SlideShare una empresa de Scribd logo

Micro-segmentación para Infraestructuras críticas

Descargar como PPTX, PDF
Pablo Fernández Burgueño
Pablo Fernández Burgueño

Supuesto práctico para comprender, desde el punto de vista legal, si los operadores críticos deben integrar soluciones de micro-segmentación en las infraestructuras críticas que gestionan.

Derecho
1 de 44
Ciberseguridad, supuestos prácticos: infraestructuras críticas Pablo Fernández Burgueño
Pablo Fernández Burgueño • Abogado e investigador jurídico • Especializado en: • Innovación jurídica • Fintech – Insurtech • Blockchain, criptomonedas e ICO • Privacidad • Ciberseguridad 11/27/2017
Índice de la sesión sobre ciberseguridad, supuestos prácticos: infraestructuras críticas 1. Caso: Micro-segmentación en infraestructuras críticas 2. Infraestructura crítica, ¿qué es? 3. Operador crítico, ¿qué es? 4. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 5. La micro-segmentación 6. ¿Quién debe o tiene que integrar micro-segmentación? 7. Ley de medidas para la Protección de las Infraestructuras Críticas 8. Plan de Seguridad de Protección Específico (PPE) 9. Directiva NIS 10. Conclusiones 27/11/2017 @pablofb 3
Caso: Micro-segmentación en infraestructuras críticas Bloque 1 27/11/2017 @pablofb 4
Esquema de la investigación 1. Investigación en superficie 1. ¿Qué es una infraestructura crítica? 2. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 3. La micro-segmentación ¿Qué es? ¿Es necesaria su integración? 2. Investigación en profundidad 1. ¿Qué se indica en la normativa aplicable a las infraestructuras críticas? 2. ¿Hay normativa para infraestructuras por sectores de actividad? 3. ¿Existe normativa europea aplicable? ¿Se espera que exista? 3. Detalles finales: resumen ejecutivo y, si procede, conclusiones 27/11/2017 @pablofb 5
Camino hacia la fuente: www.CNPIC.es 27/11/2017 @pablofb 6
¿Qué es el CNPIC? Centro Nacional de Protección de Infraestructuras y Ciberseguridad - Desde 2007, en el Ministerio del Interior - Funciones: impulsar, coordinar y supervisar la protección de las infraestructuras críticas españolas y con la ciberseguridad - Dónde aprender más: - Ley 8/2011 de medidas para la protección de las infraestructuras críticas - RD 704/2011 - Reglamento de protección de las infraestructuras críticas 27/11/2017 @pablofb 7
27/11/2017 @pablofb 8 Nivel de alerta en Infraestructuras críticas Fuente: CNPIC
27/11/2017 @pablofb 9 NAIC: Nivel de Alerta en Infraestructuras Críticas • Indicador para el refuerzo sobre las medidas de seguridad, vigilancia y protección exclusivamente informáticas. • Niveles: • Nivel 1: Riesgo bajo. Activado el 02/07/2009. • Nivel 2: Riesgo moderado. Activado el 09/09/2014. • Nivel 3: Riesgo medio. Activado el 25/05/2015. • Nivel 4: Riesgo alto. Activado desde el 26/06/2015 y vigente desde entonces. • Nivel 5: Riesgo muy alto. Aún no ha sido activado. NAA: Nivel de Alerta Antiterrorista • Indicador de alerta sobre la intención, la capacidad y la probabilidad de que terceros cometan un atentado terrorista.
Infraestructura crítica, ¿qué es? Bloque 2 27/11/2017 @pablofb 10
¿Qué es una infraestructura crítica? Infraestructura crítica: • Conjunto de elementos, dotaciones o servicios • Su funcionamiento es indispensable para España • No existen soluciones alternativas Forman parte de las infraestructuras estratégicas, conformadas por: - Instalaciones - Redes - Sistemas - Equipos físicos y de tecnología de la información 27/11/2017 @pablofb 11
Inf. crítica española vs Inf. crítica europea Infraestructuras críticas = servicios esenciales - Salud, seguridad, bienestar social y económico de los ciudadanos - Funcionamiento de las Administraciones Públicas. Destrucción o perturbación = grave impacto - Solo en España: infraestructura crítica del estado (español). - En 2 o más países europeos: inf. crítica europea. Imagen cedida por Fsolda 27/11/2017 @pablofb 12
Clasificación de infraestructuras por sectores Sector: - Área diferenciada dentro de la actividad laboral, económica y productiva - Proporciona un servicio esencial o garantiza el ejercicio de la autoridad del Estado o de la seguridad del país. 27/11/2017 @pablofb 13
Ejemplo: Sector TIC Sector TIC (infraestructuras críticas): • Subsector: Telecomunicaciones • Subsector: Informática y Sociedad de la Información • Subsector: Comunicación Audiovisual Normativa del Sector TIC (infraestructuras críticas): • Ley 09/2014, de las Telecomunicaciones. • Estrategia de Ciberseguridad Nacional • R.D. 863/2008 que aprueba Reglamento que desarrolla Ley 32/2003 General de las Telecomunicaciones. • Ley 17/2006 Radio y Televisión de Titularidad Estatal. • R.D. 1066/2001 - Reglamento Protección Dominio Público Radioeléctrico y Medidas de Protección.
Operador crítico, ¿qué es? Bloque 3 27/11/2017 @pablofb 15
¿Qué es un operador crítico? 1. Operador crítico: Puede ser una entidad o un organismo 2. Gestiona uno o varios conjuntos de elementos, dotaciones o servicios que conforman una infraestructura crítica. 3. Responsabilidades (una o varias de las siguientes): 1. Invertir en la instalación, la red, el sistema o el equipo físico o de tecnología de la información de la infraestructura 2. Mantener el funcionamiento continuado y sin interrupciones de la infraestructura. 4. Los operadores son seleccionados por CNPIC 5. Forman parte del Sistema de Protección de Infraestructuras Críticas. Imagen cedida por Samson Duborg-Rankin 27/11/2017 @pablofb 16
