SlideShare una empresa de Scribd logo

La (in)seguridad de los sistemas de control de procesos publicado en 2013

D
Diego Martín Arcos

Debido a las amenazas existentes, la ciberseguridad se ha convertido en una prioridad para los entornos de control. Originariamente, los sistemas de control de procesos fueron creados como sistemas independientes y aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con la estandarización de Internet y el uso de los protocolos IP, el diseño ha cambiado hasta el punto de que, en muchos casos, la red de control ha pasado a ser una extensión protegida de la red corporativa, siendo potencialmente accesible desde Internet y vulnerable a los riesgos que esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un entorno seguro para reducir las amenazas existentes.

Tecnología
1 de 4
Descargar para leer sin conexión
92 Automática e Instrumentación Septiembre 2013 / n.º 454 Soluciones  CIBERSEGURIDAD Ciberseguridad La (in)seguridad de los sistemas de control de procesos L os entornos de control de pro- cesos, cada vez más, utilizan y dependen de las tecnologías de la información. Estas tecnologías están reemplazando las tecnologías propietarias convencionales, permi- tiendo así reemplazar el software hecho a medida por software co- mercial. Esta transformación trae consigo dos grandes hándicaps: • Los sistemas de control de pro- cesos tradicionalmente eran siste- mas cerrados diseñados para ser funcionales, seguros y fiables donde la principal preocupación era la se- guridad física. Con la integración de estos sistemas en un entorno infor- mático, el entorno de control queda expuesto a nuevas amenazas (virus, malware, intrusiones, etc.). • El software comercial utilizado para reemplazar los sistemas de control de procesos propietarios a menudo no cumple con las parti- cularidades y la complejidad del entorno de control. Muchas de las medidas de seguridad informática utilizadas con estas tecnologías no han sido adoptadas y, por conse- cuencia, puede haber medidas de seguridad insuficientes para proteger los sistemas de control y mantener el entorno seguro. Las consecuencias de exponer dichas vulnerabilidades al exterior pueden ser graves. El impacto de un ataque electrónico en el entorno de control puede incluir la pérdida de servicio, pérdida de integridad, pér- dida de confidencialidad y pérdida de reputación, entre otros. Comprender el riesgo del negocio. Principios de buenas prácticas Solo con un buen conocimiento del riesgo que suponen las amenazas, vulnerabilidades e impacto para el negocio, una organización puede tomar decisiones con los niveles de seguridad adecuados y necesarios para mejorar las prácticas de trabajo. Los procesos deben quedar sujetos a una continua evaluación para adaptarse al cambio constante. Evaluación formal Es conveniente llevar a cabo una evaluación formal de los riesgos de los sistemas de control: •Sistemas: – Realizar una auditoría de inven- tario y una evaluación de los sistemas de control. Qué sistemas existen, cuál es el papel de cada sistema, cómo interactúan, funcionalidad y responsable del sistema. • Amenazas: – Identificar y evaluar las ame- nazas que afectan a los sistemas de control de procesos. La revisión debe incluir la evaluación de la in- fraestructura, sistemas operativos, aplicaciones, componentes software, Debido a las amenazas existentes, la ciberseguridad se ha convertido en una prioridad para los entornos de control. Originariamente, los sistemas de control de procesos fueron creados como sistemas independientes y aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con la estandarización de Internet y el uso de los protocolos IP, el diseño ha cambiado hasta el punto de que, en muchos casos, la red de control ha pasado a ser una extensión protegida de la red corporativa, siendo potencialmente accesible desde Internet y vulnerable a los riesgos que esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un entorno seguro para reducir las amenazas existentes.
93 Septiembre 2013 / n.º 454 Automática e Instrumentación SolucionesCIBERSEGURIDAD  conexiones de red, conectividad de acceso remoto y procesos y proce- dimientos. • Impacto: – Identificar el impacto y conse- cuencias. • Vulnerabilidades: – Evaluar la infraestructura, sis- temas, aplicaciones y procesos para revisar y analizar las vulnerabili- dades. Marco de seguridad Para garantizar la seguridad de la red de control y poder evaluar el riesgo, se debe llevar a cabo un se- guimiento para identificar y mitigar las vulnerabilidades que permitan a un atacante alterar o tomar el control del sistema. Cuando se implementa una ar- quitectura segura, se tiende a fo- calizar el esfuerzo en los elementos tecnológicos. Aunque importantes, la tecnología es insuficiente por si misma para proveer una protección robusta. No es suficiente instalar y configurar un firewall si no se han tenido en cuenta las particu- laridades del entorno de control de procesos. Aunque los sistemas de control están basados en los estándares de TI, su entorno operacional difiere significativamente. Las soluciones para garantizar la seguridad en entornos informáticos no suelen ser las apropiadas para el entorno de control. Mientras que algunas herramientas y técnicas de seguridad estándar se pueden utilizar para proteger los sistemas de control de procesos, se puede necesitar una cuidadosa adaptación para su inte- gración. A modo de ejemplo, puede que no sea posible la instalación de un antivirus en los sistemas de control debido a la falta de potencia del procesador, la antigüedad del sistema operativo o la certificación del proveedor. Las pruebas de seguridad en los sistemas de control de procesos tam- bién deben ser adoptadas con sumo cuidado: un escaneo de seguridad puede afectar significativamente el funcionamiento de determinados dispositivos de control y causar efectos adversos en los sistemas analizados. Dichos tests escanean los puertos y vulnerabilidades a través de peticiones continuas a direcciones IP con datos ficticios. Rara vez se crean entornos de prueba para realizar el análisis y hay pocas oportunidades de tener los sistemas con la línea de producción parada para poder instalar los parches de seguridad o realizar las tareas de mantenimiento oportunas. Objetivos Para el entorno de control, el orden del objetivo de seguridad es inverso al del entorno informático, ya que la disponibilidad de los sistemas se posiciona como el factor más impor- tante. En un entorno de control, el término seguridad suele referirse a fiabilidad y alta disponibilidad. Proteger, detectar, actuar Una evaluación de vulnerabilidades identifica e informa de un fallo de seguridad para su posterior análisis. La principal finalidad de un test de seguridad es duplicar las acciones de un atacante para encontrar los puntos débiles de la red que podrían permitir el acceso al entorno de con- trol a través de Internet o desde la propia red corporativa. Existen varias herramientas y técnicas utilizadas por los atacantes para identificar vulnerabilidades. • Proteger: Implementar las me- didas de seguridad y protección adecuadas para prevenir los ataques electrónicos. • Detectar: Establecer mecanis- mos para la rápida identificación de los ataques electrónicos. • Actuar: aplicar las medidas de prevención adecuadas para solventar las incidencias de seguridad. El éxito de cualquier procedi- miento de seguridad depende del factor humano. Los empleados son el recurso más importante y la ma- yor amenaza para la seguridad. El personal de los sistemas de control de procesos no suelen estar fami- liarizados con la seguridad de TI y el personal de seguridad de TI no suele estar familiarizado con los sistemas de control ni su entorno operativo. Esta situación se puede mejoraraumentandolacomprensión general a través de programas de formación. Tipos de test de seguridad Un test de seguridad se centra en analizar las debilidades del entorno que quedan expuestas al exterior y puedan permitir a un atacante el acceso no autorizado. Estas pruebas suelen estar pensadas para entornos informáticos y rara vez pueden aplicarse al entorno de control, ya que los protocolos utilizados en ambos entornos difieren significa- tivamente. Los proveedores de control utili- zan protocolos propietarios para los procesos internos. Estos protocolos fueron desarrollados cuando los sis- temas de control de procesos estaban aislados del entorno corporativo y la seguridad no era una amenaza. Desde que el entorno de control Objetivos de la seguridad IT Control Confidencialidad Disponibilidad Integridad Integridad Disponibilidad Confidencialidad
94 Automática e Instrumentación Septiembre 2013 / n.º 454 Soluciones  CIBERSEGURIDAD ya no está totalmente aislado, los protocolos propietarios han puesto al sistema en riesgo de ser atacado debido al bajo nivel de seguridad. Debido a la inseguridad inhe- rente del entorno de control, las pruebas de análisis se centran en la seguridad de las electrónicas de red responsables de las entradas y salidas. El equipo debe evaluar la arquitectura de red para formar una estrategia de defensa apropiada que implique el uso de firewalls. La red corporativa y la de control no debe- rían comunicar directamente, todas las comunicaciones corporativas de entrada/salida hacia/desde la red de control tienen que ser filtradas y analizadas por un firewall y un detector de intrusiones, valorando la posibilidad de crear DMZs u otras arquitecturas para los sistemas más críticos. Proceso de escaneo de vulnerabilidades Previo a una evaluación de seguri- dad, se debe revisar la estructura del sistema y definir su configura- ción, estableciendo los problemas conocidos y la lista de dispositivos a excluir del análisis. A diferencia de las pruebas de seguridad de TI, las cuales estable- cen hasta dónde puede llegar un atacante, en el entorno de control lo que queremos saber es si existen vulnerabilidades en el hardware o software y si las protecciones de seguridad existentes son suficientes para limitar el acceso. Riesgo