SlideShare una empresa de Scribd logo

Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715

Mariano M. del Río
Mariano M. del Río
1 de 21
Descargar para leer sin conexión
Desafíos de la Gestión de la #Ciberseguridad en Infraestructuras Críticas 14 - 16 de Julio – México 1 Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA
214 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA
314 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Agenda ¿Qué son las infraestructuras críticas? Gestión de la #Ciberseguridad Saber qué tenemos Saber cuánto vale Saber qué nos podría pasar Tomar decisiones Mantenerlo en el tiempo Recomendaciones Finales Preguntas Referencias
414 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA ¿Qué son las infraestructuras críticas? •CNPIC •ENISA •CPNI •Homeland Security Referencias Fuente: wired “Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Definición CNPIC
514 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Gestión de la #Ciberseguridad • ENISA National Cybersecurity Strategies • ISO 27001/2 • NIST SP800-82 • CNPIC Best Practices Guides • Critical Security Controls – Council On Cybersecurity • Top 35 Mitigations Strategies – Australia DSD • SP800-100 • FIPS 199/200 Referencias Fuente: SecuringTheHuman Requerimientos Básicos Marco de Gobierno •Políticas •Roles y Responsabilidades •Alcance •Gestión de Riesgos •Procesos •Documentación •Métricas
614 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Gestión de la #Ciberseguridad Fuente: SecuringTheHuman Algunos Desafíos Marco de Gobierno •Definición de una Estrategia Nacional de Ciberseguridad. •Marco Legal y/o Regulatorio adecuado. •Compromiso de las partes necesarias. •Recursos. •Visión de Largo Plazo. •Apoyo Político. •Influencia de actores clave. •Lograr Compromiso Sociedad
•Nombre Activo •Tipo de Activo •Dirección IP •Hostname •Máscara de Red •Sistema Operativo •Servicios Activos •Configuración Detallada •Documentación Datos Técnicos 714 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué tenemos • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • CCI • FIPS 199/200 Referencias Fuente: Fondos10.net Actividades Básicas Inventario de Activos •Definición Alcance •Registros Vitales •Herramientas de Identificación •Datos Técnicos •Relaciones •Dependencias •Servicios Involucrados
814 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué tenemos Fuente: Fondos10.net InventariodeActivos Algunos Desafíos Colaboración Público – Privada Establecimiento Regulaciones Mecanismos de Comunicación Seguros Obtener Recursos Requeridos Entrenamiento Mantenerlo en el Tiempo Entender el funcionamiento
La improvisación se paga caro. 914 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber cuánto vale • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • CCI • CPNI • NERC • ENISA • FIPS 199/200 Referencias Actividades Básicas Clasificar Activos •Definición Alcance •Talleres / Entrenamiento •Metodologías Probadas •Identificación Owner •Steering Committe •Personal Clave •Nomenclatura •Sistema de Gestión •Internalizar el proceso •Matriz de Clasificación Fuente: Macove
1014 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber cuánto valeClasificarActivos Algunos Desafíos Criterios de Clasificación Recursos Requeridos Contar con el Personal Clave Colaboración Público - Privada Entrenamiento Mantenerlo en el tiempo Fuente: Macove
1114 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué nos podría pasar • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • CCI • CPNI • NERC • ENISA Referencias Fuente: Missionmode Actividades Básicas Análisis de Riesgos •Definición Alcance •Talleres / Entrenamiento •Metodologías Probadas •Identificación Owner •Steering Committe •Sistema de Gestión •Internalizar el proceso •Estandarizar Catálogos •Entrenamiento
1214 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué nos podría pasar Fuente: Missionmode Algunos Desafíos Análisis de Riesgos •Colaboración Público – Privada •Obtener Recursos Necesarios •Entrenamiento •Tomadores de Decisión •Contar con Personal Clave •Mantenerlo en el tiempo •Conocer el entorno •Agregar Valor
1314 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Tomar decisiones • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • ENISA • CCI Referencias Actividades Básicas Tratar los Riesgos •Analizar Resultados •Identificar y Analizar Riesgo Residual •Asignar Recursos •Aprobar Planes de Acción •Dar apoyo y seguimiento •Establecer Acuerdos •Identificar Dificultades •Definir Métricas Fuente: Blogspot
1414 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Tomar decisiones Algunos Desafíos Tratar los Riesgos •Lograr Compromiso Actores Involucrados •Colaboración Público – Privada •Colaboración Industria •Recursos Técnicos y Económicos •Competencias Requeridas •Profesionalismo •Conocer el entorno y la tecnología •Mantenerlo en el Tiempo •Seguimiento y Control
1514 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Mantenerlo en el tiempo • ISO 27001 • ISO 9001 • CCI • Harvard Review Referencias Mejora Continua •Analizar Métricas •Analizar Planes de Acción •Analizar Incidentes / Problemas •Repetir Análisis de Riesgos •Aprender de lo sucedido •Reuniones de Revisión Steering Committee •Evaluaciones por parte de Terceros •Certificación y/o Acreditación Actividades Básicas Convertir el Proyecto en Cultura
1614 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Mantenerlo en el tiempo Algunos Desafíos Mejora Continua •Resistencia al Cambio •Pérdida de Apoyo •Cambios en las condiciones del entorno •Compromiso de los involucrados •Errores en las definiciones •Ausencia de Visión de Largo Plazo
1714 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Recomendaciones Finales Aspectos Relevantes Resumen • Utilizar Estándares Internacionales • Conocer el entorno • Generar Acuerdos • Obtener Sponsor Adecuado • Comprometer Recursos • Planificar, Planificar, Planificar • Definir Alcance Realizable • Fases, Hitos y Etapas • Medir, Corregir, Aprender • Documentar • Trabajar por Proyectos • Visión de Largo Plazo
1814 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Preguntas
1914 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA
2014 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Referencias
2114 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Fuente: SecureTheHuman - SANS Referencias