Principal tarea del operador en ciberseguridad Principal tarea en ciberseguridad: optimizar la protección de la infraestructura crítica que gestiona. El operador deberá: - Realizar un análisis de riesgo sobre el sector estratégico - Elaborar el Plan de Seguridad del Operador y mantenerlo actualizado - Elaborar un Plan de Protección Específico para la infraestructura crítica que gestione Imagen cedida por Markus Spiske 27/11/2017
¿Qué medidas de seguridad necesitan las infraestructuras críticas? Bloque 4 27/11/2017 @pablofb 18
Qué medidas tienen que integrar las Inf. Cr. Todas las necesarias para garantizar la prestación continua de los servicios esenciales para el mantenimiento de las funciones sociales básicas del país Imagen cedida por Henry Hustava 27/11/2017 @pablofb 19
Tipos de medidas de seguridad Las medidas obligatorias establecidas por la normativa en vigor se dividen en: 1. Medidas de Seguridad Tasadas 2. Medidas de Seguridad Personalizadas: • Evaluación de riesgo: 1. identificación de las amenazas potenciales 2. estudio de las mismas y valoración de su nivel de eficacia 3. selección de las medidas más adecuadas para prevenir y proteger Imagen cedida por James Pond 27/11/2017 @pablofb 20
¿Qué es el estado de la técnica? Soluciones adecuadas al estado de la técnica: - Nuevas amenazas - > Nuevas soluciones - Actualización constante con mejoras de la versión (update) - Ascenso a versiones mejores (upgrade) - Renovaciones de licencias - Muy importante: configuración adecuada de la solución Imagen cedida por NeONBRAND 27/11/2017 @pablofb 21
La micro-segmentación Bloque 5 27/11/2017 @pablofb 22
Qué es la micro-segmentación Micro-segmentación 1. Qué es: una solución informática 2. Qué hace: protege de forma autónoma cada elemento de una infraestructura concreta 3. Cómo lo hace: Lleva el control perimetral a cada elemento de la infraestructura. 4. Ejemplo: Logra que una brecha de seguridad solo pueda afectar a una pequeña parte del sistema, dejando indemne y operativo el resto de la estructura 27/11/2017 @pablofb 23
¿Alternativas a la micro- segmentación? Aproximación perimetral 1. Definir islas 2. Ubicar los recursos dentro de las islas. 3. Blindar perimetralmente las islas para proteger su contenido. Problema de la aproximación perimetral: - Una vez roto el perímetro, el ataque podría expandirse fácilmente por los sistemas afectando gravemente al funcionamiento de la infraestructura. Imagen cedida por Lily Lvnatikk 27/11/2017 @pablofb 24
¿Quién debe o tiene que integrar micro-segmentación? Bloque 6 27/11/2017 @pablofb 25
¿Quién debe o tiene que integrar soluciones de micro-segmentación? • Se deben integrar en todas las infraestructuras críticas cuyos operadores hayan determinado la necesidad de la misma. ¿Cómo se determina? Con el análisis de riesgo, cumpliendo: - Ley de Medidas para La Protección de Infraestructuras Críticas - Evaluación de riesgo del GDPR - Plan de Seguridad del Operador (PSO) - Plan de Protección Específico (PPE) 27/11/2017 @pablofb 26
Normas y docs. oficiales a tener en cuenta • Estrategia de Seguridad Nacional • Estrategia de Ciberseguridad Nacional • Estrategia de Seguridad Marítima Nacional • Ley de Seguridad Privada • Ley 17/2015 del Sistema Nacional de Protección Civil. • R.D. 407/1992 Norma Básica de Protección Civil • R.D. 393/2007 Norma Básica de Autoprotección de Centros y Establecimientos • R.D. 1468/2008 • R.D. 399/2007 Protocolo Intervención Unidad Militar Emergencia • Contenidos mínimos PSO • Contenidos mínimos PPE • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Seguridad del Operador • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Protección Específicos • Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión • Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección • 106 normas específicas adicionales: cnpic.es/Legislacion_Aplicable/ • GDRP, LOPD, RLOPD y otras 27/11/2017 @pablofb 27
Apuntes adicionales • NAA-NAIC. ¿En qué nivel estamos? • La guía para el PSO menciona la ISO 27002 • Seguridad privada: • Orden Ministerial 316/2011 • Referencia a la normativa UNE/EN • Recomendaciones de la norma UNE/CLC TS 50131-7 • Ayuda en el CNPIC Imagen cedida por Denys Nevozhai 27/11/2017 @pablofb 28
Ley de medidas para la Protección de las Infraestructuras Críticas Bloque 7 27/11/2017 @pablofb 29
La Ley de Medidas para la Protección de Inf. Cr. Ley 8/2011 de Medidas para la Protección de las Infraestructuras Críticas • Establece un marco de estrategias y estructuras • Objetivos: • Dirigir y coordinar las actuaciones en materia de protección • Mejorar la prevención, preparación y respuesta de España • Frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas. • Desde el 30 de abril de 2011 27/11/2017 @pablofb 30
