SlideShare una empresa de Scribd logo

Ciberseguridad en Infraestructuras Críticas

Descargar como PPSX, PDF
J.L. APARICIO C.
J.L. APARICIO C.

Análisis y recomendaciones sobre las prácticas de seguridad para infraestructuras críticas, indicadas en el Manual Administrativo de Aplicación General en las Materias de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información (MAAGTICSI).

Tecnología
1 de 43
1 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS, SECTOR PUBLICO SEPTIEMBRE 2015
ACERCA DEL AUTOR: José Luis Aparicio C. Riesgos TI en Negocio e Industria Consultor Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC. Especialidades: TI, Riesgos, Seguridad, Control Interno, Auditoria, Centros de Datos. Experiencia: +20 años, principalmente en Compañías globales de sectores Automotríz, Financiero, Manufactura y Turismo. Sector Público. 2
AGENDA 1. INFRAESTRUCTURAS CRITICAS. 2. TECNOLOGIA QUE LAS SOPORTA. 3. INCIDENTES. 4. AMENAZAS. 5. VULNERABILIDADES. 6. MEXICO. 7. RECOMENDACIONES. 8. PREGUNTAS Y RESPUESTAS. 3
4 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 1. INFRAESTRUCTURAS CRITICAS.
1. INFRAESTRUCTURAS CRITICAS.
6 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
7 • Sistemas de Control Industrial (SCI): Hardware y software para controlar y administrar procesos industriales e infraestructura crítica • Primeros SCI: Mecánicos, eléctricos, comunicación local, protocolos propietarios, aislados. Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
8 2. TECNOLOGIA QUE LAS SOPORTA. Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es
9 Fuente: www.indusoft.com/blog/?p=664 2. TECNOLOGIA QUE LAS SOPORTA.
10 Imagen: https://bensontao.files.wordpress.com/2013/10/vivante-iot-ecosystem.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
11 2. TECNOLOGIA QUE LAS SOPORTA.
12 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
Fuente: http://web.tofinosecurity.com/download-the-white-paper-using-ansi-/-isa-99-standards-to-improve-control-system-security/ 13 3. INCIDENTES.
14 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics. 3. INCIDENTES.
15 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
16 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute. 3. INCIDENTES.
17 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
18 • Errores humanos • Fallas en instalaciones y dispositivos • Naturales • Malware • Ex-empleados • Proveedores • Competidores • Criminales • Gobiernos • Hacktivistas • Etc. 4. AMENAZAS.
19 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
20 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: http://www.hackmageddon.com 4. AMENAZAS. Febrero 2015 Amenaza: The Equation Group Objetivo: 30 países, sectores: Energía, Aeroespacial, Comunicaciones, Gas y Petroleo, Nuclear, Gobierno. Marzo 2015 Amenaza: Malware, Trojan.Loziak Objetivo: Información crítica del sector gas y petróleo; países afectados: Medio Oriente, Inglaterra, E.U., Uganda.
21 Imagen: http://www.networkworld.com/article/2366962/microsoft-subnet/spellbound-by-maps-tracking-hack-attacks-and-cyber-threats-in-real-time.html 4. AMENAZAS. DEMO: Ataques en tiempo-real.
22 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
23 • Desconocimiento • Enfoque limitado • Falta de integración • Frágil estrategia de seguridad • Arquitectura abierta y compleja • Hardware y software viejo • Métodos y procedimientos “obesos” • Etc. 5. VULNERABILIDADES.
24 5. VULNERABILIDADES.
25 5. VULNERABILIDADES.
26 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
27 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
28
29 5. VULNERABILIDADES. TARGETPREPARE WEAPON IZE ATTACK HIDE AND RESULTS DEMO Método Lean, Ataque con Herramientas Libres
30 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 6. MEXICO.
31 6. MEXICO VIDEO
32 6. MEXICO
33 6. MEXICO Sitio web de MAAGTICSI, revisión de actividades: ASI 4. Revisión del Catálogo de infraestructuras críticas, FORMATO ASI F2. ASI 5. Revisión del Documento de resultados del análisis de riesgos, FORMATO ASI F3. Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg
34 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5 FORTALEZAS:  Roles, responsabilidades, estructura, procedimiento, valoración de Infra/Activos, control donde es necesario, estimación cuantitativa de riesgos OPORTUNIDADES:  Automatizar, sintetizar, graficar
35 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5  DEBILIDADES: Manual, tiempo para completar, redundante (p.e. Formato ASI F3, secciones 5 y 7), confuso orden de ejecución, exceso en firmas requeridas.  AMENAZAS: Por cumplir y no por solucionar, los análisis de riesgo podrían NO completarse en tiempo y forma
36 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 7. RECOMENDACIONES.
37 7. RECOMENDACIONES.
38 7. RECOMENDACIONES.  Enfoque 360º  Equipo multi-diciplinario  Capacitar  Documentación actualizada  Seguridad física, ambiental, lógica  Identificar/cerrar vulnerabilidades con CUIDADO !!!  Administración de proveedores  Seguridad en desarrollo de proyectos  Ejecutar y mantener MAAGTICSI Imagen: http://www.scisusa.com/img/sec04.jpg
Fases Comunes de un Proyecto Inicio Planeación Ejecución Cierre SEGURIDAD EN EL DESARROLLO DE PROYECTOS • Evaluación de Riesgos enfocada al proyecto, no a la seguridad INCLUIR SEGURIDAD: 1. Equipo multi- diciplinario 2. Evaluar Riesgos de Seguridad 1. Requerimientos 2. Actividades, responsables, y recursos para implementarla 1. Pruebas y corrección de errores 2. Aceptación e implementación 1. Documentación, mantenimiento, mejora (procedimientos, responsabilidades) • Resultado: producto con seguridad básica o sin ella 39 7. RECOMENDACIONES.
40 7. RECOMENDACIONES. RED Y COMUNICACIONES  Segmentación por zonas (ISA-195): Externa, Corporativa, Datos, Control, etc.  Cifrado de la comunicación: VPN, WPA2  Separación lógica: VLAN  Control de tráfico: Firewall, proxy, puerto, protocolo  Acceso: Basado en dirección MAC o elementos conocidos  Autenticación: EAP-TLS, RADIUS y certificados
41 7. RECOMENDACIONES. ARQUITECTURA DE RED Imagen: Homeland Security US, «Improving Industrial Control with Defense in Depth Strategies,» 2009.
42 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 8. PREGUNTAS Y RESPUESTAS.
43 8. PREGUNTAS Y RESPUESTAS. MUCHAS GRACIAS !!! Contacto: jl_Aparicio@aol.com

