IEC CIBERSEGURIDAD EN TO, ES NECESARIO?

Documentos relacionados
Ciberseguridad en Redes Industriales. Ing. Gerardo Viar

ANÁLISIS Y EVOLUCIÓN DE CIBERSEGURIDAD EN EL IOT DE INFR. CRÍTICAS ELÉCTRICAS Jose Manuel Ruiz Garcia Cybersecurity Consultant Schneider Electric

Internet of Things se expande. La ciberseguridad sigue su paso?

Ing. Alfonso Figueroa Hernández Gobierno de TI

Asegurando Redes de Control Industrial (RCI)

SEGURIDAD INFORMÁTICA PARA SISTEMAS DE OPERACIÓN. Normativa internacional y trabajos del CIGRE

Ciberseguridad para un nuevo mundo Juan Carlos Ortiz

Smart decisions. Lasting value. Presentación de Servicios Sistemas de Gestión de Seguridad de la Información - Ciberseguridad

De Secure SDLC a SecDevOps. Mario Robles

Agenda. Seguridad en el desarrollo Mateo Martínez, CISSP

Un nivel puede ser el resultado de una actividad de valoración

AADECA 2016 Como evolucionó y evolucionará la tecnología AO&G? 03 de Noviembre, 2016 Mario R. López

SERVICIO CIBERSEGURIDAD y OCC (Oficina de Coordinación Cibernética) SECCIÓN DE PROYECTOS

Cybersecurity. Construyendo confianza en el entorno digital

18 15,29 19 de Redes 6293 Troubleshooting and Supporting Windows 7 in the Enterprise y $ 4,900.00

Detección Proactiva de Amenazas en Ambientes de Infraestructuras Críticas e Industriales

Amenazas, Vulnerabilidades y Riesgos evaluados en el contexto de Ciberseguridad Industrial. Autor: Anibal Pérez

Modelo de madurez de aseguramiento de software (SAMM) OWASP CIUDAD DE MÉXICO

CATÁLOGO DE SERVICIOS PROCESS SOLUTIONS

Aterrizando GDPR/RGPD

ACTIVIDADES Y BENEFICIOS CCI 2018

Iniciando en Desarrollo Seguro

LA CIBERSEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS Modelo español

Seguridad en el desarrollo

Grado de madurez de la organización en Seguridad de la Información

ACTIVIDADES Y BENEFICIOS CCI 2016

Convergencia de las Tecnologías Informáticas (IT) y Operacionales (OT), Una Oportunidad de Generación de Valor

La seguridad informática en la PYME Situación actual y mejores prácticas

Todos los derechos reservados para XM S.A.E.S.P.

Soluciones de ciberseguridad integrada en dispositivos de control

ISO mejorar la capacidad y madurez (evaluación) de los procesos

Porque COBIT5 como marco de Gobierno de TI y como certificarse en Gobierno de TI

Conoces tu nivel de madurez en Seguridad de la Información? Bruno Sánchez. Jefe Regional

Management de la Seguridad Informática

TALLER DE SEGURIDAD DE. Introducción. Marzo Carlos Videla Ivanissevich

#CibSegInd. Samuel Linares Director Servicios Ciberseguridad Intermark Tecnologías

Tendencias en Cyber Riesgos y Seguridad de la Información Estudio de Tendencias en Latinoamérica Agosto 2016

Por qué identificar diferentes Roles en implementaciones con SharePoint?

PROPUESTA DE CONTENIDOS

Panel: Control y Gestión de Riesgos frente al nuevo escenario de Banca Digital José Esposito CAE- Credicorp

Ciberseguridad en el sector financiero. Alexander Garcia Director Consultoría de Negocios PwC

IBM Resiliency Orchestration. Recuperación ante desastres y Ciber Resiliencia

Julio César Ardita 12 de Diciembre de 2012 Asunción - Paraguay

Oracle Security Tendencias actuales y ayuda al cumplimiento normativo

Seis dimensiones para asegurar su información

Metodologías de Seguridad de la Información. Dr. Erbert Osco M.

P o r t a f o l i o d e S e r v i c i o s Seguridad e Infraestructura IT

Juan Bachiller, Director de Servicios ABB España

Ethernet en la Industria Implementación y Mantenimiento

Qué hacen las PMO exitosas que las no exitosas no hacen?

Seguridad de los sistemas embebidos

Calidad de Software & Monterrey Ene - 08

Tema 4 Cortafuegos. Se van a poner diversos cortafuegos en sistemas operativos Windows y Linux.

CT Asuntos Regulatorios CT Innovaciones Tecnológicas

Curso De Preparación: SISTEMAS DE CONTROL INDUSTRIAL SCADA

Entender el Riesgo Cibernético en el Sector Marítimo- Portuario

NORMAS Y MODELOS DE REFERENCIA DE CIBERSEGURIDAD PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD

Presentación Documento Base

ESPECIALISTAS EN SEGURIDAD INFORMÁTICA

DESARROLLO SEGURO DE SOFTWARE. Ciberseguridad y Transformación Digital. MOBILITY APPWEB APPWEB DEVELOPMENT MOBILITY

Somos una Empresa Consultora Seria, Segura y Confiable We are a Serious, Safe and Reliable Consulting Company

La importancia de la Ciberresiliencia en los sistemas SCADA

Aseguramiento de la calidad y. pruebas de software ISO 9126 SCAMPI ISO, IEEE, CMM... Blanca A. Vargas Govea

Construyendo el nuevo Paradigma de Seguridad Conectada.

Un modelo abierto de ciberseguridad! Puede ayudar en Latinoamérica?!

INFORMATION SECURITY TRENDS AND IMPACTS IN THE FINANCIAL INDUSTRY


SOLUCIÓN LIQUIDACIÓN EN CRUCERO

Sesión # 221. Cómo organizar el departamento de Seguridad? Julio César Ardita, CISM.

Calendario Microsoft Enero Junio 2017

INNOVACION PARA ALCANZAR LA EXCELENCIA EN SUPPLY CHAIN

Zeus Platform ayuda a digitalizar las empresas y a cubrir los desafíos de la Industria 4.0

Somos una empresa joven formada por profesionales que poseen más de 15 años de experiencia

Mi Amor por COBIT 5. José Ángel Peña Ibarra, CGEIT CRISC, COBIT 5 Accredited Trainer ISACA Monterrey

Seguridad de la Cadena de Suministro

INDUSTRIA 4.0 Y EL PAPEL DEL SOFTWARE

PRINCIPALES HALLAZGOS AGOSTO, 2015

SISTEMA DE GESTIÓN DE

Ciberseguridad industrial

Gestionando la Cyber Seguridad para Sistemas de Control Industrial

OSIsoft LATAM Regional Conference 2017 Monitoreo y análisis de la red de distribución de gas

Anuncios y Noticias Importantes

ASPECTOS DE SEGURIDAD EN CLOUD COMPUTING

El Enfoque de la Arquitectura Empresarial en el Manejo de Proyectos

Riesgos y Costos de la pérdida de información

Bootcamp de Certificación 2015

Norma IRAM-ISO/IEC 27001

Agenda. Que es Colsein Training Center? Cursos. Información de contacto.

Casos de ciberataques a

Casos de ciberataques a infraestructuras críticas

Capítulo 2: AUTOMATIZACIÓN ACTUAL DE UNA SUBESTACIÓN ELÉCTRICA

IEC y las acciones de Yokogawa

SAP NOW Madrid 19 de abril de SAP Leonardo. Tecnología habilitadora de la Industria 4.0.

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Principios de la Seguridad Informática

C u r s o O n l i n e. Fundamentos CMMI: Constelaciones

CCNA SECURITY 2.0 Objetivo: TEMARIO CAPÍTULO 1:

GNOSTECH SOLUCIONES CYBERSEGURIDAD MARITIMA

Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido

Transcripción:

