Sesión # 113. Implementación de Seguridad de la Información en Sistemas SCADA: CISA, CISM, CGEIT, CRISC

Transcripción

1 Sesión # 113 Implementación de Seguridad de la Información en Sistemas SCADA: Unanecesidad necesidad en el mundo actual CARLOS VILLAMIZAR R. CISA, CISM, CGEIT, CRISC

2 Expectativas Lo que usted SI se llevará de esta Conferencia Principales amenazas, riesgos y controles para proteger Sistemas de Control Industrial (SCI). Marcos de seguridad para SCI y cómo armonizarlos en el modelo de Seguridad de la Información de su organización. Lo que usted NO se llevará de esta Conferencia No es un curso de Sistemas de Control Industrial. No es un curso sobre algún marco de seguridad específico para Sistemas de Control Industrial Pag. 2

3 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 3

4 Introducción Ficción? Pag. 4

5 O realidad? Qué fue primero el huevo o la gallina? Pag. 5

6 Oh!! Y ahora quien podrá defendernos? Pag. 6

7 Fuente: FBI Pag. 7

8 Conceptos Básicos Sistema de Control Industrial (SCI) es un término general que incluye varios tipos de sistemasde control: SCADA (Supervisory Control and Data Acquisition) DCS (Distributed Control System) PCS (Process Control lsystem) PLC s (Controladores Lógicos Programables) SCI son sistemas de información especializados que interactúan físicamente con el ambiente. Muchos SCI forman parte de la Infraestructura crítica de un país. Pag. 8

9 Sistema SCADA SCADA es un componente vital de muchos sistemas de infraestructura critica. Sistemas Altamente Distribuidos Control de activos geográficamente dispersos (Miles de Kilómetros en ocasiones) Utilizados para la adquisición de Datos Centralizada, Monitoreo y Control Usados en sistemas de distribución : Agua y Drenaje, Petróleo y Gas, Electricidad, Ferrocarril, etc. Componentes PLC s (Controlador Lógico Programable ): Controlar procesos Industriales RTU s (Unidad Terminal Remota): adquirir y transmitir los datos de campo MTU (Servidor SCADA): Tambien llamado MTU (Master Terminal Unit) HMI (Human Machine Interface): Visualizar el proceso y mostrar y ejecutar alarmas Historian: Almacena toda la información de proceso de un Pag. 9 sistema SCADA

10 Redes Tradicionales Pag. 10

11 Incidentes de seguridad SCI Falla en una línea de tubería de gasolina causado por que el sistema de control no pudo llevar a cabo correctamente sus tareas decontrol y monitoreo Este incidente fue reportado en el estado de Washington, en Estados Unidos, año El incidente causo la muerte a tres personas y daños materiales de alrededor de $45 millones de dólares. Pag. 11

12 Ataque al sistema de control del sistema de depuración de aguas de Maroocky Shire, en Queensland (Australia). Varios millones de litros de aguas residuales fueron liberados contaminando ríos y parques, y haciendo el ambiente irrespirable para los ciudadanos. Un hombre de 49 años realizó los múltiples ataques al sistema de control del sistema de depuración de aguas. Los ataques se realizaron utilizando un portátil, equipamiento de radio y aplicaciones de control de la planta, desde el aparcamiento de las instalaciones de la depuradora. El atacante era empleado de la empresa responsable de la instalación del sistema de control, y los ataques fueron en respuesta al rechazo de su solicitud para trabajar en una puesto en el Ayuntamiento de la zona. Pag. 12

13 Falla de un instrumento de control en una presa controlada remotamente El evento sucedió en Estados Unidos, en el año 2005 El incidente causó una pérdida de mas de 450 MW en la hidroestación y un impacto económico y ambiental que no fue dado a conocer Pag. 13

14 Otros Incidentes Gusanos Slammer afectó la operación de la red de una Planta Nuclear de Ohio y deshabilitó los controles de monitoreo por cerca de 5 horas en Enero de Zotob afectó 13 plantas de manufactura de automóviles de Chrysler en 2005, parando su producción por más de una hora. El gusano afectó a la mayoría de los sistemas con Windows 2000, pero también afectó algunos sistemas con Windows XP. Ese mismo gusano afectó a plantas de equipo pesado como Caterpillar Inc., Boeing y algunas periódicos de Norteamérica Pag. 14

15 Stuxnet: En 2010 el gusano Stuxnet logró causar impactos en infraestructuras empresariales y de gobierno en todo el mundo, pero primordialmente en Irán, Indonesia, India y Estados Unidos. primer malware creado específicamente para tomar control de sistemas industriales en vez de robar o manipular datos. La anécdota Se presentó en 2004 cuando en una conferencia de seguridad de la información ió (KEMA Control System Cb Cyber Security Conference), una compañía de electricidad que hacia una demostración en vivo realizó un ataque cibernético real a un sistema de SCADA. El sistema SCADA se paró por dos semanas Pag. 15

16 Algunas cifras Sólo el 10% de los SCI de USA están actualmente conectados a Internet 175 incidentes confirmados en la BD de RISI (Repository of Industrial Security Incidents). La mayoría deincidentes reportados ocurrió en USA. Incidentes en industrias petroleras y químicas han disminuido en más de un 80%, sector de aguas/aguas residuales han aumentado más de un 300% sector energía eléctrica han aumentado en un 30% 25% de los incidentes de seguridad fueron intencionales (ataques dirigidos) Del 75 % restante, la mitad fue causado por malware y la otra mitad tuvo su origen en averías o fallos de algún tipo. Los ataques internos aumentaron un 30 por ciento en los últimos cinco años El impacto financiero i de estos incidentes id sobre las organizaciones i es creciente: durante los últimos cinco años pasados, muchos incidentes pasaron de 10,000 dólares a 100,000 dólares en pérdidas Fuente: 2009 Annual Report on Cyber Security Incidents and Trends Affecting Industrial Control Systems Pag. 16

17 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 17

18 Qué es Seguridad en Sistemas de Control Industrial? El control de acceso a sistemas de control industrial y a la protección de estos sistemas en contra del acceso no autorizado, ya sea intencional o no intencionalmente, así como también de ataques dirigidos o no. Propósito Proteger la información en contra de una amplia gama de amenazas, para así garantizar la continuidad del negocio, minimizar las pérdidas por daños y maximizar el retorno de la inversión y las oportunidades de negocios. Pag. 18

19 Necesidades para la Seguridad en SCI Inseguridad desde el día Uno Protocolos propietarios y no interconectado con el mundo externo. Integración entre redes, donde se expone mas a Internet. Los SCI cada día se exponen mas al mundo externo con ninguna o pocas características de seguridad inherente. Impacto de la Inseguridad Es el camino mas sencillo de deshabilitar la infraestructura crítica de un País. En una pequeña escala se puede tomar la infraestructura de una compañía, p. ej: El sistema it de enfriamiento fi i de un Data Dt Center Reportes falsos de la planta de manufactura. Inhabilidad para detectar pérdidas y paros. Pag. 19

20 Razones El uso de tecnologías de comunicación abiertas como Ethernet ha expuesto aquellos sistemas que anteriormente eran sistemas completamente aislados a amenazas externas Ninguna tecnología se compara con el sistema operativo de Microsoft Windows, el cual se ha convertido en el de facto en la industria Ventajas: Bajo costo de desarrollo, entrenamiento, e implementación Desventajas: La adopción de todas las vulnerabilidades y amenazas del mundo de IT Un cambio de sistemas cerrados a sistemas altamente conectados con redes corporativas y el internet Un ataque a un sistema de control involucrado en el monitoreo y soporte de infraestructura critica de un país, como lo puede ser una planta eléctrica, un oleoducto, o un reactor, puede ocasionar danos irreparables a personas y el medio ambiente Pag. 20

21 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 21

22 Pilares de Seguridad (CID) Importancia TI SCI Confidencialidad Alta Menor Integridad Alta Media Disponibilidad Menor Alta El énfasis esta puesto en : Confidencialidad: Control de Disponibilidad: Que el sistema este acceso a la información. operando todo el tiempo Integridad: mecanismos de cifrado de datos Integridad: Integridad en los mensajes (datos I/O, registros y comandos) Pag. 22

23 Sistemas TI vs. SCI Aspectode seguridad TI SCI Antivirus y Código Móvil Muy común; fácilmente implementado ypuede ser difícil debido al impacto que actualizado pueden tener sobre los SCI. SO propietariosp pueden impactar el Frecuente; en grandes empresas puede ser Gestión de parches desempeño. Requieren aprobación por remota y automatizada parte del fabricante. Vida útil 2 3 años; múltiples proveedores años; mismo proveedor Métodos de auditoría y Métodos modernos inapropiados para SCI. Métodos modernos. Amplioconocimiento. pruebas de seguridad Poco conocimiento. Gestión de cambios Regular y programada; alineada con períodosprogramación estratégica; proceso no de uso mínimo trivial debido al impacto Clasificación de activos Solamente efectuada cuando es Práctica común realizada anualmente; los obligatoria; protección de activos críticos resultados direccionan los gastos en seguridad asociada con costos de presupuesto Fáciles de desarrollar e implementar; algunos Poco común, no más allá de las Respuesta a Incidentes requerimientos regulatorios embebidos en actividades de reanudación del sistema. tecnología Pobre (oficinas) adecuada (sistemas deadecuada (centros de operaciones, Seguridad física y ambiental operación críticos) guardas, puertas de seguridad, etc) Desarrollo de sistemas Parte integral del proceso de desarrollo deusualmente no es parte integral del seguros sistemas desarrollode sistemas Disponibilidad Salidas frecuentes 7 X 24 Pag. 23

24 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 24

25 Conceptos Básicos: Seguridad Percepciones Incorrectas Nuestra Entidad no es blanco de ataques No existe nada en la empresa que valga la pena que se roben Las amenazas son solo externas Tenemos instalado un Firewall entonces estamos protegidos Et Estamos gastandomás que suficienteenseguridad i id d Si pasa algo, podemos asumir la pérdida Después de una falla siempre podemos restaurar el sistema Los problemas ocasionados por los virus siempre son menores Todos los problemas se solucionan comprando equipos Pag. 25

26 Conceptos Básicos: Seguridad Errores Comunes Compartir el usuario o la contraseña No contar con una política de administración de usuarios Conexiones entre la red de control y la red corporativa Instalar software no autorizado No utilizar antivirus en las PCs No contar una correcta gestión de puertos USB Centros de Operación SCADA sin control de acceso Estaciones de trabajo desatendidas Puertos de acceso a la red de control accesibles a cualquier empleado Pag. 26

27 Amenazas Las amenazas se hacen mas complejas conforme el tiempo avanza

28 Amenazas, Vulnerabilidades y Factores de Riesgo Pag. 28

29 Vulnerabilidades más comunes en SCI Fuente: DEPARTAMENTO DE ENERGIA DE USA Acceso Seguridad Pag. 29

30 Metodología de Ataques Los pasospara para unataque típicoson Identificación y selección del objetivo Reconocimiento Acceso al Sistema Mantener el Acceso Cubriendo laevidencia i Pag. 30

31 Un Ejemplo de Ataque Se ganó acceso a una de las estaciones de trabajo conectada directamente a la red de control Se envían comandos a los PLS, RTU s para apagar, prender, causar alguna daño directo algún equipo o proceso Se controla el HMI o la estación completa desde el internet Pag. 31

32 Un Ejemplo de Ataque Se alcanzó el objetivo: el HMI Pag. 32

33 Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION Pag. 33

34 Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION Pag. 34

35 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 35

36 Defensa en Profundidad DATOS Seguridad Lógica Seguridad Fisica Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capa de seguridad, el trabajo del atacante se hace sencillo. Ninguna medida de seguridad y, en un concepto mas amplio, ninguna capa de seguridad es infalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad se aumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar las intrusiones y los ataques justo cuando estos ocurren. La filosofía Defense in Depth establece que: los sistemas de seguridad de un sistema deben ser entendidos y contenidos dentro de capas, cada una independiente de la anterior de forma funcional y conceptual. Pag.36

37 DATOS DATOS APLICACIÓN APLICACIÓN SERVIDORES SERVIDORES RED RED PERIMETRO PERIMETRO SEGURIDAD FÍSICA SEGURIDAD FÍSICA SEGURIDAD FÍSICA PROCEDIMIENTOS PROCEDIMIENTOS Pag. 37 Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION

38 Mitigación Controles de Mitigación Analizar el riesgo y después analizar el costo de mitigación comparado con el costo del incidente Controles Técnicos Herramientas y productos de seguridad como firewalls, IDS, sistemas biométricos i deautenticación, ió etc. Configurar correctamente las aplicaciones SCADA para proveer el correcto control de acceso Controles Administrativos Políticas, procedimientos, y normas de Seguridad Programa de concientización de empleados Controles adicionales Adicionar alguna otra medida de control para compensar Pag. 38

39 Mitigación Controles de Mitigación Capacidad del Adversario Capacidad de Seguridad Ventana de Vulnerabilidad d Pag. 39

40 21 Pasos para Fortalecer la Seguridad en SCI 1.Identifique todas las conexiones hacia la red SCADA 2.Desconecte las conexiones innecesarias hacia la red SCADA 3.Evalúe y endurezca la seguridad de las conexiones remanentes hacia la red SCADA 4.Endurezca la red SCADA removiendo o deshabilitando los servicios innecesarios 5.No confíe ciegamente en los protocolos propietarios de su sistema SCADA 6.Implemente las características de seguridad de los dispositivos y sistemas 7.Establezca fuertes controles sobre cualquier medio que pueda ser usado como puerta trasera dentro de la red SCADA 8.Implemente sistemas de detección de intrusiones internas y externas y establezca monitoreo de incidentes 7x24 9.Realice auditorias técnicas sobre dispositivos y redes SCADA y cualquier otro elemento conectado a la red, para identificar problemas de seguridad 10.Realice evaluaciones de seguridad física y valore todos los sitios remotos conectados a la red SCADA, para determinar la seguridad de cada uno de ellos Pag. 40

41 11. Cree equipos rojos SCADA (Red Teams) para identificar y evaluar posibles escenarios de ataque a la red SCADA. 12.Defina Dfi claramente los roles, responsabilidades d y autoridad dpor la seguridad d del ciberespacio i concerniente a los gerentes, administradores y usuarios 13.Documente la arquitectura de red e identifique sistemas que realizan funciones críticas o contienen información sensitiva y que requieren mayores niveles de protección 14.Establezca un proceso de gestión de riesgos 15.Establezca la estrategia de protección de la red basado en el principio de defensa en profundidad 16.Identifique claramente los requerimientos de seguridad del ciberespacio 17.Establezca un proceso de gestión de configuraciones 18.Realice autoevaluaciones periódicas 19.Establezca un sistema de respaldo (backups) y los planes de recuperación de desastres 20.Obtenga el apoyo de la gerencia para el programa de seguridad del ciberespacio 21.Establezca políticas y realice entrenamientos para minimizar la posibilidad que el personal divulgue información ió sensitiva acerca del ldiseño, operación o controles de seguridad d del sistema it SCADA. Pag. 41

42 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 42

43 Estándares de Seguridad ISA99 El comité ISA SP99 fue formado en Octubre del 2002 Objetivo: mejorar la confidencialidad, la integridad y la disponibilidad de los sistemas o componentes utilizados para manufactura o control y proveer una serie de criterios para la compra e implementación de sistemas de control seguro El comité esta planeando generar estándares, prácticas recomendadas, y reportes técnicos para definir sistemas de control y manufactura con los lineamientos de seguridad propios Los reportes técnicos son enfocados a seguridad en sistemade control Pag. 43

44 ISA99 Los reportes técnicos incorporan información de otros estándares de seguridad y agregan información especifica Los reportes son una muy buena referencia para identificar los problemas que se deben de considerar y para ofrecer opciones de seguridad Pag. 44

45 ISA99 El reporte ISA trata de responder a las siguientes preguntas: Cuáles son los conceptos y términos claves en seguridad d y como están definidos en el contexto? Cuáles son las herramientas apropiadas p para proteger un ambiente de sistemas de control y manufactura? Cuáles son las debilidades y fortalezas típicas de estas herramientas? Cuáles son los actuales problemas técnicos en sistemas de control que afectan la tecnología para aseguramiento de información? Pag. 45

46 ISA99 Elementos de un Sistema de Gestión de Ciberseguridad Pag. 46

47 ISA99 El reporte ISA trata de responder a las siguientes preguntas: Qué constituye un mínimo nivel para establecer programas de seguridad? Cómo puedo generar un caso de negocios para un programa de seguridad en sistemas de control? Cuál es el proceso paso a paso para construir un programa de seguridad? Qué cualidades, d perfiles, y organizaciones i db deben de estar involucradas? Qué elementos claves se deben de agregar al programa para maximizar sus posibilidades d de éxito? Cuáles son algunos problemas típicos que se deben de evitar? Pag. 47

48 ISA99 El reporte ISA trata de responder a las siguientes preguntas: Quiénes deben ser los responsables a corto y largo plazo? Quién debe ser el responsable a nivel ejecutivo en la empresa? Qué hacer cuando el equipo del proyecto desaparezca? Se debe mantener un programa relevante y efectivo en vísperas de cambios en la tecnología y necesidades del negocio? Qué clase y cuántos recursos son necesarios para establecer un programa como estos? Cómo trabajar de una manera efectiva con el departamento de IT y con las organizaciones auditoras? Cuáles son las medidas o variables necesarias para medir la efectividad del programa? Pag. 48

49 ISA99 El reporte ISA trata de responder a las siguientes preguntas: Qué es los que hace tan especial ila un sistema it de control industrial que requiere diferentes políticas, procedimientos y tecnologías? Cuáles son las variables y medidas que se tienen que utilizar para seleccionar, diseñar, construir y mantener seguro a un sistema de control y manufactura? Pag. 49

50 Estándares Seguridad NIST SP Objetivo: proveer de una guía para asegurar sistemas de control industrial, incluyendo sistemas SCADA, DCS y otros sistemas que llevan a cabo tareas de control Publicación inicial: Septiembre de 2006 El alcance de la guía incluye sistemas de control utilizados en la industria: Eléctrica Agua y drenaje Gas y petróleo Química Farmacéutica De alimentos y bebida Manufactura discreta (Automotriz, bienes duraderos, etc) Pag. 50

51 NIST SP NIST creo el proyecto Industrial Control System Security project en colaboración con la comunidad industrial que utiliza sistema de control industrial El objetivo fue desarrollar una guía para la implementación de los controles deseguridad NISTSP800 SP (Recommended Security Controls for Federal Information Systems) a los sistemas de control industrial (con excepciones) Es recomendado dd que el documento no sea tomado como un checklist puro que aplica para todos los sistemas de control Las compañías deben realizar un análisis de riesgo y personalizar las recomendaciones dadas para asegurar sus sistemas de control, los cuales son únicos Identifica las amenazas y vulnerabilidades mas comunes y recomienda algunasprácticas paracontrarrestar estainformación Pag. 51

52 NIST SP Secciones La sección 2 del documento es un repaso de los sistemas SCADA y otros sistemas it de control lindustrial, i así como el análisis i de porque es necesario implementar seguridad La sección 3 provee una discusión de las diferencias entre sistemas tradicionales de IT y sistemas de control industrial, así como una lista de las amenazas, vulnerabilidades e incidentes La sección 4 es un resumen del desarrollo e implementación de un programa poga ade seguridad para a mitigar tga las vulnerabilidades dadesdetectadasdetectadas en la sección 3 La sección 5 provee de recomendaciones para integrar seguridad en las arquitecturas de red encontradas típicamente en el ambiente de sistemas de control industrial, con énfasis en segregación de la red La sección 6 ofrece un resumen del manejo, operación, y controles técnicos identificados en la publicación NIST SP y provee una guía inicial de cómo estos controles aplican a sistemas de control Pag. 52

53 NIST SP Anexos Anexo A da una lista de acrónimos y abreviaciones utilizadas en el documento Apéndice B provee de un glosario de términos usados en el documento Apéndice C es una lista, la cual incluye una corta descripción de algunas de las actuales actividades que se están realizando a nivel seguridad Apéndice D es una lista de las capacidades y tecnologías emergentes que están siendo desarrolladas para los sistemas de control industrial Apéndice E y F son utilizados como referencias Pag. 53

54 NIST SP Familias de Control 171 Controles (Requerimientos) Control de Acceso Concientización y entrenamiento Auditoría Certificación, Acreditación, y Revisiones de Seguridad Gestión de configuración Planeación de Contingencias Identificación y autenticación Respuesta a Incidentes Mantenimiento Protección de medios Seguridad física y ambienta Planeación Seguridad en el personal Evaluación l ó de riesgos Adquisición de sistemas y servicios Protección de sistemas y comunicaciones Sistemas e Información Pag. 54

55 Estándares Seguridad NERC-CIP CIP Objetivo: proveer de una guía para asegurar sistemas de control industrial en el sector de electricidad Considera como base las Normas NERC CIP a la CIP de Enero de 2011, las cuales tratan: CIP 002 4: Definición de ciber activos críticos CIP 003 4: Controles enla gestión de seguridad e información (Políticas, liderazgo) CIP 004 4: Personal y entrenamiento CIP 005 4: Perímetros de seguridad electrónica CIP 006 4: Seguridad física CIP 007 4: Gestión del sistema de seguridad CIP 008 4: Reporte de incidentes y planes de respuestas CIP 009 4: Planes de recuperación para ciber activos críticos Pag. 55

56 Estándares de Seguridad Cobertura por Estándar ISO ISA TR99 01 ISA TR99 02 NIST NERC CI P API 1164 AGA Repo ort No. 12f f Políticas de Seguridad de la Información X X X X X X X Gestión de Vulnerabilidades y Riesgos X X X X Seguridad Organizacional X X X X X Clasificación y Control de Activos X X X X X X Seguridad en el personal X X X X X X X Seguridad física y ambiental X X X X X X X Gestión de operaciones y comunicaciones X X X X X X X Control de acceso X X X X X X X Desarrollo y mantenimiento i de Sistemas X X X X X X Gestión de incidentes X X X X Gestión de continuidad del Negocio X X X X X X X Cumplimiento X X X X Pag. 56

57 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 57

58 Marco estratégico para implementar Defensa en Profundidad d Pag. 58

59 Marco general Mapeo de Arquitectura de Red Entrenamiento Respuesta a Incidentes Modelo de Seguridad Proactiva Análisis de Riesgos Identificación ió de Activos Creación de Perfil Estandarizar Políticas Identifica/Elimina Vulnerabilidades Pag. 59

60 Construcción de la Hoja de Trabajo Reto: Seleccionar el Estándar Adecuado Pag. 60

61 Comparación de Estándares Se realiza con base en los siguientes criterios: Satisfacción de atributos de un sistema de información confiable Cubrimiento frente al marco regulatorio y de cumplimiento Riesgos generados por su no aplicación Pag. 61