asociado Un test de seguridad puede supo- ner un riesgo significativo para los sistemas de control de procesos. Como mínimo, puede ralentizar el tiempo de respuesta de la red debido al escaneo en búsqueda de vulnerabilidades. Las actividades generadas por el test pueden hacer que los componentes de control queden inoperativos. Este riesgo puede verse reducido si se utilizan las reglas de escaneo adecuadas por personal cualificado. Implementar una arquitectura segura Los siguientes puntos detallan un conjunto de buenas prácticas para el diseño de medidas que nos ayuden a mitigar las posibles vulnerabili- dades: • Arquitectura de red: – Reducir al mínimo el número de conexiones con el sistema e identi- ficar todas las conexiones. – Aislar la red de control mediante un firewall para aislarla de los fallos del entorno de TI. • Firewalls: – Implementar reglas de acceso estrictas para proteger las conexiones entre sistemas de control y otros sistemas. – Los firewalls deben ser ges- tionados por administradores con experiencia. – Establecer un sistema de moni- torización 24/7. • Acceso remoto: – Asegurarnos del conocimiento de los riesgos y las normas de seguridad por parte de los proveedores que accedan a la red. – Mantener un inventario de todas las conexiones remotas. – Implementar mecanismos de au- tenticación apropiados y seguros. – Realizar auditorías con regulari- dad. Implementar un procedimiento para habilitar y deshabilitar conexio- nes remotas. – Restringir los accesos remotos a servidores/workstations específicos por usuario y ventana horaria. • Anti virus: – Proteger los sistemas con un software antivirus. • Procedimiento de conexión de dispositivos: – Establecer un procedimiento para verificar que los dispositivos están libres de virus antes de ser conectados a la red. • Acceso a Internet y email: – Restringir el acceso a Internet y a servidores de correo. • Consolidación de sistemas: – Deshabilitar servicios y puertos en desuso para prevenir un uso no autorizado. – Conocer qué puertos están abier- tos y qué servicios y protocolos los utilizan. – Restringir el uso de CDs, disque- teras, USB, etc. • Seguridad física: – Implementar medidas de protec- ción para proteger el acceso físico a los equipos de red y sistemas de control. • Monitorización del sistema: – Monitorizar en tiempo real los procesos, puertos y servicios para identificar comportamientos in- usuales. – Implementar sistemas de detec- ción de intrusión. – Revisar y analizar regularmente los archivos log. • Redes inalámbricas: – Las redes inalámbricas están experimentando una gran acogida en los entornos de control debido a las importantes ventajas que propor- cionan. Sin embargo, los sistemas inalámbricos pueden suponer un riesgo importante debido al cambio tecnológico continuo al que están sometidos.Lossistemasinalámbricos
95 Septiembre 2013 / n.º 454 Automática e Instrumentación SolucionesCIBERSEGURIDAD  deben ser protegidos utilizando las buenas prácticas de la industria. • Parcheado de seguridad: – Implementar procedimientos para la instalación de parches de seguridad en los sistemas opera- tivos. Previo a una instalación, se debe comprobar que el parche ha sido certificado y validado por el proveedor. • Contraseñas y claves: – Implementar políticas de cadu- cidad y complejidad de contraseñas para todos los sistemas de control. Se recomienda que las contraseñas se cambien con frecuencia siempre que sea posible. – Revisar regularmente los pre- misos de acceso y deshabilitar las cuentas antiguas. – Cambiar las contraseñas por defecto de los dispositivos. • Auditorías de seguridad: – Realizar auditorías de seguridad con regularidad para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse. • Gestión de vulnerabilidades: – Implementar un sistema de gestión de vulnerabilidades para garantizar que estas se reducen al mínimo. • Pruebas de seguridad: – Se deben ejecutar tests de se- guridad siempre que sea posible en entornos dedicados para tal efecto. • Gestión del cambio: – Certificar que todos los sistemas quedan sujetos a un proceso estricto de control de cambios aprobados por todos los departamentos afec- tados. • Copias de seguridad: – Probar regularmente la inte- gridad de las copias de seguridad a través de un proceso de restauración completa. – Almacenar copias de seguridad dentro y fuera del CPD. Diego Martín Sistel Control www.sistelcontrol.com Bibliografía • Guide to Industrial Control Systems (ICS) Security.[en línea] Disponible en: http://csrc.nist.gov/publications/nistpubs/800-82/ SP800-82-final.pdf • Using Operational Security (OPSEC) to Support a Cyber Security Culture in Control Environments.[en línea] Disponible en:http://energy. gov/sites/prod/files/oeprod/DocumentsandMedia/OpSec_Recom- mended_Practice.pdf • BS 7858:2006: Security screening of individuals employed in a security environment. Code of practice.[en línea] Disponible en: www. bsi-global.com/en/Standards-and-Publications/Industry-Sectors/ Security/Security-Products/BS-78582006/

Recomendados

La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Diego Martín Arcos
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
Tema 8
Tema 8Tema 8
Tema 8Carmelo Branimir España Villegas
 
Trabajo 2
Trabajo 2Trabajo 2
Trabajo 2YamilaFranklin
 

Recomendados

La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Diego Martín Arcos
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
Tema 8
Tema 8Tema 8
Tema 8Carmelo Branimir España Villegas
 
Trabajo 2
Trabajo 2Trabajo 2
Trabajo 2YamilaFranklin
 
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaAlexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaUNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Herramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaHerramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaEdgar David Salazar
 
Monografia auditoria informatica
Monografia auditoria informaticaMonografia auditoria informatica
Monografia auditoria informaticadanilo gonzales salcedo
 
Maritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónMaritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónmaryparedes22
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaDavid Thomas
 
Resumen unidad 1
Resumen unidad 1Resumen unidad 1
Resumen unidad 1Melany Pino
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
89088110 seguridad-logica
89088110 seguridad-logica89088110 seguridad-logica
89088110 seguridad-logicaJulian Santos Morales
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Resumen controles 27003 2013
Resumen controles 27003 2013Resumen controles 27003 2013
Resumen controles 27003 2013Unidad Educativa San Juan Evangelista
 
Symantec endpoint protection
Symantec endpoint protectionSymantec endpoint protection
Symantec endpoint protectionjaviersdq
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridadcarlalopez2014
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Sistel CONTROL
 
Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Diego Martín Arcos
 
Sistel Control profile [FR]
Sistel Control profile [FR]Sistel Control profile [FR]
Sistel Control profile [FR]Sistel CONTROL
 
Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel CONTROL
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel CONTROL
 

Más contenido relacionado

La actualidad más candente

Herramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaHerramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaEdgar David Salazar
 
Maritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónMaritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónmaryparedes22
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaDavid Thomas
 
Resumen unidad 1
Resumen unidad 1Resumen unidad 1
Resumen unidad 1Melany Pino
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Symantec endpoint protection
Symantec endpoint protectionSymantec endpoint protection
Symantec endpoint protectionjaviersdq
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 

