Y ahora nos preocupamos por la privacidad gracias #snowden
Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
1. Desafíos de la Gestión de
la #Ciberseguridad en
Infraestructuras Críticas
14 - 16 de Julio – México 1
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
2. 214 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
3. 314 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Agenda
¿Qué son las
infraestructuras
críticas?
Gestión de la
#Ciberseguridad
Saber qué
tenemos
Saber cuánto vale
Saber qué nos
podría pasar
Tomar decisiones
Mantenerlo en el
tiempo
Recomendaciones
Finales
Preguntas Referencias
4. 414 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
¿Qué son las infraestructuras críticas?
•CNPIC
•ENISA
•CPNI
•Homeland Security
Referencias
Fuente: wired
“Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios
esenciales) cuyo funcionamiento es indispensable y no permite soluciones
alternativas, por lo que su perturbación o destrucción tendría un grave impacto
sobre los servicios esenciales”. Definición CNPIC
5. 514 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Gestión de la #Ciberseguridad
• ENISA National
Cybersecurity
Strategies
• ISO 27001/2
• NIST SP800-82
• CNPIC Best
Practices Guides
• Critical Security
Controls – Council
On Cybersecurity
• Top 35 Mitigations
Strategies –
Australia DSD
• SP800-100
• FIPS 199/200
Referencias
Fuente: SecuringTheHuman
Requerimientos Básicos
Marco
de
Gobierno
•Políticas
•Roles y Responsabilidades
•Alcance
•Gestión de Riesgos
•Procesos
•Documentación
•Métricas
6. 614 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Gestión de la #Ciberseguridad
Fuente: SecuringTheHuman
Algunos Desafíos
Marco
de
Gobierno
•Definición de una Estrategia Nacional de
Ciberseguridad.
•Marco Legal y/o Regulatorio adecuado.
•Compromiso de las partes necesarias.
•Recursos.
•Visión de Largo Plazo.
•Apoyo Político.
•Influencia de actores clave.
•Lograr Compromiso Sociedad
7. •Nombre Activo
•Tipo de Activo
•Dirección IP
•Hostname
•Máscara de Red
•Sistema Operativo
•Servicios Activos
•Configuración Detallada
•Documentación
Datos Técnicos
714 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué tenemos
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• FIPS 199/200
Referencias
Fuente: Fondos10.net
Actividades Básicas
Inventario
de
Activos
•Definición Alcance
•Registros Vitales
•Herramientas de Identificación
•Datos Técnicos
•Relaciones
•Dependencias
•Servicios Involucrados
8. 814 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué tenemos
Fuente: Fondos10.net
InventariodeActivos
Algunos Desafíos
Colaboración Público – Privada
Establecimiento Regulaciones
Mecanismos de Comunicación
Seguros
Obtener Recursos Requeridos
Entrenamiento
Mantenerlo en el Tiempo
Entender el funcionamiento
9. La improvisación se paga caro.
914 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber cuánto vale
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• CPNI
• NERC
• ENISA
• FIPS 199/200
Referencias
Actividades Básicas
Clasificar
Activos
•Definición Alcance
•Talleres / Entrenamiento
•Metodologías Probadas
•Identificación Owner
•Steering Committe
•Personal Clave
•Nomenclatura
•Sistema de Gestión
•Internalizar el proceso
•Matriz de Clasificación
Fuente: Macove
10. 1014 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber cuánto valeClasificarActivos
Algunos Desafíos
Criterios de
Clasificación
Recursos
Requeridos
Contar con el
Personal Clave
Colaboración
Público - Privada
Entrenamiento
Mantenerlo en el
tiempo
Fuente: Macove
11. 1114 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué nos podría pasar
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• CPNI
• NERC
• ENISA
Referencias
Fuente: Missionmode
Actividades Básicas
Análisis
de
Riesgos
•Definición Alcance
•Talleres / Entrenamiento
•Metodologías Probadas
•Identificación Owner
•Steering Committe
•Sistema de Gestión
•Internalizar el proceso
•Estandarizar Catálogos
•Entrenamiento
12. 1214 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué nos podría pasar
Fuente: Missionmode
Algunos Desafíos
Análisis
de
Riesgos
•Colaboración Público – Privada
•Obtener Recursos Necesarios
•Entrenamiento
•Tomadores de Decisión
•Contar con Personal Clave
•Mantenerlo en el tiempo
•Conocer el entorno
•Agregar Valor
13. 1314 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Tomar decisiones
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• ENISA
• CCI
Referencias
Actividades Básicas
Tratar los
Riesgos
•Analizar Resultados
•Identificar y Analizar Riesgo Residual
•Asignar Recursos
•Aprobar Planes de Acción
•Dar apoyo y seguimiento
•Establecer Acuerdos
•Identificar Dificultades
•Definir Métricas
Fuente: Blogspot
14. 1414 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Tomar decisiones
Algunos Desafíos
Tratar los
Riesgos
•Lograr Compromiso Actores Involucrados
•Colaboración Público – Privada
•Colaboración Industria
•Recursos Técnicos y Económicos
•Competencias Requeridas
•Profesionalismo
•Conocer el entorno y la tecnología
•Mantenerlo en el Tiempo
•Seguimiento y Control
15. 1514 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Mantenerlo en el tiempo
• ISO 27001
• ISO 9001
• CCI
• Harvard Review
Referencias
Mejora
Continua
•Analizar Métricas
•Analizar Planes de Acción
•Analizar Incidentes / Problemas
•Repetir Análisis de Riesgos
•Aprender de lo sucedido
•Reuniones de Revisión Steering Committee
•Evaluaciones por parte de Terceros
•Certificación y/o Acreditación
Actividades Básicas
Convertir el Proyecto en Cultura
16. 1614 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Mantenerlo en el tiempo
Algunos Desafíos
Mejora
Continua
•Resistencia al Cambio
•Pérdida de Apoyo
•Cambios en las condiciones del entorno
•Compromiso de los involucrados
•Errores en las definiciones
•Ausencia de Visión de Largo Plazo
17. 1714 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Recomendaciones Finales
Aspectos Relevantes
Resumen
• Utilizar Estándares Internacionales
• Conocer el entorno
• Generar Acuerdos
• Obtener Sponsor Adecuado
• Comprometer Recursos
• Planificar, Planificar, Planificar
• Definir Alcance Realizable
• Fases, Hitos y Etapas
• Medir, Corregir, Aprender
• Documentar
• Trabajar por Proyectos
• Visión de Largo Plazo
18. 1814 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Preguntas
19. 1914 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
20. 2014 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Referencias
21. 2114 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Fuente: SecureTheHuman - SANS
Referencias