSoftware ContingenciaContingencia

OperacionalOperacional SeguridadLógica

SeguridadLógica

RedRed

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 1317/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

� MTBFMean Time Between Failures es una métrica que nos permite cuantificar cuanto tiempo es capaz un componente de mantenerse en funcionamiento sin que se produzca un fallo.

� MTTRMean Time To Repair or Recovery es una métrica que nos permite cuantificar cuanto tiempo es necesario invertir en la reparación o reemplazo de un componente o su puesta en marcha tras un fallo.

� VarianzaEs una métrica que nos permite cuantificar la dispersión de los valores de las otra métricas. Es decir, en cuanto, los valores reales o simulados se alejan en cada caso de la media.

MÉTRICAS IMPORTANTES

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 1417/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

ESTRUCTURA DEL MODELO

Para obtener resultados fiables respecto de la

disponibilidad, fiabilidad y mantenibilidad de los servicios

necesitamos conocer de qué se componen.

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 1517/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

APLICACIONES

� Aquellas infraestructuras críticas incluidas dentro de la Ley de Infraestructuras Críticas.

� Aquellas infraestructuras cuya disponibilidad es básica para el desempeño de la actividad de una organización. P.ej.: Portal web de un comercio electrónico.

� Aquellos servicios cuyo análisis detallado (con su coste asociado) sea considerado como necesario.

� Cualquier infraestructura ICT.

DOCUMENTO NO CLASIFICADO

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

GMV SOLUCIONES GLOBALES INTERNET S.A.

CONCLUSIONES

DOCUMENTO NO CLASIFICADO

With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-

related Risks Programme European Commission - Directorate-General Home Affairs

© GMV, 2011DOCUMENTO NO CLASIFICADO

PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS

Pág. 1717/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014

CONCLUSIONES

• MIMICS permite reducir la incertidumbre en el análisis sobre la resiliencia de las infraestructuras críticas.

• La reducción de la incertidumbre permite detectar los puntos débiles de la infraestructura antes que generen problemas graves.

• El mayor nivel de información que proporciona permite optimizar las inversiones.

Permite predecir el impacto de modificaciones en las infraestructuras.

DOCUMENTO NO CLASIFICADO

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

GMV SOLUCIONES GLOBALES INTERNET S.A.

GraciasJordi Recio Prieto

Consultor de Seguridad IT y

Responsable Técnico de CRICTISIM

Email: jrecio@gmv.es

www.gmv.com

DOCUMENTO NO CLASIFICADO

With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-

related Risks Programme European Commission - Directorate-General Home Affairs