INFRAESTRUCTURA CRÍTICA CIBERNÉTICA

Transcripción

1 INFRAESTRUCTURA CRÍTICA CIBERNÉTICA CN. José William Hernandez Murillo Jefe de Estado Mayor CCOC 25 Febrero de 2016

2 INFRAESTRUCTURAS CRÍTICAS CIBERDEFENSA Es el empleo de las capacidades militares ante amenazas o actos hostiles de naturaleza cibernética que afecten la sociedad, la soberanía nacional, la independencia, la integridad territorial, el orden constitucional y los intereses nacionales. Fuente: Ministerio de Defensa. CIBERSEGURIDAD Es el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y desarrollo, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse buscando la disponibilidad, integridad, autenticación, confidencialidad y no repudio, con el fin de proteger a los usuarios y los activos de la organización en el ciberespacio. Fuente: Adaptación definición ITU. INFRAESTRUCTURA CRÍTICA CIBERNÉTICA Son las infraestructuras estratégicas soportadas por Tecnologías de Información y Comunicaciones (TIC) o Tecnologías de Operación (TO), cuyo funcionamiento es indispensable, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Fuente: Ministerio de Defensa.

3 QUINTO DOMINIO Espacio Aire Ciberespacio Tierra Mar

4 Características Origen AMENAZAS CIBERNÉTICAS Interna Amenaza Externa Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Características Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Origen Impacto Ciberterrorismo Cibercrimen Espionaje Militar Fuentes Ciberguerra Espionaje Económico y Político Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Impacto Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU - Fuentes 4

5 INFRAESTRUCTURAS CRÍTICAS Los necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.

6 Infraestructura Crítica Fuente:

7 Sectores Estratégicos

8 Estados Unidos Hay 16 sectores de infraestructura crítica, cuyos activos, sistemas y redes, ya sea físico o virtual, se considera tan vital para los Estados Unidos de que su incapacitación o destrucción tendría un efecto debilitante sobre la seguridad, la seguridad económica nacional, la salud pública nacional, la seguridad, o cualquier combinación de los mismos.

9 Estados Unidos Hay 16 sectores de infraestructura crítica, cuyos activos, sistemas y redes, ya sea físico o virtual, se considera tan vital para los Estados Unidos de que su incapacitación o destrucción tendría un efecto debilitante sobre la seguridad, la seguridad económica nacional, la salud pública nacional, la seguridad, o cualquier combinación de los mismos.

10 Estados Unidos

11 Canadá

12 Canadá

13 Australia

14 España Las Infraestructuras Críticas según el Plan Nacional de Protección de Infraestructuras Críticas se pueden dividir en 12 sectores estratégicos: 1. Centrales y redes de energía 2. Tecnologías de la información y las comunicaciones 3. Sistema Financiero y Tributario (por ejemplo, banca, valores e inversiones) 4. Sector sanitario 5. Espacio 6. Instalaciones de Investigación 7. Alimentación 8. Agua (embalses, almacenamiento, tratamiento y redes) 9. Transportes (aeropuertos, puertos, instalaciones intermodales, ferrocarriles y redes de transporte público, sistemas de control del tráfico) 10. Industria Nuclear 11. Industria Química 12. Administración (servicios básicos, instalaciones, redes de información, activos, y principales lugares y monumentos nacionales).

15 GUÍA INFRAESTRUCTURA CRÍTICA CIBERNÉTICA PARA COLOMBIA MY. Milena Elizabeth Realpe Díaz Jefe de Prospectiva CCOC Ing. Samuel Gonzalo Pinzón Barrios (ECOPETROL) 25 Febrero de 2016

16 ICC EN COLOMBIA colcert Heterogeneidad Complejidad Interdependencia Identificación, priorización y catalogación de las infraestructuras críticas. Ciberdefensa de las infraestructuras críticas Sectores Estratégicos CCOC

17 GUERRA TERRORISMO ESPIONAJE CRIMEN ARMAS SABOTAJE AMENAZAS A LA ICC CIBERESPACIO CIBERDEFENSA

18 GRUPO INTERSECTORIAL Secreto

19 Gobierno 13 - Sectores Colombia Agricultura Alimentación Seguridad y Defensa ACTIVOS CRÍTICOS NACIONALES BASADO EN GESTION DE RIESGOS Transporte TIC CATÁLOGO INFRAESTRUCTURA CRITICA CIBERNÉTICA Junio-2016 Agua Electricidad Información de Seguridad y Defensa Nacional 2017 Salud y Protección Social Financiero Ambiente Educación Fase I Fase II Fase III Industria, Comercio y Turismo Minero - Energético

20 Colombia Gobierno Seguridad y Defensa TIC Electricidad Financiero Educación Minero-Energético Industria, Comercio y Turismo Ambiente Salud y Protección Social Agua Transporte Agricultura y Alimentación

21 Línea de Tiempo Consolidación de acuerdo a formatos por cada Sector Entrega Información a CCOC Consolidación, Catalogación y Priorización por parte del CCOC Documento Sectores Estratégicos de Colombia V1 Documento Sectores Estratégicos de Colombia V2 Documento Sectores Estratégicos de Colombia Versión Final Catálogo Nacional ICC enviado a UGG-MDN Catálogo Nacional ICC para revisión Catálogo Nacional ICC Versión Final Notificación Oficial a propietarios de ICC Firma de convenios Inicio desarrollo Planes de protección y Defensa Ene-Abril Mayo Junio Julio Agos Sep Oct Nov Dic Elaboración, revisión y aprobación nuevo CONPES Elaboración, revisión y aprobación Modelo Nacional de Gestión de Riesgos Aplicación Modelo Nacional de Gestión de Riesgos

22 Documentación ICC Sectores de Infraestructuras Críticas: Un documento que describe los sectores estratégicos de Colombia, que cuentan con al menos un servicio esencial que depende de infraestructura de Tecnología de Información o Comunicaciones o Tecnología de Operación ara su correcto funcionamiento. El Catalogo Nacional de Infraestructuras Críticas La documentación contenida en el Catálogo Nacional de Infraestructuras Estratégicas (se trata de información completa, actualizada y contrastada sobre la totalidad de las infraestructuras estratégicas en el territorio nacional, su ubicación, titularidad, servicio que presta, nivel de seguridad que precisan, etcétera), será calificada como SECRETA, dada la alta sensibilidad para la seguridad y defensa nacional de la información contenida en dicho Catálogo.

23 Guía IICC-CCOC Basado en: Framework for Improving Critical Infrastructure Cybersecurity. NIST. Febrero 2014.

24 Guía IICC-CCOC

25 Diagrama de Conceptos

26 Diagrama de Conceptos

27 Actividades de ICC

28 Servicios Esenciales

29 Taxonomía

30 Criterios de Criticidad

31 CASO PRACTICO Sector Recursos Minero - Energéticos Ing. Samuel Gonzalo Pinzón Barrios (ECOPETROL S.A.) 25 Febrero de 2016

32 Actividades Paso a Paso No. Nombre Responsable Descripción Identificar los servicios esenciales, según definición de la sección 4. Glosario. Identificar los sectores y subsectores estratégicos que soportan los servicios esenciales. Identificar empresas/organizaciones que cuentan con infraestructura estratégica cibernética basados en los servicios esenciales para el país. Identificar la infraestructura estratégica cibernética dentro de cada empresa/organización identificada, que soporta los servicios esenciales. Aplicar la tabla de variables de criticidad a la infraestructura estratégica cibernética identificada en el punto 4, considerando una afectación tal que impida la prestación del servicio por causa de la materialización de una amenaza cibernética. Consolidar el listado de infraestructura crítica cibernética. Generar catálogo de infraestructura crítica cibernética. Cada Sector Cada Sector Coordinador del Sector / Empresas del Sector Coordinador del Sector / Empresas del Sector Coordinador del Sector / Empresas del Sector CCOC Mesa Nacional CCOC Mesa Nacional Generar el listado de servicios esenciales vs. sectores/subsectores estratégicos empleando el formato descrito en la sección 6.2. General el listado de empresas que prestan servicios esenciales. Generar el listado de infraestructura estratégica cibernética, empleando la taxonomía descrita en la sección 6.3. Diligenciar el catálogo de infraestructura crítica cibernética descrito en la sección 6.4, empleando los criterios horizontales de criticidad descritos en la sección 6.5. Analizar y depurar la información enviada por los sectores y en caso requerido solicitar aclaraciones o correcciones. Consolidar la información enviada por los sectores para generar el catálogo de infraestructura crítica cibernética del País.

33 Actividades Paso a Paso Catálogo de Infraestructura Crítica Sector Cibernética 2 Sector Estratégico 1 SERVICIOS ESENCIALES Sector Estratégico 2 Sector Estratégico n Sector Subsector Subsector Servicio esencial Justificación Estratégico Estratégico Explicación del por qué es Subsector 1.1 Descripción Empresas del Sector 3 esencial (Máximo 80 palabras) Sector 1 Subsector 1.2 Subsector 1.3 Subsector 2.1 Subsector Sector n Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.

34 Marco Conceptual Catálogo de Infraestructura Crítica Cibernética In Sector Estratégico 1 Subsector Estratégico Infraestructura Estratégica Subsector Estratégico SERVICIOS ESENCIALES Sector Estratégico 2 Infraestructura Estratégica Cibernética Sector Estratégico n Empresas del Sector Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.

35 Criterios horizontales de criticidad Marco Conceptual Sector Estratégico 1 Subsector Estratégico Subsector Estratégico SERVICIOS ESENCIALES Sector Estratégico 2 Sector Estratégico n Empresas del Sector Impacto medioambiental 3 Impacto social Infraestructura Impacto Estratégica económico PIB de Catálogo de un día ó 0.123% del PIB Infraestructura 0,5 % Población Nacional Anual 4 Crítica Cibernética Infraestructura Crítica personas ,13 3 años Cibernética In Infraestructura No Crítica Infraestructura Crítica Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.

36 Criterios horizontales de criticidad Marco Conceptual Catálogo de Infraestructura Crítica Cibernética Infraestructura Estratégica In Sector Estratégico 1 Subsector Estratégico Subsector Estratégico SERVICIOS ESENCIALES Sector Estratégico 2 Sector Estratégico n Empresas del Sector Infraestructura Crítica Cibernética Infraestructura No Crítica Infraestructura Crítica Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.

37 Caso práctico: Identificación de Infraestructura Crítica ECOPETROL Ejemplo ilustrativo

38 Caso práctico: Identificación de Infraestructura Crítica ECOPETROL Ejemplo ilustrativo Sector Subsector Empresa Contacto Principal Infraestructura Crítica Cibernética (Use la taxonomía de la sección 6.3) Nombre: Correo Electrónico: Teléfono: Subsector Contacto Suplente: Correo Electrónico: Teléfono: Una afectación tal que impida la prestación del servicio por causa de la materialización de una amenaza cibernética en la ICC ocasionaría un impacto: Social Económico Medioambiental Nombre Descripción general de la ICC. Incluye: qué soporta?, ubicación (ciudad) Incluya el número estimado de la población afectada. Incluya el % estimado de afectación en el PIB. Incluya el número de años estimado de recuperación.

39 Siguientes pasos Identificación de Activos IT/OT Riesgos Activos Críticos IT/OT Verificación / Mejora Gestión de Activos Acciones de Tratamiento Catálogo Infraestructura Crítica Cibernética Implementación

40 GRACIAS Tel. SOC: Celular Servicio: