Amenazas, Vulnerabilidades y Riesgos evaluados en el contexto de Ciberseguridad Industrial. Autor: Anibal Pérez

Documentos relacionados
Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Cómo desarrollar una Arquitectura de Red segura?

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Perfiles y funciones de los Profesionales evaluadores

Estado de la Seguridad Informática

Guía del Curso UF1353 Monitorización de los Accesos al Sistema Informático

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

Gestión de riesgos: Abarca todas las actividades encaminadas a proporcionar un nivel de seguridad adecuado en las tecnologías de la información.

Julio César Ardita 21 de Octubre de 2014 Buenos Aires - Argentina

PRIMER CONGRESO DE MANTENIMIENTO CANAL DE PANAMÁ

Seguridad Integral de la Información.

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

Principios Básicos de Seguridad en Bases de Datos

IT Essentials I: PC Hardware and Software

Gerencia de Proyectos

El Estado del Arte de la Seguridad Informática

Soluciones Tecnológicas Integrales

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

SISTESEG Seguridad y Continuidad para su Negocio

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Auditoría Externa al ASIC, TIE, LAC Informe Ejecutivo. Junio de Deloitte Asesores y Consultores

La seguridad informática en la PYME Situación actual y mejores prácticas

PROPUESTAS PARA IMPULSAR LA SEGURIDAD INFORMÁTICA EN MATERIA DE EDUCACIÓN. Panorama General... 1 Objetivo General... 2 Objetivos Particulares...

Generación de energía. Evaluación de la eficiencia energética Mejoramiento de eficiencia en planta

CYBERGYM #CG002 SPA SERVICIOS INTEGRALES DE DEFENSA CIBERNÉTICA

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

Conocimiento y evaluación del control interno

Forcepoint AVANCE SIN MIEDO

Maestría en Seguridad Informática. Jorge Ezequiel, Bo Hugo Pagola Alberto Dums

Lección 5: Seguridad Perimetral

Los Planes de Continuidad del Negocio

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

La Empresa en Riesgo?

Vulnerabilidad de Empresas en Ciberseguridad Noviembre 2016

Anexo Acuerdo de Nivel de Servicio: Atención a Usuarios CSU Gestión de Nivel de Servicio

LAS SOLUCIONES DE TESORERÍA SUMA DE LAS FORTALEZAS DE DOS ESPECIALISTAS ESPAÑOLES

MONITORIZACIÓN Y VIGILANCIA COMO ELEMENTOS CLAVE EN LA PREVENCIÓN DEL DELITO

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

Servicios de data center

3er Congreso Nacional de Auditoría Interna CONAI. Mayo 29, Las Tres Líneas de Defensa: Quién tiene que hacer qué?

Sistema de Gestión n de la Seguridad de la Información

SEGURIDAD DIGITAL Auditoría evolutiva de Seguridad

Facultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP

El estado del arte de la Seguridad Informática

Telefónica Soluciones SOC Grandes Clientes. Seguridad desde la Red

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Julio César Ardita 12 de Septiembre de 2012 Buenos Aires - Argentina

Rosa Patricia Romero Líder Integridad Mecánica

Contibución del Sector Privado de Tecnologías de la Información al Desarrollo de la Información y el Gobierno Electrónico.

Procedimiento para Mantenimiento de Centrales de Generación

Maxefi Consultores SC

Seguridad Cibernética de Sistemas de Operación para Compañías Eléctricas

Interpretación Resultados Evaluación MECI Vigencia 2014

PROGRAMA INSTITUCIONAL DEL CONSEJO CIUDADANO DE SEGURIDAD PÚBLICA, PREVENCIÓN Y REINSERCIÓN SOCIAL DEL ESTADO DE JALISCO

Plataforma Cloud Computing. Marcelo Venegas Gormaz Jefe de Servicio Técnico

Aranda 360 ENDPOINT SECURITY

DIPLOMADO SEGURIDAD EN REDES Y NORMA ISO IEC 27001

Plan Estratégico Proceso. Elaborar Plan de Acción de Funcional

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE SEGURIDAD DE LA INFORMACIÓN

Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador

Interventoría en proyectos de tecnologías de la información y la comunicación (TIC)

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA

POA Y PRESUPUESTO INSTITUCIONAL - GESTIÓN 2013

MANUAL DE ORGANIZACIÓN DIRECCIÓN DE CRÉDITO

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

Microsoft Virtualization para profesionales de Vmware

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS

Potenciando Internet

DOCUMENTACIÓN DE LOS SISTEMAS DE GESTIÓN DE CALIDAD Y MEDIO AMBIENTE MANTENIMIENTO PREVENTIVO Y CORRECTIVO DE EQUIPO CÓMPUTO

Anexo A Seguridad de la información

EXPEDIENTE: 38/2016. SERVICIO DE TELECOMUNICACIONES DEL AYUNTAMIENTO DE LORCA. TELEFONÍA FIJA, LINEAS ADSL, ACCESO A INTERNET Y TELEFONÍA MOVIL.

INTRODUCCIon al ethical hacking. Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes.

Cableado Estructurado y Video Seguridad

HACKING A LA RED DE COMPUTADORAS Y LAS CONSECUENCIAS DEL AUTOENGAÑO DE MUCHOS EJECUTIVOS EN SENTIRSE INMUNE

SISTEMAS INTEGRADO DE GESTIÓN E INDICADORES DE GESTIÓN

Avanzada 2020 REFERENCIAS DE OFERTA TEIC BI 4.0 EUSKALTEL

Soluciones BYOD para el aula. 24.Febrero.2016

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA ROBO DE IDENTIDAD EN INTERNET: USO INDEBIDO DE DATOS PERSONALES

Electrotel Barcelona S.L. C/ Suïssa 5 nave 3, P.I. Montigalà Badalona (Barcelona) T F

Futuro y necesidades formativas para expertos en Ciberseguridad

Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

BANCO DE REACTIVOS DE OPCIÓN MÚLTIPLE CON MATRIZ DE RESPUESTAS

PERFIL COMPETENCIA REPONEDOR ORDENADOR

Competencias y perfiles para el personal TIC de las Universidades

Infraestructuras de Distribución n de Iberdrola en Madrid: De un presente en plena evolución n a los retos del futuro

Está su seguridad realmente segura?

Guía del Curso Técnico en Domótica

Productividad y eficiencia de una forma segura y fiable

PRESTIGIOSA EMPRESANOS ENCONTRAMOS EN LA BÚSQUEDA DE: SUPERVISOR DE SEGURIDAD PATRIMONIAL.

Soluciones inalámbricas. Guía rápida para configurar un enlace con equipos ENS500 en modo WDS Bridge

Soluciones de Biometría e Identificación

SOLUCIONES DIGITALES PARA AGUA, PROCESO, PETRÓLEO & GAS Y ENERGÍA

Transcripción:

Amenazas, Vulnerabilidades y Riesgos evaluados en el contexto de Ciberseguridad Industrial Autor: Anibal Pérez

Agenda Contexto: Evento Diciembre 2014 Procedimiento estándar para el análisis de riesgos Evolución de los sistemas de control industrial Amenazas en el contexto de interconectividad Fuentes del riesgo Evaluación del Impacto de un Incidente Informático Prácticas para la Detección de Vulnerabilidades Ejemplo de Encuesta en función de las Mejores Prácticas, Análisis, Impacto Evolución de los sistemas de control industrial: Segregación de redes Referencias Tenaris 2

Contexto: Evento Diciembre 2014 Cuando en diciembre del 2014 en nuestra oficina de automación nos encontramos con el siguiente encabezado en el site de la BBC News, en el grupo de automación nos comenzamos a preguntar si estábamos haciendo lo suficiente Fuente: http://www.bbc.com/news/technology-30575104 Tenaris 3

Contexto: Evento Diciembre 2014 German Federal Office for Information Security (BSI) reported: the attackers used a "spear phishing" campaign aimed at particular individuals in the company to trick people into opening messages that sought and grabbed login names and passwords The phishing helped the hackers extract information they used to gain access to the plant's office network and then its production systems. Once inside the steel mill's network, the "technical capabilities" of the attackers were evident, said the BSI report, as they showed familiarity with both conventional IT security systems but also the specialized software used to oversee and administer the plant Fuente: http://www.bbc.com/news/technology-30575104 Tenaris 4

Contexto: Diciembre 2014 Fuente: http://ics-cert.us-cert.gov.http://ics-cert.us-cert.gov. Dependiente del Department of Homeland Security, DHS, USA Tenaris 5

Procedimiento estándar para el análisis de riesgos Toma de conciencia: Riesgos no gestionados? Identificación de riesgos y vulnerabilida des Procedimientos de la compañía para la gestión de riesgos Monitoreo - Auditoria Análisis Plan de Acción Tenaris 6

Evolución de los sistemas de control industrial Punto de partida: sistemas de control sobre variables físicas, originalmente basados en controles analógicos, que fueron remplazados por controladores digitales. Posteriormente, conformando una red local, a nivel proceso o planta, centralizando la gestión a través de un sistema de supervisión (SCADA, comercial o legacy) Tenaris 7

Evolución de los sistemas de control industrial: Integración e Interconectividad El paso siguiente en la evolución fue la incorporación de tecnologías típicas de IT. Y mas recientemente, conceptos como Smart Manufacturing. Relación costo-beneficio, flexibilidad, eficiencia, tiempo de ejecución fueron los drivers. De desarrollos a medida, a productos de estantería: disponibilidad y costos. Tenaris 8

Amenazas en el contexto de interconectividad Las fuentes de riesgos: las mismas del mundo IT, El impacto no es el mismo que en el mundo IT: además de la integridad de los datos (IT) aparecen los efectos sobre el mundo físico: riesgos sobre las personas, las instalaciones, el medio ambiente y la comunidad, acorde a la escala de la planta bajo amenaza Tenaris 9

Fuentes del riesgo Fuentes de riesgo: Desde el interior de la misma planta: Smart Cellphones and tablets Wireless Laptops PCs conectadas a la red interna Dispositivos de control conectados a la red interna (wired or Wireless) Cámaras y dispositivos de CCTV O desde fuera de la planta: accesos remotos a través de la WEB, sea por personal propio con dispositivos comprometidos, o por terceros (hackers), sea por medio de mails (spear phishing!), o aprovechando debilidades en los mismos sistemas operativos. Tenaris 10

Evaluación del Impacto de un Incidente Informático El evento de disrupción de un proceso industrial por un ataque cibernético, puede generar, en secuencia: Impacto físico: como consecuencias directa de la disrupción, incluyendo daños a las personas, al producto, a las instalaciones y al medio ambiente. Impacto económico: no sólo por daños materiales sino por caída de la producción y capacidad operativa, y/o pérdida de información confidencial Impacto Social: pérdida de imagen y confianza dentro de la comunidad Mas aún, implica potencial pérdida de confianza de los accionistas y clientes de la compañía Tenaris 11

Evaluación del Impacto de un Incidente Informático El primer foco del análisis debe ser sobre los potenciales daños físicos a: La Seguridad física de las Personas Las instalaciones, el producto y el proceso. (Ejemplo de esto último: Stuxnet malaware que daño las centrifugadoras en las instalaciones de agua pesada Iraní) El Medio Ambiente, por posibles fugas o derrames desde el proceso fuera de control La Comunidad, según la escala del proceso (centrales térmicas, gasoductos, plantas de gas) Tenaris 12

Prácticas para la Detección de Vulnerabilidades Para la detección de vulnerabilidades de la infraestructura instalada: uso de herramientas disponibles en la industria, con origen en organizaciones con madurez en la gestión de eventos informáticos. Ejemplo: Desarrollo de encuesta con base en el programa del departamente de Homeland Security de USA: US-CERT Control Systems Security Program (CSSP). La encuesta arroja un resultado en términos de recomendaciones en base a las mejores prácticas de la industria, que permiten elaborar un plan de acción detallado. Diseño de un test de penetración sobre la infraestructura del sistema de control en procesos claves de la planta. El resultado es concreto, ya que identifica directamente los puntos débiles, con lo cual el plan de acción puede ser inmediatamente puesto en marcha. Tenaris 13

Ejemplo de Encuesta en función de las Mejores Prácticas Se evalúa la infraestructura contra las mejores practicas de la industria: 1. Network Segmentation, Firewalls, and DMZs 2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS) 3. Seguridad en las conexiones Wireless 4. Uso de VPNs y Encriptado en la comunicación digital 5. Gestión y Configuración de accesos, usuarios y passwords 6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación 7. Requerimientos de Ciberseguridad de los Sistemas de Control 8. Gestión de Patches y disponibilidad de los sistemas industriales Tenaris 14

Análisis de la encuesta Cada uno de los objetivos de mejores practicas se resuelve en la encuesta con un conjunto de preguntas. Cada pregunta tiene un peso de 0 a 3, según su grado de impacto: Durante la etapa de análisis cada pregunta del cuestionario se evalúa de 1 a 5, puntaje que representa los siguientes niveles de cumplimiento de la mejor práctica recomendada 1 No se cumple 2 Se cumple informalmente 3 Se cumple con un nivel básico de formalidad 4 Se cumple con un nivel avanzado de formalidad 5 Se cumple logrando un nivel de mejora continua del proceso. Valores de referencia: para 376 preguntas Mínimo y Máximo puntajes de la encuesta: 1,522 Todas las respuestas en 1 5,050 Alineación completa con las mejores practices recomendadas * * Standard for Industrial Control Systems of ICS-CERT (2012) http://ics-cert.us-cert.gov/standards-and-references#estab Tenaris 15

Resultado de estimación de impacto Impact 5 4 3 2 1 Critical Level LOW MEDIUM HIGH EXTREME Tenaris 16

Modelo de Hallazgos / Recomendaciones 1. Network Segmentation, Firewalls, and DMZs Presencia de Firewall entre el Sistema de Control y la red corporativa Segmentación vía DMZ Procedimientos actualizados y disponibles 2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS) Sistemas IDS and IPS instalados Procedimientos actualizados y disponibles 3. Seguridad en las conexiones Wireless Verificación de implementación de protocolos seguros 4. Uso de VPNs y Encriptado en la comunicación digital Uso de VPN para conexiones externas No uso de protocolos intrinsicamente inseguros (telnet, ftp). Procedimientos actualizados y disponibles Tenaris 17

Modelo de Hallazgos / Recomendaciones 5. Gestión y Configuración de accesos, usuarios y passwords Los procedimientos están actualizados y disponibles 1. 6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación Registro complete de usuarios activos.. Programas de capacitación activos 7. Requerimientos de Ciberseguridad de los Sistemas de Control Políticas y procedimientos de gestión de incidentes establecida y activa Ciclo de análisis de vulnerabilidad implementado Análisis de riesgo de necesidad de Disaster Recovery Plan (DRP) implementado. 8. Gestión de Patches y disponibilidad de los sistemas industriales Procedimientos de gestión de Patch formalmente implementados. Plan de contingencia documentado Alimentación back up (via generador?) o alternativa existente. Tenaris 18

Evolución de los sistemas de control industrial: Segregación de redes Tenaris 19

Referencias Referencia general, gráficos y conceptos, cuando no indicado al pie: tomados de la publicación NIST SPECIAL PUBLICATION 800-82 Revisión 2 : Guide to Industrial Control Systems (ICS) Security Mayo 2015 Tenaris 20

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback