Análisis y recomendaciones sobre las prácticas de seguridad para infraestructuras críticas, indicadas en el Manual Administrativo de Aplicación General en las Materias de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información (MAAGTICSI).
1. 1
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
CIBERSEGURIDAD EN
INFRAESTRUCTURAS CRITICAS,
SECTOR PUBLICO
SEPTIEMBRE 2015
2. ACERCA DEL AUTOR:
José Luis Aparicio C.
Riesgos TI en Negocio e Industria
Consultor
Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC.
Especialidades: TI, Riesgos, Seguridad, Control Interno,
Auditoria, Centros de Datos.
Experiencia: +20 años, principalmente en Compañías
globales de sectores Automotríz, Financiero, Manufactura y
Turismo. Sector Público.
2
3. AGENDA
1. INFRAESTRUCTURAS CRITICAS.
2. TECNOLOGIA QUE LAS SOPORTA.
3. INCIDENTES.
4. AMENAZAS.
5. VULNERABILIDADES.
6. MEXICO.
7. RECOMENDACIONES.
8. PREGUNTAS Y RESPUESTAS.
3
4. 4
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
1. INFRAESTRUCTURAS
CRITICAS.
6. 6
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
2. TECNOLOGIA QUE LAS
SOPORTA.
7. 7
• Sistemas de Control Industrial (SCI): Hardware y
software para controlar y administrar procesos
industriales e infraestructura crítica
• Primeros SCI: Mecánicos, eléctricos,
comunicación local, protocolos propietarios,
aislados.
Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg
2. TECNOLOGIA QUE LAS SOPORTA.
8. 8
2. TECNOLOGIA QUE LAS SOPORTA.
Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es
14. 14
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics.
3. INCIDENTES.
15. 15
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
3. INCIDENTES.
16. 16
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute.
3. INCIDENTES.
17. 17
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
4. AMENAZAS.
19. 19
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
4. AMENAZAS.
20. 20
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
Fuente: http://www.hackmageddon.com
4. AMENAZAS.
Febrero 2015
Amenaza: The Equation Group
Objetivo: 30 países, sectores: Energía,
Aeroespacial, Comunicaciones, Gas y
Petroleo, Nuclear, Gobierno.
Marzo 2015
Amenaza: Malware, Trojan.Loziak
Objetivo: Información crítica del sector
gas y petróleo; países afectados: Medio
Oriente, Inglaterra, E.U., Uganda.
22. 22
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
5. VULNERABILIDADES.
23. 23
• Desconocimiento
• Enfoque limitado
• Falta de integración
• Frágil estrategia de seguridad
• Arquitectura abierta y compleja
• Hardware y software viejo
• Métodos y procedimientos “obesos”
• Etc.
5. VULNERABILIDADES.
33. 33
6. MEXICO
Sitio web de MAAGTICSI, revisión de actividades:
ASI 4. Revisión del Catálogo de infraestructuras
críticas, FORMATO ASI F2.
ASI 5. Revisión del Documento de resultados del
análisis de riesgos, FORMATO ASI F3.
Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg
35. 35
Imagen: http://www.nasmhpd.org/images/legalDivision.jpg
6. MEXICO
MAAGTICSI, ASI 4 Y ASI 5
DEBILIDADES:
Manual, tiempo para completar, redundante
(p.e. Formato ASI F3, secciones 5 y 7), confuso
orden de ejecución, exceso en firmas
requeridas.
AMENAZAS:
Por cumplir y no por solucionar, los análisis de
riesgo podrían NO completarse en tiempo y
forma
36. 36
Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg
7. RECOMENDACIONES.
38. 38
7. RECOMENDACIONES.
Enfoque 360º
Equipo multi-diciplinario
Capacitar
Documentación actualizada
Seguridad física, ambiental, lógica
Identificar/cerrar vulnerabilidades con
CUIDADO !!!
Administración de proveedores
Seguridad en desarrollo de proyectos
Ejecutar y mantener MAAGTICSI
Imagen: http://www.scisusa.com/img/sec04.jpg
39. Fases Comunes de un Proyecto
Inicio Planeación Ejecución Cierre
SEGURIDAD EN EL DESARROLLO DE PROYECTOS
• Evaluación de Riesgos enfocada al proyecto, no a la seguridad
INCLUIR SEGURIDAD:
1. Equipo multi-
diciplinario
2. Evaluar Riesgos de
Seguridad
1. Requerimientos
2. Actividades,
responsables, y
recursos para
implementarla
1. Pruebas y
corrección de
errores
2. Aceptación e
implementación
1. Documentación,
mantenimiento,
mejora
(procedimientos,
responsabilidades)
• Resultado: producto con seguridad básica o sin ella
39
7. RECOMENDACIONES.
40. 40
7. RECOMENDACIONES.
RED Y COMUNICACIONES
Segmentación por zonas
(ISA-195): Externa,
Corporativa, Datos, Control,
etc.
Cifrado de la comunicación:
VPN, WPA2
Separación lógica: VLAN
Control de tráfico: Firewall, proxy, puerto,
protocolo
Acceso: Basado en dirección MAC o elementos
conocidos
Autenticación: EAP-TLS, RADIUS y certificados