IEC 62443 CIBERSEGURIDAD EN TO, ES NECESARIO? Manejando el ciber riesgo operacional Ing. Ing. Gabriel Faifman Gabriel es Director de Programas Estratégicos de Wurldtech. Es uno de los expertos que representa a Canadá en el desarrollo del estándar de ciberseguridad para Sistemas de Control Industrial IEC 62443-2-4 (TC65 WG10 / WG3). Miembro con derecho a voto en el comité ISA99. Por mas de 25 años ha diseñado, instalado y operado soluciones de automatización y protección de infraestructuras criticas incluyendo energía, petróleo, bebidas y alimentos, y transporte. Planeo y opero la ciberseguridad del Aeropuerto Internacional de Vancouver durante los Juegos Olímpicos de Invierno 2010 Gabriel es Ingeniero Electrónico de la Universidad de Buenos Aires. Certificado por la National Security Agency (NSA) como Infosec Professional, ha participado en ejercicios defensivos con organismos de seguridad. 1

Acerca de Wurldtech TIMELINE Fundada en Septiembre de 2006; Adquirida por GE en 2014 como subsidiaria independiente. LOCATIONS CUSTOMERS VERTICAL MARKETS SOLUTIONS Vancouver, Canada; San Ramon, California; Netherlands Operadores, desarrolladores de dispositivos y proveedores de automatización; 5 de las 6 compañías top de oil & gas; 9 de 10 proveedores top de automatización Distribuidoras de Energía eléctrica, oil & gas, transporte y salud (biomedicina) Productos, servicios, y certificaciones de seguridad para Tecnología Operational Ciberseguridad en tecnología operacional Ahora ciberseguridad, qué cambió? TI y TO Similareso diferentes Ciclo de vida en ciberseguridad Reinventarla rueda? aprendiendoa usariec 62443 2

Las amenazas ciber están aumentando y el riesgo en las operaciones avanza en silencio GERMANY UKRAINE 2013 2014 2015 New York Dam German Steel Mill NEW YORK Power Grid 3

CIBER SEGURIDAD EN NUMEROS 91% En 2013, 91% de organizaciones generadoras de potencia sufrieron un ciber ataque.1 70% Cerca del 70% de ejecutivos de compañías distribuidoras, O&G, manufactura y energia reportaron por lo menos una violacion de seguridad en los últimos 12 meses 40% 78% 40% de todos los ciber ataques tienen como blanco el sector energético Está a la espera de que un exploit exitoso sea alcance sus sistemas de automatización ICS/SCADA durante los próximos dos años SOURCES: 1. Bayar, T. (2014, Oct. 14). Cybersecurity in the power sector. Power Engineering International, Vol. 22/#9. 2.Barron-Lopez, L. (2014, Jul. 15). Cyber threats put energy sector on red alert. TheHill.com. 3. Ponemon Institute. (2014, Oct. 30). 2014 Global Report on the Cost of Cyber Crime. Ponemon.org. Critical Infrastructure: Security Preparedness and Maturity (July 2014), Unisys and Ponemon Y LAS ORGANIZACIONES NO ESTAN PREPARADAS 66% de las organizaciones no están preparadas para hacer frente a incidentes de seguridad de OT 2015 Global Megatrends in Cybersecurity, Raytheon and Ponemon 4

Algo está cambiando En los 80+: OT Services IT Services Engineering Services Component Supplier 5

En los 90+: OT Services IT Services Engineering Services Component Supplier En el 00+: OT Services IT Services Engineering Services Component Supplier 6

En el 10+: OT Services IT Services Engineering Services Component Supplier Hoy: 7

I CUAL ES LA IT GRAN OT DIFERENCIA? O IT Seguridad se refiere a data OT Riesgo y SAFETY gente ambiente equipamiento UPTIME calidad y performance 8