Instrumentos de Planificación a) Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) b) Planes Estratégicos Sectoriales (PES) c) Planes de Seguridad del Operador (PSO) d) Planes de Protección Específicos (PPE) e) Planes de Apoyo Operativo (PAO) Imagen cedida por Patryk Grądys 27/11/2017 @pablofb 31
Responsables y delegados de seguridad. Y datos clasificados Responsable de Seguridad y Enlace con la Administración: representará al operador crítico ante la Secretaría de Estado de Seguridad. • Nombrado por cada uno de los operadores críticos • Comunicado al Ministerio del Interior • Con la habilitación de Director de Seguridad Delegado de Seguridad (igual que el responsable pero sin habilitación): enlace operativo y canal de información con las autoridades competentes. Especial protección para datos clasificados (personales y no personales) Imagen cedida por rawpixel com 27/11/2017 @pablofb 32
Análisis de riesgos e interdependencias Análisis de riesgos: - Estudio de las hipótesis de amenazas posibles - Determinar la necesidad u oportunidad de integrar soluciones Interdependencias: - efectos que una perturbación en el funcionamiento de la instalación o servicio produciría en otras instalaciones o servicios. - Obligación: integrar soluciones informáticas que minimicen o anulen la capacidad de un ataque para provocar interdependencias, aislando los elementos de las infraestructuras a través de un control perimetral. Imagen cedida por NASA 27/11/2017 @pablofb 33
Plan de Seguridad de Protección Específico (PPE) Bloque 8 27/11/2017 @pablofb 34
¿Qué son los Planes de Protección Específicos? Los PPE son documentos operativos: • Los elaboran los operadores críticos • Definen medidas concretas permanentes, temporales y graduales • Análisis de los potenciales riesgos de intrusión • Evaluación de riesgo sobre los sistemas • Estudio de las posibles interdependencias • Indicación de las medidas de seguridad • Explicación del motivo por el que se elige una medida, indicando los plazos para su activación y para sus posteriores verificaciones de estado 27/11/2017 @pablofb 35
PPE y ciberseguridad En el PPE se describen las soluciones de ciberseguridad sobre: • Firewalls, DMZ, IPSs, IDSs, segmentación, micro-segmentación y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biométricos, etc.), medidas de instalación y configuración segura de elementos técnicos, correladores de eventos y logs, protección frente malware, etc. • Redundancia de sistemas (hardware y software). 27/11/2017 @pablofb 36
Recomendaciones para elaborar el PPE 1. Seguir la Guía de Buenas Prácticas para el PPE 2. Proteger mediante el modelado de la infraestructura crítica, tomando como base el servicio o los sistemas. 1. Punto de partida identificación de los activos a proteger 2. Clasificación de activos por: 1. impacto del incidente 2. capacidad de resolución del problema 3. tiempo de resolución posibilidad de propagación del problema 4. coste de la resolución Imagen cedida por Sharon Pittaway 27/11/2017 @pablofb 37
Recomendación ciber: multi-capa Multi-capa: defensa en general y ante la intrusión en particular • Zona Exterior o ante-perímetro: Vigilancia y Control de las zonas más externas al sistema o ubicación • Perímetro: Control del perímetro conforme a la segmentación en zonas de gestión • Áreas protegidas: Áreas en las que el acceso debe estar restringido para usuarios internos según la necesidad de acceder 27/11/2017 @pablofb 38
Directiva NIS Bloque 9 27/11/2017 @pablofb 39
Acercamiento a la Directiva NIS Directiva (UE) 2016/1148 • la Directiva es del 6 de julio de 2016 • como tarde, el 10 de mayo de 2018 tendrán que entrar en vigor las leyes de transposición en el estado español • tras la identificación de los operadores, que deberá hacerse, como tarde, el 9 de noviembre de 2018, deberá hacerse una revisión del cumplimiento cada dos años 27/11/2017 @pablofb 40
¿A qué obliga la Directiva NIS? • Obligados: Estados europeos • Obligación: Estrategia nacional de seguridad de las redes y TIC. • Tareas: • Identificación de operadores de servicios esenciales • Establecer medidas para impedir efectos perturbadores, según: • El número de usuarios afectados. • La dependencia de otros sectores. • La repercusión en las actividades económicas y sociales o en la seguridad pública. • La cuota de mercado. • La extensión geográfica. • La importancia de la entidad para mantener un nivel suficiente del servicio. 27/11/2017 @pablofb 41
Deber de notificar brechas de ciberseguridad • Quién: un operador o un proveedor de servicios digitales • Qué ha debido sufrir: • una brecha de seguridad u otro tipo de incidente • que tenga efectos significativos • Qué debe hacer: notificar los detalles de forma inmediata a: • CNIPC o • CSIRT (Computer Security Incident Response Team) 27/11/2017 @pablofb 42
10.- Conclusiones ¿Debe integrarse un sistema de micro-segmentación en una infraestructura crítica? ¿Por qué? Consejo de cara a informes: Siempre has de referirte a artículos concretos de leyes y documentos oficiales en los que bases tu respuesta. 27/11/2017 @pablofb 43
Gracias por la atención. ¿Comentarios? ¿Preguntas? Pablo Fernández Burgueño – @pablofb pablo@nevtrace.com www.nevtrace.com