Recomendados

Ejercicio grupal02imp
Ejercicio grupal02impEjercicio grupal02imp
Ejercicio grupal02impMiguel Angel Sandoval Calderon
 
Riesgos
RiesgosRiesgos
RiesgosAlexander Velasque Rimac
 
Calzado clayedg
Calzado clayedgCalzado clayedg
Calzado clayedgAndrés Casadiego
 
4to avance practica final
4to avance practica final4to avance practica final
4to avance practica finalsoysupadre
 
Administracion
AdministracionAdministracion
Administracionnormabarreto5
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22Yesslyn Sarmiento
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfoRoberto Moreno Doñoro
 

Recomendados

Ejercicio grupal02imp
Ejercicio grupal02impEjercicio grupal02imp
Ejercicio grupal02impMiguel Angel Sandoval Calderon
 
Riesgos
RiesgosRiesgos
RiesgosAlexander Velasque Rimac
 
Calzado clayedg
Calzado clayedgCalzado clayedg
Calzado clayedgAndrés Casadiego
 
4to avance practica final
4to avance practica final4to avance practica final
4to avance practica finalsoysupadre
 
Administracion
AdministracionAdministracion
Administracionnormabarreto5
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22Yesslyn Sarmiento
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfoRoberto Moreno Doñoro
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadFernando Tricas García
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacionG Hoyos A
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasQuantiKa14
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCSUC - Consorci de Serveis Universitaris de Catalunya
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)Uzziel Baltazar Moreno
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcialAlexander Velasque Rimac
 
Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4claudiocj7
 
Sistema integral de informacion
Sistema integral de informacionSistema integral de informacion
Sistema integral de informacionTlaca3lt
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Tlaca3lt
 
Ciberguía-para-pymes.pdf
Ciberguía-para-pymes.pdfCiberguía-para-pymes.pdf
Ciberguía-para-pymes.pdfMARCOANTONIOPERELLIH
 
Analisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgoAnalisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgodaniieMS
 
Dsei acd argm
Dsei acd argmDsei acd argm
Dsei acd argmAraceli González Medina
 
Plan de seguridad para una empresa
Plan de seguridad para una empresaPlan de seguridad para una empresa
Plan de seguridad para una empresaVictor Hugo Imbaquingo Dueñaas
 
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...MargaritaLondoo7
 
Plan de negocio
Plan de negocio Plan de negocio
Plan de negocio ITFIP
 
Estudio de la geometría analitica. Pptx.
Estudio de la geometría analitica. Pptx.Estudio de la geometría analitica. Pptx.
Estudio de la geometría analitica. Pptx.sofiasonder
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfjjfch3110
 

Más contenido relacionado

Similar a Ciberseguridad en Infraestructuras Críticas

Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadFernando Tricas García
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacionG Hoyos A
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasQuantiKa14
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4claudiocj7
 
Sistema integral de informacion
Sistema integral de informacionSistema integral de informacion
Sistema integral de informacionTlaca3lt
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Tlaca3lt
 
Analisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgoAnalisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgodaniieMS
 
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...MargaritaLondoo7
 
Plan de negocio
Plan de negocio Plan de negocio
Plan de negocio ITFIP
 

Similar a Ciberseguridad en Infraestructuras Críticas (20)

Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridad
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacion
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresas
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfense
 
R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4Ucasal u01 ppt 97 2003 - parte 4
Ucasal u01 ppt 97 2003 - parte 4
 
Sistema integral de informacion
Sistema integral de informacionSistema integral de informacion
Sistema integral de informacion
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712
 
Ciberguía-para-pymes.pdf
Ciberguía-para-pymes.pdfCiberguía-para-pymes.pdf
Ciberguía-para-pymes.pdf
 
Analisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgoAnalisis y-gestion-de-riesgo
Analisis y-gestion-de-riesgo
 
Dsei acd argm
Dsei acd argmDsei acd argm
Dsei acd argm
 
Plan de seguridad para una empresa
Plan de seguridad para una empresaPlan de seguridad para una empresa
Plan de seguridad para una empresa
 
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
Descargable (1)UNIVERSIDAD ECCI ESPECIALIZACIÓN EN GERENCIA EN SEGURIDAD Y S...
 
Plan de negocio
Plan de negocio Plan de negocio
Plan de negocio
 

Último

Estudio de la geometría analitica. Pptx.
Estudio de la geometría analitica. Pptx.Estudio de la geometría analitica. Pptx.
Estudio de la geometría analitica. Pptx.sofiasonder
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfjjfch3110
 
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...Kevin Serna
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestrerafaelsalazar0615
 
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdfHIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdfIsabelHuairaGarma
 
Herramientas informáticas. Sara Torres R.
Herramientas informáticas. Sara Torres R.Herramientas informáticas. Sara Torres R.
Herramientas informáticas. Sara Torres R.saravalentinat22
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiegoCampos433849
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialEducática
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusraquelariza02
 
¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf7adelosriosarangojua
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometriasofiasonder
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesssuserbe0d1c
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareAndres Avila
 
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docxwerito139410
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxLeidyfuentes19
 
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdfPons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdffrank0071
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfcj3806354
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
 
Gestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerGestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerRobertoCarrancioFern
 

Último (20)

Estudio de la geometría analitica. Pptx.
Estudio de la geometría analitica. Pptx.Estudio de la geometría analitica. Pptx.
Estudio de la geometría analitica. Pptx.
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdfHIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
 
Herramientas informáticas. Sara Torres R.
Herramientas informáticas. Sara Torres R.Herramientas informáticas. Sara Torres R.
Herramientas informáticas. Sara Torres R.
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicial
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometria
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptuales
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de Software
 
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdfPons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Gestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerGestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL Server
 

Ciberseguridad en Infraestructuras Críticas

  • 1. 1 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg CIBERSEGURIDAD EN INFRAESTRUCTURAS CRITICAS, SECTOR PUBLICO SEPTIEMBRE 2015
  • 2. ACERCA DEL AUTOR: José Luis Aparicio C. Riesgos TI en Negocio e Industria Consultor Certificaciones: CISA, CISM, CGEIT, E|NSA, CRISC. Especialidades: TI, Riesgos, Seguridad, Control Interno, Auditoria, Centros de Datos. Experiencia: +20 años, principalmente en Compañías globales de sectores Automotríz, Financiero, Manufactura y Turismo. Sector Público. 2
  • 3. AGENDA 1. INFRAESTRUCTURAS CRITICAS. 2. TECNOLOGIA QUE LAS SOPORTA. 3. INCIDENTES. 4. AMENAZAS. 5. VULNERABILIDADES. 6. MEXICO. 7. RECOMENDACIONES. 8. PREGUNTAS Y RESPUESTAS. 3
  • 4. 4 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 1. INFRAESTRUCTURAS CRITICAS.
  • 6. 6 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
  • 7. 7 • Sistemas de Control Industrial (SCI): Hardware y software para controlar y administrar procesos industriales e infraestructura crítica • Primeros SCI: Mecánicos, eléctricos, comunicación local, protocolos propietarios, aislados. Imagen http://tangolio.com/wp-content/uploads/2015/01/old-vintage-electronic-control-panel-dreamstime_m_26394905.jpg 2. TECNOLOGIA QUE LAS SOPORTA.
  • 8. 8 2. TECNOLOGIA QUE LAS SOPORTA. Fuente: “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)”, INTECO, www.inteco.es
  • 11. 11 2. TECNOLOGIA QUE LAS SOPORTA.
  • 12. 12 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
  • 14. 14 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: ICS-CERT Fiscal Year 2015: Mid-Year Statistics. 3. INCIDENTES.
  • 15. 15 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 3. INCIDENTES.
  • 16. 16 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: 2014 Global Report on the Cost of Cyber Crime. HP, Ponemon Institute. 3. INCIDENTES.
  • 17. 17 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
  • 18. 18 • Errores humanos • Fallas en instalaciones y dispositivos • Naturales • Malware • Ex-empleados • Proveedores • Competidores • Criminales • Gobiernos • Hacktivistas • Etc. 4. AMENAZAS.
  • 19. 19 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 4. AMENAZAS.
  • 20. 20 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg Fuente: http://www.hackmageddon.com 4. AMENAZAS. Febrero 2015 Amenaza: The Equation Group Objetivo: 30 países, sectores: Energía, Aeroespacial, Comunicaciones, Gas y Petroleo, Nuclear, Gobierno. Marzo 2015 Amenaza: Malware, Trojan.Loziak Objetivo: Información crítica del sector gas y petróleo; países afectados: Medio Oriente, Inglaterra, E.U., Uganda.
  • 22. 22 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
  • 23. 23 • Desconocimiento • Enfoque limitado • Falta de integración • Frágil estrategia de seguridad • Arquitectura abierta y compleja • Hardware y software viejo • Métodos y procedimientos “obesos” • Etc. 5. VULNERABILIDADES.
  • 26. 26 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
  • 27. 27 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 5. VULNERABILIDADES.
  • 28. 28
  • 30. 30 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 6. MEXICO.
  • 33. 33 6. MEXICO Sitio web de MAAGTICSI, revisión de actividades: ASI 4. Revisión del Catálogo de infraestructuras críticas, FORMATO ASI F2. ASI 5. Revisión del Documento de resultados del análisis de riesgos, FORMATO ASI F3. Imagen: http://media.npr.org/assets/img/2013/09/10/istock-18747059-arm-paper-mess-de467de064a78b20d75426f2d113ba210181044a.jpg
  • 34. 34 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5 FORTALEZAS:  Roles, responsabilidades, estructura, procedimiento, valoración de Infra/Activos, control donde es necesario, estimación cuantitativa de riesgos OPORTUNIDADES:  Automatizar, sintetizar, graficar
  • 35. 35 Imagen: http://www.nasmhpd.org/images/legalDivision.jpg 6. MEXICO MAAGTICSI, ASI 4 Y ASI 5  DEBILIDADES: Manual, tiempo para completar, redundante (p.e. Formato ASI F3, secciones 5 y 7), confuso orden de ejecución, exceso en firmas requeridas.  AMENAZAS: Por cumplir y no por solucionar, los análisis de riesgo podrían NO completarse en tiempo y forma
  • 36. 36 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 7. RECOMENDACIONES.
  • 38. 38 7. RECOMENDACIONES.  Enfoque 360º  Equipo multi-diciplinario  Capacitar  Documentación actualizada  Seguridad física, ambiental, lógica  Identificar/cerrar vulnerabilidades con CUIDADO !!!  Administración de proveedores  Seguridad en desarrollo de proyectos  Ejecutar y mantener MAAGTICSI Imagen: http://www.scisusa.com/img/sec04.jpg
  • 39. Fases Comunes de un Proyecto Inicio Planeación Ejecución Cierre SEGURIDAD EN EL DESARROLLO DE PROYECTOS • Evaluación de Riesgos enfocada al proyecto, no a la seguridad INCLUIR SEGURIDAD: 1. Equipo multi- diciplinario 2. Evaluar Riesgos de Seguridad 1. Requerimientos 2. Actividades, responsables, y recursos para implementarla 1. Pruebas y corrección de errores 2. Aceptación e implementación 1. Documentación, mantenimiento, mejora (procedimientos, responsabilidades) • Resultado: producto con seguridad básica o sin ella 39 7. RECOMENDACIONES.
  • 40. 40 7. RECOMENDACIONES. RED Y COMUNICACIONES  Segmentación por zonas (ISA-195): Externa, Corporativa, Datos, Control, etc.  Cifrado de la comunicación: VPN, WPA2  Separación lógica: VLAN  Control de tráfico: Firewall, proxy, puerto, protocolo  Acceso: Basado en dirección MAC o elementos conocidos  Autenticación: EAP-TLS, RADIUS y certificados
  • 41. 41 7. RECOMENDACIONES. ARQUITECTURA DE RED Imagen: Homeland Security US, «Improving Industrial Control with Defense in Depth Strategies,» 2009.
  • 42. 42 Crédito de la imagen: http://blog.lnsresearch.com/Portals/136847/images/Operational-Risk-Management.jpg 8. PREGUNTAS Y RESPUESTAS.
  • 43. 43 8. PREGUNTAS Y RESPUESTAS. MUCHAS GRACIAS !!! Contacto: jl_Aparicio@aol.com