SGPIC - Sistemas de Gestión de Protección de Infraestructuras críticas CARLOS VILLAMIZAR R. Director Desarrollo de Negocios LATAM CISA, CISM, CGEIT, CRISC, CFC, ISO27001 LA, ISO 22301 LI
AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.2
AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.3
Introducción Ficción? Pág.4
Introducción O realidad? Qué fue primero el huevo o la gallina? 21/09/2016 Pág.5
Introducción Homeland Security: Control Systems Security Program National CyberSecurity Division Defense in depth 2004: PEPIC Programa Europeo de Protección de Infraestructuras Críticas Directiva 2008/114 Lineamientos de Política para Ciberseguridad, Ciberdefensa y Seguridad Digital CONPES 3701 2011 CONPES 3854-2016 Ley 8/2011: Protección de Infraestructuras Críticas Pag. 6
AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.7
Definiciones Infraestructura crítica cibernética nacional: aquella soportada por las TIC y por tecnologías de operación, cuyo funcionamiento es indispensable para la prestación de servicios esenciales para los ciudadanos y para el Estado. Su afectación, suspensión o destrucción puede generar consecuencias negativas en el bienestar económico de los ciudadanos, o en el eficaz funcionamiento de las organizaciones e instituciones, así como de la administración pública. CONPES 3854 Pag. 8
Definiciones Quienes son infraestructuras críticas? Qué servicios críticos brindan? Qué amenazas afectan la seguridad / disponibilidad de tales servicios críticos? Cómo garantizar a la comunidad que no se verá afectada por la suspensión de servicios críticos? Pag. 9
Definiciones Concepto de SGPIC Es la suma de Sistema de Gestión + Protección de Infraestructura Crítica SG PIC SGPIC Por qué crear un Sistema de Gestión para la Protección de Infraestructuras Críticas? R/ La idea parte de la necesidad de gestionar adecuadamente la seguridad y continuidad de los servicios esenciales. Pag. 10
Definiciones Concepto de SGPIC Modelo para la definición, implementación, mantenimiento y mejora continua de un sistema de gestión para la protección de infraestructuras críticas Pag. 11
AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.12
Capacidad de Seguridad Cibernética El modelo de madurez de la capacidad de seguridad cibernética es una medida que permite calificar su madurez desde inicial (1) hasta dinámico (5). Inicial Formativo Establecido Estratégico Dinámico 1 2 3 4 5 Estatus actual Promedio Meta 1- Nada existe / naturaleza embrionaria. 2- Elementos casuales, desorganizadas, mal definidas. 3- Elementos establecidos y funcionando, mala asignación de recursos. 4- Se logra el resultado esperado de circunstancias particulares 5- Se logra adaptar la estrategia en función de circunstancias imperantes (toma de decisiones rápida, reasignación de recursos y atención constante a los cambios del entorno. La calificación anterior muestra el estatus de la posición actual y propuesta con relación a las mejores prácticas, estándares y directrices de la industria. Pag. 13
Informe Ciberseguridad 2016 - Colombia Pag. 14
AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.15
Planificar Contexto Organizacional Entendimiento de la entidad (legal, tecnológico, etc.) Requerimientos de las partes interesadas Alcance del SGPIC Liderazgo Liderazgo y Compromiso Políticas PIC Roles y responsabilidades Planeación Soporte Estrategia de PIC Objetivos de PIC Inventario de activos críticos Análisis de Riesgos Análisis de impacto al negocio Recursos (dinero, personas, herramientas) Marcos de referencia (NIST, ISA99, NERC CIP, otros) Competencias Concienciación Documentación Pag. 16
Planificar Activos Críticos Evaluación de Riesgos Matriz de Riesgos Pag. 17 BIA s
Planificar Pag. 18
Operar Gestión de Riesgos Gestión de incidencias, incidentes o problemas Gestión de Continuidad del Negocio Infraestructuras críticas
Defensa en Profundidad DATOS DATOS APLICACIÓN APLICACIÓN SERVIDORES SERVIDORES RED RED PERIMETRO PERIMETRO SEGURIDAD FÍSICA SEGURIDAD FÍSICA PROCEDIMIENTOS PROCEDIMIENTOS Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION Pag. 20
Verificar Monitoreo Métricas Indicadores Auditoría Interna Tercera parte Revisión por la Dirección Informe gerencial Pag. 21
Mejora Continua No conformidades y Acciones correctivas Mejora continua Mejorar requiere tiempo y dedicación Pag. 22
Certificación En Junio de 2016 se lanzó en España el Sello de Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo dirigido a infraestructuras críticas, su cadena de proveedores y en general a toda entidad pública o privada que quiera demostrar que cumple con unos requisitos específicos de Ciberseguridad, que incluyen: Protocolos de comunicaciones Protección de datos Infraestructura Recursos Humanos Proveedores Servicios Mayor información: www.aeiciberseguridad.es Pag. 23
AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.24
Más información CARLOS VILLAMIZAR R. Director Desarrollo de Negocios LATAM cvillamizar@globalsuite.es www.globalsuite.es