62 Consideraciones y factores críticos de éxito La selección de un estándar de seguridad debe formar parte de las decisiones de la Dirección El análisis de riesgos es fundamental e independientemente del estándar que se seleccione El ciclo de vida de la seguridad es elemento fundamental en la selección e implementación de estándares Independientemente del estándar seleccionado el reto es grande. Estándares fundamentales para el avance progresivo en seguridad de la información: Administración de Riegos (AS/NZ 4360), ISA 99, NIST , NERC CIP, ISO Complementar con: PMBOK La combinación sugerida garantiza el cumplimiento de otros estándares Armar el rompecabezas de la seguridad es responsabilidad de la organización Pag. 62

63 Integración Finalmente se puede llegar a construir un framework propio de la organización que integre los aspectos seleccionados de los diferentes estándares Estructura del Framework de Seguridad Pag. 63

64 Manual de Seguridad de la Información para Sistemas de Control Industrial Pag. 64

65 Si es posible Un Caso de Éxito Entregable 1: Ejecutar el plan de visitas de diagnóstico de seguridad de la información para 10 estaciones de poliductos y SCI. Entregable 2: Realizar el respectivo análisis de vulnerabilidades tecnológicas y/o administrativas teniendo en cuenta los resultados obtenidos en las visitas y sugerir los planes de mitigación necesarios para cerrar brechas identificadas. Pag. 65

66 Entregable 3: Crear rutinas de mantenimiento, instructivos, formatos, documentos base, entre otros, que permitan mantener la seguridad local en niveles apropiados para la operación, con base en la norma ISA 99 y otros documentos relacionados con buenas prácticas de seguridad de la información en sistemas de control industrial. Entregable 4: Desarrollar e implementar plan de aseguramiento de transferencia tecnológica para la seguridad de la información en sistemas decontrol industrial. Entregable 5: Validar avance en aspectos de seguridad de la información ensistemas de control industrial teniendo en cuenta las actividades desarrolladas en la última revisión y los resultados de la consultoría de seguridad de la información inicial. Pag. 66

67 Agenda Introducción Qué es la seguridad para sistemas de control industrial? Comparación entre el Mundo TI vs. Mundo SCADA Amenazas, vulnerabilidades, riesgos y tipos de ataques Defensa en profundidad aplicada a los sistemas de control industrial Uso de estándares y metodologías para proteger infraestructura crítica Creación de un programa de seguridad y factores críticos de éxito Conclusiones Pag. 67

68 Conclusiones SCI están experimentando hoy en día un creciente número de vulnerabilidades. El objetivo de asegurar los ambientes de SCI es reducir la exposición general a vulnerabilidades. No es apropiado prenteder que la solución es intentar remediar cada vulnerabilidad individualmente. Tratar con la seguridad es un proceso continuo que debería estar embebido firmemente en todos los niveles de la organización y todos los procedimientos y gestión del ciclo de vida de aprovisionamiento. La seguridad se debe trabajar bajo un enfoque holístico. La seguridad en SCI está aún en nivel de madurez 1 en nuestra región (Incipiente). Pag. 68

69 Countermeasure Risk Time Monitoring Preguntas? mitigation for Cost analysis Benefit enables performance A quick Analysis management performed review to is performed Last identify make chance informed and to to apply countermeasures estimate decisions continually questions i t the regarding assess before cost that of t could countermeasures the moving security be expected on posture and to mitigate to analysis of analyze the organization against vulnerabilities the of benefits known as concern relates risk of to a to management implementing system(s) threats st and the countermeasures vulnerabilities 2008 Santiago Chile Pag. 69

70 Gracias / Thank you / Obrigado! CARLOS VILLAMIZAR R. CISA, CISM, CGEIT, CRISC, CobiT Foundation Certificate, ISO27001 LA cvillami@telecom.com.co Pag. 70