SlideShare una empresa de Scribd logo
1 de 44
Ciberseguridad,
supuestos prácticos:
infraestructuras críticas
Pablo Fernández Burgueño
Pablo Fernández Burgueño
• Abogado e investigador jurídico
• Especializado en:
• Innovación jurídica
• Fintech – Insurtech
• Blockchain, criptomonedas e ICO
• Privacidad
• Ciberseguridad
11/27/2017
Índice de la sesión sobre ciberseguridad, supuestos
prácticos: infraestructuras críticas
1. Caso: Micro-segmentación en infraestructuras críticas
2. Infraestructura crítica, ¿qué es?
3. Operador crítico, ¿qué es?
4. ¿Qué medidas de seguridad necesitan las infraestructuras críticas?
5. La micro-segmentación
6. ¿Quién debe o tiene que integrar micro-segmentación?
7. Ley de medidas para la Protección de las Infraestructuras Críticas
8. Plan de Seguridad de Protección Específico (PPE)
9. Directiva NIS
10. Conclusiones
27/11/2017 @pablofb 3
Caso: Micro-segmentación en
infraestructuras críticas
Bloque 1
27/11/2017 @pablofb 4
Esquema de la investigación
1. Investigación en superficie
1. ¿Qué es una infraestructura crítica?
2. ¿Qué medidas de seguridad necesitan las infraestructuras críticas?
3. La micro-segmentación ¿Qué es? ¿Es necesaria su integración?
2. Investigación en profundidad
1. ¿Qué se indica en la normativa aplicable a las infraestructuras críticas?
2. ¿Hay normativa para infraestructuras por sectores de actividad?
3. ¿Existe normativa europea aplicable? ¿Se espera que exista?
3. Detalles finales: resumen ejecutivo y, si procede, conclusiones
27/11/2017 @pablofb 5
Camino hacia la fuente: www.CNPIC.es
27/11/2017 @pablofb 6
¿Qué es el CNPIC?
Centro Nacional de Protección de Infraestructuras y Ciberseguridad
- Desde 2007, en el Ministerio del Interior
- Funciones: impulsar, coordinar y supervisar la protección de las
infraestructuras críticas españolas y con la ciberseguridad
- Dónde aprender más:
- Ley 8/2011 de medidas para la protección de las infraestructuras críticas
- RD 704/2011 - Reglamento de protección de las infraestructuras críticas
27/11/2017 @pablofb 7
27/11/2017 @pablofb 8
Nivel de alerta en
Infraestructuras críticas
Fuente: CNPIC
27/11/2017 @pablofb 9
NAIC: Nivel de Alerta en Infraestructuras Críticas
• Indicador para el refuerzo sobre las medidas de
seguridad, vigilancia y protección exclusivamente
informáticas.
• Niveles:
• Nivel 1: Riesgo bajo. Activado el 02/07/2009.
• Nivel 2: Riesgo moderado. Activado el 09/09/2014.
• Nivel 3: Riesgo medio. Activado el 25/05/2015.
• Nivel 4: Riesgo alto. Activado desde el 26/06/2015 y
vigente desde entonces.
• Nivel 5: Riesgo muy alto. Aún no ha sido activado.
NAA: Nivel de Alerta Antiterrorista
• Indicador de alerta sobre la intención, la capacidad y la probabilidad de que terceros cometan un
atentado terrorista.
Infraestructura crítica, ¿qué es?
Bloque 2
27/11/2017 @pablofb 10
¿Qué es una infraestructura crítica?
Infraestructura crítica:
• Conjunto de elementos, dotaciones o servicios
• Su funcionamiento es indispensable para España
• No existen soluciones alternativas
Forman parte de las infraestructuras estratégicas, conformadas por:
- Instalaciones
- Redes
- Sistemas
- Equipos físicos y de tecnología de la información
27/11/2017 @pablofb 11
Inf. crítica española vs Inf.
crítica europea
Infraestructuras críticas = servicios esenciales
- Salud, seguridad, bienestar social y económico de
los ciudadanos
- Funcionamiento de las Administraciones Públicas.
Destrucción o perturbación = grave impacto
- Solo en España: infraestructura crítica del estado
(español).
- En 2 o más países europeos: inf. crítica europea.
Imagen cedida por Fsolda
27/11/2017 @pablofb 12
Clasificación de infraestructuras por sectores
Sector:
- Área diferenciada dentro
de la actividad laboral,
económica y productiva
- Proporciona un servicio
esencial o garantiza el
ejercicio de la autoridad
del Estado o de la
seguridad del país.
27/11/2017 @pablofb 13
Ejemplo: Sector TIC
Sector TIC (infraestructuras críticas):
• Subsector: Telecomunicaciones
• Subsector: Informática y Sociedad de la Información
• Subsector: Comunicación Audiovisual
Normativa del Sector TIC (infraestructuras críticas):
• Ley 09/2014, de las Telecomunicaciones.
• Estrategia de Ciberseguridad Nacional
• R.D. 863/2008 que aprueba Reglamento que desarrolla Ley 32/2003 General de las
Telecomunicaciones.
• Ley 17/2006 Radio y Televisión de Titularidad Estatal.
• R.D. 1066/2001 - Reglamento Protección Dominio Público Radioeléctrico y Medidas de Protección.
Operador crítico, ¿qué es?
Bloque 3
27/11/2017 @pablofb 15
¿Qué es un operador
crítico?
1. Operador crítico: Puede ser una entidad o un organismo
2. Gestiona uno o varios conjuntos de elementos, dotaciones o
servicios que conforman una infraestructura crítica.
3. Responsabilidades (una o varias de las siguientes):
1. Invertir en la instalación, la red, el sistema o el equipo
físico o de tecnología de la información de la
infraestructura
2. Mantener el funcionamiento continuado y sin
interrupciones de la infraestructura.
4. Los operadores son seleccionados por CNPIC
5. Forman parte del Sistema de Protección de Infraestructuras
Críticas.
Imagen cedida por Samson Duborg-Rankin
27/11/2017 @pablofb 16
Principal tarea del operador
en ciberseguridad
Principal tarea en ciberseguridad: optimizar la protección
de la infraestructura crítica que gestiona.
El operador deberá:
- Realizar un análisis de riesgo sobre el sector estratégico
- Elaborar el Plan de Seguridad del Operador y
mantenerlo actualizado
- Elaborar un Plan de Protección Específico para la
infraestructura crítica que gestione
Imagen cedida por Markus Spiske
27/11/2017
¿Qué medidas de seguridad
necesitan las infraestructuras
críticas?
Bloque 4
27/11/2017 @pablofb 18
Qué medidas tienen que
integrar las Inf. Cr.
Todas las necesarias
para garantizar la prestación continua
de los servicios esenciales
para el mantenimiento de las funciones sociales
básicas del país
Imagen cedida por Henry Hustava
27/11/2017 @pablofb 19
Tipos de medidas de
seguridad
Las medidas obligatorias establecidas por la normativa en
vigor se dividen en:
1. Medidas de Seguridad Tasadas
2. Medidas de Seguridad Personalizadas:
• Evaluación de riesgo:
1. identificación de las amenazas potenciales
2. estudio de las mismas y valoración de su
nivel de eficacia
3. selección de las medidas más adecuadas
para prevenir y proteger
Imagen cedida por James Pond
27/11/2017
@pablofb 20
¿Qué es el estado de la
técnica?
Soluciones adecuadas al estado de la técnica:
- Nuevas amenazas - > Nuevas soluciones
- Actualización constante con mejoras de la
versión (update)
- Ascenso a versiones mejores (upgrade)
- Renovaciones de licencias
- Muy importante: configuración adecuada de
la solución
Imagen cedida por NeONBRAND
27/11/2017 @pablofb 21
La micro-segmentación
Bloque 5
27/11/2017 @pablofb 22
Qué es la micro-segmentación
Micro-segmentación
1. Qué es: una solución informática
2. Qué hace: protege de forma autónoma cada elemento de una
infraestructura concreta
3. Cómo lo hace: Lleva el control perimetral a cada elemento de la
infraestructura.
4. Ejemplo: Logra que una brecha de seguridad solo pueda afectar a una
pequeña parte del sistema, dejando indemne y operativo el resto de la
estructura
27/11/2017 @pablofb 23
¿Alternativas a la micro-
segmentación?
Aproximación perimetral
1. Definir islas
2. Ubicar los recursos dentro de las islas.
3. Blindar perimetralmente las islas para proteger su contenido.
Problema de la aproximación perimetral:
- Una vez roto el perímetro, el ataque podría expandirse fácilmente por
los sistemas afectando gravemente al funcionamiento de la
infraestructura.
Imagen cedida por Lily Lvnatikk
27/11/2017 @pablofb 24
¿Quién debe o tiene que integrar
micro-segmentación?
Bloque 6
27/11/2017 @pablofb 25
¿Quién debe o tiene que integrar soluciones de
micro-segmentación?
• Se deben integrar en todas las infraestructuras críticas cuyos
operadores hayan determinado la necesidad de la misma.
¿Cómo se determina? Con el análisis de riesgo, cumpliendo:
- Ley de Medidas para La Protección de Infraestructuras Críticas
- Evaluación de riesgo del GDPR
- Plan de Seguridad del Operador (PSO)
- Plan de Protección Específico (PPE)
27/11/2017 @pablofb 26
Normas y docs. oficiales a tener en cuenta
• Estrategia de Seguridad Nacional
• Estrategia de Ciberseguridad
Nacional
• Estrategia de Seguridad Marítima
Nacional
• Ley de Seguridad Privada
• Ley 17/2015 del Sistema Nacional
de Protección Civil.
• R.D. 407/1992 Norma Básica de
Protección Civil
• R.D. 393/2007 Norma Básica de
Autoprotección de Centros y
Establecimientos
• R.D. 1468/2008
• R.D. 399/2007 Protocolo
Intervención Unidad Militar
Emergencia
• Contenidos mínimos PSO
• Contenidos mínimos PPE
• Guía de Buenas Prácticas para la
elaboración de los Contenidos
Mínimos de los Planes de
Seguridad del Operador
• Guía de Buenas Prácticas para la
elaboración de los Contenidos
Mínimos de los Planes de
Protección Específicos
• Directiva (UE) 2016/1148 del
Parlamento Europeo y del Consejo
de 6 de julio de 2016 relativa a las
medidas destinadas a garantizar
un elevado nivel común de
seguridad de las redes y sistemas
de información en la Unión
• Directiva 2008/114/CE del
Consejo, sobre Identificación y
Designación de las
Infraestructuras Críticas Europeas
y la Evaluación de la Necesidad de
Mejorar su Protección
• 106 normas específicas
adicionales:
cnpic.es/Legislacion_Aplicable/
• GDRP, LOPD, RLOPD y otras
27/11/2017 @pablofb 27
Apuntes adicionales
• NAA-NAIC. ¿En qué nivel estamos?
• La guía para el PSO menciona la ISO 27002
• Seguridad privada:
• Orden Ministerial 316/2011
• Referencia a la normativa UNE/EN
• Recomendaciones de la norma UNE/CLC TS 50131-7
• Ayuda en el CNPIC
Imagen cedida por Denys Nevozhai
27/11/2017 @pablofb 28
Ley de medidas para la Protección
de las Infraestructuras Críticas
Bloque 7
27/11/2017 @pablofb 29
La Ley de Medidas para la Protección de Inf. Cr.
Ley 8/2011 de Medidas para la Protección de las Infraestructuras Críticas
• Establece un marco de estrategias y estructuras
• Objetivos:
• Dirigir y coordinar las actuaciones en materia de protección
• Mejorar la prevención, preparación y respuesta de España
• Frente a atentados terroristas u otras amenazas que afecten a
infraestructuras críticas.
• Desde el 30 de abril de 2011
27/11/2017 @pablofb 30
Instrumentos de
Planificación
a) Plan Nacional de Protección de las Infraestructuras Críticas
(PNPIC)