Enfoque: : TI & OT Seguridad Ciber física Enfoque IT The CIA Triad Confidentiality Characteristic IT OT Objetivo de proteccion CIA CAIC OT Integrity Availability The CAIC Diamond Control Availability Integrity Confidentiality CoberturaTecnologica TI típico( MICROSFT, APPLE, Linux) IT + Embedded Real-time OT Ciclo de patcheo Días o semanas Años, o generacional Arquitectura y Protocolos de Red Application Policy Objetivo de las Signatures TI típico algun ICS SCADA TI granular No OT Identificar Applicaciones y controlarel rendimientode la red OT,ICS, SCADA standards & proprietario Especifica para el dominio OT granular Precisión y profundidad operacional Ambiente Rack de TI Rack de TI & OT ambiente industrial Prioridades diferentes afectan el impacto Tecnología de la Información Confiabilidad Fallas ocacionales son tolerables Beta test durante implementaciónson aceptables Tecnología Operacional Interrupciones no son tolerables Exhaustivo control de calidad y testeo de fallas es la expectativa Impacto del riesgo Pérdidad de datos Pérdida de tiempo de ejecución($), equipmento, vidas Gestión de riesgos Recuperación reiniciando o reemplazando Safety no es un problema Seguridad La mayoría de los sitios no son seguros Poca separación entre intranets Enfocado Centrado en asegurar recursos clave o centrales Rendimiento Demanda de Alto Rendimiento Alto retardo o variaciones en el retardo son aceptables Tolerancia a las fallas es esencial Análisisexplícito de riesgo es la expectativa Estricta seguridad física en sistemasclave Separación entre redes Corporate y Control de Proceso Centrados en la estabilidadpero los dispositivosde frontera pueden no estar controlados(ti vs OT) Rendimientomodesto es aceptable Alto retardo o variaciones en el retardo son aceptables Integridad es fundamental No hay más air gaps Superficies de ataque complejas Amenazas mutuas con consecuencias críticas 9

Consecuencias de ataques en infraestructura crítica Explosión de un oleoducto causado por un ataque remoto Planta de Tratamiento de aguas servidas se derramo en el río Choque de un Prius a través de un teléfono celular Marcapasos hackeado causa un ataque al corazón NUESTRO AMBIENTE YA TIENE SUS DESAFIOS Expectativa de producción 24x7 No veo mis vulnerabilidades implica que tampoco veo las amenazas No puedo controlar en forma directa mi ambiente Cualquier incidente puede truncar toda la producción 10

IEC 62443: yendo en la dirección correcta ISA99 -el alcancede la organizacion Proveersolucionespara Sistemasindustrialesde automatizacióny control que si fueran comprometido podrían: Poner en peligro la seguridad publica o de los trabajadores Dañar el medio ambiente Provocar perdida de confianza del publico Violar regulaciones existentes Exponer información confidencial or propiedad intelectual Provocar una perdida económica Impactar instituciones publicas (municipales, provinciales y/o nacionales) 11

IEC 62443 Series El estándarisa/iec 62443 esunaseriede documentosque proveen guias acerca de como mejorar la seguridad de sistemas de control y automatización(iacs) El estándar está escrito para vendors, proveedores de servicios tales comointegración, comisionado, mantenimientoy operadores. El estándar comprende 13 documentos individuales agrupados en cuatro categorías como muestra la próxima diapositiva. WIB 2.0 fue integrado dentrodel del estándariec 62443 IECEE Conformance Assessment expected Early 2017 12

La evolución haciael Estándar Internacional IEC 62443-2-4: 4: el Estándar Internacional certificable El EstándarfueaprobadoenAbril / 2014 con votounánimey publicadoporiec enjulio / 2015 Estábasadoenlos Requerimientosde Seguridadpara Vendors del Dominiode Control de Procesos originalmentewib 2.0 Los requerimientosestánorganizadoen Capability Groups pueden alinearse con típicas ofertas de servicios y soluciones. Wurldtech liderala migracióndel programaapc (Achilles Practices Certification) tranformandoloenun programade evaluaciónde conformidad del IECEE El programade IECEE sera un programainternacionalque cuentacon laboratorios de testeo alrededor del mundo que proveen certificaciones consistentes y recíprocas 13