La actualidad más candente (17)

Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaAlexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
 
Herramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaHerramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informatica
 
Monografia auditoria informatica
Monografia auditoria informaticaMonografia auditoria informatica
Monografia auditoria informatica
 
Maritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónMaritza paredes aquisición e implementación
Maritza paredes aquisición e implementación
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Resumen unidad 1
Resumen unidad 1Resumen unidad 1
Resumen unidad 1
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
 
Sgsi
SgsiSgsi
Sgsi
 
89088110 seguridad-logica
89088110 seguridad-logica89088110 seguridad-logica
89088110 seguridad-logica
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de Seguridad
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
 
Resumen controles 27003 2013
Resumen controles 27003 2013Resumen controles 27003 2013
Resumen controles 27003 2013
 
Symantec endpoint protection
Symantec endpoint protectionSymantec endpoint protection
Symantec endpoint protection
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridad
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control Interno
 

Destacado

Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Sistel CONTROL
 
Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Diego Martín Arcos
 
Sistel Control profile [FR]
Sistel Control profile [FR]Sistel Control profile [FR]
Sistel Control profile [FR]Sistel CONTROL
 
Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel CONTROL
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel CONTROL
 
32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your Business32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your BusinessBarry Feldman
 

Destacado (6)

Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]
 
Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012
 
Sistel Control profile [FR]
Sistel Control profile [FR]Sistel Control profile [FR]
Sistel Control profile [FR]
 
Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel Control Profile [EN]
Sistel Control Profile [EN]
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]
 
32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your Business32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your Business
 

Similar a La (in)seguridad de los sistemas de control de procesos publicado en 2013

42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadSantiago Tulmo
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño MovistarUPS
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redeshmitre17
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?Meztli Valeriano Orozco
 
Seguridad y control de los sistemas de informacion
Seguridad y control de los sistemas de informacionSeguridad y control de los sistemas de informacion
Seguridad y control de los sistemas de informacionefonsecalfaro
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesLeyda Cordoba Araujo
 

Similar a La (in)seguridad de los sistemas de control de procesos publicado en 2013 (20)

42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
Informatica slideshare
Informatica slideshareInformatica slideshare
Informatica slideshare
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Sistemas Distribuidos Ogggc
Sistemas Distribuidos OgggcSistemas Distribuidos Ogggc
Sistemas Distribuidos Ogggc
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño Movistar
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Sgsi
SgsiSgsi
Sgsi
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
 
Seguridad y control de los sistemas de informacion
Seguridad y control de los sistemas de informacionSeguridad y control de los sistemas de informacion
Seguridad y control de los sistemas de informacion
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
 
eligesabiamente.pdf
eligesabiamente.pdfeligesabiamente.pdf
eligesabiamente.pdf
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (20)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