b) Planes Estratégicos Sectoriales (PES)
c) Planes de Seguridad del Operador (PSO)
d) Planes de Protección Específicos (PPE)
e) Planes de Apoyo Operativo (PAO)
Imagen cedida por Patryk Grądys
27/11/2017 @pablofb 31
Responsables y delegados de
seguridad. Y datos clasificados
Responsable de Seguridad y Enlace con la Administración: representará
al operador crítico ante la Secretaría de Estado de Seguridad.
• Nombrado por cada uno de los operadores críticos
• Comunicado al Ministerio del Interior
• Con la habilitación de Director de Seguridad
Delegado de Seguridad (igual que el responsable pero sin habilitación):
enlace operativo y canal de información con las autoridades
competentes.
Especial protección para datos clasificados (personales y no personales)
Imagen cedida por rawpixel com
27/11/2017 @pablofb 32
Análisis de riesgos e
interdependencias
Análisis de riesgos:
- Estudio de las hipótesis de amenazas posibles
- Determinar la necesidad u oportunidad de integrar soluciones
Interdependencias:
- efectos que una perturbación en el funcionamiento de la instalación o
servicio produciría en otras instalaciones o servicios.
- Obligación: integrar soluciones informáticas que minimicen o anulen la
capacidad de un ataque para provocar interdependencias, aislando los
elementos de las infraestructuras a través de un control perimetral.
Imagen cedida por NASA
27/11/2017 @pablofb 33
Plan de Seguridad de Protección
Específico (PPE)
Bloque 8
27/11/2017 @pablofb 34
¿Qué son los Planes de Protección Específicos?
Los PPE son documentos operativos:
• Los elaboran los operadores críticos
• Definen medidas concretas permanentes, temporales y graduales
• Análisis de los potenciales riesgos de intrusión
• Evaluación de riesgo sobre los sistemas
• Estudio de las posibles interdependencias
• Indicación de las medidas de seguridad
• Explicación del motivo por el que se elige una medida, indicando los plazos
para su activación y para sus posteriores verificaciones de estado
27/11/2017 @pablofb 35
PPE y ciberseguridad
En el PPE se describen las soluciones de ciberseguridad sobre:
• Firewalls, DMZ, IPSs, IDSs, segmentación, micro-segmentación y
aislamiento de redes, cifrado, VPNs, elementos y medidas de control
de acceso de usuarios (tokens, controles biométricos, etc.), medidas
de instalación y configuración segura de elementos técnicos,
correladores de eventos y logs, protección frente malware, etc.
• Redundancia de sistemas (hardware y software).
27/11/2017 @pablofb 36
Recomendaciones
para elaborar el PPE
1. Seguir la Guía de Buenas Prácticas para el PPE
2. Proteger mediante el modelado de la
infraestructura crítica, tomando como base el
servicio o los sistemas.
1. Punto de partida identificación de los activos
a proteger
2. Clasificación de activos por:
1. impacto del incidente
2. capacidad de resolución del problema
3. tiempo de resolución posibilidad de propagación del problema
4. coste de la resolución
Imagen cedida por Sharon Pittaway
27/11/2017
@pablofb 37
Recomendación ciber: multi-capa
Multi-capa: defensa en general y ante la intrusión en particular
• Zona Exterior o ante-perímetro: Vigilancia y Control de las zonas más
externas al sistema o ubicación
• Perímetro: Control del perímetro conforme a la segmentación en
zonas de gestión
• Áreas protegidas: Áreas en las que el acceso debe estar restringido
para usuarios internos según la necesidad de acceder
27/11/2017 @pablofb 38
Directiva NIS
Bloque 9
27/11/2017 @pablofb 39
Acercamiento a la Directiva NIS
Directiva (UE) 2016/1148
• la Directiva es del 6 de julio de 2016
• como tarde, el 10 de mayo de 2018 tendrán que entrar en vigor las
leyes de transposición en el estado español
• tras la identificación de los operadores, que deberá hacerse, como
tarde, el 9 de noviembre de 2018, deberá hacerse una revisión del
cumplimiento cada dos años
27/11/2017 @pablofb 40
¿A qué obliga la Directiva NIS?
• Obligados: Estados europeos
• Obligación: Estrategia nacional de seguridad de las redes y TIC.
• Tareas:
• Identificación de operadores de servicios esenciales
• Establecer medidas para impedir efectos perturbadores, según:
• El número de usuarios afectados.
• La dependencia de otros sectores.
• La repercusión en las actividades económicas y sociales o en la seguridad pública.
• La cuota de mercado.
• La extensión geográfica.
• La importancia de la entidad para mantener un nivel suficiente del servicio.
27/11/2017 @pablofb 41
Deber de notificar brechas de ciberseguridad
• Quién: un operador o un proveedor de servicios digitales
• Qué ha debido sufrir:
• una brecha de seguridad u otro tipo de incidente
• que tenga efectos significativos
• Qué debe hacer: notificar los detalles de forma inmediata a:
• CNIPC o
• CSIRT (Computer Security Incident Response Team)
27/11/2017 @pablofb 42
10.- Conclusiones
¿Debe integrarse un sistema de
micro-segmentación
en una infraestructura crítica?
¿Por qué?
Consejo de cara a informes: Siempre has de referirte a artículos concretos de leyes y
documentos oficiales en los que bases tu respuesta.
27/11/2017 @pablofb 43
Gracias por la atención.
¿Comentarios? ¿Preguntas?
Pablo Fernández Burgueño – @pablofb
pablo@nevtrace.com www.nevtrace.com