Recomendados

RED DHCP VOZ CON DATOS
RED DHCP VOZ CON DATOS RED DHCP VOZ CON DATOS
RED DHCP VOZ CON DATOS
miguelangelperezhenao
 
Electrónica digital
Electrónica digitalElectrónica digital
Electrónica digital
Jomicast
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
Andrea Morales
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
JONNATAN TORO
 
CABLE UTP y TOMAS TELEFONICAS
CABLE UTP y TOMAS TELEFONICASCABLE UTP y TOMAS TELEFONICAS
CABLE UTP y TOMAS TELEFONICAS
oronomartinez
 
Diversos tipos de simuladores
Diversos tipos de simuladores Diversos tipos de simuladores
Diversos tipos de simuladores
danielAngelvnzla
 
Informe sistemas empotrados
Informe sistemas empotradosInforme sistemas empotrados
Informe sistemas empotrados
Joanita123
 
Capacitación Mikrotik desde Cero
Capacitación Mikrotik desde CeroCapacitación Mikrotik desde Cero
Capacitación Mikrotik desde Cero
Microcom Argentina
 

Recomendados

RED DHCP VOZ CON DATOS
RED DHCP VOZ CON DATOS RED DHCP VOZ CON DATOS
RED DHCP VOZ CON DATOS
miguelangelperezhenao
 
Electrónica digital
Electrónica digitalElectrónica digital
Electrónica digital
Jomicast
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
Andrea Morales
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
JONNATAN TORO
 
CABLE UTP y TOMAS TELEFONICAS
CABLE UTP y TOMAS TELEFONICASCABLE UTP y TOMAS TELEFONICAS
CABLE UTP y TOMAS TELEFONICAS
oronomartinez
 
Diversos tipos de simuladores
Diversos tipos de simuladores Diversos tipos de simuladores
Diversos tipos de simuladores
danielAngelvnzla
 
Informe sistemas empotrados
Informe sistemas empotradosInforme sistemas empotrados
Informe sistemas empotrados
Joanita123
 
Capacitación Mikrotik desde Cero
Capacitación Mikrotik desde CeroCapacitación Mikrotik desde Cero
Capacitación Mikrotik desde Cero
Microcom Argentina
 
Firewalls
FirewallsFirewalls
Firewalls
Eugenia Nuñez
 
Iptables
IptablesIptables
Iptables
cercer
 
GUÍA DE EJERCICIOS RESUELTOS TEMA 4
GUÍA DE EJERCICIOS RESUELTOS TEMA 4GUÍA DE EJERCICIOS RESUELTOS TEMA 4
GUÍA DE EJERCICIOS RESUELTOS TEMA 4
Luis Zurita
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Control de acceso. tecnología de identificación mediante proximidad.
Control de acceso. tecnología de identificación mediante proximidad. Control de acceso. tecnología de identificación mediante proximidad.
Control de acceso. tecnología de identificación mediante proximidad.
Nelson Izaguirre
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
JOHN BONILLA
 
Proyecto cerradura electronica
Proyecto cerradura electronicaProyecto cerradura electronica
Proyecto cerradura electronica
Sebastian Diaz Paz
 
Práctica con Arduino: Simon Dice
Práctica con Arduino: Simon DicePráctica con Arduino: Simon Dice
Práctica con Arduino: Simon Dice
Alberto Labarga
 
Termistores
TermistoresTermistores
Termistores
Luis León
 
Transductores y actuadores
Transductores y actuadoresTransductores y actuadores
Transductores y actuadores
Miguel Chávez Juárez
 
Instrumentacion
InstrumentacionInstrumentacion
Instrumentacion
Israel Valencia
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Hacking Bolivia
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
Jose Alberto Medina Vega
 
Analisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdfAnalisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdf
ManuelRojas960410
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Jack Daniel Cáceres Meza
 
Aspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospreAspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospre
jtk1
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Washington Alfonso Olvera Yulàn
 
Analisis forense de sistemas informaticos
Analisis forense de sistemas informaticosAnalisis forense de sistemas informaticos
Analisis forense de sistemas informaticos
Julio RS
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las Cosas
Cristian Borghello
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
Viewnext
 

Más contenido relacionado

La actualidad más candente

Iptables
IptablesIptables
Iptables
cercer
 
GUÍA DE EJERCICIOS RESUELTOS TEMA 4
GUÍA DE EJERCICIOS RESUELTOS TEMA 4GUÍA DE EJERCICIOS RESUELTOS TEMA 4
GUÍA DE EJERCICIOS RESUELTOS TEMA 4
Luis Zurita
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
JOHN BONILLA
 

La actualidad más candente (13)

Firewalls
FirewallsFirewalls
Firewalls
 
Iptables
IptablesIptables
Iptables
 
GUÍA DE EJERCICIOS RESUELTOS TEMA 4
GUÍA DE EJERCICIOS RESUELTOS TEMA 4GUÍA DE EJERCICIOS RESUELTOS TEMA 4
GUÍA DE EJERCICIOS RESUELTOS TEMA 4
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Control de acceso. tecnología de identificación mediante proximidad.
Control de acceso. tecnología de identificación mediante proximidad. Control de acceso. tecnología de identificación mediante proximidad.
Control de acceso. tecnología de identificación mediante proximidad.
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
 
Proyecto cerradura electronica
Proyecto cerradura electronicaProyecto cerradura electronica
Proyecto cerradura electronica
 
Práctica con Arduino: Simon Dice
Práctica con Arduino: Simon DicePráctica con Arduino: Simon Dice
Práctica con Arduino: Simon Dice
 
Termistores
TermistoresTermistores
Termistores
 
Transductores y actuadores
Transductores y actuadoresTransductores y actuadores
Transductores y actuadores
 
Instrumentacion
InstrumentacionInstrumentacion
Instrumentacion
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 

Similar a Micro-segmentación para Infraestructuras críticas

Aspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospreAspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospre
jtk1
 
Analisis forense de sistemas informaticos
Analisis forense de sistemas informaticosAnalisis forense de sistemas informaticos
Analisis forense de sistemas informaticos
Julio RS
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)
ninguna
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
cristiano546156
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
TGS
 

Similar a Micro-segmentación para Infraestructuras críticas (20)

Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Analisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdfAnalisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdf
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
 
Aspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospreAspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospre
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Analisis forense de sistemas informaticos
Analisis forense de sistemas informaticosAnalisis forense de sistemas informaticos
Analisis forense de sistemas informaticos
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
 
IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las Cosas
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
T04 03 ens
T04 03 ensT04 03 ens
T04 03 ens
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraUnidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby Mora
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 

Más de Pablo Fernández Burgueño

RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
Pablo Fernández Burgueño
 

Más de Pablo Fernández Burgueño (20)

¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?
 
Normativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedasNormativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedas
 
Realidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidadRealidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidad
 
Bitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchainBitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchain
 
Protección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al OlvidoProtección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al Olvido
 
Realidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legalesRealidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legales
 
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y SecretoModelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
 
Proteccion legal de la innovacion
Proteccion legal de la innovacionProteccion legal de la innovacion
Proteccion legal de la innovacion
 
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
 
Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019
 
Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)
 
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
 
Big Data y GDPR
Big Data y GDPRBig Data y GDPR
Big Data y GDPR
 
Cómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimientoCómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimiento
 
Clase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing onlineClase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing online
 
Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018
 
Propiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegosPropiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegos
 
Descubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedasDescubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedas
 
Consejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayoresConsejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayores
 
Las asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectadoLas asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectado
 

Último

CASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdf
CASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdfCASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdf
CASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdf
SashaDeLaCruz2
 
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
olmedorolando67
 
LEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion leyLEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion ley
46058406
 
Fin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptxFin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptx
caamiguerra4
 

Último (20)

ACTO JURIDICO Y NEGOCIO JURIDICO EN EL PERU
ACTO JURIDICO Y NEGOCIO JURIDICO EN EL PERUACTO JURIDICO Y NEGOCIO JURIDICO EN EL PERU
ACTO JURIDICO Y NEGOCIO JURIDICO EN EL PERU
 
OBLIGACIONES PARTE (1) Y SUBCLASIFICACION
OBLIGACIONES PARTE (1) Y SUBCLASIFICACIONOBLIGACIONES PARTE (1) Y SUBCLASIFICACION
OBLIGACIONES PARTE (1) Y SUBCLASIFICACION
 
CASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdf
CASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdfCASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdf
CASOS DE RTFS CASO CORPAC, BAÑOS PUBLICOS Y ALQUILER DE PUESTOS DE MERCADOS.pdf
 
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
 
LEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion leyLEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion ley
 
Presentacion Derecho Notarial dominicano temas
Presentacion Derecho Notarial dominicano temasPresentacion Derecho Notarial dominicano temas
Presentacion Derecho Notarial dominicano temas
 
Caso Galeria Nicolini Perú y análisis ..
Caso Galeria Nicolini Perú y análisis ..Caso Galeria Nicolini Perú y análisis ..
Caso Galeria Nicolini Perú y análisis ..
 
Que Es El Desarrollo Sostenible En Guatemala
Que Es El Desarrollo Sostenible En GuatemalaQue Es El Desarrollo Sostenible En Guatemala
Que Es El Desarrollo Sostenible En Guatemala
 
DIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVIL
DIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVILDIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVIL
DIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVIL
 
Imputación Fiscal a Raúl Uría por el caso tráfico ilícito de armas
Imputación Fiscal a Raúl Uría por el caso tráfico ilícito de armasImputación Fiscal a Raúl Uría por el caso tráfico ilícito de armas
Imputación Fiscal a Raúl Uría por el caso tráfico ilícito de armas
 
Acusación-JIP xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
Acusación-JIP xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...Acusación-JIP xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
Acusación-JIP xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
 
Quiroscopia - huella digitales.Posee gran riqueza identificativa con deltas, ...
Quiroscopia - huella digitales.Posee gran riqueza identificativa con deltas, ...Quiroscopia - huella digitales.Posee gran riqueza identificativa con deltas, ...
Quiroscopia - huella digitales.Posee gran riqueza identificativa con deltas, ...
 
BIOETICA.pptx código deontológico responsabilidad
BIOETICA.pptx código deontológico responsabilidadBIOETICA.pptx código deontológico responsabilidad
BIOETICA.pptx código deontológico responsabilidad
 
RESPONSABILIDAD NOTARIAL: civil, penal y disciplinaria
RESPONSABILIDAD NOTARIAL: civil, penal y disciplinariaRESPONSABILIDAD NOTARIAL: civil, penal y disciplinaria
RESPONSABILIDAD NOTARIAL: civil, penal y disciplinaria
 
Fin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptxFin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptx
 
Dictamen de la ONU sobre las leyes de concordia
Dictamen de la ONU sobre las leyes de concordiaDictamen de la ONU sobre las leyes de concordia
Dictamen de la ONU sobre las leyes de concordia
 
LAS CONSTITUCIONES POLITICAS DE COLOMBIA
LAS CONSTITUCIONES POLITICAS DE COLOMBIALAS CONSTITUCIONES POLITICAS DE COLOMBIA
LAS CONSTITUCIONES POLITICAS DE COLOMBIA
 
El comercio y auxiliares comerciantes.pptx
El comercio y auxiliares comerciantes.pptxEl comercio y auxiliares comerciantes.pptx
El comercio y auxiliares comerciantes.pptx
 
PPT 06 CONSTITUCION Y DERECHOS HUMANOS.pptx
PPT 06 CONSTITUCION Y DERECHOS HUMANOS.pptxPPT 06 CONSTITUCION Y DERECHOS HUMANOS.pptx
PPT 06 CONSTITUCION Y DERECHOS HUMANOS.pptx
 
Carta de Bustinduy a las empresas españolas en Israel
Carta de Bustinduy a las empresas españolas en IsraelCarta de Bustinduy a las empresas españolas en Israel
Carta de Bustinduy a las empresas españolas en Israel
 

Micro-segmentación para Infraestructuras críticas

  • 2. Pablo Fernández Burgueño • Abogado e investigador jurídico • Especializado en: • Innovación jurídica • Fintech – Insurtech • Blockchain, criptomonedas e ICO • Privacidad • Ciberseguridad 11/27/2017
  • 3. Índice de la sesión sobre ciberseguridad, supuestos prácticos: infraestructuras críticas 1. Caso: Micro-segmentación en infraestructuras críticas 2. Infraestructura crítica, ¿qué es? 3. Operador crítico, ¿qué es? 4. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 5. La micro-segmentación 6. ¿Quién debe o tiene que integrar micro-segmentación? 7. Ley de medidas para la Protección de las Infraestructuras Críticas 8. Plan de Seguridad de Protección Específico (PPE) 9. Directiva NIS 10. Conclusiones 27/11/2017 @pablofb 3
  • 4. Caso: Micro-segmentación en infraestructuras críticas Bloque 1 27/11/2017 @pablofb 4
  • 5. Esquema de la investigación 1. Investigación en superficie 1. ¿Qué es una infraestructura crítica? 2. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 3. La micro-segmentación ¿Qué es? ¿Es necesaria su integración? 2. Investigación en profundidad 1. ¿Qué se indica en la normativa aplicable a las infraestructuras críticas? 2. ¿Hay normativa para infraestructuras por sectores de actividad? 3. ¿Existe normativa europea aplicable? ¿Se espera que exista? 3. Detalles finales: resumen ejecutivo y, si procede, conclusiones 27/11/2017 @pablofb 5
  • 6. Camino hacia la fuente: www.CNPIC.es 27/11/2017 @pablofb 6
  • 7. ¿Qué es el CNPIC? Centro Nacional de Protección de Infraestructuras y Ciberseguridad - Desde 2007, en el Ministerio del Interior - Funciones: impulsar, coordinar y supervisar la protección de las infraestructuras críticas españolas y con la ciberseguridad - Dónde aprender más: - Ley 8/2011 de medidas para la protección de las infraestructuras críticas - RD 704/2011 - Reglamento de protección de las infraestructuras críticas 27/11/2017 @pablofb 7
  • 8. 27/11/2017 @pablofb 8 Nivel de alerta en Infraestructuras críticas Fuente: CNPIC
  • 9. 27/11/2017 @pablofb 9 NAIC: Nivel de Alerta en Infraestructuras Críticas • Indicador para el refuerzo sobre las medidas de seguridad, vigilancia y protección exclusivamente informáticas. • Niveles: • Nivel 1: Riesgo bajo. Activado el 02/07/2009. • Nivel 2: Riesgo moderado. Activado el 09/09/2014. • Nivel 3: Riesgo medio. Activado el 25/05/2015. • Nivel 4: Riesgo alto. Activado desde el 26/06/2015 y vigente desde entonces. • Nivel 5: Riesgo muy alto. Aún no ha sido activado. NAA: Nivel de Alerta Antiterrorista • Indicador de alerta sobre la intención, la capacidad y la probabilidad de que terceros cometan un atentado terrorista.
  • 10. Infraestructura crítica, ¿qué es? Bloque 2 27/11/2017 @pablofb 10
  • 11. ¿Qué es una infraestructura crítica? Infraestructura crítica: • Conjunto de elementos, dotaciones o servicios • Su funcionamiento es indispensable para España • No existen soluciones alternativas Forman parte de las infraestructuras estratégicas, conformadas por: - Instalaciones - Redes - Sistemas - Equipos físicos y de tecnología de la información 27/11/2017 @pablofb 11
  • 12. Inf. crítica española vs Inf. crítica europea Infraestructuras críticas = servicios esenciales - Salud, seguridad, bienestar social y económico de los ciudadanos - Funcionamiento de las Administraciones Públicas. Destrucción o perturbación = grave impacto - Solo en España: infraestructura crítica del estado (español). - En 2 o más países europeos: inf. crítica europea. Imagen cedida por Fsolda 27/11/2017 @pablofb 12
  • 13. Clasificación de infraestructuras por sectores Sector: - Área diferenciada dentro de la actividad laboral, económica y productiva - Proporciona un servicio esencial o garantiza el ejercicio de la autoridad del Estado o de la seguridad del país. 27/11/2017 @pablofb 13
  • 14. Ejemplo: Sector TIC Sector TIC (infraestructuras críticas): • Subsector: Telecomunicaciones • Subsector: Informática y Sociedad de la Información • Subsector: Comunicación Audiovisual Normativa del Sector TIC (infraestructuras críticas): • Ley 09/2014, de las Telecomunicaciones. • Estrategia de Ciberseguridad Nacional • R.D. 863/2008 que aprueba Reglamento que desarrolla Ley 32/2003 General de las Telecomunicaciones. • Ley 17/2006 Radio y Televisión de Titularidad Estatal. • R.D. 1066/2001 - Reglamento Protección Dominio Público Radioeléctrico y Medidas de Protección.
  • 15. Operador crítico, ¿qué es? Bloque 3 27/11/2017 @pablofb 15