La (in)seguridad de los sistemas de control de procesos publicado en 2013

  • 1. 92 Automática e Instrumentación Septiembre 2013 / n.º 454 Soluciones  CIBERSEGURIDAD Ciberseguridad La (in)seguridad de los sistemas de control de procesos L os entornos de control de pro- cesos, cada vez más, utilizan y dependen de las tecnologías de la información. Estas tecnologías están reemplazando las tecnologías propietarias convencionales, permi- tiendo así reemplazar el software hecho a medida por software co- mercial. Esta transformación trae consigo dos grandes hándicaps: • Los sistemas de control de pro- cesos tradicionalmente eran siste- mas cerrados diseñados para ser funcionales, seguros y fiables donde la principal preocupación era la se- guridad física. Con la integración de estos sistemas en un entorno infor- mático, el entorno de control queda expuesto a nuevas amenazas (virus, malware, intrusiones, etc.). • El software comercial utilizado para reemplazar los sistemas de control de procesos propietarios a menudo no cumple con las parti- cularidades y la complejidad del entorno de control. Muchas de las medidas de seguridad informática utilizadas con estas tecnologías no han sido adoptadas y, por conse- cuencia, puede haber medidas de seguridad insuficientes para proteger los sistemas de control y mantener el entorno seguro. Las consecuencias de exponer dichas vulnerabilidades al exterior pueden ser graves. El impacto de un ataque electrónico en el entorno de control puede incluir la pérdida de servicio, pérdida de integridad, pér- dida de confidencialidad y pérdida de reputación, entre otros. Comprender el riesgo del negocio. Principios de buenas prácticas Solo con un buen conocimiento del riesgo que suponen las amenazas, vulnerabilidades e impacto para el negocio, una organización puede tomar decisiones con los niveles de seguridad adecuados y necesarios para mejorar las prácticas de trabajo. Los procesos deben quedar sujetos a una continua evaluación para adaptarse al cambio constante. Evaluación formal Es conveniente llevar a cabo una evaluación formal de los riesgos de los sistemas de control: •Sistemas: – Realizar una auditoría de inven- tario y una evaluación de los sistemas de control. Qué sistemas existen, cuál es el papel de cada sistema, cómo interactúan, funcionalidad y responsable del sistema. • Amenazas: – Identificar y evaluar las ame- nazas que afectan a los sistemas de control de procesos. La revisión debe incluir la evaluación de la in- fraestructura, sistemas operativos, aplicaciones, componentes software, Debido a las amenazas existentes, la ciberseguridad se ha convertido en una prioridad para los entornos de control. Originariamente, los sistemas de control de procesos fueron creados como sistemas independientes y aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con la estandarización de Internet y el uso de los protocolos IP, el diseño ha cambiado hasta el punto de que, en muchos casos, la red de control ha pasado a ser una extensión protegida de la red corporativa, siendo potencialmente accesible desde Internet y vulnerable a los riesgos que esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un entorno seguro para reducir las amenazas existentes.
  • 2. 93 Septiembre 2013 / n.º 454 Automática e Instrumentación SolucionesCIBERSEGURIDAD  conexiones de red, conectividad de acceso remoto y procesos y proce- dimientos. • Impacto: – Identificar el impacto y conse- cuencias. • Vulnerabilidades: – Evaluar la infraestructura, sis- temas, aplicaciones y procesos para revisar y analizar las vulnerabili- dades. Marco de seguridad Para garantizar la seguridad de la red de control y poder evaluar el riesgo, se debe llevar a cabo un se- guimiento para identificar y mitigar las vulnerabilidades que permitan a un atacante alterar o tomar el control del sistema. Cuando se implementa una ar- quitectura segura, se tiende a fo- calizar el esfuerzo en los elementos tecnológicos. Aunque importantes, la tecnología es insuficiente por si misma para proveer una protección robusta. No es suficiente instalar y configurar un firewall si no se han tenido en cuenta las particu- laridades del entorno de control de procesos. Aunque los sistemas de control están basados en los estándares de TI, su entorno operacional difiere significativamente. Las soluciones para garantizar la seguridad en entornos informáticos no suelen ser las apropiadas para el entorno de control. Mientras que algunas herramientas y técnicas de seguridad estándar se pueden utilizar para proteger los sistemas de control de procesos, se puede necesitar una cuidadosa adaptación para su inte- gración. A modo de ejemplo, puede que no sea posible la instalación de un antivirus en los sistemas de control debido a la falta