Más contenido relacionado

La actualidad más candente

Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001Yerlin Sturdivant
 
Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)Hamisi Kibonde
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkChaitanya Bhatt
 
Human Factors in Cyber Security: User authentication as a use case
Human Factors in Cyber Security: User authentication as a use caseHuman Factors in Cyber Security: User authentication as a use case
Human Factors in Cyber Security: User authentication as a use caseShujun Li
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Compliance to Enablement - SABSA & GDPR
Compliance to Enablement - SABSA & GDPRCompliance to Enablement - SABSA & GDPR
Compliance to Enablement - SABSA & GDPRSABSAcourses
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak
 
Cybersecurity and Software Updates in Medical Devices.pdf
Cybersecurity and Software Updates in Medical Devices.pdfCybersecurity and Software Updates in Medical Devices.pdf
Cybersecurity and Software Updates in Medical Devices.pdfICS
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informáticaMiguel Rodríguez
 
CISSP - Chapter 3 - Physical security
CISSP - Chapter 3  - Physical securityCISSP - Chapter 3  - Physical security
CISSP - Chapter 3 - Physical securityKarthikeyan Dhayalan
 
INCIDENT RESPONSE NIST IMPLEMENTATION
INCIDENT RESPONSE NIST IMPLEMENTATIONINCIDENT RESPONSE NIST IMPLEMENTATION
INCIDENT RESPONSE NIST IMPLEMENTATIONSylvain Martinez
 
NQA ISO 9001 to ISO 27001 Gap Guide
NQA ISO 9001 to ISO 27001 Gap GuideNQA ISO 9001 to ISO 27001 Gap Guide
NQA ISO 9001 to ISO 27001 Gap GuideNQA
 
CISSP - Software Development Security
CISSP - Software Development SecurityCISSP - Software Development Security
CISSP - Software Development SecurityKarthikeyan Dhayalan
 
Tru_Shiralkar_Gen AI Sec_ ISACA 2024.pdf
Tru_Shiralkar_Gen AI Sec_ ISACA 2024.pdfTru_Shiralkar_Gen AI Sec_ ISACA 2024.pdf
Tru_Shiralkar_Gen AI Sec_ ISACA 2024.pdfTrupti Shiralkar, CISSP
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...TECHNOLOGYINT
 
Security Onion - Brief
Security Onion - BriefSecurity Onion - Brief
Security Onion - BriefAshley Deuble
 

La actualidad más candente (20)

Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001
 
Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005
 
Nmap basics
Nmap basicsNmap basics
Nmap basics
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling Framework
 
Human Factors in Cyber Security: User authentication as a use case
Human Factors in Cyber Security: User authentication as a use caseHuman Factors in Cyber Security: User authentication as a use case
Human Factors in Cyber Security: User authentication as a use case
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Compliance to Enablement - SABSA & GDPR
Compliance to Enablement - SABSA & GDPRCompliance to Enablement - SABSA & GDPR
Compliance to Enablement - SABSA & GDPR
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An Overview
 
Cybersecurity and Software Updates in Medical Devices.pdf
Cybersecurity and Software Updates in Medical Devices.pdfCybersecurity and Software Updates in Medical Devices.pdf
Cybersecurity and Software Updates in Medical Devices.pdf
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informática
 
CISSP - Chapter 3 - Physical security
CISSP - Chapter 3  - Physical securityCISSP - Chapter 3  - Physical security
CISSP - Chapter 3 - Physical security
 
INCIDENT RESPONSE NIST IMPLEMENTATION
INCIDENT RESPONSE NIST IMPLEMENTATIONINCIDENT RESPONSE NIST IMPLEMENTATION
INCIDENT RESPONSE NIST IMPLEMENTATION
 
NQA ISO 9001 to ISO 27001 Gap Guide
NQA ISO 9001 to ISO 27001 Gap GuideNQA ISO 9001 to ISO 27001 Gap Guide
NQA ISO 9001 to ISO 27001 Gap Guide
 
Iso18788 2015 - SGOS
Iso18788 2015 - SGOSIso18788 2015 - SGOS
Iso18788 2015 - SGOS
 
CISSP - Software Development Security
CISSP - Software Development SecurityCISSP - Software Development Security
CISSP - Software Development Security
 
Tru_Shiralkar_Gen AI Sec_ ISACA 2024.pdf
Tru_Shiralkar_Gen AI Sec_ ISACA 2024.pdfTru_Shiralkar_Gen AI Sec_ ISACA 2024.pdf
Tru_Shiralkar_Gen AI Sec_ ISACA 2024.pdf
 
Cyber Security Threat Modeling
Cyber Security Threat ModelingCyber Security Threat Modeling
Cyber Security Threat Modeling
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
 
Security Onion - Brief
Security Onion - BriefSecurity Onion - Brief
Security Onion - Brief
 

Similar a Micro-segmentación para Infraestructuras críticas

Analisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdfAnalisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdfManuelRojas960410
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Aspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospreAspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulosprejtk1
 
Analisis forense de sistemas informaticos
Analisis forense de sistemas informaticosAnalisis forense de sistemas informaticos
Analisis forense de sistemas informaticosJulio RS
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANJack Daniel Cáceres Meza
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)ninguna
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxcristiano546156
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010Miguel A. Amutio
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III  Politicas de Seguridad Lisby MoraUnidad III  Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraLisby Mora
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 

Similar a Micro-segmentación para Infraestructuras críticas (20)

Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Analisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdfAnalisis forense de sistemas informaticos.pdf
Analisis forense de sistemas informaticos.pdf
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
 
Aspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospreAspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospre
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Analisis forense de sistemas informaticos
Analisis forense de sistemas informaticosAnalisis forense de sistemas informaticos
Analisis forense de sistemas informaticos
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
 
IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las Cosas
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
T04 03 ens
T04 03 ensT04 03 ens
T04 03 ens
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III  Politicas de Seguridad Lisby MoraUnidad III  Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby Mora
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 

Más de Pablo Fernández Burgueño

¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?Pablo Fernández Burgueño
 
Realidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidadRealidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidadPablo Fernández Burgueño
 
Protección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al OlvidoProtección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al OlvidoPablo Fernández Burgueño
 
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y SecretoModelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y SecretoPablo Fernández Burgueño
 
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...Pablo Fernández Burgueño
 
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...Pablo Fernández Burgueño
 
Cómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimientoCómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimientoPablo Fernández Burgueño
 
Clase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing onlineClase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing onlinePablo Fernández Burgueño
 
Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018Pablo Fernández Burgueño
 
Propiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegosPropiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegosPablo Fernández Burgueño
 
Descubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedasDescubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedasPablo Fernández Burgueño
 
Consejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayoresConsejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayoresPablo Fernández Burgueño
 
Las asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectadoLas asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectadoPablo Fernández Burgueño
 

Más de Pablo Fernández Burgueño (20)

¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?
 
Normativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedasNormativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedas
 
Realidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidadRealidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidad
 
Bitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchainBitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchain
 
Protección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al OlvidoProtección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al Olvido
 
Realidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legalesRealidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legales
 
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y SecretoModelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
 
Proteccion legal de la innovacion
Proteccion legal de la innovacionProteccion legal de la innovacion
Proteccion legal de la innovacion
 
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
 
Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019
 
Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)
 
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
 
Big Data y GDPR
Big Data y GDPRBig Data y GDPR
Big Data y GDPR
 
Cómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimientoCómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimiento
 
Clase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing onlineClase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing online
 
Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018
 
Propiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegosPropiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegos
 
Descubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedasDescubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedas
 
Consejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayoresConsejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayores
 
Las asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectadoLas asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectado
 

Último

TANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdf
TANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdfTANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdf
TANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdfAngelyDamaris
 
Autopsia Medico Legal facultad de derecho.pptx
Autopsia Medico Legal facultad de derecho.pptxAutopsia Medico Legal facultad de derecho.pptx
Autopsia Medico Legal facultad de derecho.pptxRomualdoSirpaSirpa
 
Capitulo 5 legislacion laboral y seguro social
Capitulo 5 legislacion laboral y seguro socialCapitulo 5 legislacion laboral y seguro social
Capitulo 5 legislacion laboral y seguro socialMaribelCruz615308
 
ACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptx
ACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptxACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptx
ACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptxkatherinechirinossal
 
Ensayo sobre el tema de México Posrevolucionario
Ensayo sobre el tema de México PosrevolucionarioEnsayo sobre el tema de México Posrevolucionario
Ensayo sobre el tema de México Posrevolucionariomichellgarciarivera2
 
EL DERECHO CIVIL, en el Derecho Guatemalteco.ppsx
EL DERECHO CIVIL, en el Derecho Guatemalteco.ppsxEL DERECHO CIVIL, en el Derecho Guatemalteco.ppsx
EL DERECHO CIVIL, en el Derecho Guatemalteco.ppsxeslomejor1
 
gobierno y sistema politico del peru monografia
gobierno y sistema politico del peru monografiagobierno y sistema politico del peru monografia
gobierno y sistema politico del peru monografiaangiebrid
 
Incorpración de criterios soiales en la contratación pública..pdf
Incorpración de criterios soiales en la contratación pública..pdfIncorpración de criterios soiales en la contratación pública..pdf
Incorpración de criterios soiales en la contratación pública..pdfJosé María
 
CONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptx
CONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptxCONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptx
CONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptxLuzElminaVargasRimar
 
Incidente de desacato por desobedecimiento
Incidente de desacato por desobedecimientoIncidente de desacato por desobedecimiento
Incidente de desacato por desobedecimientoFabioAnibalTapiaGuer
 
CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024
CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024
CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024litaroxselyperezmont
 
INFORME DE CONSTITUCIONAL II - Inteligencia artificial
INFORME DE CONSTITUCIONAL II - Inteligencia artificialINFORME DE CONSTITUCIONAL II - Inteligencia artificial
INFORME DE CONSTITUCIONAL II - Inteligencia artificialCARLOSCORDOVATAZA
 
PRESENTACION infraccion de transito- F1.ppt
PRESENTACION infraccion de transito- F1.pptPRESENTACION infraccion de transito- F1.ppt
PRESENTACION infraccion de transito- F1.pptssuserc91ad5
 
INTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEO
INTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEOINTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEO
INTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEONadimRomero
 
Los Principios procesales constitucionales en el cpcm.
Los Principios procesales constitucionales en el cpcm.Los Principios procesales constitucionales en el cpcm.
Los Principios procesales constitucionales en el cpcm.IrisMatas1
 
Tríptico sobre el maximato _20240513_120721_0000.pdf
Tríptico sobre el maximato _20240513_120721_0000.pdfTríptico sobre el maximato _20240513_120721_0000.pdf
Tríptico sobre el maximato _20240513_120721_0000.pdfmichellgarciarivera2
 

Último (16)

TANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdf
TANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdfTANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdf
TANATOLOGIA FORENSE - MEDICINA LEGAL - GRUPO 1.pdf
 
Autopsia Medico Legal facultad de derecho.pptx
Autopsia Medico Legal facultad de derecho.pptxAutopsia Medico Legal facultad de derecho.pptx
Autopsia Medico Legal facultad de derecho.pptx
 
Capitulo 5 legislacion laboral y seguro social
Capitulo 5 legislacion laboral y seguro socialCapitulo 5 legislacion laboral y seguro social
Capitulo 5 legislacion laboral y seguro social
 
ACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptx
ACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptxACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptx
ACTIVIDAD PROBATORIA EN EL PROCESO PENAL.pptx
 
Ensayo sobre el tema de México Posrevolucionario
Ensayo sobre el tema de México PosrevolucionarioEnsayo sobre el tema de México Posrevolucionario
Ensayo sobre el tema de México Posrevolucionario
 
EL DERECHO CIVIL, en el Derecho Guatemalteco.ppsx
EL DERECHO CIVIL, en el Derecho Guatemalteco.ppsxEL DERECHO CIVIL, en el Derecho Guatemalteco.ppsx
EL DERECHO CIVIL, en el Derecho Guatemalteco.ppsx
 
gobierno y sistema politico del peru monografia
gobierno y sistema politico del peru monografiagobierno y sistema politico del peru monografia
gobierno y sistema politico del peru monografia
 
Incorpración de criterios soiales en la contratación pública..pdf
Incorpración de criterios soiales en la contratación pública..pdfIncorpración de criterios soiales en la contratación pública..pdf
Incorpración de criterios soiales en la contratación pública..pdf
 
CONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptx
CONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptxCONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptx
CONFERENCIA PRESCRIPCIÓN ADQUISITIVA DE DOMINIO CAL.pptx
 
Incidente de desacato por desobedecimiento
Incidente de desacato por desobedecimientoIncidente de desacato por desobedecimiento
Incidente de desacato por desobedecimiento
 
CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024
CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024
CUARTO GRADO PROGRAMACION ANUAL DPCC - 2024
 
INFORME DE CONSTITUCIONAL II - Inteligencia artificial
INFORME DE CONSTITUCIONAL II - Inteligencia artificialINFORME DE CONSTITUCIONAL II - Inteligencia artificial
INFORME DE CONSTITUCIONAL II - Inteligencia artificial
 
PRESENTACION infraccion de transito- F1.ppt
PRESENTACION infraccion de transito- F1.pptPRESENTACION infraccion de transito- F1.ppt
PRESENTACION infraccion de transito- F1.ppt
 
INTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEO
INTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEOINTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEO
INTRODUCCIÓN AL DERECHO CIVIL DENTRO DEL ESTADO MEXICANO CONTEMPORANEO
 
Los Principios procesales constitucionales en el cpcm.
Los Principios procesales constitucionales en el cpcm.Los Principios procesales constitucionales en el cpcm.
Los Principios procesales constitucionales en el cpcm.
 
Tríptico sobre el maximato _20240513_120721_0000.pdf
Tríptico sobre el maximato _20240513_120721_0000.pdfTríptico sobre el maximato _20240513_120721_0000.pdf
Tríptico sobre el maximato _20240513_120721_0000.pdf
 

Micro-segmentación para Infraestructuras críticas

  • 2. Pablo Fernández Burgueño • Abogado e investigador jurídico • Especializado en: • Innovación jurídica • Fintech – Insurtech • Blockchain, criptomonedas e ICO • Privacidad • Ciberseguridad 11/27/2017
  • 3. Índice de la sesión sobre ciberseguridad, supuestos prácticos: infraestructuras críticas 1. Caso: Micro-segmentación en infraestructuras críticas 2. Infraestructura crítica, ¿qué es? 3. Operador crítico, ¿qué es? 4. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 5. La micro-segmentación 6. ¿Quién debe o tiene que integrar micro-segmentación? 7. Ley de medidas para la Protección de las Infraestructuras Críticas 8. Plan de Seguridad de Protección Específico (PPE) 9. Directiva NIS 10. Conclusiones 27/11/2017 @pablofb 3
  • 4. Caso: Micro-segmentación en infraestructuras críticas Bloque 1 27/11/2017 @pablofb 4
  • 5. Esquema de la investigación 1. Investigación en superficie 1. ¿Qué es una infraestructura crítica? 2. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 3. La micro-segmentación ¿Qué es? ¿Es necesaria su integración? 2. Investigación en profundidad 1. ¿Qué se indica en la normativa aplicable a las infraestructuras críticas? 2. ¿Hay normativa para infraestructuras por sectores de actividad? 3. ¿Existe normativa europea aplicable? ¿Se espera que exista? 3. Detalles finales: resumen ejecutivo y, si procede, conclusiones 27/11/2017 @pablofb 5
  • 6. Camino hacia la fuente: www.CNPIC.es 27/11/2017 @pablofb 6
  • 7. ¿Qué es el CNPIC? Centro Nacional de Protección de Infraestructuras y Ciberseguridad - Desde 2007, en el Ministerio del Interior - Funciones: impulsar, coordinar y supervisar la protección de las infraestructuras críticas españolas y con la ciberseguridad - Dónde aprender más: - Ley 8/2011 de medidas para la protección de las infraestructuras críticas - RD 704/2011 - Reglamento de protección de las infraestructuras críticas 27/11/2017 @pablofb 7
  • 8. 27/11/2017 @pablofb 8 Nivel de alerta en Infraestructuras críticas Fuente: CNPIC
  • 9. 27/11/2017 @pablofb 9 NAIC: Nivel de Alerta en Infraestructuras Críticas • Indicador para el refuerzo sobre las medidas de seguridad, vigilancia y protección exclusivamente informáticas. • Niveles: • Nivel 1: Riesgo bajo. Activado el 02/07/2009. • Nivel 2: Riesgo moderado. Activado el 09/09/2014. • Nivel 3: Riesgo medio. Activado el 25/05/2015. • Nivel 4: Riesgo alto. Activado desde el 26/06/2015 y vigente desde entonces. • Nivel 5: Riesgo muy alto. Aún no ha sido activado. NAA: Nivel de Alerta Antiterrorista • Indicador de alerta sobre la intención, la capacidad y la probabilidad de que terceros cometan un atentado terrorista.
  • 10. Infraestructura crítica, ¿qué es? Bloque 2 27/11/2017 @pablofb 10
  • 11. ¿Qué es una infraestructura crítica? Infraestructura crítica: • Conjunto de elementos, dotaciones o servicios • Su funcionamiento es indispensable para España • No existen soluciones alternativas Forman parte de las infraestructuras estratégicas, conformadas por: - Instalaciones - Redes - Sistemas - Equipos físicos y de tecnología de la información 27/11/2017 @pablofb 11
  • 12. Inf. crítica española vs Inf. crítica europea Infraestructuras críticas = servicios esenciales - Salud, seguridad, bienestar social y económico de los ciudadanos - Funcionamiento de las Administraciones Públicas. Destrucción o perturbación = grave impacto - Solo en España: infraestructura crítica del estado (español). - En 2 o más países europeos: inf. crítica europea. Imagen cedida por Fsolda 27/11/2017 @pablofb 12
  • 13. Clasificación de infraestructuras por sectores Sector: - Área diferenciada dentro de la actividad laboral, económica y productiva - Proporciona un servicio esencial o garantiza el ejercicio de la autoridad del Estado o de la seguridad del país. 27/11/2017 @pablofb 13
  • 14. Ejemplo: Sector TIC Sector TIC (infraestructuras críticas): • Subsector: Telecomunicaciones • Subsector: Informática y Sociedad de la Información • Subsector: Comunicación Audiovisual Normativa del Sector TIC (infraestructuras críticas): • Ley 09/2014, de las Telecomunicaciones. • Estrategia de Ciberseguridad Nacional • R.D. 863/2008 que aprueba Reglamento que desarrolla Ley 32/2003 General de las Telecomunicaciones. • Ley 17/2006 Radio y Televisión de Titularidad Estatal. • R.D. 1066/2001 - Reglamento Protección Dominio Público Radioeléctrico y Medidas de Protección.
  • 15. Operador crítico, ¿qué es? Bloque 3 27/11/2017 @pablofb 15
  • 16. ¿Qué es un operador crítico? 1. Operador crítico: Puede ser una entidad o un organismo 2. Gestiona uno o varios conjuntos de elementos, dotaciones o servicios que conforman una infraestructura crítica. 3. Responsabilidades (una o varias de las siguientes): 1. Invertir en la instalación, la red, el sistema o el equipo físico o de tecnología de la información de la infraestructura 2. Mantener el funcionamiento continuado y sin interrupciones de la infraestructura. 4. Los operadores son seleccionados por CNPIC 5. Forman parte del Sistema de Protección de Infraestructuras Críticas. Imagen cedida por Samson Duborg-Rankin 27/11/2017 @pablofb 16
  • 17. Principal tarea del operador en ciberseguridad Principal tarea en ciberseguridad: optimizar la protección de la infraestructura crítica que gestiona. El operador deberá: - Realizar un análisis de riesgo sobre el sector estratégico - Elaborar el Plan de Seguridad del Operador y mantenerlo actualizado - Elaborar un Plan de Protección Específico para la infraestructura crítica que gestione Imagen cedida por Markus Spiske 27/11/2017
  • 18. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? Bloque 4 27/11/2017 @pablofb 18
  • 19. Qué medidas tienen que integrar las Inf. Cr. Todas las necesarias para garantizar la prestación continua de los servicios esenciales para el mantenimiento de las funciones sociales básicas del país Imagen cedida por Henry Hustava 27/11/2017 @pablofb 19
  • 20. Tipos de medidas de seguridad Las medidas obligatorias establecidas por la normativa en vigor se dividen en: 1. Medidas de Seguridad Tasadas 2. Medidas de Seguridad Personalizadas: • Evaluación de riesgo: 1. identificación de las amenazas potenciales 2. estudio de las mismas y valoración de su nivel de eficacia 3. selección de las medidas más adecuadas para prevenir y proteger Imagen cedida por James Pond 27/11/2017 @pablofb 20
  • 21. ¿Qué es el estado de la técnica? Soluciones adecuadas al estado de la técnica: - Nuevas amenazas - > Nuevas soluciones - Actualización constante con mejoras de la versión (update) - Ascenso a versiones mejores (upgrade) - Renovaciones de licencias - Muy importante: configuración adecuada de la solución Imagen cedida por NeONBRAND 27/11/2017 @pablofb 21
  • 23. Qué es la micro-segmentación Micro-segmentación 1. Qué es: una solución informática 2. Qué hace: protege de forma autónoma cada elemento de una infraestructura concreta 3. Cómo lo hace: Lleva el control perimetral a cada elemento de la infraestructura. 4. Ejemplo: Logra que una brecha de seguridad solo pueda afectar a una pequeña parte del sistema, dejando indemne y operativo el resto de la estructura 27/11/2017 @pablofb 23
  • 24. ¿Alternativas a la micro- segmentación? Aproximación perimetral 1. Definir islas 2. Ubicar los recursos dentro de las islas. 3. Blindar perimetralmente las islas para proteger su contenido. Problema de la aproximación perimetral: - Una vez roto el perímetro, el ataque podría expandirse fácilmente por los sistemas afectando gravemente al funcionamiento de la infraestructura. Imagen cedida por Lily Lvnatikk 27/11/2017 @pablofb 24
  • 25. ¿Quién debe o tiene que integrar micro-segmentación? Bloque 6 27/11/2017 @pablofb 25
  • 26. ¿Quién debe o tiene que integrar soluciones de micro-segmentación? • Se deben integrar en todas las infraestructuras críticas cuyos operadores hayan determinado la necesidad de la misma. ¿Cómo se determina? Con el análisis de riesgo, cumpliendo: - Ley de Medidas para La Protección de Infraestructuras Críticas - Evaluación de riesgo del GDPR - Plan de Seguridad del Operador (PSO) - Plan de Protección Específico (PPE) 27/11/2017 @pablofb 26
  • 27. Normas y docs. oficiales a tener en cuenta • Estrategia de Seguridad Nacional • Estrategia de Ciberseguridad Nacional • Estrategia de Seguridad Marítima Nacional • Ley de Seguridad Privada • Ley 17/2015 del Sistema Nacional de Protección Civil. • R.D. 407/1992 Norma Básica de Protección Civil • R.D. 393/2007 Norma Básica de Autoprotección de Centros y Establecimientos • R.D. 1468/2008 • R.D. 399/2007 Protocolo Intervención Unidad Militar Emergencia • Contenidos mínimos PSO • Contenidos mínimos PPE • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Seguridad del Operador • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Protección Específicos • Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión • Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección • 106 normas específicas adicionales: cnpic.es/Legislacion_Aplicable/ • GDRP, LOPD, RLOPD y otras 27/11/2017 @pablofb 27
  • 28. Apuntes adicionales • NAA-NAIC. ¿En qué nivel estamos? • La guía para el PSO menciona la ISO 27002 • Seguridad privada: • Orden Ministerial 316/2011 • Referencia a la normativa UNE/EN • Recomendaciones de la norma UNE/CLC TS 50131-7 • Ayuda en el CNPIC Imagen cedida por Denys Nevozhai 27/11/2017 @pablofb 28
  • 29. Ley de medidas para la Protección de las Infraestructuras Críticas Bloque 7 27/11/2017 @pablofb 29
  • 30. La Ley de Medidas para la Protección de Inf. Cr. Ley 8/2011 de Medidas para la Protección de las Infraestructuras Críticas • Establece un marco de estrategias y estructuras • Objetivos: • Dirigir y coordinar las actuaciones en materia de protección • Mejorar la prevención, preparación y respuesta de España • Frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas. • Desde el 30 de abril de 2011 27/11/2017 @pablofb 30
  • 31. Instrumentos de Planificación a) Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) b) Planes Estratégicos Sectoriales (PES) c) Planes de Seguridad del Operador (PSO) d) Planes de Protección Específicos (PPE) e) Planes de Apoyo Operativo (PAO) Imagen cedida por Patryk Grądys 27/11/2017 @pablofb 31
  • 32. Responsables y delegados de seguridad. Y datos clasificados Responsable de Seguridad y Enlace con la Administración: representará al operador crítico ante la Secretaría de Estado de Seguridad. • Nombrado por cada uno de los operadores críticos • Comunicado al Ministerio del Interior • Con la habilitación de Director de Seguridad Delegado de Seguridad (igual que el responsable pero sin habilitación): enlace operativo y canal de información con las autoridades competentes. Especial protección para datos clasificados (personales y no personales) Imagen cedida por rawpixel com 27/11/2017 @pablofb 32
  • 33. Análisis de riesgos e interdependencias Análisis de riesgos: - Estudio de las hipótesis de amenazas posibles - Determinar la necesidad u oportunidad de integrar soluciones Interdependencias: - efectos que una perturbación en el funcionamiento de la instalación o servicio produciría en otras instalaciones o servicios. - Obligación: integrar soluciones informáticas que minimicen o anulen la capacidad de un ataque para provocar interdependencias, aislando los elementos de las infraestructuras a través de un control perimetral. Imagen cedida por NASA 27/11/2017 @pablofb 33
  • 34. Plan de Seguridad de Protección Específico (PPE) Bloque 8 27/11/2017 @pablofb 34
  • 35. ¿Qué son los Planes de Protección Específicos? Los PPE son documentos operativos: • Los elaboran los operadores críticos • Definen medidas concretas permanentes, temporales y graduales • Análisis de los potenciales riesgos de intrusión • Evaluación de riesgo sobre los sistemas • Estudio de las posibles interdependencias • Indicación de las medidas de seguridad • Explicación del motivo por el que se elige una medida, indicando los plazos para su activación y para sus posteriores verificaciones de estado 27/11/2017 @pablofb 35
  • 36. PPE y ciberseguridad En el PPE se describen las soluciones de ciberseguridad sobre: • Firewalls, DMZ, IPSs, IDSs, segmentación, micro-segmentación y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biométricos, etc.), medidas de instalación y configuración segura de elementos técnicos, correladores de eventos y logs, protección frente malware, etc. • Redundancia de sistemas (hardware y software). 27/11/2017 @pablofb 36
  • 37. Recomendaciones para elaborar el PPE 1. Seguir la Guía de Buenas Prácticas para el PPE 2. Proteger mediante el modelado de la infraestructura crítica, tomando como base el servicio o los sistemas. 1. Punto de partida identificación de los activos a proteger 2. Clasificación de activos por: 1. impacto del incidente 2. capacidad de resolución del problema 3. tiempo de resolución posibilidad de propagación del problema 4. coste de la resolución Imagen cedida por Sharon Pittaway 27/11/2017 @pablofb 37
  • 38. Recomendación ciber: multi-capa Multi-capa: defensa en general y ante la intrusión en particular • Zona Exterior o ante-perímetro: Vigilancia y Control de las zonas más externas al sistema o ubicación • Perímetro: Control del perímetro conforme a la segmentación en zonas de gestión • Áreas protegidas: Áreas en las que el acceso debe estar restringido para usuarios internos según la necesidad de acceder 27/11/2017 @pablofb 38
  • 40. Acercamiento a la Directiva NIS Directiva (UE) 2016/1148 • la Directiva es del 6 de julio de 2016 • como tarde, el 10 de mayo de 2018 tendrán que entrar en vigor las leyes de transposición en el estado español • tras la identificación de los operadores, que deberá hacerse, como tarde, el 9 de noviembre de 2018, deberá hacerse una revisión del cumplimiento cada dos años 27/11/2017 @pablofb 40
  • 41. ¿A qué obliga la Directiva NIS? • Obligados: Estados europeos • Obligación: Estrategia nacional de seguridad de las redes y TIC. • Tareas: • Identificación de operadores de servicios esenciales • Establecer medidas para impedir efectos perturbadores, según: • El número de usuarios afectados. • La dependencia de otros sectores. • La repercusión en las actividades económicas y sociales o en la seguridad pública. • La cuota de mercado. • La extensión geográfica. • La importancia de la entidad para mantener un nivel suficiente del servicio. 27/11/2017 @pablofb 41
  • 42. Deber de notificar brechas de ciberseguridad • Quién: un operador o un proveedor de servicios digitales • Qué ha debido sufrir: • una brecha de seguridad u otro tipo de incidente • que tenga efectos significativos • Qué debe hacer: notificar los detalles de forma inmediata a: • CNIPC o • CSIRT (Computer Security Incident Response Team) 27/11/2017 @pablofb 42
  • 43. 10.- Conclusiones ¿Debe integrarse un sistema de micro-segmentación en una infraestructura crítica? ¿Por qué? Consejo de cara a informes: Siempre has de referirte a artículos concretos de leyes y documentos oficiales en los que bases tu respuesta. 27/11/2017 @pablofb 43
  • 44. Gracias por la atención. ¿Comentarios? ¿Preguntas? Pablo Fernández Burgueño – @pablofb pablo@nevtrace.com www.nevtrace.com