SlideShare una empresa de Scribd logo

Ciberseguridad en Infraestructuras Críticas

Descargar como PPSX, PDF
J.L. APARICIO C.
J.L. APARICIO C.

Análisis y recomendaciones sobre las prácticas de seguridad para infraestructuras críticas, indicadas en el Manual Administrativo de Aplicación General en las Materias de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información (MAAGTICSI).

Tecnología
1 de 43
1 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS, SECTOR PUBLICO SEPTIEMBRE 2015
ACERCA DEL AUTOR: José Luis Aparicio C. Riesgos TI en Negocio e Industria Consultor Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC. Especialidades: TI, Riesgos, Seguridad, Control Interno, Auditoria, Centros de Datos. Experiencia: +20 años, principalmente en Compañías globales de sectores Automotríz, Financiero, Manufactura y Turismo. Sector Público. 2
AGENDA 1. INFRAESTRUCTURAS CRITICAS. 2. TECNOLOGIA QUE LAS SOPORTA. 3. INCIDENTES. 4. AMENAZAS. 5. VULNERABILIDADES. 6. MEXICO. 7. RECOMENDACIONES. 8. PREGUNTAS Y RESPUESTAS. 3
4 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 1. INFRAESTRUCTURAS CRITICAS.
1. INFRAESTRUCTURAS CRITICAS.
6 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
7 • Sistemas de Control Industrial (SCI): Hardware y software para controlar y administrar procesos industriales e infraestructura crítica • Primeros SCI: Mecánicos, eléctricos, comunicación local, protocolos propietarios, aislados. Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
8 2. TECNOLOGIA QUE LAS SOPORTA. Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es
9 Fuente: www.indusoft.com/blog/?p=664 2. TECNOLOGIA QUE LAS SOPORTA.
10 Imagen: https://bensontao.files.wordpress.com/2013/10/vivante-iot-ecosystem.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
11 2. TECNOLOGIA QUE LAS SOPORTA.
12 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
Fuente: http://web.tofinosecurity.com/download-the-white-paper-using-ansi-/-isa-99-standards-to-improve-control-system-security/ 13 3. INCIDENTES.
14 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics. 3. INCIDENTES.
15 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
16 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute. 3. INCIDENTES.
17 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
18 • Errores humanos • Fallas en instalaciones y dispositivos • Naturales • Malware • Ex-empleados • Proveedores • Competidores • Criminales • Gobiernos • Hacktivistas • Etc. 4. AMENAZAS.
19 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
20 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: http://www.hackmageddon.com 4. AMENAZAS. Febrero 2015 Amenaza: The Equation Group Objetivo: 30 países, sectores: Energía, Aeroespacial, Comunicaciones, Gas y Petroleo, Nuclear, Gobierno. Marzo 2015 Amenaza: Malware, Trojan.Loziak Objetivo: Información crítica del sector gas y petróleo; países afectados: Medio Oriente, Inglaterra, E.U., Uganda.
21 Imagen: http://www.networkworld.com/article/2366962/microsoft-subnet/spellbound-by-maps-tracking-hack-attacks-and-cyber-threats-in-real-time.html 4. AMENAZAS. DEMO: Ataques en tiempo-real.
22 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
23 • Desconocimiento • Enfoque limitado • Falta de integración • Frágil estrategia de seguridad • Arquitectura abierta y compleja • Hardware y software viejo • Métodos y procedimientos “obesos” • Etc. 5. VULNERABILIDADES.
24 5. VULNERABILIDADES.
25 5. VULNERABILIDADES.
26 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
27 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
28
29 5. VULNERABILIDADES. TARGETPREPARE WEAPON IZE ATTACK HIDE AND RESULTS DEMO Método Lean, Ataque con Herramientas Libres
30 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 6. MEXICO.
31 6. MEXICO VIDEO
32 6. MEXICO
33 6. MEXICO Sitio web de MAAGTICSI, revisión de actividades: ASI 4. Revisión del Catálogo de infraestructuras críticas, FORMATO ASI F2. ASI 5. Revisión del Documento de resultados del análisis de riesgos, FORMATO ASI F3. Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg
34 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5 FORTALEZAS:  Roles, responsabilidades, estructura, procedimiento, valoración de Infra/Activos, control donde es necesario, estimación cuantitativa de riesgos OPORTUNIDADES:  Automatizar, sintetizar, graficar
35 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5  DEBILIDADES: Manual, tiempo para completar, redundante (p.e. Formato ASI F3, secciones 5 y 7), confuso orden de ejecución, exceso en firmas requeridas.  AMENAZAS: Por cumplir y no por solucionar, los análisis de riesgo podrían NO completarse en tiempo y forma
36 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 7. RECOMENDACIONES.
37 7. RECOMENDACIONES.
38 7. RECOMENDACIONES.  Enfoque 360º  Equipo multi-diciplinario  Capacitar  Documentación actualizada  Seguridad física, ambiental, lógica  Identificar/cerrar vulnerabilidades con CUIDADO !!!  Administración de proveedores  Seguridad en desarrollo de proyectos  Ejecutar y mantener MAAGTICSI Imagen: http://www.scisusa.com/img/sec04.jpg
Fases Comunes de un Proyecto Inicio Planeación Ejecución Cierre SEGURIDAD EN EL DESARROLLO DE PROYECTOS • Evaluación de Riesgos enfocada al proyecto, no a la seguridad INCLUIR SEGURIDAD: 1. Equipo multi- diciplinario 2. Evaluar Riesgos de Seguridad 1. Requerimientos 2. Actividades, responsables, y recursos para implementarla 1. Pruebas y corrección de errores 2. Aceptación e implementación 1. Documentación, mantenimiento, mejora (procedimientos, responsabilidades) • Resultado: producto con seguridad básica o sin ella 39 7. RECOMENDACIONES.
40 7. RECOMENDACIONES. RED Y COMUNICACIONES  Segmentación por zonas (ISA-195): Externa, Corporativa, Datos, Control, etc.  Cifrado de la comunicación: VPN, WPA2  Separación lógica: VLAN  Control de tráfico: Firewall, proxy, puerto, protocolo  Acceso: Basado en dirección MAC o elementos conocidos  Autenticación: EAP-TLS, RADIUS y certificados
41 7. RECOMENDACIONES. ARQUITECTURA DE RED Imagen: Homeland Security US, «Improving Industrial Control with Defense in Depth Strategies,» 2009.
42 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 8. PREGUNTAS Y RESPUESTAS.
43 8. PREGUNTAS Y RESPUESTAS. MUCHAS GRACIAS !!! Contacto: jl_Aparicio@aol.com

Recomendados

Ejercicio grupal02imp
Ejercicio grupal02impEjercicio grupal02imp
Ejercicio grupal02impMiguel Angel Sandoval Calderon
 
Riesgos
RiesgosRiesgos
RiesgosAlexander Velasque Rimac
 
Calzado clayedg
Calzado clayedgCalzado clayedg
Calzado clayedgAndrés Casadiego
 
4to avance practica final
4to avance practica final4to avance practica final
4to avance practica finalsoysupadre
 
Administracion
AdministracionAdministracion
Administracionnormabarreto5
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22Yesslyn Sarmiento
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfoRoberto Moreno Doñoro
 

Recomendados

Ejercicio grupal02imp
Ejercicio grupal02impEjercicio grupal02imp
Ejercicio grupal02impMiguel Angel Sandoval Calderon
 
Riesgos
RiesgosRiesgos
RiesgosAlexander Velasque Rimac
 
Calzado clayedg
Calzado clayedgCalzado clayedg
Calzado clayedgAndrés Casadiego
 
4to avance practica final
4to avance practica final4to avance practica final
4to avance practica finalsoysupadre
 
Administracion
AdministracionAdministracion
Administracionnormabarreto5
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22Yesslyn Sarmiento
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfoRoberto Moreno Doñoro
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadFernando Tricas García
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacionG Hoyos A
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasQuantiKa14
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCSUC - Consorci de Serveis Universitaris de Catalunya
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)Uzziel Baltazar Moreno
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcialAlexander Velasque Rimac
 
Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4claudiocj7
 
Sistema integral de informacion
Sistema integral de informacionSistema integral de informacion
Sistema integral de informacionTlaca3lt
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Tlaca3lt
 
Ciberguía-para-pymes.pdf
Ciberguía-para-pymes.pdfCiberguía-para-pymes.pdf
Ciberguía-para-pymes.pdfMARCOANTONIOPERELLIH
 
Analisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgoAnalisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgodaniieMS
 
Dsei acd argm
Dsei acd argmDsei acd argm
Dsei acd argmAraceli González Medina
 
Plan de seguridad para una empresa
Plan de seguridad para una empresaPlan de seguridad para una empresa
Plan de seguridad para una empresaVictor Hugo Imbaquingo Dueñaas
 
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...MargaritaLondoo7
 
Plan de negocio
Plan de negocio Plan de negocio
Plan de negocio ITFIP
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Más contenido relacionado

Similar a Ciberseguridad en Infraestructuras Críticas

Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadFernando Tricas García
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacionG Hoyos A
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasQuantiKa14
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4claudiocj7
 
Sistema integral de informacion
Sistema integral de informacionSistema integral de informacion
Sistema integral de informacionTlaca3lt
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Tlaca3lt
 
Analisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgoAnalisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgodaniieMS
 
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...MargaritaLondoo7
 
Plan de negocio
Plan de negocio Plan de negocio
Plan de negocio ITFIP
 

Similar a Ciberseguridad en Infraestructuras Críticas (20)

Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridad
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacion
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresas
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfense
 
R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4
 
Sistema integral de informacion
Sistema integral de informacionSistema integral de informacion
Sistema integral de informacion
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712
 
Ciberguía-para-pymes.pdf
Ciberguía-para-pymes.pdfCiberguía-para-pymes.pdf
Ciberguía-para-pymes.pdf
 
Analisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgoAnalisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgo
 
Dsei acd argm
Dsei acd argmDsei acd argm
Dsei acd argm
 
Plan de seguridad para una empresa
Plan de seguridad para una empresaPlan de seguridad para una empresa
Plan de seguridad para una empresa
 
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
 
Plan de negocio
Plan de negocio Plan de negocio
Plan de negocio
 

Último

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Último (16)