de potencia del procesador, la antigüedad del sistema operativo o la certificación del proveedor. Las pruebas de seguridad en los sistemas de control de procesos tam- bién deben ser adoptadas con sumo cuidado: un escaneo de seguridad puede afectar significativamente el funcionamiento de determinados dispositivos de control y causar efectos adversos en los sistemas analizados. Dichos tests escanean los puertos y vulnerabilidades a través de peticiones continuas a direcciones IP con datos ficticios. Rara vez se crean entornos de prueba para realizar el análisis y hay pocas oportunidades de tener los sistemas con la línea de producción parada para poder instalar los parches de seguridad o realizar las tareas de mantenimiento oportunas. Objetivos Para el entorno de control, el orden del objetivo de seguridad es inverso al del entorno informático, ya que la disponibilidad de los sistemas se posiciona como el factor más impor- tante. En un entorno de control, el término seguridad suele referirse a fiabilidad y alta disponibilidad. Proteger, detectar, actuar Una evaluación de vulnerabilidades identifica e informa de un fallo de seguridad para su posterior análisis. La principal finalidad de un test de seguridad es duplicar las acciones de un atacante para encontrar los puntos débiles de la red que podrían permitir el acceso al entorno de con- trol a través de Internet o desde la propia red corporativa. Existen varias herramientas y técnicas utilizadas por los atacantes para identificar vulnerabilidades. • Proteger: Implementar las me- didas de seguridad y protección adecuadas para prevenir los ataques electrónicos. • Detectar: Establecer mecanis- mos para la rápida identificación de los ataques electrónicos. • Actuar: aplicar las medidas de prevención adecuadas para solventar las incidencias de seguridad. El éxito de cualquier procedi- miento de seguridad depende del factor humano. Los empleados son el recurso más importante y la ma- yor amenaza para la seguridad. El personal de los sistemas de control de procesos no suelen estar fami- liarizados con la seguridad de TI y el personal de seguridad de TI no suele estar familiarizado con los sistemas de control ni su entorno operativo. Esta situación se puede mejoraraumentandolacomprensión general a través de programas de formación. Tipos de test de seguridad Un test de seguridad se centra en analizar las debilidades del entorno que quedan expuestas al exterior y puedan permitir a un atacante el acceso no autorizado. Estas pruebas suelen estar pensadas para entornos informáticos y rara vez pueden aplicarse al entorno de control, ya que los protocolos utilizados en ambos entornos difieren significa- tivamente. Los proveedores de control utili- zan protocolos propietarios para los procesos internos. Estos protocolos fueron desarrollados cuando los sis- temas de control de procesos estaban aislados del entorno corporativo y la seguridad no era una amenaza. Desde que el entorno de control Objetivos de la seguridad IT Control Confidencialidad Disponibilidad Integridad Integridad Disponibilidad Confidencialidad
  • 3. 94 Automática e Instrumentación Septiembre 2013 / n.º 454 Soluciones  CIBERSEGURIDAD ya no está totalmente aislado, los protocolos propietarios han puesto al sistema en riesgo de ser atacado debido al bajo nivel de seguridad. Debido a la inseguridad inhe- rente del entorno de control, las pruebas de análisis se centran en la seguridad de las electrónicas de red responsables de las entradas y salidas. El equipo debe evaluar la arquitectura de red para formar una estrategia de defensa apropiada que implique el uso de firewalls. La red corporativa y la de control no debe- rían comunicar directamente, todas las comunicaciones corporativas de entrada/salida hacia/desde la red de control tienen que ser filtradas y analizadas por un firewall y un detector de intrusiones, valorando la posibilidad de crear DMZs u otras arquitecturas para los sistemas más críticos. Proceso de escaneo de vulnerabilidades Previo a una evaluación de seguri- dad, se debe revisar la estructura del sistema y definir su configura- ción, estableciendo los problemas conocidos y la lista de dispositivos a excluir del análisis. A diferencia de las pruebas de seguridad de TI, las cuales estable- cen hasta dónde puede llegar un atacante, en el entorno de control lo que queremos saber es si existen vulnerabilidades en el hardware o software y si las protecciones de seguridad existentes son suficientes para limitar el acceso. Riesgo asociado Un test de seguridad puede supo- ner un riesgo significativo para los sistemas de control de procesos. Como mínimo, puede ralentizar el tiempo de respuesta de la red debido al escaneo en búsqueda de vulnerabilidades. Las actividades generadas por el test pueden hacer que los componentes de control queden inoperativos. Este riesgo puede verse reducido si se utilizan las reglas de escaneo adecuadas por personal cualificado. Implementar una arquitectura segura Los siguientes puntos detallan un conjunto de buenas prácticas para el diseño de medidas que nos ayuden a mitigar las posibles vulnerabili- dades: • Arquitectura de red: – Reducir al mínimo el número de conexiones con el sistema e identi- ficar todas las conexiones. – Aislar la red de control mediante un firewall para aislarla de los fallos del entorno de TI. • Firewalls: – Implementar reglas de acceso estrictas para proteger las conexiones entre sistemas de control y otros sistemas. – Los firewalls deben ser ges- tionados por administradores con experiencia. – Establecer un sistema de moni- torización 24/7. • Acceso remoto: – Asegurarnos del conocimiento de los riesgos y las normas de seguridad por parte de los proveedores que accedan a la red. – Mantener un inventario de todas las conexiones remotas. – Implementar mecanismos de au- tenticación apropiados y seguros. – Realizar auditorías con regulari- dad. Implementar un procedimiento para habilitar y deshabilitar conexio- nes remotas. – Restringir los accesos remotos a servidores/workstations específicos por usuario y ventana horaria. • Anti virus: – Proteger los sistemas con un software antivirus. • Procedimiento de conexión de dispositivos: – Establecer un procedimiento para verificar que los dispositivos están libres de virus antes de ser conectados a la red. • Acceso a Internet y email: – Restringir el acceso a Internet y a servidores de correo. • Consolidación de sistemas: – Deshabilitar servicios y puertos en desuso para prevenir un uso no autorizado. – Conocer qué puertos están abier- tos y qué servicios y protocolos los utilizan. – Restringir el uso de CDs, disque- teras, USB, etc. • Seguridad física: – Implementar medidas de protec- ción para proteger el acceso físico a los equipos de red y sistemas de control. • Monitorización del sistema: – Monitorizar en tiempo real los procesos, puertos y servicios para identificar comportamientos in- usuales. – Implementar sistemas de detec- ción de intrusión. – Revisar y analizar regularmente los archivos log. • Redes inalámbricas: – Las redes inalámbricas están experimentando una gran acogida en los entornos de control debido a las importantes ventajas que propor- cionan. Sin embargo, los sistemas inalámbricos pueden suponer un riesgo importante debido al cambio tecnológico continuo al que están sometidos.Lossistemasinalámbricos
  • 4. 95 Septiembre 2013 / n.º 454 Automática e Instrumentación SolucionesCIBERSEGURIDAD  deben ser protegidos utilizando las buenas prácticas de la industria. • Parcheado de seguridad: – Implementar procedimientos para la instalación de parches de seguridad en los sistemas opera- tivos. Previo a una instalación, se debe comprobar que el parche ha sido certificado y validado por el proveedor. • Contraseñas y claves: – Implementar políticas de cadu- cidad y complejidad de contraseñas para todos los sistemas de control. Se recomienda que las contraseñas se cambien con frecuencia siempre que sea posible. – Revisar regularmente los pre- misos de acceso y deshabilitar las cuentas antiguas. – Cambiar las contraseñas por defecto de los dispositivos. • Auditorías de seguridad: – Realizar auditorías de seguridad con regularidad para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse. • Gestión de vulnerabilidades: – Implementar un sistema de gestión de vulnerabilidades para garantizar que estas se reducen al mínimo. • Pruebas de seguridad: – Se deben ejecutar tests de se- guridad siempre que sea posible en entornos dedicados para tal efecto. • Gestión del cambio: – Certificar que todos los sistemas quedan sujetos a un proceso estricto de control de cambios aprobados por todos los departamentos afec- tados. • Copias de seguridad: – Probar regularmente la inte- gridad de las copias de seguridad a través de un proceso de restauración completa. – Almacenar copias de seguridad dentro y fuera del CPD. Diego Martín Sistel Control www.sistelcontrol.com Bibliografía • Guide to Industrial Control Systems (ICS) Security.[en línea] Disponible en: http://csrc.nist.gov/publications/nistpubs/800-82/ SP800-82-final.pdf • Using Operational Security (OPSEC) to Support a Cyber Security Culture in Control Environments.[en línea] Disponible en:http://energy. gov/sites/prod/files/oeprod/DocumentsandMedia/OpSec_Recom- mended_Practice.pdf • BS 7858:2006: Security screening of individuals employed in a security environment. Code of practice.[en línea] Disponible en: www. bsi-global.com/en/Standards-and-Publications/Industry-Sectors/ Security/Security-Products/BS-78582006/