  • 16. ¿Qué es un operador crítico? 1. Operador crítico: Puede ser una entidad o un organismo 2. Gestiona uno o varios conjuntos de elementos, dotaciones o servicios que conforman una infraestructura crítica. 3. Responsabilidades (una o varias de las siguientes): 1. Invertir en la instalación, la red, el sistema o el equipo físico o de tecnología de la información de la infraestructura 2. Mantener el funcionamiento continuado y sin interrupciones de la infraestructura. 4. Los operadores son seleccionados por CNPIC 5. Forman parte del Sistema de Protección de Infraestructuras Críticas. Imagen cedida por Samson Duborg-Rankin 27/11/2017 @pablofb 16
  • 17. Principal tarea del operador en ciberseguridad Principal tarea en ciberseguridad: optimizar la protección de la infraestructura crítica que gestiona. El operador deberá: - Realizar un análisis de riesgo sobre el sector estratégico - Elaborar el Plan de Seguridad del Operador y mantenerlo actualizado - Elaborar un Plan de Protección Específico para la infraestructura crítica que gestione Imagen cedida por Markus Spiske 27/11/2017
  • 18. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? Bloque 4 27/11/2017 @pablofb 18
  • 19. Qué medidas tienen que integrar las Inf. Cr. Todas las necesarias para garantizar la prestación continua de los servicios esenciales para el mantenimiento de las funciones sociales básicas del país Imagen cedida por Henry Hustava 27/11/2017 @pablofb 19
  • 20. Tipos de medidas de seguridad Las medidas obligatorias establecidas por la normativa en vigor se dividen en: 1. Medidas de Seguridad Tasadas 2. Medidas de Seguridad Personalizadas: • Evaluación de riesgo: 1. identificación de las amenazas potenciales 2. estudio de las mismas y valoración de su nivel de eficacia 3. selección de las medidas más adecuadas para prevenir y proteger Imagen cedida por James Pond 27/11/2017 @pablofb 20
  • 21. ¿Qué es el estado de la técnica? Soluciones adecuadas al estado de la técnica: - Nuevas amenazas - > Nuevas soluciones - Actualización constante con mejoras de la versión (update) - Ascenso a versiones mejores (upgrade) - Renovaciones de licencias - Muy importante: configuración adecuada de la solución Imagen cedida por NeONBRAND 27/11/2017 @pablofb 21
  • 23. Qué es la micro-segmentación Micro-segmentación 1. Qué es: una solución informática 2. Qué hace: protege de forma autónoma cada elemento de una infraestructura concreta 3. Cómo lo hace: Lleva el control perimetral a cada elemento de la infraestructura. 4. Ejemplo: Logra que una brecha de seguridad solo pueda afectar a una pequeña parte del sistema, dejando indemne y operativo el resto de la estructura 27/11/2017 @pablofb 23
  • 24. ¿Alternativas a la micro- segmentación? Aproximación perimetral 1. Definir islas 2. Ubicar los recursos dentro de las islas. 3. Blindar perimetralmente las islas para proteger su contenido. Problema de la aproximación perimetral: - Una vez roto el perímetro, el ataque podría expandirse fácilmente por los sistemas afectando gravemente al funcionamiento de la infraestructura. Imagen cedida por Lily Lvnatikk 27/11/2017 @pablofb 24
  • 25. ¿Quién debe o tiene que integrar micro-segmentación? Bloque 6 27/11/2017 @pablofb 25
  • 26. ¿Quién debe o tiene que integrar soluciones de micro-segmentación? • Se deben integrar en todas las infraestructuras críticas cuyos operadores hayan determinado la necesidad de la misma. ¿Cómo se determina? Con el análisis de riesgo, cumpliendo: - Ley de Medidas para La Protección de Infraestructuras Críticas - Evaluación de riesgo del GDPR - Plan de Seguridad del Operador (PSO) - Plan de Protección Específico (PPE) 27/11/2017 @pablofb 26
  • 27. Normas y docs. oficiales a tener en cuenta • Estrategia de Seguridad Nacional • Estrategia de Ciberseguridad Nacional • Estrategia de Seguridad Marítima Nacional • Ley de Seguridad Privada • Ley 17/2015 del Sistema Nacional de Protección Civil. • R.D. 407/1992 Norma Básica de Protección Civil • R.D. 393/2007 Norma Básica de Autoprotección de Centros y Establecimientos • R.D. 1468/2008 • R.D. 399/2007 Protocolo Intervención Unidad Militar Emergencia • Contenidos mínimos PSO • Contenidos mínimos PPE • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Seguridad del Operador • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Protección Específicos • Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión • Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección • 106 normas específicas adicionales: cnpic.es/Legislacion_Aplicable/ • GDRP, LOPD, RLOPD y otras 27/11/2017 @pablofb 27
  • 28. Apuntes adicionales • NAA-NAIC. ¿En qué nivel estamos? • La guía para el PSO menciona la ISO 27002 • Seguridad privada: • Orden Ministerial 316/2011 • Referencia a la normativa UNE/EN • Recomendaciones de la norma UNE/CLC TS 50131-7 • Ayuda en el CNPIC Imagen cedida por Denys Nevozhai 27/11/2017 @pablofb 28
  • 29. Ley de medidas para la Protección de las Infraestructuras Críticas Bloque 7 27/11/2017 @pablofb 29
  • 30. La Ley de Medidas para la Protección de Inf. Cr. Ley 8/2011 de Medidas para la Protección de las Infraestructuras Críticas • Establece un marco de estrategias y estructuras • Objetivos: • Dirigir y coordinar las actuaciones en materia de protección • Mejorar la prevención, preparación y respuesta de España • Frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas. • Desde el 30 de abril de 2011 27/11/2017 @pablofb 30
  • 31. Instrumentos de Planificación a) Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) b) Planes Estratégicos Sectoriales (PES) c) Planes de Seguridad del Operador (PSO) d) Planes de Protección Específicos (PPE) e) Planes de Apoyo Operativo (PAO) Imagen cedida por Patryk Grądys 27/11/2017 @pablofb 31
  • 32. Responsables y delegados de seguridad. Y datos clasificados Responsable de Seguridad y Enlace con la Administración: representará al operador crítico ante la Secretaría de Estado de Seguridad. • Nombrado por cada uno de los operadores críticos • Comunicado al Ministerio del Interior • Con la habilitación de Director de Seguridad Delegado de Seguridad (igual que el responsable pero sin habilitación): enlace operativo y canal de información con las autoridades competentes. Especial protección para datos clasificados (personales y no personales) Imagen cedida por rawpixel com 27/11/2017 @pablofb 32
  • 33. Análisis de riesgos e interdependencias Análisis de riesgos: - Estudio de las hipótesis de amenazas posibles - Determinar la necesidad u oportunidad de integrar soluciones Interdependencias: - efectos que una perturbación en el funcionamiento de la instalación o servicio produciría en otras instalaciones o servicios. - Obligación: integrar soluciones informáticas que minimicen o anulen la capacidad de un ataque para provocar interdependencias, aislando los elementos de las infraestructuras a través de un control perimetral. Imagen cedida por NASA 27/11/2017 @pablofb 33
  • 34. Plan de Seguridad de Protección Específico (PPE) Bloque 8 27/11/2017 @pablofb 34
  • 35. ¿Qué son los Planes de Protección Específicos? Los PPE son documentos operativos: • Los elaboran los operadores críticos • Definen medidas concretas permanentes, temporales y graduales • Análisis de los potenciales riesgos de intrusión • Evaluación de riesgo sobre los sistemas • Estudio de las posibles interdependencias • Indicación de las medidas de seguridad • Explicación del motivo por el que se elige una medida, indicando los plazos para su activación y para sus posteriores verificaciones de estado 27/11/2017 @pablofb 35
  • 36. PPE y ciberseguridad En el PPE se describen las soluciones de ciberseguridad sobre: • Firewalls, DMZ, IPSs, IDSs, segmentación, micro-segmentación y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biométricos, etc.), medidas de instalación y configuración segura de elementos técnicos, correladores de eventos y logs, protección frente malware, etc. • Redundancia de sistemas (hardware y software). 27/11/2017 @pablofb 36
  • 37. Recomendaciones para elaborar el PPE 1. Seguir la Guía de Buenas Prácticas para el PPE 2. Proteger mediante el modelado de la infraestructura crítica, tomando como base el servicio o los sistemas. 1. Punto de partida identificación de los activos a proteger 2. Clasificación de activos por: 1. impacto del incidente 2. capacidad de resolución del problema 3. tiempo de resolución posibilidad de propagación del problema 4. coste de la resolución Imagen cedida por Sharon Pittaway 27/11/2017 @pablofb 37
  • 38. Recomendación ciber: multi-capa Multi-capa: defensa en general y ante la intrusión en particular • Zona Exterior o ante-perímetro: Vigilancia y Control de las zonas más externas al sistema o ubicación • Perímetro: Control del perímetro conforme a la segmentación en zonas de gestión • Áreas protegidas: Áreas en las que el acceso debe estar restringido para usuarios internos según la necesidad de acceder 27/11/2017 @pablofb 38
  • 40. Acercamiento a la Directiva NIS Directiva (UE) 2016/1148 • la Directiva es del 6 de julio de 2016 • como tarde, el 10 de mayo de 2018 tendrán que entrar en vigor las leyes de transposición en el estado español • tras la identificación de los operadores, que deberá hacerse, como tarde, el 9 de noviembre de 2018, deberá hacerse una revisión del cumplimiento cada dos años 27/11/2017 @pablofb 40
  • 41. ¿A qué obliga la Directiva NIS? • Obligados: Estados europeos • Obligación: Estrategia nacional de seguridad de las redes y TIC. • Tareas: • Identificación de operadores de servicios esenciales • Establecer medidas para impedir efectos perturbadores, según: • El número de usuarios afectados. • La dependencia de otros sectores. • La repercusión en las actividades económicas y sociales o en la seguridad pública. • La cuota de mercado. • La extensión geográfica. • La importancia de la entidad para mantener un nivel suficiente del servicio. 27/11/2017 @pablofb 41
  • 42. Deber de notificar brechas de ciberseguridad • Quién: un operador o un proveedor de servicios digitales • Qué ha debido sufrir: • una brecha de seguridad u otro tipo de incidente • que tenga efectos significativos • Qué debe hacer: notificar los detalles de forma inmediata a: • CNIPC o • CSIRT (Computer Security Incident Response Team) 27/11/2017 @pablofb 42
  • 43. 10.- Conclusiones ¿Debe integrarse un sistema de micro-segmentación en una infraestructura crítica? ¿Por qué? Consejo de cara a informes: Siempre has de referirte a artículos concretos de leyes y documentos oficiales en los que bases tu respuesta. 27/11/2017 @pablofb 43
  • 44. Gracias por la atención. ¿Comentarios? ¿Preguntas? Pablo Fernández Burgueño – @pablofb pablo@nevtrace.com www.nevtrace.com