Proveer a las organizaciones la capacidad de
respuesta y protección ante los riesgos del
negocio en un mundo digital.
Eduardo Morales C. + 17 años en la industria de las TIC
Desde 2016, Jefe Desarrollo de Productos y uno de los Creadores de la Unidad Entel
CyberSecure
para Corporaciones. Responsable del Portfolio de Nuevas Soluciones, Servicios y Alianzas
Estratégicas para nuestro CCI (Centro de Ciber Inteligencia).
2017-2018, Socio activo del Cigré Comité Chileno y líder del Workgroup de Ciberseguridad
y Ciber Riesgos para el estudio y análisis de las Infraestructuras críticas de las
empresas eléctricas.
Ing. Civil Eléctrico (U. de Chile)
MBA Universidad de Chile
Diplomado en Ciberseguridad y Ciberdefensa (c)
Agenda_
> La Digitalización en la Sociedad
> El reto del Riesgo
> Framework y Normativas II.CC.
> Cerrar la Brecha de Riesgo en II.CC.
> Conclusiones
La Digitalización en la Sociedad_
Ciberespacio_ Riesgos y Oportunidades
El desarrollo de las TIC ha generado un nuevo espacio de relación,
denominado “Ciberespacio”, lugar donde no existen fronteras y donde
se generan muchas oportunidades, pero también riesgos y amenazas en
un entorno dinámico.
El aumento de la superficie de ataque implica un
aumento en la demanda de servicios y soluciones
de ciberseguridad orientadas a mitigar los riesgos.
Definiciones de Ciberespacio:
“The digital revolution is not about technology – it’s about people”.
Digitalización_ Potenciada por la Sociedad Digital
“Los principios que formaban parte de este
nuevo entorno de TI ahora se extienden más
allá de la TI, involucrando a los Recursos
Humanos. Estos principios digitales deben
ofrecer nuevas maneras de trabajar ágiles”.
Hackers
Habilidades Digitales
Ataca y Aprovecha la Debilidad
en las Habilidades Digitales referentes al Uso y Gestión
de los Datos Críticos.
Amenazas y
Brechas de Seguridad
“Un reto a la estructura organizacional y a nuestros responsables TIC que deben sortear con las nuevas
necesidades y habilidades digitales que ellos demandan, pero por otro lado hacer frente a los gaps de
vulnerabilidades que con ello arrastra”.
Gestión de la Información_ Desde la Perspectiva Ciberseguridad
Se hace necesaria una
mirada de
Ciberseguridad.
Millennials
El Reto del Riesgo_
Impacto de un Ciberespacio inseguro_
Internet de las Cosas
MIRAI es una botnet, o red de ordenadores y dispositivos
zombies, que, por culpa de las pésimas medidas de seguridad
del Internet de las Cosas, creció exponencialmente a finales de
2016 y fue utilizada en varias ocasiones para llevar a cabo
distintos ataques informáticos, especialmente ataques DDoS,
siendo uno de los más graves el ataque contra Dyn que
dejó sin conexión a medio Internet.
Ataques denegación de Servicio > 1 Tb
F5 Lab – Agosto 2017
Ciber Amenazas_Ataques y Target Globales 2018
Risk Management_Industrial Control System Security
“Approach Multitier para la aplicación de la
Gestión del Riesgo en Redes ICS”
https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-
CERT_Defense_in_Depth_2016_S508C.pdf
Estructura y Proceso
Fuente: Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, National
Institute of Standards and Technology, April 16, 2018
Madurez en Seguridad (CMM)_ MIL 1-5
Competencias clave para garantizar la protección frente a las ciber amenazas. Un proceso de evaluación
del grado de madurez de las competencias actuales de los recursos que permitirá diseñar y establecer un
modelo lógico para el desarrollo de las capacidades futuras
Gobierno Corp_Mirada Estratégica de la Ciberseguridad
La ciberseguridad requiere de nuevos modelos de gestión, con una visión integral y nueva estructura organizacional.
• Gobierno
• Tecnología
• Procesos
• Personas
Frameworks y Normativas II.CC._
ISACA_IACS Cybersecurity Framework
Uno de los más completos estándares es el NERC CIP, establecido en 2006. Éste
abarca tres aspectos principales:
• Management—Establishing a risk-based approach and security policies, together
with personnel security measures, from training to background checks (CIP 002 “Critical
Asset Identification,” CIP 003 “Security Management Controls” and CIP 004 “Cyber
Security Personnel and Training”)
• Asset protection—Defining logical and physical security measures to protect
critical assets, including hardening, configuration management, technical assessments
and monitoring (CIP 005 “Electronic Security Perimeter” and CIP 006 “Physical
Security”)
• Operations—Identifying processes to secure critical assets and incident
response and recovery procedures to handle issues (CIP 007 “System Security
Management,” CIP 008 “Incident Reporting and Response Planning” and CIP 009
“Recovery Plan for Critical Cyber Assets”)
NERC CIP es obligatorio solo para el sector eléctrico USA, pero proporciona una
guía valiosa en la protección de activos críticos que pueden ser transferibles a
otras industrias.
