SEGURIDAD INFORMÁTICA PARA SISTEMAS DE OPERACIÓN. Normativa internacional y trabajos del CIGRE

Tamaño: px

Comenzar la demostración a partir de la página:

Download "SEGURIDAD INFORMÁTICA PARA SISTEMAS DE OPERACIÓN. Normativa internacional y trabajos del CIGRE"

María Concepción Vidal Quintero
hace 6 años
Vistas:

1 SEGURIDAD INFORMÁTICA PARA SISTEMAS DE OPERACIÓN Normativa internacional y trabajos del CIGRE

2 A qué afecta la Seguridad? DISPONIBILIDAD Los ataques pueden bloquear funciones del SAS Pueden tener más impacto que las averías El impacto puede no limitarse a una sola subestación FIABILIDAD El funcionamiento del SAS puede degradarse ECONOMÍA Pérdidas económicas de la NO seguridad

3 Entorno de Seguridad INTERNAS EXTERNAS AMENAZAS VULNERABILIDADES PROTECCIÓN ARQUITECTURA CONFIGURACIÓN OPERACIÓN MANTENIMIENTO RIESGOS REDUCIR DISPONIBILIDAD CONFIABILIDAD SAS LAS NORMAS CONTRIBUYEN A: - Análisis correcto de riesgos - Medidas adecuadas al entorno

4 Orientación Normativa

5 Jerarquía Normativa IEC Sistema de gestión de la seguridad IEC Implementación de la seguridad para sistemas de Operación IEC Protección de sistemas de Operación SAS, Centros de Control, etc. IETF Detalles de implementación de protocolos y algoritmos

6 Normativa Internacional IEC Security for Automation and Control Systems Define los conceptos genéricos de seguridad que aplican a los sistemas de automatización y de aplicaciones críticas Se utiliza para definir dominios de seguridad

7 Normativa Internacional IEC Power System Management and associated Information Exchange Data and Communication Security Identifica amenazas, define requerimientos de seguridad y especifica medidas de protección para sistemas P&C

8 IEC 62443

9 Contenido IEC 62443

10 Conceptos Incluidos Responde al objetivo de diseñar sistemas de automatización robustos y resistentes a ataques informáticos Identifica aspectos clave que influyen en la disponibilidad Procesos, Tecnología y Personas Analiza la seguridad en todo el ciclo de vida del producto/sistema Se utiliza para definir dominios de seguridad

11 Parte General IEC Models and Concepts Introducción a los conceptos generales de seguridad en los sistemas de automatización Zonas, niveles de seguridad, etc. IEC Glossary of Term IEC Conformance Metrics Definición de métricas, requerimientos para acceso remoto, gestión de versiones, configuración, etc. IEC Product Development Requirements Ciclo de vida de la seguridad

12 Políticas y procedimientos IEC Security Management System Introducción a los componentes de un sistema de gestión de la seguridad IEC Implementation Guide of a Management Security System Política de seguridad, organización, RRHH, activos, control de acceso, etc. IEC Patch Management Problemas asociados a la gestión de versiones IEC Security Requirements for Service Providers

13 Aspectos del Sistema IEC Security Technologies Autentificación, gestión y distribución de claves, encriptación, detección de intrusión, etc. IEC Security Risk Assessment Metodologías de análisis de riesgos IEC System Security Requirements Identificación y control de uso, confidencialidad, disponibilidad de recursos, etc.

14 Componentes IEC Secure product development lifecycle requirements Implementación segura, verificación y validación. IEC Security requirements for components Control de uso, integridad, confidencialidad, etc.

15 Factores que determinan la Seguridad PERSONAS PROCESO TECNOLOGÍA SEGURIDAD

16 Evaluación de riesgos Identificar amenazas Identificar vulnerabilidades Determinar consecuencias e impacto Realizar la matriz de Impacto Probabilidad Determinar objetivos de seguridad Identificar y evaluar protecciones existentes Calcular error residual Si no es aceptable incrementar las medidas de seguridad Documentar los resultados

17 Matriz Riesgo Impacto

18 IEC 62351

19 IEC 62351Ed2 Un enfoque práctico con medidas concretas Analiza el entorno de Sistemas de operación Elementos a proteger Amenazas y remedios Define como asegurar los protocolos de Operación Aplicación directa en subestaciones Se utiliza para proteger el SAS y configurar equipos IEDs, Switches, Firewalls

20 Contenido IEC IEC Introduction IEC Glossary of terms IEC Profiles including TCP IEC Security for profiles that incide MMS IEC Security for IEC IEC Security for IEC profiles IEC Security through network and system management

21 Contenido IEC IEC Role-Based Access Control for power System Management IEC Key Management for Power System equipment IEC Security Architecture Guidelines IEC Security ofr XML files IEC Resilience and security recomendations for Power Systems with DERs IEC Guidelines on what security topics should be covered in standards and specifications

22 Estructura Norma IEC 62351

23 Requerimientos básicos Confidencialidad Prevenir el acceso no autorizado a la información Integridad Prevenir la modificación no autorizada o el robo de información Disponibilidad Prevenirla denegación de servicio (DoS) y asegurar el acceso a información o servicios de las aplicaciones o personas autorizadas No repudiación Prevenir que un usuario pueda negar que ha realizado una acción

24 Principales amenazas Indiscreciones del personal Claves de acceso prestadas a compañeros, etc. Saltarse los controles Se desactivan los sistemas de control de acceso No se cambian los passwords por defecto, etc. Empleados descontentos Disponen de información privilegiada para realizar ataques complejos

25 Principales amenazas Man-in-the-middle Alguien se pone en medio del canal y altera la información Violación de autorización Acciones no autorizadas Agotar recursos

26 Tipos genéricos de ataques Escuchas Modificación Implantación en el sistema Interacciones Denegación de servicio Negar el evento

27 Requerimientos, Amenazas y Ataques

28 Attacks and Countermeasures

29 IEC RBAC Especifica un sistema de control de acceso seguro basado en el rol del usuario y/o aplicaciones Basado en el principio de mínimos privilegios Contrapuesto al acceso por niveles RBAC es un componente fundamental del sistema de Autentificación, autorización y Registro de acceso Incluye todo tipo de accesos Local A través de HMI Remoto Incluye mecanismos para asegurar la interoperabilidad No incluye reglas para definir Passwords

30 Roles Genéricos

31 El Role de Cigre IETF W3C DOMINIO INTERNET CIGRE EXPERIENCIA Y APLICACIONES EEs IEC IEEE R&D Y NORMATIVA NORMATIVA INTERNATIONAL

32 Trabajos del Cigre WGD2.40 Cyber Risks and Cyber security Cloud services, cyber security regulations, etc. WGD2.38 Manage the response to cyber attacks What should we do if we suffer an attack? TB-615 Security architecture principles Graded security methodology TB-603 Cyber protection of Protection & Control Protection of SAS. Remote access TB-427 Cyber protection using IEC Protection of IEC SAS TB-419 Treatment of Information Security Security protection of Operational systems TB-317 Security of Information Systems Framework for managing cyber security

33 Temas incluidos en los TBs Concepto de Dominio y su aplicación para sistemas de Operación (OT) Metodologías de análisis de Riesgos para OT Enfocado en Automatización de Subestaciones (SAS) Como utilizar las normas Guías y mejores prácticas Definición de un entorno de seguridad para OT Guía sobre las tecnologías de seguridad informática Consideraciones específicas para Protección & Control Recomendaciones y soluciones practicas Vulnerabilidades específicas de P&C Acceso Remoto Implementación de la Seguridad Gradual para el SAS Técnicas de modelado de ataques

34 Temas en desarrollo Guía sobre como gestionar amenazas informáticas Cómo responder a los ataques? Impacto de leyes y regulaciones gubernamentales Gestión de Patch Ataques internos Desafíos de la seguridad de las Nubes Recomendaciones sobre el uso de los servicios de Nube por las empresas eléctricas

35 Aspectos importantes En las encuestas internacionales realizadas por el Cigre se han identificado los siguientes aspectos importantes Las empresas eléctricas no disponen de las herramientas necesarias para responder de una forma contundente a las amenazas de seguridad informática Centro Gestor de seguridad Personal capacitado Herramientas informáticas

36 Aspectos importantes Es necesario definir un entorno específico de seguridad informática para subestaciones Hay que definir como deben utilizarse las normas existentes y su aplicabilidad al SAS Se debe definir un perfil de seguridad del SAS El entorno de seguridad debe ser flexible Capacidad para adaptarse a las amenazas cambiantes Capaz de adaptarse a las nuevas normativas o regulaciones gubernamentales Criterios de gestión de patch Como superar una vulnerabilidad cuando no hay posibilidad de actualización Procedimiento para autorizar la instalación de un nuevo Patch

37 Conclusiones G7 Crear una cultura de la Seguridad informática en la empresa Compromiso de la alta dirección Evaluar y monitorizar los Riesgos Mitigar los Riesgos para alcanzar un nivel aceptable Gestionar los incidentes de seguridad Capacidad de respuesta adecuada al incidente Implementar un proceso de mejora continua de la seguridad Crear los recursos necesarios Equipamiento, capacitación, organización, etc. Protegerse en el mercado de la energía frente a los efectos de los ataques Contratar un seguro para proteger los efectos económicos Cooperar con el gobierno para definir regulaciones coherentes Compartir información sobre los ataques con otras empresas de confianza No se puede proteger lo que no se conoce

38 Conclusiones La falta de seguridad informática afecta a la Disponibilidad y la Fiabilidad Se debe incorporar la seguridad a todos los procesos de ingeniería Aplicar la normativa internacional optimiza los resultados a largo plazo Medidas de protección adecuadas y optimizadas Los trabajos como de CIGRE contribuyen a optimizar la implantación de la seguridad

39 GRACIAS POR SU ATENCIÓN!

Documentos relacionados

Principios de diseño de la. Seguridad Informática de los. Sistemas de Operación

Principios de diseño de la. Seguridad Informática de los. Sistemas de Operación 1 Principios de diseño de la Seguridad Informática de los Sistemas de Operación 2 INTRODUCCIÓN 3 Pullnet Technology Soluciones ICT para la automatización del sector eléctrico IEC 61850 Seguridad informática