protecciÓn de infraestructuras crÍticas guÍa para la elaboraciÓn de planes de seguridad del...
DESCRIPTION
PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICASGUÍA PARA LA ELABORACIÓN DE PLANES DE SEGURIDAD DEL OPERADOR Y PLANES DE PROTECCIÓN ESPECÍFICAAntonio Ramos y Félix A. Barrio (Coord.)2011TRANSCRIPT
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
1/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 1
PROTECCIN DE
INFRAESTRUCTURAS
CRTICAS:
GUA PARA LA ELABORACIN
DE PLANES DE SEGURIDAD
DEL OPERADOR Y PLANES DE
PROTECCIN ESPECFICOS
GRUP CIN EMPRES RI L INNOV DOR P R L
SEGURID D DE L S REDES Y LOS SISTEM S DE
INFORM CIN
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
2/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 2
INDICE
INDICE ............................................................................................................................ 2
Equipo de redaccin de la Gua ................................................................................... 7
1. Introduccin ...................................................................................................... 10
2. Contenido de la Gua ........................................................................................ 11
3. Anlisis de riesgos ........................................................................................... 12
3.1. Objetivos ................................................................................................................. 12
3.2. Descripcin ............................................................................................................. 13
3.3. Mejores prcticas .................................................................................................... 14
3.3.1. Fase I: Identificacin de activos ......................................................................... 14
3.3.2. Fase II: Asignar valor a los activos. ................................................................... 19
3.3.3. Fase III: Identificacin de amenazas. ................................................................ 25
3.3.4. Fase IV: Identificacin de impactos. .................................................................. 28
3.3.5. Fase V: Valoracin del riesgo. ........................................................................... 30
3.4. Herramientas ........................................................................................................... 32
4. Medidas de Seguridad ...................................................................................... 33
4.1. Gestin de la seguridad ......................................................................................... 33
4.1.1. Objetivos ........................................................................................................... 33
4.1.2. Descripcin de la Gestin de la Seguridad en Operadores Crticos .................. 33
4.1.3. Mejores prcticas .............................................................................................. 34
4.1.4. Herramientas ..................................................................................................... 43
4.2. Formacin ............................................................................................................... 45
4.2.1. Objetivos ........................................................................................................... 45
4.2.2. Descripcin ....................................................................................................... 45
4.2.3. Mejores prcticas .............................................................................................. 46
4.2.4. Herramientas ..................................................................................................... 47
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
3/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 3
4.2.5. Ejemplos ........................................................................................................... 48
4.3. Medidas de seguridad tcnicas ............................................................................. 49
4.3.1. Seguridad en la red ........................................................................................... 49
4.3.2. Auditora ............................................................................................................ 51
4.3.3. Aseguramiento de equipos ................................................................................ 61
4.3.4. Control de accesos y autenticacin fuerte ......................................................... 68
4.3.5. Seguridad en el ciclo de vida del desarrollo de los sistemas ............................. 77
4.3.6. Proteccin frente al malware ............................................................................. 99
4.3.7. Gestin de registros ........................................................................................ 111
4.4. Gestin de incidentes ........................................................................................... 125
4.4.1. Objetivos ......................................................................................................... 125
4.4.2. Descripcin ..................................................................................................... 125
4.4.3. Mejores prcticas ............................................................................................ 127
4.4.4. Herramientas ................................................................................................... 135
4.4.5. Ejemplos ......................................................................................................... 136
4.5. Plan de Continuidad de Negocio / Planes de Contingencias Informticas ....... 140
4.5.1. Objetivos ......................................................................................................... 140
4.5.2. Descripcin ..................................................................................................... 141
4.5.3. Mejores prcticas ............................................................................................ 144
4.5.4. Herramientas ................................................................................................... 150
4.5.5. Conclusiones ................................................................................................... 150
5. Medidas de seguridad fsica .......................................................................... 151
5.1. Objetivos ............................................................................................................... 151
5.2. Descripcin ........................................................................................................... 151
5.3. Protecciones y obstrucciones ............................................................................. 152
5.3.1. Permetro de seguridad ................................................................................... 152
5.3.2. Zonificacin de seguridad ................................................................................ 153
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
4/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 4
5.3.3. Iluminacin de seguridad ................................................................................. 155
5.3.4. Proteccin de reas ........................................................................................ 155
5.4. Vigilancia y control ............................................................................................... 156
5.4.1. Sistema de Deteccin de Intrusin .................................................................. 156
5.4.2. Control de accesos .......................................................................................... 158
5.4.3. Circuito Cerrado de Televisin (C.C.TV.) ........................................................ 163
5.4.4. Tecnologas ..................................................................................................... 163
5.4.5. Proteccin contra incendios ............................................................................ 164
5.4.6. Guardia de Seguridad ..................................................................................... 164
5.4.7. Centro de Control de Seguridad ...................................................................... 165
5.4.8. Contenedores de Seguridad ............................................................................ 165
5.5. Operacin y personas: Procedimientos operativos ........................................... 166
5.5.1. Identificacin de Seguridad (pases, tarjetas, etc.). .......................................... 166
5.5.2. Control de visitas. ............................................................................................ 167
5.5.3. Control de llaves y combinaciones. ................................................................. 168
5.5.4. Registros de entrada/salida ............................................................................. 169
5.5.5. Control de Rondas .......................................................................................... 169
5.5.6. Evacuacin ..................................................................................................... 170
5.6. Inteligencia y Evolucin: Planificacin y evaluacin del Plan ........................... 170
5.7. Herramientas ......................................................................................................... 170
6. Referencias ..................................................................................................... 172
Anexo I Seguridad en s is temas SCADA ............................................................... 176
Introduccin y mbito ...................................................................................................... 176
Sistemas SCADA y clasificacin por sectores ....................................................... 177
Palabra clave. Definiciones .............................................................................................. 177
Sistemas SCADA. Visin general. ................................................................................... 178
Funcionamiento lgico de un Sistema SCADA. Niveles. ................................................. 179
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
5/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 5
Componentes de control en un Sistema SCADA. ............................................................ 180
Componentes de Red en un Sistema SCADA. ................................................................ 182
Sistemas SCADA por sectores. ....................................................................................... 183
Gestin de la Seguridad. ........................................................................................... 185
Establecimiento de Roles. ................................................................................................ 185
Definir funciones y responsabilidades. ............................................................................ 185
Control de Accesos. ......................................................................................................... 186
Gestin de Cambios ......................................................................................................... 187
Gestin de la Calidad ....................................................................................................... 188
Estndar .......................................................................................................................... 188
Formacin y concienciacin. ........................................................................................... 190
Medidas de Seguridad en Sistemas SCADA ........................................................... 191
Sistemas de Informacin y sistemas SCADA. ................................................................. 191
Incidencias, amenazas y vulnerabilidades. ..................................................................... 195
Incidencias en Sistemas SCADA crticos: ....................................................................... 195
Perfiles de seguridad. Amenazas. Vulnerabilidades y Vectores de Ataque. .................... 195
Aislando y protegiendo Sistemas SCADA en infraestructuras crticas: Estrategias dedefensa en profundidad ................................................................................................... 196
Defensa en profundidad en un sistema SCADA. ............................................................. 198
Identificacin y Gestin de inc idencias. .................................................................. 200
Disaster Recovery. ........................................................................................................... 200
Gestin de Riesgos. ........................................................................................................ 201
Anlisis Forense. ............................................................................................................. 201
Audi tor a de Seguridad ............................................................................................. 202
Recomendaciones para sistemas SCADA. ..................................................................... 202
Mejora Continua. ....................................................................................................... 205
Plan de mejora continua. .................................................................................................. 205
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
6/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 6
Gestin Continua .............................................................................................................. 205
Mantenimiento .................................................................................................................. 206
Escalabilidad. Ejemplos de mejora. ................................................................................ 206
Referencias y bibliografa ......................................................................................... 208
Anexo II - ndice de tablas ......................................................................................... 209
Anexo III - ndice de Figuras ..................................................................................... 210
Anexo IV - ndice de Ilustraciones ........................................................................... 211
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
7/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 7
EQUIPO DE REDACCIN DE LA GUA
En la elaboracin de la Gua para la elaboracin de PSO y PPEhan participado los siguientesprofesionales de las distintas entidades que conforman la Agrupacin Empresarial Innovadorapara la Seguridad de las Redes y los Sistemas de la Informacin.
Antonio Ramos Garca (AEI-Seguridad)
Coordinacin:
Flix Antonio Barrio Jurez (INTECO).
Anlisis de riesgos:
Antonio Jos Vzquez Gonzlez
Mara Lourdes Belda Snchez
Clarisa Lozano Gonzlez
Eva Allende Barriocanal
Medidas de seguridad:
Constantino Lzaro de la Osa
Mara ngeles Daz Robles
Anabel Vzquez Iglesias
Medidas de seguridad:
Patricia Tejado (GMV Soluciones Globales Internet)
Enrique Martn Gmez (GMV Soluciones Globales
Internet)
Jairo Montero Santos (GMV Soluciones GlobalesInternet)
Sergio Nistal Calvo (GMV Soluciones GlobalesInternet)
Miguel Montero Rodrguez (GMV Soluciones GlobalesInternet)
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
8/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 8
Medidas de seguridad:
Natalia Potes Morante (Instituto Tecnolgico de Len,
S.A.-Grupo Mnemo)
Fernando Garca Vicent (Instituto Tecnolgico deLen, S.A.-Grupo Mnemo)
Alejandro Gmez Bermejo (Instituto Tecnolgico deLen, S.A.-Grupo Mnemo)
Roco Castrillo Ruiz de Castroviejo (InstitutoTecnolgico de Len, S.A.-Grupo Mnemo)
Jos Luis Jerez Guerrero (Instituto Tecnolgico deLen, S.A.-Grupo Mnemo)
Medidas de seguridad:
Joaqun Ramrez (Tecnosylva)
Guillermo Marqus Rodrguez (Tecnosylva)
Vctor Arrimada de la Parra (Tecnosylva)
Medidas de seguridad:
Javier Garca Beveride (Eme Multimedia)
Jess Miguel Gimeno Pozuelo (Eme Multimedia)
Mara Eugenia Caballero Mateos (Eme Multimedia)
Oscar Prieto Blanco (Eme Multimedia)
Juan Jos Garrido Gonzlez (Eme Multimedia)
Rebeca Blanco Benetez (Eme Multimedia)
Medidas de seguridad:
David Abril (B&A Consultores Estratgicos Analyza)
ngel Fernndez (B&A Consultores EstratgicosAnalyza)
Medidas de seguridad fsica:
Juan Carlos Dez Prez (INDRA Sistemas)
Sira Zurdo lvarez (INDRA Sistemas)
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
9/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 9
Fernando Aller Snchez. (INDRA Sistemas)
Seguridad en sistemas SCADA:
Susana Gonzlez Garca de Consuegra (TELVENTGlobal Services)
Vctor Alejandro Luaces Bustabad (TELVENT GlobalServices)
Juan de las Casas Cmara (TELVENT GlobalServices)
Contribuciones especiales a la elaboracin de la Gua:
Roberto Vidal
Javier Garca lvarez
Esther Ortega Moro
Sara Villanueva (AEI Seguridad)
Edicin final y revisin:
Hctor Ren Surez (INTECO)
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
10/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 10
1. INTRODUCCIN
La presente Gua ha sido elaborada por aeiseguridad en respuesta a una necesidad demercado existente dada la reciente publicacin de la Ley 8/2011, de 28 de abril, por la que seestablecen medidas para la proteccin de las infraestructuras crticas (en adelante, LPIC).
La LPIC y su desarrollo reglamentario publicado mediante el Real Decreto 704/2011 de 21 demayo (en adelante, RDPIC) establecen, entre otras, la necesidad de que los que seandesignados como operadores crticos elaboren dos documentos:
Un Plan de Seguridad del Operador (PSO)
Un Plan de Proteccin Especfico (PPE) para cada una de las infraestructuras que haya
sido identificada como crtica por el Centro Nacional para la Proteccin de lasInfraestructuras Crticas (CNPIC)
Estos documentos deben reunir una serie de caractersticas, que aeiseguridad conoce deprimera mano, gracias a su colaboracin en el Grupo de trabajo Informal sobre Proteccin deInfraestructuras Crticas en el que a participado como experto para el desarrollo de las guasque publicar el CNPIC para la redaccin de dichos planes.
Dado que las guas que publicar el CNPIC solo incluirn los contenidos mnimos y dado elperfil y conocimientos de los componentes de aeiseguridad , la Agrupacin ha credointeresante desarrollar esta gua que ahonda en cmo abordar la implantacin de las medidas
que se deben implantar y ms tarde reflejar en dichos Planes.Por tanto, esta Gua recoge, en base a mejores prcticas nacionales e internacionales unresumen de recomendaciones para implantar las medidas de seguridad identificadas en losPSO y en los PPE que consideramos que ser de gran inters para aquellas organizacionesinteresados en al proteccin de las infraestructuras crticas y, en especial de los operadorescrticos.
Finalmente, dada la importancia que tienen los sistemas SCADA en este tipo de entornos, seha incluido un anexo especial dedicado especficamente al aseguramiento de dicho tipo desistemas.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
11/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 11
2. CONTENIDO DE LA GUA
Para la confeccin de este documento se ha recopilado la informacin de los estndares onormativas ms relevantes en cada uno de los temas tratados. Concretamente se hanconsiderado la familia de las normas ISO27000, el Esquema Nacional de Seguridad (ENS) ylas guas publicadas por el NIST y el NERC.
Las ISO27000 porque es el referente de seguridad internacional y son las guas de buenasprcticas en seguridad en las que se apoya el estndar de Seguridad ISO27001
ENS porque son los requerimientos de seguridad de las administraciones pblicasespaolas que, hoy por hoy, son un referente y estn completamente alineadas con la ISOy particularizadas para los casos de administracin electrnica en Espaa.
NIST porque es la Organizacin ms conocida en elaboracin de guas de seguridadespecficas para el gobierno de los Estados Unidos, que tambin est completamentealineada con ISO, con una trayectoria de un gran nmero de aos.
En el caso del NERC, se han incluido estas guas por estar pensadas especficamente parala proteccin del sector elctrico, como infraestructura crtica.
De este modo se consigue tener una visin general de los puntos de seguridad generales aconsiderar (dados por ISO y NIST), una visin ms particular que se est aplicando en lasadministraciones pblicas espaolas (dadas por ENS) y finalmente una visin ms enfocada en
infraestructuras crticas (proporcionada por las guas del NERC).
La Gua cuenta con dos grandes apartados alineados con la estructura de los PSO y PPE:
Por una parte, todo un captulo dedicado al anlisis de riesgos que es uno de losaspectos principales de los mencionados planes.
Por otra, dos captulos dedicados a recoger las medidas de seguridad lgicas y fsicasque se debern implantar en las infraestructuras crticas para mejorar los niveles deproteccin integrales.
Finalmente, la Gua incluye un anexo dedicado a la securizacin de los sistemas SCADA, dadasu relevancia en este tipo de infraestructuras, as como un apartado en el que se recogen, demanera exhaustiva las referencias utilizadas.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
12/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 12
3. ANLISIS DE RIESGOS
3.1. OBJETIVOS
El anlisis de riesgos no es un fin en s mismo, sino que forma parte del proceso de gestin dela seguridad, en concreto, de la planificacin estratgica para la elaboracin y seguimiento delplan de seguridad que las organizaciones deben implantar para proteger las infraestructurascrticas que operan respecto de la amenaza de origen terrorista.
Conocer el tipo de riesgos al que est sometida una organizacin y en qu medida puedenafectar a las infraestructuras, hace del plan de seguridad una herramienta indispensable en lagestin integral de la seguridad de las organizaciones.
Entendindose por seguridad, la capacidad de las infraestructuras (tanto sus elementos fsicoscomo sus redes o sus sistemas de informacin) para resistir, con un determinado nivel deconfianza, las acciones ilcitas o malintencionadas que comprometan el normal funcionamientode las mismas, y entendindose el riesgo como la estimacin del grado de exposicin a queuna amenaza se materialice sobre uno o ms activos causando daos o perjuicios a lasinfraestructuras organizativas, se entender por qu el hecho de realizar un buen anlisis deriesgos hace que la gestin de los mismos sea eficaz, ya que mediante esta gestin, laorganizacin conoce, previene, impide, reduce o controla los riesgos que conoce.
Una particularidad importante que se ha de tener en cuenta, adems, para la realizacin deestos anlisis de riesgos para la proteccin de las infraestructuras crticas es que debern tenerun enfoque integral de la seguridad, considerando tanto sus elementos lgicos como fsicos ylas medidas de ambos tipos.
El anlisis de riesgos es una herramienta de gestin que permite tomar decisiones: desdedecisiones sobre inversin, pasando por las decisiones de adquisicin de salvaguardastcnicas o la seleccin y capacitacin del personal.
Llevar a cabo un anlisis de riesgos es laborioso. Establecer un mapa de activos y valorarlosrequiere la colaboracin de muchos perfiles dentro de la organizacin. Adems, lograr unauniformidad de criterio entre todos es imprescindible ya que, si es importante cuantificar/valorar
los riesgos, ms importante an es relativizarlos.Establecer una metodologa para realizar un buen anlisis de riesgo no es nada fcil.Precisamente por eso, este es el objetivo del documento: proporcionar pautas para la definicinde una metodologa de gestin de riesgos vlida para cualquier organizacin que opereinfraestructuras crticas, para la identificacin y evaluacin de sus riesgos, identificar medidasde proteccin con un enfoque integral de la seguridad y que aporte a la organizacin elconocimiento, la prevencin, la reduccin y control de los riesgos.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
13/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 13
Control y Seguimiento de proyecto
Fase I:
Identificacin de activos
Fase II:
Asignar Valor
a los activos
Fase III:
Identificacin
de amenazas
Fase IV:
Identificacin
impacto
Fase V:
Valoracin
del riesgo
3.2. DESCRIPCIN
Las pautas incluidas en el presente documento parten de la experiencia de la realizacin de
anlisis de riesgos e incorpora los enfoques de diferentes mtodos existentes (como Magerit,Mosler u otros mtodos cuantitativos mixtos).