España, Ley PIC 8/2011 y Real Decreto 704/2011
Tabla General de Impacto de una Infraestructura Estratégica
Sectores Estratégicos
¿Qué es una infraestructura crítica?
“Aquellas instalaciones, redes, servicios y equipos físicos y de
tecnología de la información cuya interrupción o destrucción tendría un
impacto mayor en la salud, la seguridad o el bienestar económico de los
ciudadanos o en el eficaz funcionamiento de las instituciones del Estado
y de las Administraciones Públicas“
USA, Critical Infrastructure Community
Definición “La infraestructura crítica de la nación proporciona los servicios esenciales que sustentan la sociedad americana y sirven como la columna vertebral de la economía, la seguridad y la salud de nuestra nación. Lo conocemos como el poder que usamos en nuestros hogares, el agua que bebemos, el transporte que nos mueve, las tiendas en las que compramos y los sistemas de comunicación en los que confiamos para mantenerse en contacto con amigos y familiares”. En general, hay 16 sectores de infraestructura crítica que componen los activos, sistemas y redes, ya sean físicos o virtuales, tan vitales para los Estados Unidos que su incapacitación o destrucción tendría un efecto debilitante sobre la seguridad nacional, la salud pública nacional o Seguridad, o cualquier combinación de los mismos. La Oficina de Protección de Infraestructura (IP) de la Dirección Nacional de Protección y Programas dirige el esfuerzo nacional coordinado para gestionar los riesgos de la infraestructura crítica del país y mejorar la seguridad y la resistencia de la infraestructura física y cibernética de Estados Unidos. Lea más sobre cómo lidera IP este esfuerzo nacional..
Cerca del 85% de las infraestructuras críticas
están en manos de privados.
NIPP 2013
Plan de Protección Nacional de Infraestructuras “En febrero de 2013, el Presidente emitió la Directiva de Política Presidencial 21 (PPD-21), Seguridad de las infraestructuras críticas y solicita explícitamente una actualización del Plan Nacional de Protección de Infraestructuras (NIPP). El NIPP se publicó por última vez en 2009. El Plan Nacional se basa en los NIPP anteriores al enfatizar los objetivos complementarios de la seguridad y la resiliencia para la infraestructura crítica. Para alcanzar estos objetivos, la seguridad cibernética y física y la resiliencia de los activos de infraestructura crítica, sistemas y redes se integran en un enfoque más Empresarial de la Gestión de Riesgos”.
“Una mirada más amplia de las Amenazas, más allá de los Ataques Físicos y Virtuales,
con un alcance Nacional y Sectorial de manera Sustentable y de Mejora Continua.
https://www.dhs.gov/national-infrastructure-protection-plan
Cerrar la Brecha de Riesgo en II.CC._
Evolución y Creación de _SOC Avanzados
Mandiant´s Framework to Cyberdefense Center
Gestionar un Centro de Operaciones de Seguridad (SOC) se volvió tan complejo
que requiere de apoyo a nivel de Partner MSSP (Managed Security Service
Provider) para proveer los especialistas y herramientas de Virtual SOC.
Uso del Cloud (Anti DDoS), Big Data (Security Analytics) e IA
(Machine Learning y Threat Intelligence)
Ciber Resiliencia_Uso de Ciberejercicios como
Simulación y Respuesta ante Ataques
Certificaciones_Recomendadas
Las certificaciones, adherencias y el cumplimiento normativo en Ciberseguridad se vuelve
relevante para subir los niveles de madurez a nivel del: Gobierno, Procesos, Personas y
Tecnología en Ciberseguridad.
para Organizaciones para Profesionales
para CSIRT
Colaboración y Cooperación_Transversal
Internet es el resultado de un trabajo continuo
y colaborativo de todos.
Ciberseguridad
Corporativa
Partners de Seguridad
SOCs y CSIRTs
II.CC.
Ciber Inteligencia y Ciber Resiliencia
Organizacional con Foco País
Gobierno (Políticas, Normativas)
Academia (Formación, Investigación)
Si lo Construimos entre todos debemos protegerlo entre
todos
Evolución
Comunidad (ONG´s, Expertos)
Conclusiones_
La ciberseguridad como aspecto estratégico para la sociedad
digital para comenzar a abordarlo en todo nivel. #1
Enfatizar en el desarrollo de conciencia y mentalidad
cibernética desde la escolaridad hasta llegar a la cultura
institucional.
#3
La colaboración e intercambio de información como aspecto
clave para enfrentar los ciberataques en conjunto como País. #2
Formación y educación cibernética para reducir la falta de
profesionales expertos en esta materia. #4
#5 Concretar una Ley de Protección de II.CC.
Conclusiones_