ISA 62443-2-4 Requiremientospara Programasde Seguridad ISA/IEC 62443-2-4 tiene123 Requerimientos de Seguridad organizados en 12 Areas Funcionales. Los Requiremientosabordanlas areas de integracióny mantenimiento, con referencias directas a requerimientos de seguridad para productos. Value Solution staffing Assurance Architecture Wireless SIS Configuration management Remote access Event management SP Req ID SP.01.XX SP.02.XX SP.03.XX SP.04.XX SP.05.XX SP.06.XX SP.07.XX SP.08.XX Account management SP.09.XX Malware protection SP.10.XX Patch Management Backup/Restore SP.11.XX SP.12.XX Maturity Model Usado para medir la madurez de las capacidades de seguridad Mejoramiento continuo (los procesos evolucionan basados en experiencia) Ad-hoc, (sin proceso formal) Definido (formal, proceso repetible) e.g. Procedimientos escritos, materiales de entrenamiento Practicado (ejecutado en algun projecto para un cliente) e.g. Checklist completo e.g. Procedimientos mejorados e.g. Contrato; SOW 14

Definiendoel el alcance del standard Ciclosde vida entrelazados Solution Integration Security Docs Hardening Guide Security QA Security Product Support Product Development Monitor Monitor Validate baseline Mitigate Validate baseline Mitigate Assess Integrated Risk Management Framework Assess Monitor Monitor Validate baseline Mitigate Validate baseline Mitigate Assess Assess FAT/SAT Commissioning Maintenance Services Operations Security Docs Updated Security Profiles Security Tasks Checklist 15

Purdue Model Modelo funcional Level 5 Level 4 E-Mail, Intranet, etc Router Enterprise Network Site Business Planning and Logistic Network Enterprise Zone Terminal Services Historian Mirror Patch Management Web Services Operations Application Server AV Server Firewall Firewall Web E-Mail CIP DMZ Level 3 Factory Talk Application Server Factory Talk Directory Engineering Workstation Operations and Control Workstation Operations Zone Level 2 Factory Talk Client Operator Interface Factory Talk Client Engineering Workstation Operator Interface Area Supervisory Control SCADA Level 1 Level 0 Batch Control Discrete Control Drive Control Continuous Process Control Safety Control Basic Control Sensors Drives Actuators Robots Process Industrial Control Systems Operaciones esta bajo presión Mayoresdemandasde eficiencia, más producción y bajar costos Ataquesnuevosy mas sofisticados Cambioslegalesy regulación VULNERABLE, EQUIPAMIENTO ANTICUADO INFILTRACION A TRAVES DE REDES DE TI CONFORMAR NUEVOS REQUERIMIENTOS 16

Nuestra experiencia Soluciones de seguridad integrada en el ciclo de vida Evaluación de postura de seguridad PPT (People, Process & Technology) Evaluaciónde Prácticasy Servicios de Consultoría Evaluaciónde dispositivos embebidos Evaluación de aplicaciones de software Evaluaciónde cumplimiento de NERC-CIP and ISO/IEC 62443 Achilles Test Platform Certificación de dispositivos y prácticas Achilles Communication Certification Achilles Practices Certification Protecciónpara SCADA & infraestructura crítica Achilles Threat Intelligence Software Achilles Industrial Security Training OPShield Autolearning: creandouna baseline del dataflow Segmentando las redes aunque sean planas evitando recableado. Inspecionando protocolosindustriales a nivel commando Utilizando inteligencia para identificar amenazas cuyo blanco es equipamiento industrial. 17

LA SOLUCION IDEAL DEBE PROTEGER SUS SISTEMAS DE CONTROL PARA PROTEGER SU EQUIPAMIENTO CRITICO RESULTA Proteger equipamento critico sin interrupciones INSPECCION comunicaciones y comandoss ENFORZAR politicas para todos lo procesos PROTEGER sistemas de control y equipamiento Resumen y conclusión Ir pensando en hacer un ejercicio y evaluar mi postura de seguridad, de mi sitio, las soluciones implementadas, de mi gente Entender mi instalacion, mi ecosistema y su ciclo de vida, desde SST laboral hasta obligaciones regulatorias Integrar prácticas de seguridad básicas Estrecho involucramiento de mis proveedores es clave Integrar seguridad en diseño general del sistema completo Una falla de la implementación tienen tanto impacto como una falla de diseño. 18

Contactenos: Por donde empezar? Evaluaciones de Sitios Evaluaciones de Arquitecturas Evaluaciones de Equipamiento Desarrollo de estrategias de Seguridad OPShield Contacte Wurldtech Gabriel Faifman: gfaifman@wurldtech.com Gracias! 19

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback