1 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS, SECTOR PUBLICO SEPTIEMBRE 2015
1Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS,
SECTOR PUBLICOSEPTIEMBRE 2015
2
ACERCA DEL AUTOR:José Luis Aparicio C.Riesgos TI en Negocio e IndustriaConsultor
Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC.
Especialidades: TI, Riesgos, Seguridad, Control Interno, Auditoria, Centros de Datos.
Experiencia: +20 años, principalmente en Compañías globales de sectores Automotríz, Financiero, Manufactura y Turismo. Sector Público.
AGENDA1. INFRAESTRUCTURAS CRITICAS.2. TECNOLOGIA QUE LAS SOPORTA.3. INCIDENTES.4. AMENAZAS.5. VULNERABILIDADES.6. MEXICO.7. RECOMENDACIONES.8. PREGUNTAS Y RESPUESTAS.
3
4Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
1. INFRAESTRUCTURAS CRITICAS.
1. INFRAESTRUCTURAS CRITICAS.
6Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
2. TECNOLOGIA QUE LAS SOPORTA.
7
• Sistemas de Control Industrial (SCI): Hardware y software para controlar y administrar procesos industriales e infraestructura crítica
• Primeros SCI: Mecánicos, eléctricos, comunicación local, protocolos propietarios, aislados.
Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg
2. TECNOLOGIA QUE LAS SOPORTA.
8
2. TECNOLOGIA QUE LAS SOPORTA.
Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es
9Fuente: www.indusoft.com/blog/?p=664
2. TECNOLOGIA QUE LAS SOPORTA.
10Imagen: https://bensontao.files.wordpress.com/2013/10/vivante-iot-ecosystem.jpg
2. TECNOLOGIA QUE LAS SOPORTA.
11
2. TECNOLOGIA QUE LAS SOPORTA.
12Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
3. INCIDENTES.
13Fuente: http://web.tofinosecurity.com/download-the-white-paper-using-ansi-/-isa-99-standards-to-improve-control-system-security/
3. INCIDENTES.
14Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics.
3. INCIDENTES.
15Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
3. INCIDENTES.
16Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute.
3. INCIDENTES.
17Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
4. AMENAZAS.
18
• Errores humanos• Fallas en instalaciones y dispositivos• Naturales• Malware• Ex-empleados• Proveedores• Competidores• Criminales• Gobiernos• Hacktivistas• Etc.
4. AMENAZAS.
19Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
4. AMENAZAS.
20Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpgFuente: http://www.hackmageddon.com
4. AMENAZAS.
Febrero 2015Amenaza: The Equation GroupObjetivo: 30 países, sectores: Energía,Aeroespacial, Comunicaciones, Gas yPetroleo, Nuclear, Gobierno.
Marzo 2015Amenaza: Malware, Trojan.Loziak Objetivo: Información crítica del sector gas y petróleo; países afectados: Medio Oriente, Inglaterra, E.U., Uganda.
21Imagen: http://www.networkworld.com/article/2366962/microsoft-subnet/spellbound-by-maps-tracking-hack-attacks-and-cyber-threats-in-real-time.html
4. AMENAZAS.DEMO: Ataques en tiempo-real.
22Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
5. VULNERABILIDADES.
23
• Desconocimiento• Enfoque limitado• Falta de integración• Frágil estrategia de seguridad• Arquitectura abierta y compleja• Hardware y software viejo• Métodos y procedimientos “obesos”• Etc.
5. VULNERABILIDADES.
24
5. VULNERABILIDADES.
25
5. VULNERABILIDADES.
26Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
5. VULNERABILIDADES.
27Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
5. VULNERABILIDADES.
28
29
5. VULNERABILIDADES.
TARGETPREPARE WEAPONIZE ATTACK
HIDE AND
RESULTS
DEMOMétodo Lean, Ataque con Herramientas Libres
30Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
6. MEXICO.
31
6. MEXICO
VIDEO
32
6. MEXICO
33
6. MEXICO
Sitio web de MAAGTICSI, revisión de actividades:
ASI 4. Revisión del Catálogo de infraestructuras críticas, FORMATO ASI F2.
ASI 5. Revisión del Documento de resultados del análisis de riesgos, FORMATO ASI F3.
Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg
34Imagen: http://www.nasmhpd.org/images/legalDivision.jpg
6. MEXICOMAAGTICSI, ASI 4 Y ASI 5
FORTALEZAS: Roles, responsabilidades, estructura,
procedimiento, valoración de Infra/Activos, control donde es necesario, estimación cuantitativa de riesgos
OPORTUNIDADES: Automatizar, sintetizar, graficar
35Imagen: http://www.nasmhpd.org/images/legalDivision.jpg
6. MEXICOMAAGTICSI, ASI 4 Y ASI 5
DEBILIDADES: Manual, tiempo para completar, redundante (p.e. Formato ASI F3, secciones 5 y 7), confuso orden de ejecución, exceso en firmas requeridas.
AMENAZAS: Por cumplir y no por solucionar, los análisis de riesgo podrían NO completarse en tiempo y forma
36Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
7. RECOMENDACIONES.
37
7. RECOMENDACIONES.
38
7. RECOMENDACIONES.
Enfoque 360º Equipo multi-diciplinario Capacitar Documentación actualizada Seguridad física, ambiental, lógica Identificar/cerrar vulnerabilidades con CUIDADO
!!! Administración de proveedores Seguridad en desarrollo de proyectos Ejecutar y mantener MAAGTICSI
Imagen: http://www.scisusa.com/img/sec04.jpg
Fases Comunes de un ProyectoInicio
Planeación
Ejecució
n
Cierre
SEGURIDAD EN EL DESARROLLO DE PROYECTOS• Evaluación de Riesgos enfocada al proyecto, no a la seguridad
INCLUIR SEGURIDAD:
1. Equipo multi-diciplinario
2. Evaluar Riesgos de Seguridad
1. Requerimientos 2. Actividades,
responsables, y recursos para implementarla
1. Pruebas y corrección de errores
2. Aceptación e implementación
1. Documentación, mantenimiento, mejora (procedimientos, responsabilidades)
• Resultado: producto con seguridad básica o sin ella
39
7. RECOMENDACIONES.
40
7. RECOMENDACIONES.RED Y COMUNICACIONES
Segmentación por zonas (ISA-195): Externa, Corporativa, Datos, Control, etc. Cifrado de la comunicación: VPN, WPA2 Separación lógica: VLAN Control de tráfico: Firewall, proxy, puerto,
protocolo Acceso: Basado en dirección MAC o elementos
conocidos Autenticación: EAP-TLS, RADIUS y certificados
41
7. RECOMENDACIONES.ARQUITECTURA DE RED
Imagen: Homeland Security US, «Improving Industrial Control with Defense in Depth Strategies,» 2009.
42Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
8. PREGUNTAS Y RESPUESTAS.