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

Ciberseguridad en Infraestructuras Críticas

  • 1. 1 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS, SECTOR PUBLICO SEPTIEMBRE 2015
  • 2. ACERCA DEL AUTOR: José Luis Aparicio C. Riesgos TI en Negocio e Industria Consultor Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC. Especialidades: TI, Riesgos, Seguridad, Control Interno, Auditoria, Centros de Datos. Experiencia: +20 años, principalmente en Compañías globales de sectores Automotríz, Financiero, Manufactura y Turismo. Sector Público. 2
  • 3. AGENDA 1. INFRAESTRUCTURAS CRITICAS. 2. TECNOLOGIA QUE LAS SOPORTA. 3. INCIDENTES. 4. AMENAZAS. 5. VULNERABILIDADES. 6. MEXICO. 7. RECOMENDACIONES. 8. PREGUNTAS Y RESPUESTAS. 3
  • 4. 4 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 1. INFRAESTRUCTURAS CRITICAS.
  • 6. 6 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
  • 7. 7 • Sistemas de Control Industrial (SCI): Hardware y software para controlar y administrar procesos industriales e infraestructura crítica • Primeros SCI: Mecánicos, eléctricos, comunicación local, protocolos propietarios, aislados. Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
  • 8. 8 2. TECNOLOGIA QUE LAS SOPORTA. Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es
  • 11. 11 2. TECNOLOGIA QUE LAS SOPORTA.
  • 12. 12 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
  • 14. 14 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics. 3. INCIDENTES.
  • 15. 15 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
  • 16. 16 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute. 3. INCIDENTES.
  • 17. 17 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
  • 18. 18 • Errores humanos • Fallas en instalaciones y dispositivos • Naturales • Malware • Ex-empleados • Proveedores • Competidores • Criminales • Gobiernos • Hacktivistas • Etc. 4. AMENAZAS.
  • 19. 19 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
  • 20. 20 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: http://www.hackmageddon.com 4. AMENAZAS. Febrero 2015 Amenaza: The Equation Group Objetivo: 30 países, sectores: Energía, Aeroespacial, Comunicaciones, Gas y Petroleo, Nuclear, Gobierno. Marzo 2015 Amenaza: Malware, Trojan.Loziak Objetivo: Información crítica del sector gas y petróleo; países afectados: Medio Oriente, Inglaterra, E.U., Uganda.
  • 22. 22 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
  • 23. 23 • Desconocimiento • Enfoque limitado • Falta de integración • Frágil estrategia de seguridad • Arquitectura abierta y compleja • Hardware y software viejo • Métodos y procedimientos “obesos” • Etc. 5. VULNERABILIDADES.
  • 26. 26 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
  • 27. 27 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
  • 28. 28
  • 30. 30 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 6. MEXICO.
  • 33. 33 6. MEXICO Sitio web de MAAGTICSI, revisión de actividades: ASI 4. Revisión del Catálogo de infraestructuras críticas, FORMATO ASI F2. ASI 5. Revisión del Documento de resultados del análisis de riesgos, FORMATO ASI F3. Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg
  • 34. 34 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5 FORTALEZAS:  Roles, responsabilidades, estructura, procedimiento, valoración de Infra/Activos, control donde es necesario, estimación cuantitativa de riesgos OPORTUNIDADES:  Automatizar, sintetizar, graficar
  • 35. 35 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5  DEBILIDADES: Manual, tiempo para completar, redundante (p.e. Formato ASI F3, secciones 5 y 7), confuso orden de ejecución, exceso en firmas requeridas.  AMENAZAS: Por cumplir y no por solucionar, los análisis de riesgo podrían NO completarse en tiempo y forma
  • 36. 36 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 7. RECOMENDACIONES.
  • 38. 38 7. RECOMENDACIONES.  Enfoque 360º  Equipo multi-diciplinario  Capacitar  Documentación actualizada  Seguridad física, ambiental, lógica  Identificar/cerrar vulnerabilidades con CUIDADO !!!  Administración de proveedores  Seguridad en desarrollo de proyectos  Ejecutar y mantener MAAGTICSI Imagen: http://www.scisusa.com/img/sec04.jpg
  • 39. Fases Comunes de un Proyecto Inicio Planeación Ejecución Cierre SEGURIDAD EN EL DESARROLLO DE PROYECTOS • Evaluación de Riesgos enfocada al proyecto, no a la seguridad INCLUIR SEGURIDAD: 1. Equipo multi- diciplinario 2. Evaluar Riesgos de Seguridad 1. Requerimientos 2. Actividades, responsables, y recursos para implementarla 1. Pruebas y corrección de errores 2. Aceptación e implementación 1. Documentación, mantenimiento, mejora (procedimientos, responsabilidades) • Resultado: producto con seguridad básica o sin ella 39 7. RECOMENDACIONES.
  • 40. 40 7. RECOMENDACIONES. RED Y COMUNICACIONES  Segmentación por zonas (ISA-195): Externa, Corporativa, Datos, Control, etc.  Cifrado de la comunicación: VPN, WPA2  Separación lógica: VLAN  Control de tráfico: Firewall, proxy, puerto, protocolo  Acceso: Basado en dirección MAC o elementos conocidos  Autenticación: EAP-TLS, RADIUS y certificados
  • 41. 41 7. RECOMENDACIONES. ARQUITECTURA DE RED Imagen: Homeland Security US, «Improving Industrial Control with Defense in Depth Strategies,» 2009.
  • 42. 42 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 8. PREGUNTAS Y RESPUESTAS.
  • 43. 43 8. PREGUNTAS Y RESPUESTAS. MUCHAS GRACIAS !!! Contacto: jl_Aparicio@aol.com