Recomendados

NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA aquilesv
 
Fase de planificacion salome rosales
Fase de planificacion salome rosalesFase de planificacion salome rosales
Fase de planificacion salome rosalessalo28rt
 
ExposicióN Estrategias De Educacion Virtual
ExposicióN Estrategias De Educacion VirtualExposicióN Estrategias De Educacion Virtual
ExposicióN Estrategias De Educacion VirtualElisa Villamil Nieto
 
Propaganda
PropagandaPropaganda
Propagandass0104
 
Andalusia day good
Andalusia day goodAndalusia day good
Andalusia day goodTroylo23
 
Cuidatusojos
CuidatusojosCuidatusojos
Cuidatusojosgueste1b397
 
Holiday destinations. Oralndo, Florida.
Holiday destinations. Oralndo, Florida.Holiday destinations. Oralndo, Florida.
Holiday destinations. Oralndo, Florida.Angie Hernandez
 
Presentación educor
Presentación educorPresentación educor
Presentación educorCristina Cuadrado Molina
 

Recomendados

NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA aquilesv
 
Fase de planificacion salome rosales
Fase de planificacion salome rosalesFase de planificacion salome rosales
Fase de planificacion salome rosalessalo28rt
 
ExposicióN Estrategias De Educacion Virtual
ExposicióN Estrategias De Educacion VirtualExposicióN Estrategias De Educacion Virtual
ExposicióN Estrategias De Educacion VirtualElisa Villamil Nieto
 
Propaganda
PropagandaPropaganda
Propagandass0104
 
Andalusia day good
Andalusia day goodAndalusia day good
Andalusia day goodTroylo23
 
Cuidatusojos
CuidatusojosCuidatusojos
Cuidatusojosgueste1b397
 
Holiday destinations. Oralndo, Florida.
Holiday destinations. Oralndo, Florida.Holiday destinations. Oralndo, Florida.
Holiday destinations. Oralndo, Florida.Angie Hernandez
 
Presentación educor
Presentación educorPresentación educor
Presentación educorCristina Cuadrado Molina
 
Rediseno de la Organizacion con Sistemas de Informacion.ppt
Rediseno de la Organizacion con Sistemas de Informacion.pptRediseno de la Organizacion con Sistemas de Informacion.ppt
Rediseno de la Organizacion con Sistemas de Informacion.pptJeanCarlitos5
 
Analisis de sistemas de informacion
Analisis de sistemas de informacionAnalisis de sistemas de informacion
Analisis de sistemas de informacionLuis Cambal
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Entregable 6 Rendimiento de Base de Datos
Entregable 6 Rendimiento de Base de DatosEntregable 6 Rendimiento de Base de Datos
Entregable 6 Rendimiento de Base de Datosnoriarman
 
Auditoria Informática
Auditoria InformáticaAuditoria Informática
Auditoria InformáticaChristian Cruz
 
Cmrp juan carlos salgueiro
Cmrp juan carlos salgueiroCmrp juan carlos salgueiro
Cmrp juan carlos salgueiroJuan Carlos Salgueiro Garcia
 
Investigacion preliminar
Investigacion preliminarInvestigacion preliminar
Investigacion preliminarGlenda Jacqueline Gutierrez Calero
 
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Protiviti Peru
 
Cobit
CobitCobit
CobitMauricio Gtz
 
Notas_Analisis_Requerimiento.pdf
Notas_Analisis_Requerimiento.pdfNotas_Analisis_Requerimiento.pdf
Notas_Analisis_Requerimiento.pdfYoutubVer
 
Isaca cisa
Isaca cisaIsaca cisa
Isaca cisaSaryn Alvear
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informáticamerytalopez
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad IIAnnie Mrtx
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De CobitCarmen Rios Zapata
 
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
 
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
 
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...EXIN
 
Investigación prelimia
Investigación prelimiaInvestigación prelimia
Investigación prelimiaHenry Salazar
 
Congreso Internacional de Investigacion Universidad Cortazar 2018
Congreso Internacional de Investigacion Universidad Cortazar 2018Congreso Internacional de Investigacion Universidad Cortazar 2018
Congreso Internacional de Investigacion Universidad Cortazar 2018Fernando Alfonso Casas De la Torre
 
#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.Mariano M. del Río
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialMariano M. del Río
 

Más contenido relacionado

Similar a Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715

Rediseno de la Organizacion con Sistemas de Informacion.ppt
Rediseno de la Organizacion con Sistemas de Informacion.pptRediseno de la Organizacion con Sistemas de Informacion.ppt
Rediseno de la Organizacion con Sistemas de Informacion.pptJeanCarlitos5
 
Analisis de sistemas de informacion
Analisis de sistemas de informacionAnalisis de sistemas de informacion
Analisis de sistemas de informacionLuis Cambal
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Entregable 6 Rendimiento de Base de Datos
Entregable 6 Rendimiento de Base de DatosEntregable 6 Rendimiento de Base de Datos
Entregable 6 Rendimiento de Base de Datosnoriarman
 
Auditoria Informática
Auditoria InformáticaAuditoria Informática
Auditoria InformáticaChristian Cruz
 
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Protiviti Peru
 
Notas_Analisis_Requerimiento.pdf
Notas_Analisis_Requerimiento.pdfNotas_Analisis_Requerimiento.pdf
Notas_Analisis_Requerimiento.pdfYoutubVer
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informáticamerytalopez
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad IIAnnie Mrtx
 
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
 
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
 
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...EXIN
 
Investigación prelimia
Investigación prelimiaInvestigación prelimia
Investigación prelimiaHenry Salazar
 
Congreso Internacional de Investigacion Universidad Cortazar 2018
Congreso Internacional de Investigacion Universidad Cortazar 2018Congreso Internacional de Investigacion Universidad Cortazar 2018
Congreso Internacional de Investigacion Universidad Cortazar 2018Fernando Alfonso Casas De la Torre
 

Similar a Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715 (20)

Rediseno de la Organizacion con Sistemas de Informacion.ppt
Rediseno de la Organizacion con Sistemas de Informacion.pptRediseno de la Organizacion con Sistemas de Informacion.ppt
Rediseno de la Organizacion con Sistemas de Informacion.ppt
 
Analisis de sistemas de informacion
Analisis de sistemas de informacionAnalisis de sistemas de informacion
Analisis de sistemas de informacion
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBIT
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Entregable 6 Rendimiento de Base de Datos
Entregable 6 Rendimiento de Base de DatosEntregable 6 Rendimiento de Base de Datos
Entregable 6 Rendimiento de Base de Datos
 
Auditoria Informática
Auditoria InformáticaAuditoria Informática
Auditoria Informática
 
Cmrp juan carlos salgueiro
Cmrp juan carlos salgueiroCmrp juan carlos salgueiro
Cmrp juan carlos salgueiro
 
Investigacion preliminar
Investigacion preliminarInvestigacion preliminar
Investigacion preliminar
 
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
 
Cobit
CobitCobit
Cobit
 
Notas_Analisis_Requerimiento.pdf
Notas_Analisis_Requerimiento.pdfNotas_Analisis_Requerimiento.pdf
Notas_Analisis_Requerimiento.pdf
 
Isaca cisa
Isaca cisaIsaca cisa
Isaca cisa
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informática
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad II
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
 
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21Inv preliminar,estudio de factibilidad, ciclo de vida pst21
Inv preliminar,estudio de factibilidad, ciclo de vida pst21
 
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...
 
Investigación prelimia
Investigación prelimiaInvestigación prelimia
Investigación prelimia
 
Congreso Internacional de Investigacion Universidad Cortazar 2018
Congreso Internacional de Investigacion Universidad Cortazar 2018Congreso Internacional de Investigacion Universidad Cortazar 2018
Congreso Internacional de Investigacion Universidad Cortazar 2018
 

Más de Mariano M. del Río

#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.Mariano M. del Río
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialMariano M. del Río
 
Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPInvestigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPMariano M. del Río
 
Protección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosProtección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosMariano M. del Río
 
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
#UBA_#Ciberseguridad_#Cibercrimen_#PrivacidadMariano M. del Río
 
Y ahora nos preocupamos por la privacidad gracias #snowden
Y ahora nos preocupamos por la privacidad gracias #snowdenY ahora nos preocupamos por la privacidad gracias #snowden
Y ahora nos preocupamos por la privacidad gracias #snowdenMariano M. del Río
 

Más de Mariano M. del Río (6)

#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad Industrial
 
Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPInvestigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
 
Protección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosProtección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos Corporativos
 
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
 
Y ahora nos preocupamos por la privacidad gracias #snowden
Y ahora nos preocupamos por la privacidad gracias #snowdenY ahora nos preocupamos por la privacidad gracias #snowden
Y ahora nos preocupamos por la privacidad gracias #snowden
 

Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715

  • 1. Desafíos de la Gestión de la #Ciberseguridad en Infraestructuras Críticas 14 - 16 de Julio – México 1 Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA
  • 2. 214 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA
  • 3. 314 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Agenda ¿Qué son las infraestructuras críticas? Gestión de la #Ciberseguridad Saber qué tenemos Saber cuánto vale Saber qué nos podría pasar Tomar decisiones Mantenerlo en el tiempo Recomendaciones Finales Preguntas Referencias
  • 4. 414 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA ¿Qué son las infraestructuras críticas? •CNPIC •ENISA •CPNI •Homeland Security Referencias Fuente: wired “Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Definición CNPIC
  • 5. 514 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Gestión de la #Ciberseguridad • ENISA National Cybersecurity Strategies • ISO 27001/2 • NIST SP800-82 • CNPIC Best Practices Guides • Critical Security Controls – Council On Cybersecurity • Top 35 Mitigations Strategies – Australia DSD • SP800-100 • FIPS 199/200 Referencias Fuente: SecuringTheHuman Requerimientos Básicos Marco de Gobierno •Políticas •Roles y Responsabilidades •Alcance •Gestión de Riesgos •Procesos •Documentación •Métricas
  • 6. 614 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Gestión de la #Ciberseguridad Fuente: SecuringTheHuman Algunos Desafíos Marco de Gobierno •Definición de una Estrategia Nacional de Ciberseguridad. •Marco Legal y/o Regulatorio adecuado. •Compromiso de las partes necesarias. •Recursos. •Visión de Largo Plazo. •Apoyo Político. •Influencia de actores clave. •Lograr Compromiso Sociedad
  • 7. •Nombre Activo •Tipo de Activo •Dirección IP •Hostname •Máscara de Red •Sistema Operativo •Servicios Activos •Configuración Detallada •Documentación Datos Técnicos 714 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué tenemos • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • CCI • FIPS 199/200 Referencias Fuente: Fondos10.net Actividades Básicas Inventario de Activos •Definición Alcance •Registros Vitales •Herramientas de Identificación •Datos Técnicos •Relaciones •Dependencias •Servicios Involucrados
  • 8. 814 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué tenemos Fuente: Fondos10.net InventariodeActivos Algunos Desafíos Colaboración Público – Privada Establecimiento Regulaciones Mecanismos de Comunicación Seguros Obtener Recursos Requeridos Entrenamiento Mantenerlo en el Tiempo Entender el funcionamiento
  • 9. La improvisación se paga caro. 914 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber cuánto vale • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • CCI • CPNI • NERC • ENISA • FIPS 199/200 Referencias Actividades Básicas Clasificar Activos •Definición Alcance •Talleres / Entrenamiento •Metodologías Probadas •Identificación Owner •Steering Committe •Personal Clave •Nomenclatura •Sistema de Gestión •Internalizar el proceso •Matriz de Clasificación Fuente: Macove
  • 10. 1014 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber cuánto valeClasificarActivos Algunos Desafíos Criterios de Clasificación Recursos Requeridos Contar con el Personal Clave Colaboración Público - Privada Entrenamiento Mantenerlo en el tiempo Fuente: Macove
  • 11. 1114 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué nos podría pasar • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • CCI • CPNI • NERC • ENISA Referencias Fuente: Missionmode Actividades Básicas Análisis de Riesgos •Definición Alcance •Talleres / Entrenamiento •Metodologías Probadas •Identificación Owner •Steering Committe •Sistema de Gestión •Internalizar el proceso •Estandarizar Catálogos •Entrenamiento
  • 12. 1214 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Saber qué nos podría pasar Fuente: Missionmode Algunos Desafíos Análisis de Riesgos •Colaboración Público – Privada •Obtener Recursos Necesarios •Entrenamiento •Tomadores de Decisión •Contar con Personal Clave •Mantenerlo en el tiempo •Conocer el entorno •Agregar Valor
  • 13. 1314 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Tomar decisiones • ISO 27005 • NIST SP800-100 • NIST SP800-37 • CERT Octave • ENISA • CCI Referencias Actividades Básicas Tratar los Riesgos •Analizar Resultados •Identificar y Analizar Riesgo Residual •Asignar Recursos •Aprobar Planes de Acción •Dar apoyo y seguimiento •Establecer Acuerdos •Identificar Dificultades •Definir Métricas Fuente: Blogspot
  • 14. 1414 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Tomar decisiones Algunos Desafíos Tratar los Riesgos •Lograr Compromiso Actores Involucrados •Colaboración Público – Privada •Colaboración Industria •Recursos Técnicos y Económicos •Competencias Requeridas •Profesionalismo •Conocer el entorno y la tecnología •Mantenerlo en el Tiempo •Seguimiento y Control
  • 15. 1514 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Mantenerlo en el tiempo • ISO 27001 • ISO 9001 • CCI • Harvard Review Referencias Mejora Continua •Analizar Métricas •Analizar Planes de Acción •Analizar Incidentes / Problemas •Repetir Análisis de Riesgos •Aprender de lo sucedido •Reuniones de Revisión Steering Committee •Evaluaciones por parte de Terceros •Certificación y/o Acreditación Actividades Básicas Convertir el Proyecto en Cultura
  • 16. 1614 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Mantenerlo en el tiempo Algunos Desafíos Mejora Continua •Resistencia al Cambio •Pérdida de Apoyo •Cambios en las condiciones del entorno •Compromiso de los involucrados •Errores en las definiciones •Ausencia de Visión de Largo Plazo
  • 17. 1714 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Recomendaciones Finales Aspectos Relevantes Resumen • Utilizar Estándares Internacionales • Conocer el entorno • Generar Acuerdos • Obtener Sponsor Adecuado • Comprometer Recursos • Planificar, Planificar, Planificar • Definir Alcance Realizable • Fases, Hitos y Etapas • Medir, Corregir, Aprender • Documentar • Trabajar por Proyectos • Visión de Largo Plazo
  • 18. 1814 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Preguntas
  • 19. 1914 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA
  • 20. 2014 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Referencias
  • 21. 2114 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras Críticas - OEA Fuente: SecureTheHuman - SANS Referencias