1Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS,

SECTOR PUBLICOSEPTIEMBRE 2015

2

ACERCA DEL AUTOR:José Luis Aparicio C.Riesgos TI en Negocio e IndustriaConsultor

Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC.

Especialidades: TI, Riesgos, Seguridad, Control Interno, Auditoria, Centros de Datos.

Experiencia: +20 años, principalmente en Compañías globales de sectores Automotríz, Financiero, Manufactura y Turismo. Sector Público.

AGENDA1. INFRAESTRUCTURAS CRITICAS.2. TECNOLOGIA QUE LAS SOPORTA.3. INCIDENTES.4. AMENAZAS.5. VULNERABILIDADES.6. MEXICO.7. RECOMENDACIONES.8. PREGUNTAS Y RESPUESTAS.

3

4Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

1. INFRAESTRUCTURAS CRITICAS.

1. INFRAESTRUCTURAS CRITICAS.

6Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

2. TECNOLOGIA QUE LAS SOPORTA.

7

• Sistemas de Control Industrial (SCI): Hardware y software para controlar y administrar procesos industriales e infraestructura crítica

• Primeros SCI: Mecánicos, eléctricos, comunicación local, protocolos propietarios, aislados.

Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg

2. TECNOLOGIA QUE LAS SOPORTA.

8

2. TECNOLOGIA QUE LAS SOPORTA.

Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es

9Fuente: www.indusoft.com/blog/?p=664

2. TECNOLOGIA QUE LAS SOPORTA.

10Imagen: https://bensontao.files.wordpress.com/2013/10/vivante-iot-ecosystem.jpg

2. TECNOLOGIA QUE LAS SOPORTA.

11

2. TECNOLOGIA QUE LAS SOPORTA.

12Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

3. INCIDENTES.

13Fuente: http://web.tofinosecurity.com/download-the-white-paper-using-ansi-/-isa-99-standards-to-improve-control-system-security/

3. INCIDENTES.

14Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics.

3. INCIDENTES.

15Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

3. INCIDENTES.

16Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute.

3. INCIDENTES.

17Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

4. AMENAZAS.

18

• Errores humanos• Fallas en instalaciones y dispositivos• Naturales• Malware• Ex-empleados• Proveedores• Competidores• Criminales• Gobiernos• Hacktivistas• Etc.

4. AMENAZAS.

19Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

4. AMENAZAS.

20Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpgFuente: http://www.hackmageddon.com

4. AMENAZAS.

Febrero 2015Amenaza: The Equation GroupObjetivo: 30 países, sectores: Energía,Aeroespacial, Comunicaciones, Gas yPetroleo, Nuclear, Gobierno.

Marzo 2015Amenaza: Malware, Trojan.Loziak Objetivo: Información crítica del sector gas y petróleo; países afectados: Medio Oriente, Inglaterra, E.U., Uganda.

21Imagen: http://www.networkworld.com/article/2366962/microsoft-subnet/spellbound-by-maps-tracking-hack-attacks-and-cyber-threats-in-real-time.html

4. AMENAZAS.DEMO: Ataques en tiempo-real.

22Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

5. VULNERABILIDADES.

23

• Desconocimiento• Enfoque limitado• Falta de integración• Frágil estrategia de seguridad• Arquitectura abierta y compleja• Hardware y software viejo• Métodos y procedimientos “obesos”• Etc.

5. VULNERABILIDADES.

24

5. VULNERABILIDADES.

25

5. VULNERABILIDADES.

26Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

5. VULNERABILIDADES.

27Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

5. VULNERABILIDADES.

28

29

5. VULNERABILIDADES.

TARGETPREPARE WEAPONIZE ATTACK

HIDE AND

RESULTS

DEMOMétodo Lean, Ataque con Herramientas Libres

30Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

6. MEXICO.

31

6. MEXICO

VIDEO

32

6. MEXICO

33

6. MEXICO

Sitio web de MAAGTICSI, revisión de actividades:

ASI 4. Revisión del Catálogo de infraestructuras críticas, FORMATO ASI F2.

ASI 5. Revisión del Documento de resultados del análisis de riesgos, FORMATO ASI F3.

Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg

34Imagen: http://www.nasmhpd.org/images/legalDivision.jpg

6. MEXICOMAAGTICSI, ASI 4 Y ASI 5

FORTALEZAS: Roles, responsabilidades, estructura,

procedimiento, valoración de Infra/Activos, control donde es necesario, estimación cuantitativa de riesgos

OPORTUNIDADES: Automatizar, sintetizar, graficar

35Imagen: http://www.nasmhpd.org/images/legalDivision.jpg

6. MEXICOMAAGTICSI, ASI 4 Y ASI 5

DEBILIDADES: Manual, tiempo para completar, redundante (p.e. Formato ASI F3, secciones 5 y 7), confuso orden de ejecución, exceso en firmas requeridas.

AMENAZAS: Por cumplir y no por solucionar, los análisis de riesgo podrían NO completarse en tiempo y forma

36Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

7. RECOMENDACIONES.

37

7. RECOMENDACIONES.

38

7. RECOMENDACIONES.

Enfoque 360º Equipo multi-diciplinario Capacitar Documentación actualizada Seguridad física, ambiental, lógica Identificar/cerrar vulnerabilidades con CUIDADO

!!! Administración de proveedores Seguridad en desarrollo de proyectos Ejecutar y mantener MAAGTICSI

Imagen: http://www.scisusa.com/img/sec04.jpg

Fases Comunes de un ProyectoInicio

Planeación

Ejecució

n

Cierre

SEGURIDAD EN EL DESARROLLO DE PROYECTOS• Evaluación de Riesgos enfocada al proyecto, no a la seguridad

INCLUIR SEGURIDAD:

1. Equipo multi-diciplinario

2. Evaluar Riesgos de Seguridad

1. Requerimientos 2. Actividades,

responsables, y recursos para implementarla

1. Pruebas y corrección de errores

2. Aceptación e implementación

1. Documentación, mantenimiento, mejora (procedimientos, responsabilidades)

• Resultado: producto con seguridad básica o sin ella

39

7. RECOMENDACIONES.

40

7. RECOMENDACIONES.RED Y COMUNICACIONES

Segmentación por zonas (ISA-195): Externa, Corporativa, Datos, Control, etc. Cifrado de la comunicación: VPN, WPA2 Separación lógica: VLAN Control de tráfico: Firewall, proxy, puerto,

protocolo Acceso: Basado en dirección MAC o elementos

conocidos Autenticación: EAP-TLS, RADIUS y certificados

41

7. RECOMENDACIONES.ARQUITECTURA DE RED

Imagen: Homeland Security US, «Improving Industrial Control with Defense in Depth Strategies,» 2009.

42Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg

8. PREGUNTAS Y RESPUESTAS.

43

8. PREGUNTAS Y RESPUESTAS.

MUCHAS GRACIAS !!!

Contacto:

jl_Aparicio@aol.com