LA CIBERSEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS Modelo español

Transcripción

1 LA CIBERSEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS Modelo español Jose Luis Bolaños Ventosa Director de Security Gas Natural Fenosa 23 de Mayo de 2018

2 El comienzo 1

3 Nos enfrentamos a un nuevo mundo 2

4 Estamos preparados? Maersk estima Económico millones de dólares el impacto directo económico del ciberataque del malware Petya de Los datos de IMPACTO Reputación 140 millones de personas filtrados en el hackeo a Equifax, una de las mayores agencias crediticias. 80% Operación Incremento del número de ciberataques en Oil & Gas. personas sin electricidad durante 6 horas por los efectos del virus BlackEnergy en Ucrania, Las víctimas españolas del cibercrimen Wannacry provoca un irreparable daño reputacional acumularon en 2017 pérdidas por valor de millones de 140 M. dólares. ocasionando unas pérdidas directas en el mundo de Filtradas más de 87 Facebook con datos personales millones de cuentas de equipos informáticos de la petrolera saudí Aramco inutilizados por un ataque informático, paralizando operaciones.

5 Ciberataques industriales relevantes Smart meters hackeados Scada system Ciberataque en remoto al sistema de distribución de agua en Illinois Compañía petrolera atacada via watering hole attacking Ukraine Power Grid Acceso en remoto a red eléctrica ucraniana La ciberguerra comenzó con Stuxnet Shamoon Ataque cibernético a la mayor petrolera de Arabia Saudi Sandworm Hackers rusos acceden a la red de infraestructuras críticas en EE. UU. Wannacry Difusión masiva de ransomware a nivel global 4

6 Gestionar los ciberriesgos Acelerar es uno de los pilares el cambio fundamentales de nuestra compañía

7 1. Antecedentes y marco regulatorio 2. Modelo Infraestructuras críticas en España 3. Enfoque Gas Natural Fenosa 4. Ciberseguridad en Infraestructuras críticas 6

8 Qué son las infraestructuras críticas? Conjunto de activos esenciales para el funcionamiento de una sociedad y de su economía. Necesarias para suministro de servicios esenciales. Indispensables no hay solución alternativa De carácter públicos y privados Con grave impacto sobre la sociedad 7

9 Antecedentes y marco regulatorio. Europa Programa Europeo de Protección de Infraestructuras Críticas (PEPIC) publicado en el año Directiva 2008/114 del Consejo de la Unión Europea, de 8 de diciembre. 8

10 Antecedentes y marco regulatorio. España Plan Nacional para la Protección de las Infraestructuras Críticas, de 7 de mayo de 2007 Centro Nacional para la Protección de las Infraestructuras Críticas, de 2 de noviembre de 2007 Ley PIC. Ley 8/2011, de 28 de abril Real Decreto 704/2011, Reglamento que desarrolla la Ley PIC Estrategia de ciberseguridad nacional, año 2013 Estrategia de seguridad nacional, Real Decreto 1008/2017, 1 diciembre

11 Modelo infraestructuras críticas en España CITCO CNPIC Operadores Críticos CERTSI - INCIBE Fuerzas y cuerpos de seguridad CCI 10

12 Modelo infraestructuras críticas en España 11

13 Enfoque Gas Natural Fenosa. Nuestro proyecto Visión integrada entre Unidades de Negocio y Áreas Corporativas Contemplando situaciones de Contingencia, Recuperación y Crisis Metodología única, integrando entorno físico y cibernético Se contemplan nuevos escenarios de riesgo Proyecto Incrit 12 Coordinación con Organismos Públicos y Privados

14 Enfoque Gas Natural Fenosa. Alcance del proyecto InCrit Dotar a la Compañía de una estrategia para la protección de las infraestructuras críticas Desplegar la estrategia diseñada en cada IICC a través de las iniciativas contenidas en los Planes de Protección Específicos Aplicar criterios de protección a Infraestructuras Esenciales según CNPIC

15 Enfoque Gas Natural Fenosa. Líneas de acción Proyecto InCrit Diagnóstico Framework Productos y Análisis de riesgos Organización Marco de control servicios Plan de seguridad del operador Planes de protección específicos Seguridad física Ciberseguridad Resiliencia Coordinación y relación pública Organismos oficiales Asociaciones y grupos de trabajo internacionales Asociaciones y grupos de trabajo del sector energético y del agua 14 Monitorización

16 Enfoque Gas Natural Fenosa. Modelo relación Incrit Responsable de Seguridad y Enlace Delegado de Seguridad de IICC PROYECTO INCRIT CISO/ Responsable TI corporativo 15

17 Cómo afrontamos la ciberseguridad en Gas Natural Fenosa Cibercrimen Hacktivismo Fraude Ciberterrorismo Cibercrisis

18 Ciberseguridad en Gas Natural Fenosa. Contexto actual ACTORES TECNICAS VULNERABILIDADES IMPLICACIONES Script kiddies / Cyber Vandalismo Empleados de confianza hacktivistas Corporaciones CiberCriminales Ingeniería social Malware Ciberespionaje Denegación de servicio Acceso externo Generación Instalaciones de generación Redes de comunicación Transmisión y Distribución (SCADA) system Seguridad nacional Interrupción negocio Daño físico a infraestructuras Impacto en las personas Impacto redes eléctricas Ciberterroristas Consumo Pérdidas económicas Estados Smart meters Daños medioambientales Fuente: cybersecurity in utilities. Alfa Consulting, Cordence Worldwide

19 Ciberseguridad en Gas Natural Fenosa. Vigilancia y resiliencia SOC de Infraestructuras Críticas Aumentamos nuestra capacidad operativa para gestionar incidentes que puedan detectarse en las Infraestructuras Críticas. Uno de los primeros referentes en el sector energético 18

20 Ciberseguridad en Gas Natural Fenosa. Vigilancia y resiliencia El valor que aporta conocer y anticipar situaciones de riesgo y reaccionar ante cualquier incidente Servicios Centro Industrial Gestión del Servicio e Incidencias Monitorización dispositivos Prevención de Malware Respuesta ante incidentes PMO Heading Seg. Física Atención Usuarios Comunicaciones Automatización de la seguridad Oficina de Gobierno in Verdana Regular Área de sistemas Gestión de vulnerabilidades Control de Acceso Correlación de eventos Seguridad SSII Inteligencia y madurez Proveedores 19 CERT privado

21 Muchas gracias Esta presentación es propiedad de Gas Natural Fenosa. Tanto su contenido temático como diseño gráfico es para uso exclusivo de su personal. Copyright Gas Natural SDG, S.A.