El esquema de la metodologa propuesta en el presente documento es el que se representa enla siguiente figura:
Figura 1: Fases de la metodologa
Los diferentes elementos del anlisis de riesgos se relacionan entre s normalmente segn seilustra a continuacin:
Figura 2: Elementos de un anlisis de riesgos
ActivosRiesgos
Vulnerabilidades
Valor de los activosRequerimientos de
seguridad
Amenazas
Controles
Aprovechan
Exponen
Tienen
Aumentan
Impactan si se
materializan
Marcan
Imponen
Disminuyen
Protegen de Aumentan
Aumentan
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
14/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 14
3.3. MEJORES PRCTICAS
3.3.1. Fase I: Identificacin de activos
El proceso de realizar un inventario de los activos de una organizacin es uno de los aspectosfundamentales del anlisis de riesgos. Teniendo en cuenta que, adems, el anlisis de riesgosha de permitir conocer la evaluacin de riesgos a distintos niveles de agrupacin (organizacin,servicio esencial e infraestructura crtica concreta, como mnimo), el inventario de activos ha detenerlo en consideracin para permitir, al menos, dichos niveles de agregacin.
Se entienden por activos, aquellos recursos necesarios para que la organizacin funcionecorrectamente y alcance los objetivos propuestos por su Direccin.
Uno de los activos esenciales es la informacin que maneja el sistema, es decir, los datos.Adems, se pueden identificar otros activos como son:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que senecesitan para poder gestionar dichos datos.
Las instalaciones, incluidas las que acogen equipos informticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones yservicios.
Los soportes de informacin que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
La dependenciaentre activos es un concepto que se debe tener en cuenta a la hora de asignarvalor a un activo, dado que en s un activo puede tener un valor pequeo pero puede acumular
un valor considerable si se considera el valor de todos los activos que dependen de su correctofuncionamiento (ejemplo tpico de un activo de uso compartido: centralita telefnica, router desalida a Internet, servidor de ficheros, etc.).
Se entiende por tanto como dependencia de activos, la medida en que un activo superior severa afectado por un incidente de seguridad en un activo inferior. Se dice, por tanto, que unactivo superior depende de otro activo inferior cuando la materializacin de una amenaza enel activo inferior tiene como consecuencia un perjuicio sobre el activo superior.
No todos los activos dentro de una organizacin son activos crticos de los que se debagestionar los riesgos a los que estn sometidos. La identificacin de activos crticos se
desarrolla en la fase siguiente (Fase II: Valoracin de activos).
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
15/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 15
3.3.1.1. Etapa I: Identif icacin de procesos.
El anlisis de procesos de cada lnea de actividad de una organizacin es un paso clave para
la correcta identificacin de activos.Se trata de realizar un anlisis exhaustivo de todos los pasos que se siguen en la organizacin,teniendo en cuenta la informacin de un proceso a otro, los canales de informacin y losrecursos para poder canalizar la informacin.
Ejemplo: Empresa que se dedica a: Venta, Instalacin y Servicio Tcnico de telefonaincluida la venta y reparacin de tendidos y cableados, montaje de centralitas, venta deequipos informticos y terminales mviles.
Etapa I: Para esta empresa se identifica un nico cliente: cliente al que se le instala unsistema de telefona, por lo que se identifica una nica lnea de negocio.
Se representan a continuacin mediante diagrama de flujo los procesos de la organizacin.
Figura 3: Diagrama de flujo empresa ejemplo
Ququiere
elcliente
Proceso de
Contacto con
el cliente
Proceso de
Control de
almacn
Proceso de
control de
compras
Proceso de
evaluacin de
proveedores
Proceso de
control de
subcontratas
Proceso de
instalacin y puesta
en marcha
Procesode
serviciotcnico
Necesita
compra de
material
si
n
si
Es
necesariosubcontrat n
Satisfacci
nclient
e
Proceso de
mantenimiento
maquinaria
Proceso de
formacin y
recursos
humanos
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
16/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 16
Planificacin
Comercial /
Contacto Cliente
Visita al cliente
Identificacin de
necesidades
Presupuesto FinNo
Entrega
presupuesto
Preparacin de
presupuesto
Realizacin de
presupuesto
Toma de datos
administracin
Acepta FinNo
Modificacin
Si
SI
Aceptacin
presupuesto
No Presupuestosaceptados
Presupuesto
2 Copias
factura
proforma
Hacer factura
proformacliente
Presupuesto
firmado
proceso de
instalacin y
puesta en marcha
Proceso de
almacn
Original
Copia
COMERCIAL
COMERCIAL
COMERCIAL
GERENCIA
ADMON.
COMERCIAL
Factura
proforma
CLIENTE
mantenimiento servicio
tcnico FinNo
SI
COMERCIALEntrega mantenieminto
contrato 2 copiascontrato firmado
Contratos
mantenimiento cliente
software de
gestin
software de
gestin
software de
gestin
software de
gestin
software de
gestin
Figura 4: Flujograma proceso contacto con el cliente empresa ejemplo
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
17/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 17
Se identifica cada uno de los procesos, es decir, los flujos de trabajo.
As, para el proceso de contacto con el cliente quedan representados en el flujograma que
se representa anteriormente (figura 4).
3.3.1.2. Etapa II: Identif icacin de activos.
La organizacin deber hacer una identificacin de sus activos. Dicha identificacin se har enbase a los diferentes tipos de activos que podrn utilizar las diferentes lneas de actividad de laorganizacin.
Para cada lnea de actividad se realizar una identificacin de activos.
Ejemplo: As una empresa dedicada a la venta de software especfico para el sector
sanitario, que dispone de aulas formativas para impartir formacin tutorialsubvencionada o particular,diferenciar tres tipos de clientes, y tres lneas de negociodiferenciadas:
Cliente 1: organizaciones que compran software como son clnicas privadas, hospitalespblicos o privados.
Cliente 2: organizaciones pblicas que subvencionan la actividad formativa.
Cliente 3: alumnos particulares que reciben la formacin.
Para cada tipo de clientes la actividad desarrollada es diferente y los activos crticos quese deben identificar difieren.
3.3.1.3. Etapa III: Clasificacin de activos
Dado el enfoque integral comentado, habra que identificar tanto activos fsicos como activosrelacionados con el tratamiento de informacin.
Activos fsicos seran, por ejemplo, los emplazamientos de la organizacin, los edificios, loslocales, los equipos mviles o la canalizacin.
Activos de informacin son, por ejemplo, ficheros y bases de datos, contratos y acuerdos,
documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones,software del sistema, equipos informticos, equipo de comunicaciones, servicios informticos yde comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa yaire acondicionado y las personas, que son al fin y al cabo las que en ltima instancia generan,transmiten y destruyen informacin, es decir dentro de un organizacin se han de considerartodos los tipos de activos de informacin.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
18/214
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
19/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 19
EQUIPAMIENTO
AUXILIARSistemas de ventilacin y
calefaccin
DATOS
APLICACIONES
PERSONAL
SERVICIOS
TECNOLOGA
INSTALACIONES
Presupuestos
Presup. FirmadosFacturas
Datos cliente
Contratos manten.
Software de
gestin
- Comercial- Administracin- Gerencia- Empresas subcontratadas
Datos al proceso de almacn
Datos al proceso de instalacin y
puesta en marcha
Servidor de
la empresaArchivo
empresa
Tlf.comercial Tlf.empresa
Impresora
empresaPDA
comercial
Porttiles
empresaRouter y
cableado
Oficina
principalVehculo
comercial
Figura 6: Flujograma de identificacin de activos
3.3.2. Fase II: Asignar valor a los activos.
Una vez identificados los activos, el siguiente paso a realizar es valorarlos. Es decir, hay queestimar qu valor tienen para la organizacin, cual es su importancia para la misma.
Para calcular este valor, se considera cual puede ser el dao que puede suponer para laorganizacin que un activo resulte daado. Para los activos de informacin, est valoracin
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
20/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 20
suele realizarse en cuanto a sus dimensiones, por ejemplo, su disponibilidad, integridad yconfidencialidad. En el caso de los activos fsicos se pueden utilizar esquemas de valoracinque tomen en consideracin factores como su valor material, el efecto sobre los beneficios,
pero tambin el dao en vidas humanas, en daos ambientales o sobre la reputacin quepodra causar su destruccin, o tambin las consecuencias legales o sobre la sociedad.
Esta valoracin se har de acuerdo con una escala que puede ser cuantitativa o cualitativa.
Si es posible valorar econmicamente los activos, se utiliza una escala cuantitativa. Este seriael caso de activos como el software o el hardware. Se trata de los activos tangibles.
En la mayora de los casos, no es posible cuantificar un activo con valores monetarios o va asuponer un esfuerzo excesivo, por lo que se utilizan escalas cualitativas como por ejemplo:bajo, medio, alto o bien un rango numrico, por ejemplo, de 0 a 10. Este seria el caso de
activos como el prestigio o la confianza de los clientes. Se trata de los activos intangibles.
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo enun orden relativo respecto a los dems. La limitacin de este tipo de escalas es que nopermiten comparar valores ms all de su orden relativo, es decir, no es posible sumar valores.
Las valoraciones numricas absolutas (escalas cuantitativas) son costosas de elaborar, sinembargo no presentan los problemas existentes en las valoraciones cualitativas ya que sumarvalores numricos es algo normal.
Con independencia de la escala utilizada, para valorar un activo hay que tener en cuenta
mltiples factores, entre los que se encuentran:
Reduccin del rendimiento de la actividad.
Efecto negativo en la reputacin.
Prdidas econmicas.
Trastornos en el negocio.
Coste de reposicin del activo.
Coste de mano de obra invertida en recuperar el valor del activo.
Sanciones por incumplimiento de la ley (violacin de la legislacin aplicable).
Sanciones por incumplimiento de obligaciones contractuales.
Daos a otros activos, propios o ajenos.
Daos a personas.
Daos medioambientales.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
21/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 21
La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estarinvolucradas todas las reas de la organizacin, aunque no participen en otras partes delproyecto y de esta manera obtener una imagen realista de los activos de la organizacin.
Es til definir con anterioridad unos parmetros para que todos los participantes valoren deacuerdo a unos criterios comunes, y se obtengan valores coherentes. Un ejemplo de ladefinicin de estos parmetros podra ser la siguiente:
Disponibilidad:
Para valorar este parmetro debe responderse a la pregunta de cul sera la importancia o eltrastorno que tendra el que el activo no estuviera disponible. Si consideramos como ejemplouna escala de 0 a 3 se podra valorar de la siguiente manera:
Tabla 1: Ejemplos de criterios de disponibilidad
VALOR CRITERIO
0 No aplica / No es relevante
1 Debe estar disponible, al menos, el 10% del tiempo
2 Debe estar disponible, al menos, el 50% del tiempo
3 Debe estar disponible, al menos, el 99% del tiempo
Por ejemplo, la disponibilidad de un servidor central, sera de 3 con estos criterios.
Integridad:
Para valorar este parmetro la pregunta a responder ser qu importancia tendra que el activofuera alterado sin autorizacin ni control. Una posible escala sera la siguiente:
Tabla 2: Ejemplos de criterios d e integridad
VALOR CRITERIO
0 No aplica / No es relevante
1 No es relevante los errores que tenga o la informacin que falte
2 Tiene que estar correcto y completo, al menos, en un 50%
3 Tiene que estar correcto y completo, al menos, en un 95%
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
22/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 22
Por ejemplo, que en el servidor central fueran modificadas, por personal no autorizado, lascuentas de usuario de los dems departamentos. En este caso, el valor sera 3.
Confidencialidad:
En este caso la pregunta a responder para ponderar adecuadamente este parmetro ser cuales la importancia que tendra que al activo se accediera de manera no autorizada. La escala eneste caso podra ser la siguiente:
Tabla 3: Ejemplos de criterios de conf idencialidad
VALOR CRITERIO
0 No aplica / No es relevante
1 Daos muy bajos, el incidente no trascendera del rea afectada
2 Seran relevantes, el incidente implicara a otras reas
3Los daos seran catastrficos, la reputacin y la imagen de la
organizacin se veran comprometidas
Por ejemplo, dependiendo de la organizacin y su contexto, el valor del servidor podra serincluso 3 si la dependencia de esa mquina es muy grande y el simple acceso fsico al servidor
sera un trastorno para la organizacin.
Escalas para activos fsicos:
Tabla 4: Ejemplo de crit erios de valoracin fsicos
VALORREDUCCINBENEFICIO
SALUD YSEGURIDAD
ENTORNONATURAL
PATRIMONIOSOCIAL/CULTURAL
COMUNIDAD/ GOBIERNO /REPUTACIN
LEGAL
510 MM 100
MM EUR
Mltiplesvctimas o
efectosirreversibles
>50 pers.
Efectosmuy
serios, alargo plazo
queafectan al
ecosistema
Persecucin ysanciones
significativas.
41 MM 10MM EUR
Solo unavctima mortal
odiscapacidadirreversible
(>30%)
Daos significativospermanentes a
estructuras,elementos de
importancia cultural
Protestasserias
(coberturainternacional)
Incumplimientode legislacinsignificativo
3100.000 1MM EUR
Discapacidadirreversiblemoderada odiscapacidad
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
23/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 23
VALORREDUCCINBENEFICIO
SALUD YSEGURIDAD
ENTORNONATURAL
PATRIMONIOSOCIAL/CULTURAL
COMUNIDAD/ GOBIERNO /REPUTACIN
LEGAL
210.000
100.000 EUR
Requierehospitalizacin
pero esreversible
Efectosmoderados
a cortoplazo queno afectan
alecosistema
Daos permanentesa elementos de
importancia cultural
Atencin demedios y/o
comunidadeslocales yONGs
Aspectoslegales
menores,incumplimientos
de regulacin
1< 10.000
EUR
No implicatratamientos
mdicos
Efectomenor
sobre elmedio
Impactos menoressociales.
Principlamentereparabe
Atencin oquejas
pequeas depblicos o
medios
locales.
La valoracin de los activos deben realizarla un grupo de personas que sean lo suficientementerepresentativas como para aportar, entre todos, una visin razonablemente objetiva de laorganizacin. Por supuesto, deben ser personas que conozcan bien la organizacin. Si se vana hacer las valoraciones mediante reuniones de trabajo, el grupo no debera ser excesivamentenumeroso para que las reuniones no se alarguen demasiado. Si se van a utilizar cuestionarioso entrevistas, se puede involucrar a ms personas, siempre teniendo en cuenta el costeasociado a ello.
Tambin debe decidirse cmo se va a calcular el valor total de los activos, bien como una sumade los valores que se han asignado a cada uno de los parmetros valorados, bien el mayor dedichos valores, la media de los mismos, etc.
Los criterios para medir el valor del activo deben ser claros, fciles de comprender por todoslos participantes en la valoracin y homogneos, para que se puedan comparar los valores alfinal del proceso. De esta manera se sabr cuales son los principales activos de laorganizacin, y por lo tanto aquellos que necesitan de una particular atencin.
A estos activos, a los que se debe prestar una especial atencin, se les denomina activoscrticos. Para identificar qu activos son crticos y cules no, es necesario realizar un sencilloclculo con los parmetros que se han definido para valorarlos. Por cada activo identificado, sesuman los valores obtenidos de los parmetros definidos. El resultado de dicha suma es el queva a determinar la criticidad del activo. La Direccin de la organizacin, junto con el grupo depersonas que ha valorado los activos, marca el punto de inflexin a partir del cual el activo esconsiderado crtico. Se puede tomar como punto de inflexin, la mitad del resultado de la sumamas un punto, aunque la organizacin puede determinar cualquier otro.
As, siguiendo con el ejemplo que nos ocupa, si se han tenido en cuenta 3 parmetros(disponibilidad, integridad y confidencialidad) para valorar los activos de la organizacin, seconsideran activos crticos aquellos cuyo resultado de sumar los valores obtenidos de cada
parmetro sea mayor o igual a 6.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
24/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 24
En el caso del servidor,
Tabla 5: Ejemplo valoracin servidor
Disponibilidad Integridad ConfidencialidadSuma de
parmetros
Servidor Central 3 3 3 9
Acti vo Crt ico SI
Una vez que se encuentran valorados todos los activos e identificados cules de ellos sonactivos crticos, es preciso, para los activos crticos, realizar el clculo de dos criterios que
sern necesarios para obtener el valor del riesgo. Estos criterios son:
Funcin
Tabla 6: Valoracin de la func in
: Hace referencia a las consecuencias o daos que pueden alterar la actividadde la organizacin. Se representa con la letra F. Para evaluar este criterio se respondea la pregunta, las consecuencias pueden alterar la actividad?
CRITERIO DE FUNCIN(ALTERACIN)
PUNTUACIN
Parada total de la actividad 5
Parada de un mes de la actividad 4
Retraso de una semana en laactividad
3
Retraso de un da en la actividad 2
Retraso de unas horas en laactividad
1
Sustitucin
Tabla 7: Valoracin de la Sustitucin
: Hace referencia a la posibilidad de sustituir los activos. Se representa conla letra S. Para evaluar este criterio se responde a la pregunta, se puede reemplazarel activo?
CRITERIO DE SUSTITUCIN(REEMPLAZAR)
PUNTUACIN
Proveedor nico en elextranjero
5
Proveedor nico nacional 4
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
25/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 25
CRITERIO DE SUSTITUCIN(REEMPLAZAR)
PUNTUACIN
Varios proveedores nacionales 3
Varios proveedores en laregin
2
Varios proveedores en laciudad
1
Para cada uno de los activos crticos de la organizacin se calcula el valor de los dos criterios.
3.3.3. Fase III: Identi ficacin de amenazas.
Una vez identificados y valorados los activos crticos, el siguiente paso consiste en determinarlas amenazas que pueden afectar a cada activo.
Una amenaza se define como un evento que puede desencadenar un incidente en laorganizacin, produciendo daos materiales o inmateriales en sus servicios.
Es importante conocer las posibles amenazas que pueden afectar a los diferentes activosporque, de este modo, la organizacin es capaz de anticiparse a los efectos de las mismas.
Dado el objetivo marcado para la proteccin de las infraestructuras crticas respecto de lasamenazas de origen terrorista, sern estas las que debern ser reflejadas en los anlisis quese aporten, considerando que pueden tener un origen, tanto logcas como fsicas. Amenazasde este tipo podran ser, por ejemplo, suplantaciones de la identidad de un usuario, abuso deprivilegios de acceso, accesos no autorizados, difusin de malware, manipulacin de lasconfiguraciones, etc.
Una vez determinado que una amenaza puede afectar a un activo, es necesario estimar cunvulnerable es el activo en dos sentidos:
Degradacin:
Cun perjudicado resultara el activo.
Frecuencia:
La degradacin mide el dao ocasionado por un incidente en el supuesto de que ocurriera.
Cada cunto tiempo se materializa la amenaza.
La frecuencia pone en perspectiva dicha degradacin, ya que una amenaza puede tenerconsecuencias muy graves en el activo pero ser de improbable materializacin o, por elcontrario, una amenaza puede tener escasas consecuencias y ser tan frecuente que ocasionaun dao considerable en el activo y por extensin en la organizacin.
A la frecuencia se le otorgan los valores que ms se adapten a la organizacin, siendo un
ejemplo tpico el siguiente, si bien, como se indica, cada organizacin debe fijar los valores queconsidere ms adecuados:
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
26/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 26
Tabla 8: Ejemplo de valoracin de amenazas
1/10 Poco frecuente Una vez al ao
1 Normal Mensualmente
10 Frecuente Semanalmente
100 Muy frecuente A diario
A la hora de analizar los riesgos hay que evaluar las distintas amenazas que pueden procederde las ms diversas fuentes. Entre estas se incluyen los agresores malintencionados, lasamenazas no intencionadas y los desastres naturales.
La siguiente ilustracin clasifica los diversos tipos de amenazas de los sistemas.
AMENAZAS
HUMANAS NATURALES
NO
INTENCIONADASINTENCIONADAS
PERSONALINTERNO
PERSONAL NOINTERNO
AMENAZASAMENAZAS
HUMANASHUMANAS NATURALESNATURALES
NO
INTENCIONADAS
NO
INTENCIONADASINTENCIONADASINTENCIONADAS
PERSONALINTERNO
PERSONALINTERNO
PERSONAL NOINTERNO
PERSONAL NOINTERNO
Figura 7: Clasificacin general de amenazas
Diversas situaciones, tales como el incremento y el perfeccionamiento de las tcnicas deingeniera social, la falta de capacitacin y concientizacin a los usuarios en el uso de latecnologa, y sobre todo la creciente rentabilidad de los ataques, han provocado en los ltimosaos el aumento de las amenazas intencionadas.
No todas las amenazas afectan a todos los activos sino que, dependiendo de la organizacin,
del proceso analizado y el tipo de activo, son aplicables distintos tipos de amenazas. Las
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
27/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 27
amenazas tendrn una probabilidad de ocurrencia que depender de la existencia de unavulnerabilidad que pueda ser explotada para materializarse en un incidente.
Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenazaen un riesgo real que puede ocasionar daos en la organizacin.Las vulnerabilidades en simismas no causan dao alguno sino que es una condicin o un conjunto de condiciones quepueden permitir a una amenaza afectar a un activo.
Para identificar las vulnerabilidades que pueden afectar a una organizacin hay que respondera la pregunta, cmo puede ocurrir una amenaza? Para responder a esta pregunta hay queponer como objetivo la amenaza y definir las distintas situaciones por las que puede llegarocurrir la misma, evaluando si dentro de la organizacin puede darse esa circunstancia, esdecir, si el nivel de proteccin es suficiente para evitar que se materialice la amenaza.
As, por ejemplo, si una de las amenazas de la organizacin es que roben datos estratgicosde la compaa, se pueden establecer, entre otros, los siguientes escenarios:
Tabla 9: Ejemplos de escenarios
Escenarios Niveles de proteccin
Entrada no autorizada a los datosa travs del sistema informtico
Existe un control de acceso dedatos?
Robo de equipos / datos dedispositivos magnticos
Estn los dispositivos dealmacenamiento protegidos y
controlados de forma adecuada?
Robo de datos mediante accesosno autorizados
Existen perfiles adecuados deacceso a los datos?
En el caso de que no se responda afirmativamente a las preguntas de la columna de laderecha, es que existen vulnerabilidades que podran utilizarse de forma que la amenaza seconvierta en un incidente real y causar daos a la organizacin.
Al hablar de amenazas y vulnerabilidades es necesario definir los criterios de agresin yvulnerabilidad, imprescindibles para calcular el valor del riesgo. As:
Agresin:
Hace referencia a la probabilidad de que el riesgo se manifieste. Serepresenta con la letra A. Para evaluarlo se responde a la pregunta: Quprobabilidad hay de que se manifieste el riesgo?
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
28/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 28
Tabla 10: Valoracin de la agresin
CRITERIO DE AGRESIN
(RIESGO) PUNTUACIN
Muy alta 5
Alta 4
Normal 3
Baja 2
Muy Baja 1
Vulnerabilidad:
Tabla 11: Valoracin de la vulnerabilidad
Hace referencia a la probabilidad de que se produzcan daos. Serepresenta con la letra V. Para evaluar este criterio se responde a la pregunta, quprobabilidad hay de que se produzcan daos?
CRITERIO DE VULNERABILIDAD(DAOS)
PUNTUACIN
Muy alta 5
Alta 4
Normal 3
Baja 2
Muy baja 1
Para cada uno de los activos crticos de la organizacin se calcula el valor de los dos criterios.
3.3.4. Fase IV: Identificacin de impactos.
Los incidentes causan un impacto dentro de la organizacin, que es necesario tener en cuentaa la hora de calcular los riesgos.
Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin deuna amenaza. Conociendo el valor de los activos y la degradacin (cun perjudicado resulta un
activo) causada por las amenazas, es directo derivar el impacto que estas tendran sobre elsistema.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
29/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 29
La valoracin del impacto puede realizarse de una manera cuantitativa, estimando las prdidaseconmicas, o de una manera cualitativa, asignando un valor dentro de una escala (porejemplo, alto, medio, bajo).
As, el robo de informacin confidencial de la organizacin puede causar un impacto alto si estacae en malas manos.
En otro caso, se pueden estimar las prdidas econmicas de equipos tangibles valorando elcoste de reposicin o la puesta en marcha.
As, al hablar de impacto o daos ocasionados, es necesario definir dos criterios que se han detener en cuenta en el clculo del riesgo. Estos criterios son:
Profundidad:
Tabla 12: Valoracin de la profundidad
Hace referencia a la perturbacin y a los efectos psicolgicos que se
producen en la imagen de la organizacin. Se representa con la letra P. Para evaluarlose responde a la pregunta, cules son los efectos en la imagen?
CRITERIO DE PROFUNDIDAD(PERTURBACIN)
PUNTUACIN
Clientes Vips / Grandes cuentas 5
Clientes habituales 4
Clientes ocasionales 3
Proveedores 2
Personal interno 1
Extensin:
Tabla 13: Valoracin de la Extensin
Hace referencia al alcance de los daos segn su amplitud o extensin. Serepresenta con la letra E. Para evaluar este criterio se responde a la pregunta, cules el alcance del dao?
CRITERIO DE EXTENSIN(ALCANCE)
PUNTUACIN
Internacional 5
Nacional 4
Regional 3
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
30/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 30
CRITERIO DE EXTENSIN(ALCANCE)
PUNTUACIN
Local 2
Individual 1
Para cada uno de los activos crticos de la organizacin se calcula el valor de los dos criterios.
3.3.5. Fase V: Valoracin del riesgo.
Se denomina riesgo a la medida del dao probable sobre un sistema. Al hablar de riesgo,
hablamos de la probabilidad de que se produzca un determinado impacto que afecte a losactivos y, por tanto, a la organizacin.
Teniendo en cuenta los distintos criterios definidos en los apartados anteriores, se puedecalcular el riesgo asociado a los activos crticos de la organizacin y, por tanto, la actuacinque deber llevar a cabo la misma ante dichos riesgos.
Para ello se procede a realizar una serie de clculos que podemos enumerar en cuatro etapas:
ETAPA 1
Clculo del
carcter del
riesgo
ETAPA 2
Clculo de la
probabilidad
ETAPA 3
Clculo del
riesgo
ETAPA 4
Actuacin de la
organizacin
ETAPA 1
Clculo del
carcter del
riesgo
ETAPA 2
Clculo de la
probabilidad
ETAPA 3
Clculo del
riesgo
ETAPA 4
Actuacin de la
organizacin
Figura 8: Fases para el clculo del riesgo
3.3.5.1. Etapa 1 Clculo del carcter del riesgo
La frmula para calcular el carcter del riesgo es la siguiente:
CARCTER DEL RIESGO (C) = IMPORTANCIA DEL SUCESO (I) + DAOS OCASIONADOS (D)
Para poder calcular tanto la importancia del suceso como el dao ocasionado es necesarioconocer los criterios de funcin y sustitucin (en el caso de la importancia del suceso) y deprofundidad y extensin (en el caso del dao ocasionado) del activo seleccionado.
Los datos de estos criterios se habrn obtenido con anterioridad siguiendo las indicaciones delos apartados 3.3.2 Fase II: Valoracin de activos y 3.3.4 Fase IV: Identificacin de impactos.
IMPORTANCIA DEL SUCESO (I) = FUNCIN (F) x SUSTITUCIN (S)
DAO OCASIONADO (D) = PROFUNDIDAD (P) x EXTENSIN (E)
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
31/214
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
32/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 32
Con todos los activos crticos de la organizacin, se repiten los clculos citados conanterioridad (las 4 etapas) y se obtiene una relacin de los riesgos de la organizacinasociados a cada activo crtico.
De este modo, la Direccin de la organizacin dispone de toda la informacin necesaria paradecidir, teniendo en cuenta factores legislativos o compromisos contractuales con clientes yproveedores, las acciones a tomar.
As, si el riesgo est por encima de lo aceptable se puede:
Eliminar el activo, la Organizacin debe valorar si puede prescindir de ese activo porqueno merece la pena mantenerlo.
Introducir nuevas salvaguardas/contramedidas (mecanismos que reducen el riesgo, es
decir, las medidas de seguridad) o mejorar la eficacia de las presentes.
Transferir el riesgo a terceras partes.
3.4. HERRAMIENTAS
La realizacin de anlisis de riesgos suele conllevar la valoracin de mltiples variables y endiferentes dimensiones, por ello, es muy recomendable en apoyarse en algn tipo deherramienta que permita dar soporte al proceso de anlisis y gestin de riesgos.
Existen mltiples herramientas de este tipo en el mercado, pero hemos de destacar que,
normalmente, dichas herramientas van muy ligadas a una metodologa de riesgos concreta porlo que se debe evaluar en detalle, antes de adquirir ninguna herramienta, qu metodologavamos a emplear, si la herramienta que queremos se adapta a nuestra metodologa, o si, por elcontrario, deberemos elaborar nuestra propia herramienta adaptada a nuestras necesidades.
Esta dependencia se produce, normalmente, porque adems de actuar como repositorio deinformacin, estas herramientas incluyen tambin soporte al proceso de realizacin de anlisisy gestin de riesgos y mantienen su propio catlogo de amenazas, vulnerabilidades, etc. ascomo sus propios niveles de clasificacin de riesgos.
Al valorar estas herramientas, tambin deberemos considerar si dan soporte a nuestros
requisitos en cuanto a acceso a la informacin que alojaran, posibilidad de contar con distintosperfiles de usuarios, accesos remotos, realizacin de anlisis de riesgos por varios usuarioscon diferentes responsabilidades o posibilidad de visualizar los niveles de riesgos a distintosniveles (organizacin, servicio esencial, infraestructura crtica). Para finalizar, tambin hay quedestacar que no es fcil encontrar herramientas que permitan realizar un anlisis de riesgosintegral considerando tanto las medidas de seguridad fsica, como las lgicas.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
33/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 33
4. MEDIDAS DE SEGURIDAD
4.1. GESTIN DE LA SEGURIDAD
4.1.1. Objetivos
El objetivo de un Plan de Seguridad es identificar y evaluar los riesgos que afectan a unaentidad, con el objetivo de implantar contramedidas, procesos y procedimientos para suapropiado control, tratamiento y mejora continua. Este Plan deber ayudar a mantener un nivelde exposicin siempre menor al nivel de riesgo que la propia entidad ha decidido asumir.
Un punto importante dentro de un Plan, es la Gestin de la Seguridad dentro de una entidad,
entendindola como la preservacin de los principios bsicos de la confidencialidad (acceso ala informacin por parte nicamente de quienes estn autorizados), integridad(mantenimientode la exactitud y completitud de la informacin y sus mtodos de proceso) y disponibilidad(acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuariosautorizados cuando lo requieran) de la misma y de los sistemas implicados en su tratamiento.Estos tres principios son elementos esenciales para mantener los niveles de competitividad,rentabilidad, conformidad legal e imagen, necesarios para lograr los objetivos de cualquierentidad.
4.1.2. Descr ipcin de la Gestin de la Seguridad en Operadores Crticos
La informacin, junto a los procesos, personas y sistemas que hacen uso de ella, son activosmuy importantes dentro de una entidad u organizacin.
Las entidades y sus sistemas de informacin estn expuestos a un nmero cada vez elevadode amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, puedensometer a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entreotros.
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones variablesdel entorno, la proteccin adecuada de los objetivos de la entidad para asegurar el mximo
beneficio o el aprovechamiento de nuevas oportunidades, son algunos de los aspectosfundamentales en los que el Plan de Seguridad es una herramienta de gran utilidad y deimportante ayuda para la gestin de las organizaciones y entidades.
Con un Plan de Seguridad, las entidades conocen los riesgos a los que est sometida suinformacin y activos y los asume, minimiza, transfiere o controla mediante una metodologadefinida, documentada y conocida por todos, que se revisa y mejora constantemente.
Adems, ser importante que en la entidad se establezca y facilite el acceso a una fuenteespecializada de consulta en seguridad de la informacin. Debern desarrollarse contactos conespecialistas externos en seguridad, que incluyan a las administraciones pertinentes, con
objeto de mantenerse actualizado en las tendencias, la evolucin de las normas y los mtodos
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
34/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 34
de evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las incidenciasde seguridad.
4.1.3. Mejores prcticas
4.1.3.1. Estructura y Compromiso de Direccin
Se deber establecer una estructura de gestin con objeto de iniciar y controlar la implantacindel Plan de Seguridad dentro de la entidad.
Es importante un enfoque multidisciplinario de la seguridad que implique la cooperacin y lacolaboracin de directores, usuarios, administradores, diseadores de aplicaciones, auditores yel equipo de seguridad con expertos en las diferentes reas.
Estructura del Comit de Gestin
El Comit de Gestin se crea en la entidad, a propuesta de Direccin. Es un rgano Auxiliar deDireccin, que durante la etapa de diseo e implantacin del Plan de Seguridad, juega un papelfundamental en la elaboracin y aprobacin de la documentacin soporte del Plan.
El Comit deber tener autonoma para poder llevar a cabo todas las acciones necesarias parala implantacin del Plan.
A las sesiones de trabajo del Comit, sern invitados los miembros de diferentesdepartamentos o reas, cuando se considere necesario.
Asegurar el compromiso de Direccin y de los trabajadores
La Direccin debe proporcionar evidencias claras de su compromiso con el desarrollo eimplementacin del Plan de Seguridad, as como con la mejora continua de su eficacia. Es laDireccin, en primera instancia, quien debe tomar decisiones:
Comunicando a la entidad la importancia de la implantacin del Plan. Introduciendocambios de mentalidad, de sensibilizacin, de procedimientos y tareas, etc.
Asegurando que se establecen los objetivos.
Llevando a cabo las revisiones.
Asegurando la disponibilidad de recursos necesarios.
Sin el apoyo decidido de la Direccin no es posible la implantacin del Plan en la entidad. Suxito depende especialmente de su compromiso.
De igual forma, el resto de personal establece su compromiso de participar desde su inicio, enla identificacin de los problemas, propuestas, soluciones y mejoras, y por el cumplimiento conlas disposiciones que se establezcan una vez aprobado el Plan de Seguridad.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
35/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 35
4.1.3.2. Coordinacin de la Seguridad de la Informacin.
El Comit de Gestin del Plan Seguridad estar formado por:
Responsable del Comit: Tiene funciones estratgicas, deber formular la poltica delPlan de Seguridad, establecer los objetivos del mismo y velar por su cumplimiento,aprueba roles y responsabilidades en materia de seguridad, comunicar a la entidad laimportancia de cumplir con los objetivos y la poltica de seguridad, susresponsabilidades legales y la necesidad de la mejora continua. Proporciona recursossuficientes para crear, implementar, operar, supervisar, mantener y mejorar el Plan deSeguridad. Vela por que se realicen las auditoras internas del Plan, dirigir lasrevisiones del mismo, y deber revisar los informes de auditora, comprobar que sehacen controles peridicos, coordinar actividades, aprobar mejoras tcnicas propuestas,etc.
Responsable del SGSI: Es el encargado de llevar a cabo todas las directricesmarcadas por la Direccin. Propondr los roles de seguridad, recursos necesarios,estrategias, etc. encaminados a conseguir los objetivos de seguridad. Realizar lasrevisiones y mejoras del Plan de Seguridad, actualizar procedimientos, etc.
Responsable de Seguridad: Sus funciones sern la realizacin del anlisis de riesgos,proponer nivel de riesgo residual aceptable, evaluacin de contramedidas, implantacinde las contramedidas, proponer al responsable del Comit, mejoras prcticas...
Responsable de Departamento o rea: Su funcin ser principalmente la de
comunicar las necesidades de seguridad. Deber desplegar y mantener aquellasmedidas que afecten a su rea o departamento.
4.1.3.3. Asignacin de Responsabil idades.
A continuacin se muestra la asignacin de responsabilidades por rol, alineadas con losobjetivos de cualquier Entidad u Organismo considerado como Infraestructura crtica:
Tabla 15: Obligacin /Rol asignado
Obligacin /
Rol asignado
ResponsableComit de
Seguridad
Responsable
SGSI
Responsable
Seguridad
Responsables
Departamentos/reas
AlineacinEstratgica
Requerir unalineamientodemostrable.
Instituir procesospara integrar laseguridad con
los objetivos dela entidad.
Desarrollar yrevisar una
estrategia deseguridad.
Supervisar elPlan y las
iniciativas, yvincularlo conlas estrategias
de cada rea.
Aportar informacinsobre las estrategias
del rea.
Validar estrategiasde seguridadpropuestas.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
36/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 36
Obligacin /Rol asignado
ResponsableComit deSeguridad
ResponsableSGSI
ResponsableSeguridad
ResponsablesDepartamentos/reas
Administ rac indel Riesgo
Crear unapoltica de
administracindel riesgo en
todas lasactividades yasegurar su
cumplimiento.
Proponer unapoltica de
administracindel riesgo y las
prcticas yactuaciones para
desplegarla.
Identificar losriesgos yproponer
evaluacionesde los mismos
e impacto.
Plantearestrategias demitigacin del
riesgo.
Ejecutar la poltica yel cumplimiento
regulatorioidentificando losproblemas de
cumplimiento en elrea.
Entrega delValor
Requerir uninforme decostes de
actividad deseguridad.
Realizar estudiosde iniciativas de
seguridad.
Monitorear lautilizacin y laefectividad de
los recursos deseguridad.
Revisar y asesorarlas iniciativasrespecto a seguridad
y asegurar lasatisfaccin de los
objetivos de laentidad.
Medicin delRendimiento
Requerir elinforme de
efectividad dela seguridad.
Desarrollar eimplementar los
mtodos demonitorizacin ymedicin en las
actividades deseguridad.
Monitorear ymedir las
actividades deseguridad.
Monitorear y medirlas actividades de
seguridad en el rea.
Administ rac inde Recursos
Instituir unapoltica de
administracinde los
conocimientos yutilizacin delos recursos.
Proponer ydesarrollar
mtodos para lacaptacin y
divulgacin deconocimientos.
Desarrollarmedidas deefectividad y
eficiencia.
Desplegar losprocesos parala captacin yla divulgacin
de losconocimientos.
Desplegar losprocesos para la
captacin y ladivulgacin de los
conocimientos en elrea.
Aseguramientodel Proceso
Aprobar unapoltica de
contratacin deproveedores.
Proponercriterios deseleccin y
contratacin deproveedores.
Velar por elcumplimiento
de losrequisitos
mnimos en lacontratacin deproveedores.
Comunicarnecesidades.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
37/214
AEI SEGURIDAD | Operadores de Infraestructuras crticas 36.bis
Figura 9 : Ejemplo de organigrama de seguridad
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
38/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 37
A efectos de intercambiar experiencias y obtener asesoramiento para el mejoramiento de las
prcticas y controles de seguridad, se recomienda mantener contactos con los siguientesOrganismos especializados en temas relativos a la seguridad informtica:
Organismos de Apoyo
4.1.3.3.1. Contacto con las Autoridades
Se debern mantener contactos con las autoridades pertinentes. Posibles entidades con lasque mantener contacto seran las siguientes:
CNPIC
CNPIC, Centro Nacional para la Proteccin de las Infraestructuras Crticas, es el rganodirector y coordinador de cuantas actividades relacionadas con la proteccin de las
infraestructuras crticas tiene encomendadas la Secretara de Estado de Seguridad delMinisterio del Interior, a la que est adscrito.
Su principal objetivo es prestar una eficaz colaboracin para mantener seguras lasinfraestructuras crticas espaolas que proporcionan los servicios esenciales a nuestrasociedad.
ICS CERT (Industr ial Control Systems Cyber Emergency Response Team)
Ofrece un sistema de control de seguridad en colaboracin con la US-CERT enfocado para: Responder y analizar sistemas de control relacionados con incidentes.
Vulnerabilidad y anlisis del malware.
Proveer soporte in situ para respuesta a incidentes y anlisis forense.
Proporcionar conocimiento de la situacin en forma de inteligencia procesable.
Coordinar la divulgacin responsable de vulnerabilidades / mitigaciones.
Compartir y coordinar la informacin sobre la vulnerabilidad y el anlisis de amenazas atravs de productos de informacin y alertas.
El ICS-CERT es un componente clave de la Estrategia de Seguridad de los Sistemas deControl.
CCN-CERT, CNI (Centro Nacional de Inteligencia)
CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad
de la Informacin del Centro Criptolgico Nacional (CCN),dependiente del CNI (Centro Nacional de Inteligencia).
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
39/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 38
Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas deinformacin de las tres administraciones pblicas existentes en Espaa (general, autonmica ylocal). Para lograr su objetivo, responden de forma rpida y eficiente a los incidentes de
seguridad que pudieran surgir y afrontan de forma activa las nuevas amenazas existentes.
Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todoslos responsables de Tecnologas de la Informacin de las diferentes administraciones pblicas.
Lneas de actuacin:
Soporte y coordinacin para la resolucin de incidentes que sufra la AdministracinGeneral, Autonmica o Local. A travs de su servicio de apoyo tcnico y decoordinacin, acta rpidamente ante cualquier ataque recibido.
Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacinentre todos los miembros de las administraciones pblicas. Las Series CCN-STICelaboradas por el CCN ofrecen normas, instrucciones, guas y recomendaciones paragarantizar la seguridad de los Sistemas TIC en la Administracin.
Formacin a travs de los cursos STIC, destinados a formar al personal de laAdministracin especialista en el campo de la seguridad de las TIC e impartidos a lolargo de todo el ao.
Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a lossistemas de informacin, recopiladas a partir de diversas fuentes de reconocido
prestigio (incluidas las propias).
INTECO (Insti tuto Nacional de Tecnologas de la Comunicacin) - INTECO (CERT) Centrode Respuesta a Incidentes de Seguridad
INTECO tiene encomendadas las misiones de sentar las bases decoordinacin de distintas iniciativas pblicas en torno a la seguridadinformtica, impulsar la investigacin aplicada y la formacinespecializada en el mbito de la seguridad en el uso de las TIC y
convertirse en el Centro de Referencia en Seguridad Informtica a nivel nacional.
Guardia Civil GDT (Grupo de Delitos Telemticos)
El GDT est creado para perseguir los delitos informticos. Si se identifica en laentidad un problema de seguridad en la red, un contenido ilcito o detectamos uobservamos una conducta que pudiera ser delictiva, se deber comunicarlo alGDT. Todo lo que en ella se recibe es tratado con la mxima discrecin.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
40/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 39
Cuerpo Nacional de Polica
El desarrollo de la Sociedad de la Informacin y la difusin de los efectos positivos que de ella
se derivan exigen la generalizacin de la confianza de los ciudadanos en las comunicacionestelemticas.
Como respuesta a esta necesidad, y en el marco de las directivas de la Unin Europea, elEstado espaol ha aprobado un conjunto de medidas legislativas, como la Ley de FirmaElectrnica y el RD sobre el Documento Nacional de Identidad electrnico, para la creacin deinstrumentos capaces de acreditar la identidad de los intervinientes en las comunicacioneselectrnicas y asegurar la procedencia y la integridad de los mensajes intercambiados.
Adems, el C.N.P. (Cuerpo Nacional de Polica) persigue actividades relacionadas con delitostecnolgicos tales como:
Fraudes en Internet: Comunicacin sobre uso fraudulento de tarjetas de crdito, fraudesen subastas, comercio electrnico, estafas en la red.
Seguridad lgica: Seguridad lgica, virus, sustraccin de datos, hacking, descubrimientoy revelacin de secretos, suplantacin de personalidad o sustraccin de cuentas decorreo electrnico.
Fraudes en las comunicaciones: Amenazas, injurias y calumnias cometidas con lautilizacin del correo electrnico, mensajes a travs de telfonos mviles (SMS y/oMMS), tablones de anuncios, foros de Internet, newsgroup, etc. Tambin sobre el uso
indebido de seales de video y fraudes en las telecomunicaciones.
4.1.3.3.2. Contacto con Grupos de Especial Inters
AEI Seguridad
La Agrupacin Empresarial Innovadora para la seguridad de las redes y los sistemas deinformacin rene a empresas, asociaciones, centros de I+D+i yentidades pblicas o privadas interesadas en la promocin del sectorde las Nuevas Tecnologas, sus industrias afines y auxiliares, ascomo otros sectores emparejados con el mismo, que deseen
contribuir a los fines de la Asociacin, en el mbito nacional de las Tecnologas de Seguridad.McAfee Alerts
Avisa a los usuarios de las nuevas y peligrosas amenazas que se pueden encontrar en la red.Se trata de evitar ser vctimas de los peligros online. Nos ofrecer:actualizaciones de firmas malware, alertas de nuevas amenazas,notificaciones de .DAT, notificaciones de seguridad, etc.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
41/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 40
Symantec
Symantec ayuda a los consumidores y a las organizaciones a proteger y administrar su
informacin. Sus servicios y programas protegen contra una mayor cantidad de riesgos en mspuntos y de una forma ms completa y eficaz, lo que brinda tranquilidad sin importar dnde seutilice o almacene la informacin.
Proteccin y administracin de un mundo impulsado por la informacin . Suenfoque fundamental es eliminar los riesgos para la informacin, la tecnologa y losprocesos independientemente del dispositivo, la plataforma, la interaccin o laubicacin.
Proteccin completa. Por medio de Symantec, se puede proteger ms informacin einfraestructura tecnolgica, en un nivel ms profundo, en cualquier ubicacin donde se
use o almacene la informacin. Desde la seguridad de las interacciones y de laidentidad en lnea de los usuarios hasta la proteccin de los datos de uso crtico de unaorganizacin, Symantec ofrece los mejores productos lderes en su clase orientados a laseguridad, las copias de seguridad y la recuperacin, la disponibilidad de datos y laprevencin contra la prdida de datos.
Control automtico. Dado que cuenta con la cartera ms completa de software deadministracin y seguridad, Symantec ayuda a controlar ms procesos de maneraautomtica, en el equipo particular o en el datacenter corporativo. Symantec ayuda aestandarizar y automatizar la manera en que las personas y las organizaciones
implementan las polticas (desde la seguridad en lnea hasta el cumplimiento de normasde TI en toda la empresa).
BSA (Business Software Alliance)
La BSA es una asociacin comercial sin nimo de lucro creada paradefender los objetivos del sector de software y hardware. Fomenta unmundo digital seguro y legtimo.
Entre las prioridades de la BSA se incluyen:
Proteger la propiedad intelectual (copyright, patentes, mandatos sobre tecnologa).
Abrir los mercados a un comercio sin barreras.
La seguridad de los datos.
La innovacin y variedad del software.
El gobierno electrnico.
Mano de obra y educacin
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
42/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 41
Alertas ESET
Consejos de seguridad para el uso seguro del ordenador y de la informacin
sensible y personal.
OSI (Oficina de Seguridad del Internauta)
Es un servicio del Gobierno para proporcionar la informacin y el soportenecesarios para evitar y resolver los problemas de seguridad que puedenafectar al navegar por Internet. Su objetivo es elevar la cultura de seguridad, prevenir,concienciar y formar proporcionando informacin clara y concisa acerca de la tecnologa y elestado de la seguridad en Internet. Al mismo tiempo impulsa la deteccin y denuncia de nuevasamenazas en la red, de fraudes, estafas online o de cualquier otro tipo de ataque de SeguridadInformtica.
CWE (Common Weakness Enumeration)
Se trata de una importante fuente de informacin de seguridad de aplicacionesen general, una comunidad perteneciente al MIT, que se dedica a enumerar yclasificar los tipos de debilidades y vulnerabilidades de las aplicaciones, incluyendo porsupuesto a las aplicaciones web.
4.1.3.4. Terceros
4.1.3.4.1. Objetivo
La seguridad de la informacin de la entidad y las instalaciones de procesamiento de lainformacin, no debera ser reducida por la introduccin de un servicio o producto externo.Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin.
Cuando la entidad requiera dicho acceso de terceros, se deber realizar una evaluacin delriesgo para determinar sus implicaciones sobre la seguridad y las medidas de control querequieren. Estas medidas de control debern definirse y aceptarse en un contrato con la terceraparte.
4.1.3.4.2. Identificacin de los Riesgos del Acceso de Terceros
Cuando exista la necesidad de otorgar acceso a terceras partes a informacin de la entidad, sellevar a cabo y documentar una evaluacin de riesgos para identificar los requerimientos decontroles especficos, teniendo en cuenta, entre otros aspectos:
El tipo de acceso requerido (fsico/lgico y a qu recurso).
Los motivos para los cuales se solicita el acceso.
El valor de la informacin.
Los controles empleados por la tercera parte.
La incidencia de este acceso en la seguridad de la informacin de la entidad.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
43/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 42
En ningn caso se otorgar acceso a terceros a la informacin, a las instalaciones deprocesamiento u otras reas de servicios crticos, hasta tanto se hayan implementado loscontroles apropiados y se hayan implementado los controles apropiados y se haya firmado un
contrato o acuerdo que defina las condiciones para la conexin o el acceso.
Buenas prcticas
Realizar inventario de conexiones de red y flujos de informacin significativos conterceras partes.
Evaluar riesgos.
Tras identificar los riesgos, se debern implementar controles apropiados antes deconceder el acceso.
Revisar los controles de seguridad de informacin existentes respecto a los requisitos.
Considerar exigir certificados en ISO/IEC 27001 a los socios ms crticos, tales comooutsourcing de TI, proveedores de servicios de seguridad TI, etc.
4.1.3.4.3. Tratamiento de la Seguridad en los Contratos
Se revisarn los contratos o acuerdos existentes o que se efecten con terceros, teniendo encuenta la necesidad de aplicar los siguientes controles:
Cumplimiento del Plan de Seguridad de la entidad.
Proteccin de los activos de la entidad, incluyendo:
o Procedimientos para proteger los bienes, abarcando los activos fsicos, lainformacin y el software.
o Procedimientos para determinar si ha ocurrido algn evento que comprometa losbienes, por ejemplo, debido a prdida o modificacin de datos.
o Controles para garantizar la recuperacin o destruccin de la informacin y losactivos al finalizar el contrato o acuerdo, o en un momento convenido durante la
vigencia del mismo.o Restricciones a la copia y divulgacin de informacin.
Descripcin de los servicios disponibles.
Nivel de servicio esperado y niveles de servicio aceptables.
Permiso para la transferencia de personal cuando sea necesario.
Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.
Existencia de Derechos de Propiedad Intelectual.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
44/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 43
Definiciones relacionadas con la proteccin de datos.
Acuerdos de control de accesos que contemplen:
o Mtodos de acceso permitidos, y el control y uso de identificadores nicos comoidentificadores de usuario y contraseas.
o Proceso de autorizacin de accesos y privilegios de usuarios.
o Requerimiento para mantener actualizada una lista de individuos autorizados autilizar los servicios que han de implementarse y sus derechos y privilegios conrespecto a dicho uso.
Definicin de criterios de desempeo comprobables, de monitoreo y presentacin de
informes. Adquisicin de derecho a auditar responsabilidades contractuales o surgidas del
acuerdo.
Establecimiento de un proceso para la resolucin de problemas y en caso decorresponder disposiciones con relacin a situaciones de contingencia
Responsabilidades relativas a la instalacin y al mantenimiento de hardware y software.
Estructura de dependencia y del proceso de elaboracin y presentacin de informesque contemple un acuerdo con respecto a los formatos de los mismos.
Proceso claro y detallado de administracin de cambios.
Controles de proteccin fsica requeridos y los mecanismos que aseguren laimplementacin de los mismos.
Mtodos y procedimientos de entrenamiento de usuarios y administradores en materiade seguridad.
Controles que garanticen la proteccin contra software malicioso.
Elaboracin y presentacin de informes, notificacin e investigacin de incidentes yviolaciones relativos a la seguridad.
Relacin entre proveedores y subcontratistas.
4.1.4. Herramientas
4.1.4.1. Gestin Documental
Servir para evitar la prdida de documentos, evitar la violacin de la informacin o ladestruccin no deseada de documentos, mantener informacin crtica oculta a quin no debieratener acceso a ella, etc. Adems, ser importante tener un lugar donde almacenar las polticasde manera que puedan ser accedidas en cualquier momento por las personas responsables.
-
7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE
45/214
AEI SEGURIDAD|Operadores de Infraestructuras crticas 44