PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS GUÍA PARA LA ELABORACIÓN DE PLANES DE SEGURIDAD DEL...

7/18/2019 PROTECCIN DE INFRAESTRUCTURAS CRTICAS GUA PARA LA ELABORACIN DE PLANES DE SEGURIDAD DEL OPE

1/214

AEI SEGURIDAD|Operadores de Infraestructuras crticas 1

PROTECCIN DE

INFRAESTRUCTURAS

CRTICAS:

GUA PARA LA ELABORACIN

DE PLANES DE SEGURIDAD

DEL OPERADOR Y PLANES DE

PROTECCIN ESPECFICOS

GRUP CIN EMPRES RI L INNOV DOR P R L

SEGURID D DE L S REDES Y LOS SISTEM S DE

INFORM CIN


2/214


INDICE

INDICE ............................................................................................................................ 2

Equipo de redaccin de la Gua ................................................................................... 7

1. Introduccin ...................................................................................................... 10

2. Contenido de la Gua ........................................................................................ 11

3. Anlisis de riesgos ........................................................................................... 12

3.1. Objetivos ................................................................................................................. 12

3.2. Descripcin ............................................................................................................. 13

3.3. Mejores prcticas .................................................................................................... 14

3.3.1. Fase I: Identificacin de activos ......................................................................... 14

3.3.2. Fase II: Asignar valor a los activos. ................................................................... 19

3.3.3. Fase III: Identificacin de amenazas. ................................................................ 25

3.3.4. Fase IV: Identificacin de impactos. .................................................................. 28

3.3.5. Fase V: Valoracin del riesgo. ........................................................................... 30

3.4. Herramientas ........................................................................................................... 32

4. Medidas de Seguridad ...................................................................................... 33

4.1. Gestin de la seguridad ......................................................................................... 33

4.1.1. Objetivos ........................................................................................................... 33

4.1.2. Descripcin de la Gestin de la Seguridad en Operadores Crticos .................. 33

4.1.3. Mejores prcticas .............................................................................................. 34

4.1.4. Herramientas ..................................................................................................... 43

4.2. Formacin ............................................................................................................... 45

4.2.1. Objetivos ........................................................................................................... 45

4.2.2. Descripcin ....................................................................................................... 45

4.2.3. Mejores prcticas .............................................................................................. 46

4.2.4. Herramientas ..................................................................................................... 47


3/214


4.2.5. Ejemplos ........................................................................................................... 48

4.3. Medidas de seguridad tcnicas ............................................................................. 49

4.3.1. Seguridad en la red ........................................................................................... 49

4.3.2. Auditora ............................................................................................................ 51

4.3.3. Aseguramiento de equipos ................................................................................ 61

4.3.4. Control de accesos y autenticacin fuerte ......................................................... 68

4.3.5. Seguridad en el ciclo de vida del desarrollo de los sistemas ............................. 77

4.3.6. Proteccin frente al malware ............................................................................. 99

4.3.7. Gestin de registros ........................................................................................ 111

4.4. Gestin de incidentes ........................................................................................... 125

4.4.1. Objetivos ......................................................................................................... 125

4.4.2. Descripcin ..................................................................................................... 125

4.4.3. Mejores prcticas ............................................................................................ 127

4.4.4. Herramientas ................................................................................................... 135

4.4.5. Ejemplos ......................................................................................................... 136

4.5. Plan de Continuidad de Negocio / Planes de Contingencias Informticas ....... 140

4.5.1. Objetivos ......................................................................................................... 140

4.5.2. Descripcin ..................................................................................................... 141

4.5.3. Mejores prcticas ............................................................................................ 144

4.5.4. Herramientas ................................................................................................... 150

4.5.5. Conclusiones ................................................................................................... 150

5. Medidas de seguridad fsica .......................................................................... 151

5.1. Objetivos ............................................................................................................... 151

5.2. Descripcin ........................................................................................................... 151

5.3. Protecciones y obstrucciones ............................................................................. 152

5.3.1. Permetro de seguridad ................................................................................... 152

5.3.2. Zonificacin de seguridad ................................................................................ 153


4/214


5.3.3. Iluminacin de seguridad ................................................................................. 155

5.3.4. Proteccin de reas ........................................................................................ 155

5.4. Vigilancia y control ............................................................................................... 156

5.4.1. Sistema de Deteccin de Intrusin .................................................................. 156

5.4.2. Control de accesos .......................................................................................... 158

5.4.3. Circuito Cerrado de Televisin (C.C.TV.) ........................................................ 163

5.4.4. Tecnologas ..................................................................................................... 163

5.4.5. Proteccin contra incendios ............................................................................ 164

5.4.6. Guardia de Seguridad ..................................................................................... 164

5.4.7. Centro de Control de Seguridad ...................................................................... 165

5.4.8. Contenedores de Seguridad ............................................................................ 165

5.5. Operacin y personas: Procedimientos operativos ........................................... 166

5.5.1. Identificacin de Seguridad (pases, tarjetas, etc.). .......................................... 166

5.5.2. Control de visitas. ............................................................................................ 167

5.5.3. Control de llaves y combinaciones. ................................................................. 168

5.5.4. Registros de entrada/salida ............................................................................. 169

5.5.5. Control de Rondas .......................................................................................... 169

5.5.6. Evacuacin ..................................................................................................... 170

5.6. Inteligencia y Evolucin: Planificacin y evaluacin del Plan ........................... 170

5.7. Herramientas ......................................................................................................... 170

6. Referencias ..................................................................................................... 172

Anexo I Seguridad en s is temas SCADA ............................................................... 176

Introduccin y mbito ...................................................................................................... 176

Sistemas SCADA y clasificacin por sectores ....................................................... 177

Palabra clave. Definiciones .............................................................................................. 177

Sistemas SCADA. Visin general. ................................................................................... 178

Funcionamiento lgico de un Sistema SCADA. Niveles. ................................................. 179


5/214


Componentes de control en un Sistema SCADA. ............................................................ 180

Componentes de Red en un Sistema SCADA. ................................................................ 182

Sistemas SCADA por sectores. ....................................................................................... 183

Gestin de la Seguridad. ........................................................................................... 185

Establecimiento de Roles. ................................................................................................ 185

Definir funciones y responsabilidades. ............................................................................ 185

Control de Accesos. ......................................................................................................... 186

Gestin de Cambios ......................................................................................................... 187

Gestin de la Calidad ....................................................................................................... 188

Estndar .......................................................................................................................... 188

Formacin y concienciacin. ........................................................................................... 190

Medidas de Seguridad en Sistemas SCADA ........................................................... 191

Sistemas de Informacin y sistemas SCADA. ................................................................. 191

Incidencias, amenazas y vulnerabilidades. ..................................................................... 195

Incidencias en Sistemas SCADA crticos: ....................................................................... 195

Perfiles de seguridad. Amenazas. Vulnerabilidades y Vectores de Ataque. .................... 195

Aislando y protegiendo Sistemas SCADA en infraestructuras crticas: Estrategias dedefensa en profundidad ................................................................................................... 196

Defensa en profundidad en un sistema SCADA. ............................................................. 198

Identificacin y Gestin de inc idencias. .................................................................. 200

Disaster Recovery. ........................................................................................................... 200

Gestin de Riesgos. ........................................................................................................ 201

Anlisis Forense. ............................................................................................................. 201

Audi tor a de Seguridad ............................................................................................. 202

Recomendaciones para sistemas SCADA. ..................................................................... 202

Mejora Continua. ....................................................................................................... 205

Plan de mejora continua. .................................................................................................. 205


6/214


Gestin Continua .............................................................................................................. 205

Mantenimiento .................................................................................................................. 206

Escalabilidad. Ejemplos de mejora. ................................................................................ 206

Referencias y bibliografa ......................................................................................... 208

Anexo II - ndice de tablas ......................................................................................... 209

Anexo III - ndice de Figuras ..................................................................................... 210

Anexo IV - ndice de Ilustraciones ........................................................................... 211


7/214


EQUIPO DE REDACCIN DE LA GUA

En la elaboracin de la Gua para la elaboracin de PSO y PPEhan participado los siguientesprofesionales de las distintas entidades que conforman la Agrupacin Empresarial Innovadorapara la Seguridad de las Redes y los Sistemas de la Informacin.

Antonio Ramos Garca (AEI-Seguridad)

Coordinacin:

Flix Antonio Barrio Jurez (INTECO).

Anlisis de riesgos:

Antonio Jos Vzquez Gonzlez

Mara Lourdes Belda Snchez

Clarisa Lozano Gonzlez

Eva Allende Barriocanal

Medidas de seguridad:

Constantino Lzaro de la Osa

Mara ngeles Daz Robles

Anabel Vzquez Iglesias


Patricia Tejado (GMV Soluciones Globales Internet)

Enrique Martn Gmez (GMV Soluciones Globales

Internet)

Jairo Montero Santos (GMV Soluciones GlobalesInternet)

Sergio Nistal Calvo (GMV Soluciones GlobalesInternet)

Miguel Montero Rodrguez (GMV Soluciones GlobalesInternet)


8/214



Natalia Potes Morante (Instituto Tecnolgico de Len,

S.A.-Grupo Mnemo)

Fernando Garca Vicent (Instituto Tecnolgico deLen, S.A.-Grupo Mnemo)

Alejandro Gmez Bermejo (Instituto Tecnolgico deLen, S.A.-Grupo Mnemo)

Roco Castrillo Ruiz de Castroviejo (InstitutoTecnolgico de Len, S.A.-Grupo Mnemo)

Jos Luis Jerez Guerrero (Instituto Tecnolgico deLen, S.A.-Grupo Mnemo)


Joaqun Ramrez (Tecnosylva)

Guillermo Marqus Rodrguez (Tecnosylva)

Vctor Arrimada de la Parra (Tecnosylva)


Javier Garca Beveride (Eme Multimedia)

Jess Miguel Gimeno Pozuelo (Eme Multimedia)

Mara Eugenia Caballero Mateos (Eme Multimedia)

Oscar Prieto Blanco (Eme Multimedia)

Juan Jos Garrido Gonzlez (Eme Multimedia)

Rebeca Blanco Benetez (Eme Multimedia)


David Abril (B&A Consultores Estratgicos Analyza)

ngel Fernndez (B&A Consultores EstratgicosAnalyza)

Medidas de seguridad fsica:

Juan Carlos Dez Prez (INDRA Sistemas)

Sira Zurdo lvarez (INDRA Sistemas)


9/214


Fernando Aller Snchez. (INDRA Sistemas)

Seguridad en sistemas SCADA:

Susana Gonzlez Garca de Consuegra (TELVENTGlobal Services)

Vctor Alejandro Luaces Bustabad (TELVENT GlobalServices)

Juan de las Casas Cmara (TELVENT GlobalServices)

Contribuciones especiales a la elaboracin de la Gua:

Roberto Vidal

Javier Garca lvarez

Esther Ortega Moro

Sara Villanueva (AEI Seguridad)

Edicin final y revisin:

Hctor Ren Surez (INTECO)


10/214


1. INTRODUCCIN

La presente Gua ha sido elaborada por aeiseguridad en respuesta a una necesidad demercado existente dada la reciente publicacin de la Ley 8/2011, de 28 de abril, por la que seestablecen medidas para la proteccin de las infraestructuras crticas (en adelante, LPIC).

La LPIC y su desarrollo reglamentario publicado mediante el Real Decreto 704/2011 de 21 demayo (en adelante, RDPIC) establecen, entre otras, la necesidad de que los que seandesignados como operadores crticos elaboren dos documentos:

Un Plan de Seguridad del Operador (PSO)

Un Plan de Proteccin Especfico (PPE) para cada una de las infraestructuras que haya

sido identificada como crtica por el Centro Nacional para la Proteccin de lasInfraestructuras Crticas (CNPIC)

Estos documentos deben reunir una serie de caractersticas, que aeiseguridad conoce deprimera mano, gracias a su colaboracin en el Grupo de trabajo Informal sobre Proteccin deInfraestructuras Crticas en el que a participado como experto para el desarrollo de las guasque publicar el CNPIC para la redaccin de dichos planes.

Dado que las guas que publicar el CNPIC solo incluirn los contenidos mnimos y dado elperfil y conocimientos de los componentes de aeiseguridad , la Agrupacin ha credointeresante desarrollar esta gua que ahonda en cmo abordar la implantacin de las medidas

que se deben implantar y ms tarde reflejar en dichos Planes.Por tanto, esta Gua recoge, en base a mejores prcticas nacionales e internacionales unresumen de recomendaciones para implantar las medidas de seguridad identificadas en losPSO y en los PPE que consideramos que ser de gran inters para aquellas organizacionesinteresados en al proteccin de las infraestructuras crticas y, en especial de los operadorescrticos.

Finalmente, dada la importancia que tienen los sistemas SCADA en este tipo de entornos, seha incluido un anexo especial dedicado especficamente al aseguramiento de dicho tipo desistemas.


11/214


2. CONTENIDO DE LA GUA

Para la confeccin de este documento se ha recopilado la informacin de los estndares onormativas ms relevantes en cada uno de los temas tratados. Concretamente se hanconsiderado la familia de las normas ISO27000, el Esquema Nacional de Seguridad (ENS) ylas guas publicadas por el NIST y el NERC.

Las ISO27000 porque es el referente de seguridad internacional y son las guas de buenasprcticas en seguridad en las que se apoya el estndar de Seguridad ISO27001

ENS porque son los requerimientos de seguridad de las administraciones pblicasespaolas que, hoy por hoy, son un referente y estn completamente alineadas con la ISOy particularizadas para los casos de administracin electrnica en Espaa.

NIST porque es la Organizacin ms conocida en elaboracin de guas de seguridadespecficas para el gobierno de los Estados Unidos, que tambin est completamentealineada con ISO, con una trayectoria de un gran nmero de aos.

En el caso del NERC, se han incluido estas guas por estar pensadas especficamente parala proteccin del sector elctrico, como infraestructura crtica.

De este modo se consigue tener una visin general de los puntos de seguridad generales aconsiderar (dados por ISO y NIST), una visin ms particular que se est aplicando en lasadministraciones pblicas espaolas (dadas por ENS) y finalmente una visin ms enfocada en

infraestructuras crticas (proporcionada por las guas del NERC).

La Gua cuenta con dos grandes apartados alineados con la estructura de los PSO y PPE:

Por una parte, todo un captulo dedicado al anlisis de riesgos que es uno de losaspectos principales de los mencionados planes.

Por otra, dos captulos dedicados a recoger las medidas de seguridad lgicas y fsicasque se debern implantar en las infraestructuras crticas para mejorar los niveles deproteccin integrales.

Finalmente, la Gua incluye un anexo dedicado a la securizacin de los sistemas SCADA, dadasu relevancia en este tipo de infraestructuras, as como un apartado en el que se recogen, demanera exhaustiva las referencias utilizadas.


12/214


3. ANLISIS DE RIESGOS

3.1. OBJETIVOS

El anlisis de riesgos no es un fin en s mismo, sino que forma parte del proceso de gestin dela seguridad, en concreto, de la planificacin estratgica para la elaboracin y seguimiento delplan de seguridad que las organizaciones deben implantar para proteger las infraestructurascrticas que operan respecto de la amenaza de origen terrorista.

Conocer el tipo de riesgos al que est sometida una organizacin y en qu medida puedenafectar a las infraestructuras, hace del plan de seguridad una herramienta indispensable en lagestin integral de la seguridad de las organizaciones.

Entendindose por seguridad, la capacidad de las infraestructuras (tanto sus elementos fsicoscomo sus redes o sus sistemas de informacin) para resistir, con un determinado nivel deconfianza, las acciones ilcitas o malintencionadas que comprometan el normal funcionamientode las mismas, y entendindose el riesgo como la estimacin del grado de exposicin a queuna amenaza se materialice sobre uno o ms activos causando daos o perjuicios a lasinfraestructuras organizativas, se entender por qu el hecho de realizar un buen anlisis deriesgos hace que la gestin de los mismos sea eficaz, ya que mediante esta gestin, laorganizacin conoce, previene, impide, reduce o controla los riesgos que conoce.

Una particularidad importante que se ha de tener en cuenta, adems, para la realizacin deestos anlisis de riesgos para la proteccin de las infraestructuras crticas es que debern tenerun enfoque integral de la seguridad, considerando tanto sus elementos lgicos como fsicos ylas medidas de ambos tipos.

El anlisis de riesgos es una herramienta de gestin que permite tomar decisiones: desdedecisiones sobre inversin, pasando por las decisiones de adquisicin de salvaguardastcnicas o la seleccin y capacitacin del personal.

Llevar a cabo un anlisis de riesgos es laborioso. Establecer un mapa de activos y valorarlosrequiere la colaboracin de muchos perfiles dentro de la organizacin. Adems, lograr unauniformidad de criterio entre todos es imprescindible ya que, si es importante cuantificar/valorar

los riesgos, ms importante an es relativizarlos.Establecer una metodologa para realizar un buen anlisis de riesgo no es nada fcil.Precisamente por eso, este es el objetivo del documento: proporcionar pautas para la definicinde una metodologa de gestin de riesgos vlida para cualquier organizacin que opereinfraestructuras crticas, para la identificacin y evaluacin de sus riesgos, identificar medidasde proteccin con un enfoque integral de la seguridad y que aporte a la organizacin elconocimiento, la prevencin, la reduccin y control de los riesgos.


13/214


Control y Seguimiento de proyecto

Fase I:

Identificacin de activos

Fase II:

Asignar Valor

a los activos

Fase III:

Identificacin

de amenazas

Fase IV:

Identificacin

impacto

Fase V:

Valoracin

del riesgo

3.2. DESCRIPCIN

Las pautas incluidas en el presente documento parten de la experiencia de la realizacin de

anlisis de riesgos e incorpora los enfoques de diferentes mtodos existentes (como Magerit,Mosler u otros mtodos cuantitativos mixtos).

El esquema de la metodologa propuesta en el presente documento es el que se representa enla siguiente figura:

Figura 1: Fases de la metodologa

Los diferentes elementos del anlisis de riesgos se relacionan entre s normalmente segn seilustra a continuacin:

Figura 2: Elementos de un anlisis de riesgos

ActivosRiesgos

Vulnerabilidades

Valor de los activosRequerimientos de

seguridad

Amenazas

Controles

Aprovechan

Exponen

Tienen

Aumentan

Impactan si se

materializan

Marcan

Imponen

Disminuyen

Protegen de Aumentan

Aumentan


14/214


3.3. MEJORES PRCTICAS

3.3.1. Fase I: Identificacin de activos

El proceso de realizar un inventario de los activos de una organizacin es uno de los aspectosfundamentales del anlisis de riesgos. Teniendo en cuenta que, adems, el anlisis de riesgosha de permitir conocer la evaluacin de riesgos a distintos niveles de agrupacin (organizacin,servicio esencial e infraestructura crtica concreta, como mnimo), el inventario de activos ha detenerlo en consideracin para permitir, al menos, dichos niveles de agregacin.

Se entienden por activos, aquellos recursos necesarios para que la organizacin funcionecorrectamente y alcance los objetivos propuestos por su Direccin.

Uno de los activos esenciales es la informacin que maneja el sistema, es decir, los datos.Adems, se pueden identificar otros activos como son:

Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que senecesitan para poder gestionar dichos datos.

Las instalaciones, incluidas las que acogen equipos informticos y de comunicaciones.

Las personas que explotan u operan todos los elementos anteriormente citados.

Las aplicaciones informticas (software) que permiten manejar los datos.

Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones yservicios.

Los soportes de informacin que son dispositivos de almacenamiento de datos.

El equipamiento auxiliar que complementa el material informtico.

Las redes de comunicaciones que permiten intercambiar datos.

La dependenciaentre activos es un concepto que se debe tener en cuenta a la hora de asignarvalor a un activo, dado que en s un activo puede tener un valor pequeo pero puede acumular

un valor considerable si se considera el valor de todos los activos que dependen de su correctofuncionamiento (ejemplo tpico de un activo de uso compartido: centralita telefnica, router desalida a Internet, servidor de ficheros, etc.).

Se entiende por tanto como dependencia de activos, la medida en que un activo superior severa afectado por un incidente de seguridad en un activo inferior. Se dice, por tanto, que unactivo superior depende de otro activo inferior cuando la materializacin de una amenaza enel activo inferior tiene como consecuencia un perjuicio sobre el activo superior.

No todos los activos dentro de una organizacin son activos crticos de los que se debagestionar los riesgos a los que estn sometidos. La identificacin de activos crticos se

desarrolla en la fase siguiente (Fase II: Valoracin de activos).


15/214


3.3.1.1. Etapa I: Identif icacin de procesos.

El anlisis de procesos de cada lnea de actividad de una organizacin es un paso clave para

la correcta identificacin de activos.Se trata de realizar un anlisis exhaustivo de todos los pasos que se siguen en la organizacin,teniendo en cuenta la informacin de un proceso a otro, los canales de informacin y losrecursos para poder canalizar la informacin.

Ejemplo: Empresa que se dedica a: Venta, Instalacin y Servicio Tcnico de telefonaincluida la venta y reparacin de tendidos y cableados, montaje de centralitas, venta deequipos informticos y terminales mviles.

Etapa I: Para esta empresa se identifica un nico cliente: cliente al que se le instala unsistema de telefona, por lo que se identifica una nica lnea de negocio.

Se representan a continuacin mediante diagrama de flujo los procesos de la organizacin.

Figura 3: Diagrama de flujo empresa ejemplo

Ququiere

elcliente

Proceso de

Contacto con

el cliente

Proceso de

Control de

almacn

Proceso de

control de

compras

Proceso de

evaluacin de

proveedores

Proceso de

control de

subcontratas

Proceso de

instalacin y puesta

en marcha

Procesode

serviciotcnico

Necesita

compra de

material

si

n

si

Es

necesariosubcontrat n

Satisfacci

nclient

e

Proceso de

mantenimiento

maquinaria

Proceso de

formacin y

recursos

humanos


16/214


Planificacin

Comercial /

Contacto Cliente

Visita al cliente

Identificacin de

necesidades

Presupuesto FinNo

Entrega

presupuesto

Preparacin de

presupuesto

Realizacin de

presupuesto

Toma de datos

administracin

Acepta FinNo

Modificacin

Si

SI

Aceptacin

presupuesto

No Presupuestosaceptados

Presupuesto

2 Copias

factura

proforma

Hacer factura

proformacliente

Presupuesto

firmado

proceso de

instalacin y

puesta en marcha

Proceso de

almacn

Original

Copia

COMERCIAL

COMERCIAL

COMERCIAL

GERENCIA

ADMON.

COMERCIAL

Factura

proforma

CLIENTE

mantenimiento servicio

tcnico FinNo

SI

COMERCIALEntrega mantenieminto

contrato 2 copiascontrato firmado

Contratos

mantenimiento cliente

software de

gestin

software de

gestin

software de

gestin

software de

gestin

software de

gestin

Figura 4: Flujograma proceso contacto con el cliente empresa ejemplo


17/214


Se identifica cada uno de los procesos, es decir, los flujos de trabajo.

As, para el proceso de contacto con el cliente quedan representados en el flujograma que

se representa anteriormente (figura 4).

3.3.1.2. Etapa II: Identif icacin de activos.

La organizacin deber hacer una identificacin de sus activos. Dicha identificacin se har enbase a los diferentes tipos de activos que podrn utilizar las diferentes lneas de actividad de laorganizacin.

Para cada lnea de actividad se realizar una identificacin de activos.

Ejemplo: As una empresa dedicada a la venta de software especfico para el sector

sanitario, que dispone de aulas formativas para impartir formacin tutorialsubvencionada o particular,diferenciar tres tipos de clientes, y tres lneas de negociodiferenciadas:

Cliente 1: organizaciones que compran software como son clnicas privadas, hospitalespblicos o privados.

Cliente 2: organizaciones pblicas que subvencionan la actividad formativa.

Cliente 3: alumnos particulares que reciben la formacin.

Para cada tipo de clientes la actividad desarrollada es diferente y los activos crticos quese deben identificar difieren.

3.3.1.3. Etapa III: Clasificacin de activos

Dado el enfoque integral comentado, habra que identificar tanto activos fsicos como activosrelacionados con el tratamiento de informacin.

Activos fsicos seran, por ejemplo, los emplazamientos de la organizacin, los edificios, loslocales, los equipos mviles o la canalizacin.

Activos de informacin son, por ejemplo, ficheros y bases de datos, contratos y acuerdos,

documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones,software del sistema, equipos informticos, equipo de comunicaciones, servicios informticos yde comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa yaire acondicionado y las personas, que son al fin y al cabo las que en ltima instancia generan,transmiten y destruyen informacin, es decir dentro de un organizacin se han de considerartodos los tipos de activos de informacin.


18/214


19/214


EQUIPAMIENTO

AUXILIARSistemas de ventilacin y

calefaccin

DATOS

APLICACIONES

PERSONAL

SERVICIOS

TECNOLOGA

INSTALACIONES

Presupuestos

Presup. FirmadosFacturas

Datos cliente

Contratos manten.

Software de

gestin

- Comercial- Administracin- Gerencia- Empresas subcontratadas

Datos al proceso de almacn

Datos al proceso de instalacin y

puesta en marcha

Servidor de

la empresaArchivo

empresa

Tlf.comercial Tlf.empresa

Impresora

empresaPDA

comercial

Porttiles

empresaRouter y

cableado

Oficina

principalVehculo

comercial

Figura 6: Flujograma de identificacin de activos

3.3.2. Fase II: Asignar valor a los activos.

Una vez identificados los activos, el siguiente paso a realizar es valorarlos. Es decir, hay queestimar qu valor tienen para la organizacin, cual es su importancia para la misma.

Para calcular este valor, se considera cual puede ser el dao que puede suponer para laorganizacin que un activo resulte daado. Para los activos de informacin, est valoracin


20/214


suele realizarse en cuanto a sus dimensiones, por ejemplo, su disponibilidad, integridad yconfidencialidad. En el caso de los activos fsicos se pueden utilizar esquemas de valoracinque tomen en consideracin factores como su valor material, el efecto sobre los beneficios,

pero tambin el dao en vidas humanas, en daos ambientales o sobre la reputacin quepodra causar su destruccin, o tambin las consecuencias legales o sobre la sociedad.

Esta valoracin se har de acuerdo con una escala que puede ser cuantitativa o cualitativa.

Si es posible valorar econmicamente los activos, se utiliza una escala cuantitativa. Este seriael caso de activos como el software o el hardware. Se trata de los activos tangibles.

En la mayora de los casos, no es posible cuantificar un activo con valores monetarios o va asuponer un esfuerzo excesivo, por lo que se utilizan escalas cualitativas como por ejemplo:bajo, medio, alto o bien un rango numrico, por ejemplo, de 0 a 10. Este seria el caso de

activos como el prestigio o la confianza de los clientes. Se trata de los activos intangibles.

Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo enun orden relativo respecto a los dems. La limitacin de este tipo de escalas es que nopermiten comparar valores ms all de su orden relativo, es decir, no es posible sumar valores.

Las valoraciones numricas absolutas (escalas cuantitativas) son costosas de elaborar, sinembargo no presentan los problemas existentes en las valoraciones cualitativas ya que sumarvalores numricos es algo normal.

Con independencia de la escala utilizada, para valorar un activo hay que tener en cuenta

mltiples factores, entre los que se encuentran:

Reduccin del rendimiento de la actividad.

Efecto negativo en la reputacin.

Prdidas econmicas.

Trastornos en el negocio.

Coste de reposicin del activo.

Coste de mano de obra invertida en recuperar el valor del activo.

Sanciones por incumplimiento de la ley (violacin de la legislacin aplicable).

Sanciones por incumplimiento de obligaciones contractuales.

Daos a otros activos, propios o ajenos.

Daos a personas.

Daos medioambientales.


21/214


La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estarinvolucradas todas las reas de la organizacin, aunque no participen en otras partes delproyecto y de esta manera obtener una imagen realista de los activos de la organizacin.

Es til definir con anterioridad unos parmetros para que todos los participantes valoren deacuerdo a unos criterios comunes, y se obtengan valores coherentes. Un ejemplo de ladefinicin de estos parmetros podra ser la siguiente:

Disponibilidad:

Para valorar este parmetro debe responderse a la pregunta de cul sera la importancia o eltrastorno que tendra el que el activo no estuviera disponible. Si consideramos como ejemplouna escala de 0 a 3 se podra valorar de la siguiente manera:

Tabla 1: Ejemplos de criterios de disponibilidad

VALOR CRITERIO

0 No aplica / No es relevante

1 Debe estar disponible, al menos, el 10% del tiempo



Por ejemplo, la disponibilidad de un servidor central, sera de 3 con estos criterios.

Integridad:

Para valorar este parmetro la pregunta a responder ser qu importancia tendra que el activofuera alterado sin autorizacin ni control. Una posible escala sera la siguiente:

Tabla 2: Ejemplos de criterios d e integridad

VALOR CRITERIO


1 No es relevante los errores que tenga o la informacin que falte

2 Tiene que estar correcto y completo, al menos, en un 50%

3 Tiene que estar correcto y completo, al menos, en un 95%


22/214


Por ejemplo, que en el servidor central fueran modificadas, por personal no autorizado, lascuentas de usuario de los dems departamentos. En este caso, el valor sera 3.

Confidencialidad:

En este caso la pregunta a responder para ponderar adecuadamente este parmetro ser cuales la importancia que tendra que al activo se accediera de manera no autorizada. La escala eneste caso podra ser la siguiente:

Tabla 3: Ejemplos de criterios de conf idencialidad

VALOR CRITERIO


1 Daos muy bajos, el incidente no trascendera del rea afectada

2 Seran relevantes, el incidente implicara a otras reas

3Los daos seran catastrficos, la reputacin y la imagen de la

organizacin se veran comprometidas

Por ejemplo, dependiendo de la organizacin y su contexto, el valor del servidor podra serincluso 3 si la dependencia de esa mquina es muy grande y el simple acceso fsico al servidor

sera un trastorno para la organizacin.

Escalas para activos fsicos:

Tabla 4: Ejemplo de crit erios de valoracin fsicos

VALORREDUCCINBENEFICIO

SALUD YSEGURIDAD

ENTORNONATURAL

PATRIMONIOSOCIAL/CULTURAL

COMUNIDAD/ GOBIERNO /REPUTACIN

LEGAL

510 MM 100

MM EUR

Mltiplesvctimas o

efectosirreversibles

>50 pers.

Efectosmuy

serios, alargo plazo

queafectan al

ecosistema

Persecucin ysanciones

significativas.

41 MM 10MM EUR

Solo unavctima mortal

odiscapacidadirreversible

(>30%)

Daos significativospermanentes a

estructuras,elementos de

importancia cultural

Protestasserias

(coberturainternacional)

Incumplimientode legislacinsignificativo

3100.000 1MM EUR

Discapacidadirreversiblemoderada odiscapacidad


23/214


VALORREDUCCINBENEFICIO

SALUD YSEGURIDAD

ENTORNONATURAL

PATRIMONIOSOCIAL/CULTURAL

COMUNIDAD/ GOBIERNO /REPUTACIN

LEGAL

210.000

100.000 EUR

Requierehospitalizacin

pero esreversible

Efectosmoderados

a cortoplazo queno afectan

alecosistema

Daos permanentesa elementos de

importancia cultural

Atencin demedios y/o

comunidadeslocales yONGs

Aspectoslegales

menores,incumplimientos

de regulacin

1< 10.000

EUR

No implicatratamientos

mdicos

Efectomenor

sobre elmedio

Impactos menoressociales.

Principlamentereparabe

Atencin oquejas

pequeas depblicos o

medios

locales.

La valoracin de los activos deben realizarla un grupo de personas que sean lo suficientementerepresentativas como para aportar, entre todos, una visin razonablemente objetiva de laorganizacin. Por supuesto, deben ser personas que conozcan bien la organizacin. Si se vana hacer las valoraciones mediante reuniones de trabajo, el grupo no debera ser excesivamentenumeroso para que las reuniones no se alarguen demasiado. Si se van a utilizar cuestionarioso entrevistas, se puede involucrar a ms personas, siempre teniendo en cuenta el costeasociado a ello.

Tambin debe decidirse cmo se va a calcular el valor total de los activos, bien como una sumade los valores que se han asignado a cada uno de los parmetros valorados, bien el mayor dedichos valores, la media de los mismos, etc.

Los criterios para medir el valor del activo deben ser claros, fciles de comprender por todoslos participantes en la valoracin y homogneos, para que se puedan comparar los valores alfinal del proceso. De esta manera se sabr cuales son los principales activos de laorganizacin, y por lo tanto aquellos que necesitan de una particular atencin.

A estos activos, a los que se debe prestar una especial atencin, se les denomina activoscrticos. Para identificar qu activos son crticos y cules no, es necesario realizar un sencilloclculo con los parmetros que se han definido para valorarlos. Por cada activo identificado, sesuman los valores obtenidos de los parmetros definidos. El resultado de dicha suma es el queva a determinar la criticidad del activo. La Direccin de la organizacin, junto con el grupo depersonas que ha valorado los activos, marca el punto de inflexin a partir del cual el activo esconsiderado crtico. Se puede tomar como punto de inflexin, la mitad del resultado de la sumamas un punto, aunque la organizacin puede determinar cualquier otro.

As, siguiendo con el ejemplo que nos ocupa, si se han tenido en cuenta 3 parmetros(disponibilidad, integridad y confidencialidad) para valorar los activos de la organizacin, seconsideran activos crticos aquellos cuyo resultado de sumar los valores obtenidos de cada

parmetro sea mayor o igual a 6.


24/214


En el caso del servidor,

Tabla 5: Ejemplo valoracin servidor

Disponibilidad Integridad ConfidencialidadSuma de

parmetros

Servidor Central 3 3 3 9

Acti vo Crt ico SI

Una vez que se encuentran valorados todos los activos e identificados cules de ellos sonactivos crticos, es preciso, para los activos crticos, realizar el clculo de dos criterios que

sern necesarios para obtener el valor del riesgo. Estos criterios son:

Funcin

Tabla 6: Valoracin de la func in

: Hace referencia a las consecuencias o daos que pueden alterar la actividadde la organizacin. Se representa con la letra F. Para evaluar este criterio se respondea la pregunta, las consecuencias pueden alterar la actividad?

CRITERIO DE FUNCIN(ALTERACIN)

PUNTUACIN

Parada total de la actividad 5

Parada de un mes de la actividad 4

Retraso de una semana en laactividad

3

Retraso de un da en la actividad 2

Retraso de unas horas en laactividad

1

Sustitucin

Tabla 7: Valoracin de la Sustitucin

: Hace referencia a la posibilidad de sustituir los activos. Se representa conla letra S. Para evaluar este criterio se responde a la pregunta, se puede reemplazarel activo?

CRITERIO DE SUSTITUCIN(REEMPLAZAR)

PUNTUACIN

Proveedor nico en elextranjero

5

Proveedor nico nacional 4


25/214


CRITERIO DE SUSTITUCIN(REEMPLAZAR)

PUNTUACIN

Varios proveedores nacionales 3

Varios proveedores en laregin

2

Varios proveedores en laciudad

1

Para cada uno de los activos crticos de la organizacin se calcula el valor de los dos criterios.

3.3.3. Fase III: Identi ficacin de amenazas.

Una vez identificados y valorados los activos crticos, el siguiente paso consiste en determinarlas amenazas que pueden afectar a cada activo.

Una amenaza se define como un evento que puede desencadenar un incidente en laorganizacin, produciendo daos materiales o inmateriales en sus servicios.

Es importante conocer las posibles amenazas que pueden afectar a los diferentes activosporque, de este modo, la organizacin es capaz de anticiparse a los efectos de las mismas.

Dado el objetivo marcado para la proteccin de las infraestructuras crticas respecto de lasamenazas de origen terrorista, sern estas las que debern ser reflejadas en los anlisis quese aporten, considerando que pueden tener un origen, tanto logcas como fsicas. Amenazasde este tipo podran ser, por ejemplo, suplantaciones de la identidad de un usuario, abuso deprivilegios de acceso, accesos no autorizados, difusin de malware, manipulacin de lasconfiguraciones, etc.

Una vez determinado que una amenaza puede afectar a un activo, es necesario estimar cunvulnerable es el activo en dos sentidos:

Degradacin:

Cun perjudicado resultara el activo.

Frecuencia:

La degradacin mide el dao ocasionado por un incidente en el supuesto de que ocurriera.

Cada cunto tiempo se materializa la amenaza.

La frecuencia pone en perspectiva dicha degradacin, ya que una amenaza puede tenerconsecuencias muy graves en el activo pero ser de improbable materializacin o, por elcontrario, una amenaza puede tener escasas consecuencias y ser tan frecuente que ocasionaun dao considerable en el activo y por extensin en la organizacin.

A la frecuencia se le otorgan los valores que ms se adapten a la organizacin, siendo un

ejemplo tpico el siguiente, si bien, como se indica, cada organizacin debe fijar los valores queconsidere ms adecuados:


26/214


Tabla 8: Ejemplo de valoracin de amenazas

1/10 Poco frecuente Una vez al ao

1 Normal Mensualmente

10 Frecuente Semanalmente

100 Muy frecuente A diario

A la hora de analizar los riesgos hay que evaluar las distintas amenazas que pueden procederde las ms diversas fuentes. Entre estas se incluyen los agresores malintencionados, lasamenazas no intencionadas y los desastres naturales.

La siguiente ilustracin clasifica los diversos tipos de amenazas de los sistemas.

AMENAZAS

HUMANAS NATURALES

NO

INTENCIONADASINTENCIONADAS

PERSONALINTERNO

PERSONAL NOINTERNO

AMENAZASAMENAZAS

HUMANASHUMANAS NATURALESNATURALES

NO

INTENCIONADAS

NO

INTENCIONADASINTENCIONADASINTENCIONADAS

PERSONALINTERNO

PERSONALINTERNO

PERSONAL NOINTERNO

PERSONAL NOINTERNO

Figura 7: Clasificacin general de amenazas

Diversas situaciones, tales como el incremento y el perfeccionamiento de las tcnicas deingeniera social, la falta de capacitacin y concientizacin a los usuarios en el uso de latecnologa, y sobre todo la creciente rentabilidad de los ataques, han provocado en los ltimosaos el aumento de las amenazas intencionadas.

No todas las amenazas afectan a todos los activos sino que, dependiendo de la organizacin,

del proceso analizado y el tipo de activo, son aplicables distintos tipos de amenazas. Las


27/214


amenazas tendrn una probabilidad de ocurrencia que depender de la existencia de unavulnerabilidad que pueda ser explotada para materializarse en un incidente.

Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenazaen un riesgo real que puede ocasionar daos en la organizacin.Las vulnerabilidades en simismas no causan dao alguno sino que es una condicin o un conjunto de condiciones quepueden permitir a una amenaza afectar a un activo.

Para identificar las vulnerabilidades que pueden afectar a una organizacin hay que respondera la pregunta, cmo puede ocurrir una amenaza? Para responder a esta pregunta hay queponer como objetivo la amenaza y definir las distintas situaciones por las que puede llegarocurrir la misma, evaluando si dentro de la organizacin puede darse esa circunstancia, esdecir, si el nivel de proteccin es suficiente para evitar que se materialice la amenaza.

As, por ejemplo, si una de las amenazas de la organizacin es que roben datos estratgicosde la compaa, se pueden establecer, entre otros, los siguientes escenarios:

Tabla 9: Ejemplos de escenarios

Escenarios Niveles de proteccin

Entrada no autorizada a los datosa travs del sistema informtico

Existe un control de acceso dedatos?

Robo de equipos / datos dedispositivos magnticos

Estn los dispositivos dealmacenamiento protegidos y

controlados de forma adecuada?

Robo de datos mediante accesosno autorizados

Existen perfiles adecuados deacceso a los datos?

En el caso de que no se responda afirmativamente a las preguntas de la columna de laderecha, es que existen vulnerabilidades que podran utilizarse de forma que la amenaza seconvierta en un incidente real y causar daos a la organizacin.

Al hablar de amenazas y vulnerabilidades es necesario definir los criterios de agresin yvulnerabilidad, imprescindibles para calcular el valor del riesgo. As:

Agresin:

Hace referencia a la probabilidad de que el riesgo se manifieste. Serepresenta con la letra A. Para evaluarlo se responde a la pregunta: Quprobabilidad hay de que se manifieste el riesgo?


28/214


Tabla 10: Valoracin de la agresin

CRITERIO DE AGRESIN

(RIESGO) PUNTUACIN

Muy alta 5

Alta 4

Normal 3

Baja 2

Muy Baja 1

Vulnerabilidad:

Tabla 11: Valoracin de la vulnerabilidad

Hace referencia a la probabilidad de que se produzcan daos. Serepresenta con la letra V. Para evaluar este criterio se responde a la pregunta, quprobabilidad hay de que se produzcan daos?

CRITERIO DE VULNERABILIDAD(DAOS)

PUNTUACIN

Muy alta 5

Alta 4

Normal 3

Baja 2

Muy baja 1


3.3.4. Fase IV: Identificacin de impactos.

Los incidentes causan un impacto dentro de la organizacin, que es necesario tener en cuentaa la hora de calcular los riesgos.

Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin deuna amenaza. Conociendo el valor de los activos y la degradacin (cun perjudicado resulta un

activo) causada por las amenazas, es directo derivar el impacto que estas tendran sobre elsistema.


29/214


La valoracin del impacto puede realizarse de una manera cuantitativa, estimando las prdidaseconmicas, o de una manera cualitativa, asignando un valor dentro de una escala (porejemplo, alto, medio, bajo).

As, el robo de informacin confidencial de la organizacin puede causar un impacto alto si estacae en malas manos.

En otro caso, se pueden estimar las prdidas econmicas de equipos tangibles valorando elcoste de reposicin o la puesta en marcha.

As, al hablar de impacto o daos ocasionados, es necesario definir dos criterios que se han detener en cuenta en el clculo del riesgo. Estos criterios son:

Profundidad:

Tabla 12: Valoracin de la profundidad

Hace referencia a la perturbacin y a los efectos psicolgicos que se

producen en la imagen de la organizacin. Se representa con la letra P. Para evaluarlose responde a la pregunta, cules son los efectos en la imagen?

CRITERIO DE PROFUNDIDAD(PERTURBACIN)

PUNTUACIN

Clientes Vips / Grandes cuentas 5

Clientes habituales 4

Clientes ocasionales 3

Proveedores 2

Personal interno 1

Extensin:

Tabla 13: Valoracin de la Extensin

Hace referencia al alcance de los daos segn su amplitud o extensin. Serepresenta con la letra E. Para evaluar este criterio se responde a la pregunta, cules el alcance del dao?

CRITERIO DE EXTENSIN(ALCANCE)

PUNTUACIN

Internacional 5

Nacional 4

Regional 3


30/214


CRITERIO DE EXTENSIN(ALCANCE)

PUNTUACIN

Local 2

Individual 1


3.3.5. Fase V: Valoracin del riesgo.

Se denomina riesgo a la medida del dao probable sobre un sistema. Al hablar de riesgo,

hablamos de la probabilidad de que se produzca un determinado impacto que afecte a losactivos y, por tanto, a la organizacin.

Teniendo en cuenta los distintos criterios definidos en los apartados anteriores, se puedecalcular el riesgo asociado a los activos crticos de la organizacin y, por tanto, la actuacinque deber llevar a cabo la misma ante dichos riesgos.

Para ello se procede a realizar una serie de clculos que podemos enumerar en cuatro etapas:

ETAPA 1

Clculo del

carcter del

riesgo

ETAPA 2

Clculo de la

probabilidad

ETAPA 3

Clculo del

riesgo

ETAPA 4

Actuacin de la

organizacin

ETAPA 1

Clculo del

carcter del

riesgo

ETAPA 2

Clculo de la

probabilidad

ETAPA 3

Clculo del

riesgo

ETAPA 4

Actuacin de la

organizacin

Figura 8: Fases para el clculo del riesgo

3.3.5.1. Etapa 1 Clculo del carcter del riesgo

La frmula para calcular el carcter del riesgo es la siguiente:

CARCTER DEL RIESGO (C) = IMPORTANCIA DEL SUCESO (I) + DAOS OCASIONADOS (D)

Para poder calcular tanto la importancia del suceso como el dao ocasionado es necesarioconocer los criterios de funcin y sustitucin (en el caso de la importancia del suceso) y deprofundidad y extensin (en el caso del dao ocasionado) del activo seleccionado.

Los datos de estos criterios se habrn obtenido con anterioridad siguiendo las indicaciones delos apartados 3.3.2 Fase II: Valoracin de activos y 3.3.4 Fase IV: Identificacin de impactos.

IMPORTANCIA DEL SUCESO (I) = FUNCIN (F) x SUSTITUCIN (S)

DAO OCASIONADO (D) = PROFUNDIDAD (P) x EXTENSIN (E)


31/214


32/214


Con todos los activos crticos de la organizacin, se repiten los clculos citados conanterioridad (las 4 etapas) y se obtiene una relacin de los riesgos de la organizacinasociados a cada activo crtico.

De este modo, la Direccin de la organizacin dispone de toda la informacin necesaria paradecidir, teniendo en cuenta factores legislativos o compromisos contractuales con clientes yproveedores, las acciones a tomar.

As, si el riesgo est por encima de lo aceptable se puede:

Eliminar el activo, la Organizacin debe valorar si puede prescindir de ese activo porqueno merece la pena mantenerlo.

Introducir nuevas salvaguardas/contramedidas (mecanismos que reducen el riesgo, es

decir, las medidas de seguridad) o mejorar la eficacia de las presentes.

Transferir el riesgo a terceras partes.

3.4. HERRAMIENTAS

La realizacin de anlisis de riesgos suele conllevar la valoracin de mltiples variables y endiferentes dimensiones, por ello, es muy recomendable en apoyarse en algn tipo deherramienta que permita dar soporte al proceso de anlisis y gestin de riesgos.

Existen mltiples herramientas de este tipo en el mercado, pero hemos de destacar que,

normalmente, dichas herramientas van muy ligadas a una metodologa de riesgos concreta porlo que se debe evaluar en detalle, antes de adquirir ninguna herramienta, qu metodologavamos a emplear, si la herramienta que queremos se adapta a nuestra metodologa, o si, por elcontrario, deberemos elaborar nuestra propia herramienta adaptada a nuestras necesidades.

Esta dependencia se produce, normalmente, porque adems de actuar como repositorio deinformacin, estas herramientas incluyen tambin soporte al proceso de realizacin de anlisisy gestin de riesgos y mantienen su propio catlogo de amenazas, vulnerabilidades, etc. ascomo sus propios niveles de clasificacin de riesgos.

Al valorar estas herramientas, tambin deberemos considerar si dan soporte a nuestros

requisitos en cuanto a acceso a la informacin que alojaran, posibilidad de contar con distintosperfiles de usuarios, accesos remotos, realizacin de anlisis de riesgos por varios usuarioscon diferentes responsabilidades o posibilidad de visualizar los niveles de riesgos a distintosniveles (organizacin, servicio esencial, infraestructura crtica). Para finalizar, tambin hay quedestacar que no es fcil encontrar herramientas que permitan realizar un anlisis de riesgosintegral considerando tanto las medidas de seguridad fsica, como las lgicas.


33/214


4. MEDIDAS DE SEGURIDAD

4.1. GESTIN DE LA SEGURIDAD

4.1.1. Objetivos

El objetivo de un Plan de Seguridad es identificar y evaluar los riesgos que afectan a unaentidad, con el objetivo de implantar contramedidas, procesos y procedimientos para suapropiado control, tratamiento y mejora continua. Este Plan deber ayudar a mantener un nivelde exposicin siempre menor al nivel de riesgo que la propia entidad ha decidido asumir.

Un punto importante dentro de un Plan, es la Gestin de la Seguridad dentro de una entidad,

entendindola como la preservacin de los principios bsicos de la confidencialidad (acceso ala informacin por parte nicamente de quienes estn autorizados), integridad(mantenimientode la exactitud y completitud de la informacin y sus mtodos de proceso) y disponibilidad(acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuariosautorizados cuando lo requieran) de la misma y de los sistemas implicados en su tratamiento.Estos tres principios son elementos esenciales para mantener los niveles de competitividad,rentabilidad, conformidad legal e imagen, necesarios para lograr los objetivos de cualquierentidad.

4.1.2. Descr ipcin de la Gestin de la Seguridad en Operadores Crticos

La informacin, junto a los procesos, personas y sistemas que hacen uso de ella, son activosmuy importantes dentro de una entidad u organizacin.

Las entidades y sus sistemas de informacin estn expuestos a un nmero cada vez elevadode amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, puedensometer a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entreotros.

El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones variablesdel entorno, la proteccin adecuada de los objetivos de la entidad para asegurar el mximo

beneficio o el aprovechamiento de nuevas oportunidades, son algunos de los aspectosfundamentales en los que el Plan de Seguridad es una herramienta de gran utilidad y deimportante ayuda para la gestin de las organizaciones y entidades.

Con un Plan de Seguridad, las entidades conocen los riesgos a los que est sometida suinformacin y activos y los asume, minimiza, transfiere o controla mediante una metodologadefinida, documentada y conocida por todos, que se revisa y mejora constantemente.

Adems, ser importante que en la entidad se establezca y facilite el acceso a una fuenteespecializada de consulta en seguridad de la informacin. Debern desarrollarse contactos conespecialistas externos en seguridad, que incluyan a las administraciones pertinentes, con

objeto de mantenerse actualizado en las tendencias, la evolucin de las normas y los mtodos


34/214


de evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las incidenciasde seguridad.

4.1.3. Mejores prcticas

4.1.3.1. Estructura y Compromiso de Direccin

Se deber establecer una estructura de gestin con objeto de iniciar y controlar la implantacindel Plan de Seguridad dentro de la entidad.

Es importante un enfoque multidisciplinario de la seguridad que implique la cooperacin y lacolaboracin de directores, usuarios, administradores, diseadores de aplicaciones, auditores yel equipo de seguridad con expertos en las diferentes reas.

Estructura del Comit de Gestin

El Comit de Gestin se crea en la entidad, a propuesta de Direccin. Es un rgano Auxiliar deDireccin, que durante la etapa de diseo e implantacin del Plan de Seguridad, juega un papelfundamental en la elaboracin y aprobacin de la documentacin soporte del Plan.

El Comit deber tener autonoma para poder llevar a cabo todas las acciones necesarias parala implantacin del Plan.

A las sesiones de trabajo del Comit, sern invitados los miembros de diferentesdepartamentos o reas, cuando se considere necesario.

Asegurar el compromiso de Direccin y de los trabajadores

La Direccin debe proporcionar evidencias claras de su compromiso con el desarrollo eimplementacin del Plan de Seguridad, as como con la mejora continua de su eficacia. Es laDireccin, en primera instancia, quien debe tomar decisiones:

Comunicando a la entidad la importancia de la implantacin del Plan. Introduciendocambios de mentalidad, de sensibilizacin, de procedimientos y tareas, etc.

Asegurando que se establecen los objetivos.

Llevando a cabo las revisiones.

Asegurando la disponibilidad de recursos necesarios.

Sin el apoyo decidido de la Direccin no es posible la implantacin del Plan en la entidad. Suxito depende especialmente de su compromiso.

De igual forma, el resto de personal establece su compromiso de participar desde su inicio, enla identificacin de los problemas, propuestas, soluciones y mejoras, y por el cumplimiento conlas disposiciones que se establezcan una vez aprobado el Plan de Seguridad.


35/214


4.1.3.2. Coordinacin de la Seguridad de la Informacin.

El Comit de Gestin del Plan Seguridad estar formado por:

Responsable del Comit: Tiene funciones estratgicas, deber formular la poltica delPlan de Seguridad, establecer los objetivos del mismo y velar por su cumplimiento,aprueba roles y responsabilidades en materia de seguridad, comunicar a la entidad laimportancia de cumplir con los objetivos y la poltica de seguridad, susresponsabilidades legales y la necesidad de la mejora continua. Proporciona recursossuficientes para crear, implementar, operar, supervisar, mantener y mejorar el Plan deSeguridad. Vela por que se realicen las auditoras internas del Plan, dirigir lasrevisiones del mismo, y deber revisar los informes de auditora, comprobar que sehacen controles peridicos, coordinar actividades, aprobar mejoras tcnicas propuestas,etc.

Responsable del SGSI: Es el encargado de llevar a cabo todas las directricesmarcadas por la Direccin. Propondr los roles de seguridad, recursos necesarios,estrategias, etc. encaminados a conseguir los objetivos de seguridad. Realizar lasrevisiones y mejoras del Plan de Seguridad, actualizar procedimientos, etc.

Responsable de Seguridad: Sus funciones sern la realizacin del anlisis de riesgos,proponer nivel de riesgo residual aceptable, evaluacin de contramedidas, implantacinde las contramedidas, proponer al responsable del Comit, mejoras prcticas...

Responsable de Departamento o rea: Su funcin ser principalmente la de

comunicar las necesidades de seguridad. Deber desplegar y mantener aquellasmedidas que afecten a su rea o departamento.

4.1.3.3. Asignacin de Responsabil idades.

A continuacin se muestra la asignacin de responsabilidades por rol, alineadas con losobjetivos de cualquier Entidad u Organismo considerado como Infraestructura crtica:

Tabla 15: Obligacin /Rol asignado

Obligacin /

Rol asignado

ResponsableComit de

Seguridad

Responsable

SGSI

Responsable

Seguridad

Responsables

Departamentos/reas

AlineacinEstratgica

Requerir unalineamientodemostrable.

Instituir procesospara integrar laseguridad con

los objetivos dela entidad.

Desarrollar yrevisar una

estrategia deseguridad.

Supervisar elPlan y las

iniciativas, yvincularlo conlas estrategias

de cada rea.

Aportar informacinsobre las estrategias

del rea.

Validar estrategiasde seguridadpropuestas.


36/214


Obligacin /Rol asignado

ResponsableComit deSeguridad

ResponsableSGSI

ResponsableSeguridad

ResponsablesDepartamentos/reas

Administ rac indel Riesgo

Crear unapoltica de

administracindel riesgo en

todas lasactividades yasegurar su

cumplimiento.

Proponer unapoltica de

administracindel riesgo y las

prcticas yactuaciones para

desplegarla.

Identificar losriesgos yproponer

evaluacionesde los mismos

e impacto.

Plantearestrategias demitigacin del

riesgo.

Ejecutar la poltica yel cumplimiento

regulatorioidentificando losproblemas de

cumplimiento en elrea.

Entrega delValor

Requerir uninforme decostes de

actividad deseguridad.

Realizar estudiosde iniciativas de

seguridad.

Monitorear lautilizacin y laefectividad de

los recursos deseguridad.

Revisar y asesorarlas iniciativasrespecto a seguridad

y asegurar lasatisfaccin de los

objetivos de laentidad.

Medicin delRendimiento

Requerir elinforme de

efectividad dela seguridad.

Desarrollar eimplementar los

mtodos demonitorizacin ymedicin en las

actividades deseguridad.

Monitorear ymedir las

actividades deseguridad.

Monitorear y medirlas actividades de

seguridad en el rea.

Administ rac inde Recursos

Instituir unapoltica de

administracinde los

conocimientos yutilizacin delos recursos.

Proponer ydesarrollar

mtodos para lacaptacin y

divulgacin deconocimientos.

Desarrollarmedidas deefectividad y

eficiencia.

Desplegar losprocesos parala captacin yla divulgacin

de losconocimientos.

Desplegar losprocesos para la

captacin y ladivulgacin de los

conocimientos en elrea.

Aseguramientodel Proceso

Aprobar unapoltica de

contratacin deproveedores.

Proponercriterios deseleccin y

contratacin deproveedores.

Velar por elcumplimiento

de losrequisitos

mnimos en lacontratacin deproveedores.

Comunicarnecesidades.


37/214

AEI SEGURIDAD | Operadores de Infraestructuras crticas 36.bis

Figura 9 : Ejemplo de organigrama de seguridad


38/214


A efectos de intercambiar experiencias y obtener asesoramiento para el mejoramiento de las

prcticas y controles de seguridad, se recomienda mantener contactos con los siguientesOrganismos especializados en temas relativos a la seguridad informtica:

Organismos de Apoyo

4.1.3.3.1. Contacto con las Autoridades

Se debern mantener contactos con las autoridades pertinentes. Posibles entidades con lasque mantener contacto seran las siguientes:

CNPIC

CNPIC, Centro Nacional para la Proteccin de las Infraestructuras Crticas, es el rganodirector y coordinador de cuantas actividades relacionadas con la proteccin de las

infraestructuras crticas tiene encomendadas la Secretara de Estado de Seguridad delMinisterio del Interior, a la que est adscrito.

Su principal objetivo es prestar una eficaz colaboracin para mantener seguras lasinfraestructuras crticas espaolas que proporcionan los servicios esenciales a nuestrasociedad.

ICS CERT (Industr ial Control Systems Cyber Emergency Response Team)

Ofrece un sistema de control de seguridad en colaboracin con la US-CERT enfocado para: Responder y analizar sistemas de control relacionados con incidentes.

Vulnerabilidad y anlisis del malware.

Proveer soporte in situ para respuesta a incidentes y anlisis forense.

Proporcionar conocimiento de la situacin en forma de inteligencia procesable.

Coordinar la divulgacin responsable de vulnerabilidades / mitigaciones.

Compartir y coordinar la informacin sobre la vulnerabilidad y el anlisis de amenazas atravs de productos de informacin y alertas.

El ICS-CERT es un componente clave de la Estrategia de Seguridad de los Sistemas deControl.

CCN-CERT, CNI (Centro Nacional de Inteligencia)

CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad

de la Informacin del Centro Criptolgico Nacional (CCN),dependiente del CNI (Centro Nacional de Inteligencia).


39/214


Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas deinformacin de las tres administraciones pblicas existentes en Espaa (general, autonmica ylocal). Para lograr su objetivo, responden de forma rpida y eficiente a los incidentes de

seguridad que pudieran surgir y afrontan de forma activa las nuevas amenazas existentes.

Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todoslos responsables de Tecnologas de la Informacin de las diferentes administraciones pblicas.

Lneas de actuacin:

Soporte y coordinacin para la resolucin de incidentes que sufra la AdministracinGeneral, Autonmica o Local. A travs de su servicio de apoyo tcnico y decoordinacin, acta rpidamente ante cualquier ataque recibido.

Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacinentre todos los miembros de las administraciones pblicas. Las Series CCN-STICelaboradas por el CCN ofrecen normas, instrucciones, guas y recomendaciones paragarantizar la seguridad de los Sistemas TIC en la Administracin.

Formacin a travs de los cursos STIC, destinados a formar al personal de laAdministracin especialista en el campo de la seguridad de las TIC e impartidos a lolargo de todo el ao.

Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a lossistemas de informacin, recopiladas a partir de diversas fuentes de reconocido

prestigio (incluidas las propias).

INTECO (Insti tuto Nacional de Tecnologas de la Comunicacin) - INTECO (CERT) Centrode Respuesta a Incidentes de Seguridad

INTECO tiene encomendadas las misiones de sentar las bases decoordinacin de distintas iniciativas pblicas en torno a la seguridadinformtica, impulsar la investigacin aplicada y la formacinespecializada en el mbito de la seguridad en el uso de las TIC y

convertirse en el Centro de Referencia en Seguridad Informtica a nivel nacional.

Guardia Civil GDT (Grupo de Delitos Telemticos)

El GDT est creado para perseguir los delitos informticos. Si se identifica en laentidad un problema de seguridad en la red, un contenido ilcito o detectamos uobservamos una conducta que pudiera ser delictiva, se deber comunicarlo alGDT. Todo lo que en ella se recibe es tratado con la mxima discrecin.


40/214


Cuerpo Nacional de Polica

El desarrollo de la Sociedad de la Informacin y la difusin de los efectos positivos que de ella

se derivan exigen la generalizacin de la confianza de los ciudadanos en las comunicacionestelemticas.

Como respuesta a esta necesidad, y en el marco de las directivas de la Unin Europea, elEstado espaol ha aprobado un conjunto de medidas legislativas, como la Ley de FirmaElectrnica y el RD sobre el Documento Nacional de Identidad electrnico, para la creacin deinstrumentos capaces de acreditar la identidad de los intervinientes en las comunicacioneselectrnicas y asegurar la procedencia y la integridad de los mensajes intercambiados.

Adems, el C.N.P. (Cuerpo Nacional de Polica) persigue actividades relacionadas con delitostecnolgicos tales como:

Fraudes en Internet: Comunicacin sobre uso fraudulento de tarjetas de crdito, fraudesen subastas, comercio electrnico, estafas en la red.

Seguridad lgica: Seguridad lgica, virus, sustraccin de datos, hacking, descubrimientoy revelacin de secretos, suplantacin de personalidad o sustraccin de cuentas decorreo electrnico.

Fraudes en las comunicaciones: Amenazas, injurias y calumnias cometidas con lautilizacin del correo electrnico, mensajes a travs de telfonos mviles (SMS y/oMMS), tablones de anuncios, foros de Internet, newsgroup, etc. Tambin sobre el uso

indebido de seales de video y fraudes en las telecomunicaciones.

4.1.3.3.2. Contacto con Grupos de Especial Inters

AEI Seguridad

La Agrupacin Empresarial Innovadora para la seguridad de las redes y los sistemas deinformacin rene a empresas, asociaciones, centros de I+D+i yentidades pblicas o privadas interesadas en la promocin del sectorde las Nuevas Tecnologas, sus industrias afines y auxiliares, ascomo otros sectores emparejados con el mismo, que deseen

contribuir a los fines de la Asociacin, en el mbito nacional de las Tecnologas de Seguridad.McAfee Alerts

Avisa a los usuarios de las nuevas y peligrosas amenazas que se pueden encontrar en la red.Se trata de evitar ser vctimas de los peligros online. Nos ofrecer:actualizaciones de firmas malware, alertas de nuevas amenazas,notificaciones de .DAT, notificaciones de seguridad, etc.


41/214


Symantec

Symantec ayuda a los consumidores y a las organizaciones a proteger y administrar su

informacin. Sus servicios y programas protegen contra una mayor cantidad de riesgos en mspuntos y de una forma ms completa y eficaz, lo que brinda tranquilidad sin importar dnde seutilice o almacene la informacin.

Proteccin y administracin de un mundo impulsado por la informacin . Suenfoque fundamental es eliminar los riesgos para la informacin, la tecnologa y losprocesos independientemente del dispositivo, la plataforma, la interaccin o laubicacin.

Proteccin completa. Por medio de Symantec, se puede proteger ms informacin einfraestructura tecnolgica, en un nivel ms profundo, en cualquier ubicacin donde se

use o almacene la informacin. Desde la seguridad de las interacciones y de laidentidad en lnea de los usuarios hasta la proteccin de los datos de uso crtico de unaorganizacin, Symantec ofrece los mejores productos lderes en su clase orientados a laseguridad, las copias de seguridad y la recuperacin, la disponibilidad de datos y laprevencin contra la prdida de datos.

Control automtico. Dado que cuenta con la cartera ms completa de software deadministracin y seguridad, Symantec ayuda a controlar ms procesos de maneraautomtica, en el equipo particular o en el datacenter corporativo. Symantec ayuda aestandarizar y automatizar la manera en que las personas y las organizaciones

implementan las polticas (desde la seguridad en lnea hasta el cumplimiento de normasde TI en toda la empresa).

BSA (Business Software Alliance)

La BSA es una asociacin comercial sin nimo de lucro creada paradefender los objetivos del sector de software y hardware. Fomenta unmundo digital seguro y legtimo.

Entre las prioridades de la BSA se incluyen:

Proteger la propiedad intelectual (copyright, patentes, mandatos sobre tecnologa).

Abrir los mercados a un comercio sin barreras.

La seguridad de los datos.

La innovacin y variedad del software.

El gobierno electrnico.

Mano de obra y educacin


42/214


Alertas ESET

Consejos de seguridad para el uso seguro del ordenador y de la informacin

sensible y personal.

OSI (Oficina de Seguridad del Internauta)

Es un servicio del Gobierno para proporcionar la informacin y el soportenecesarios para evitar y resolver los problemas de seguridad que puedenafectar al navegar por Internet. Su objetivo es elevar la cultura de seguridad, prevenir,concienciar y formar proporcionando informacin clara y concisa acerca de la tecnologa y elestado de la seguridad en Internet. Al mismo tiempo impulsa la deteccin y denuncia de nuevasamenazas en la red, de fraudes, estafas online o de cualquier otro tipo de ataque de SeguridadInformtica.

CWE (Common Weakness Enumeration)

Se trata de una importante fuente de informacin de seguridad de aplicacionesen general, una comunidad perteneciente al MIT, que se dedica a enumerar yclasificar los tipos de debilidades y vulnerabilidades de las aplicaciones, incluyendo porsupuesto a las aplicaciones web.

4.1.3.4. Terceros

4.1.3.4.1. Objetivo

La seguridad de la informacin de la entidad y las instalaciones de procesamiento de lainformacin, no debera ser reducida por la introduccin de un servicio o producto externo.Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin.

Cuando la entidad requiera dicho acceso de terceros, se deber realizar una evaluacin delriesgo para determinar sus implicaciones sobre la seguridad y las medidas de control querequieren. Estas medidas de control debern definirse y aceptarse en un contrato con la terceraparte.

4.1.3.4.2. Identificacin de los Riesgos del Acceso de Terceros

Cuando exista la necesidad de otorgar acceso a terceras partes a informacin de la entidad, sellevar a cabo y documentar una evaluacin de riesgos para identificar los requerimientos decontroles especficos, teniendo en cuenta, entre otros aspectos:

El tipo de acceso requerido (fsico/lgico y a qu recurso).

Los motivos para los cuales se solicita el acceso.

El valor de la informacin.

Los controles empleados por la tercera parte.

La incidencia de este acceso en la seguridad de la informacin de la entidad.


43/214


En ningn caso se otorgar acceso a terceros a la informacin, a las instalaciones deprocesamiento u otras reas de servicios crticos, hasta tanto se hayan implementado loscontroles apropiados y se hayan implementado los controles apropiados y se haya firmado un

contrato o acuerdo que defina las condiciones para la conexin o el acceso.

Buenas prcticas

Realizar inventario de conexiones de red y flujos de informacin significativos conterceras partes.

Evaluar riesgos.

Tras identificar los riesgos, se debern implementar controles apropiados antes deconceder el acceso.

Revisar los controles de seguridad de informacin existentes respecto a los requisitos.

Considerar exigir certificados en ISO/IEC 27001 a los socios ms crticos, tales comooutsourcing de TI, proveedores de servicios de seguridad TI, etc.

4.1.3.4.3. Tratamiento de la Seguridad en los Contratos

Se revisarn los contratos o acuerdos existentes o que se efecten con terceros, teniendo encuenta la necesidad de aplicar los siguientes controles:

Cumplimiento del Plan de Seguridad de la entidad.

Proteccin de los activos de la entidad, incluyendo:

o Procedimientos para proteger los bienes, abarcando los activos fsicos, lainformacin y el software.

o Procedimientos para determinar si ha ocurrido algn evento que comprometa losbienes, por ejemplo, debido a prdida o modificacin de datos.

o Controles para garantizar la recuperacin o destruccin de la informacin y losactivos al finalizar el contrato o acuerdo, o en un momento convenido durante la

vigencia del mismo.o Restricciones a la copia y divulgacin de informacin.

Descripcin de los servicios disponibles.

Nivel de servicio esperado y niveles de servicio aceptables.

Permiso para la transferencia de personal cuando sea necesario.

Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.

Existencia de Derechos de Propiedad Intelectual.


44/214


Definiciones relacionadas con la proteccin de datos.

Acuerdos de control de accesos que contemplen:

o Mtodos de acceso permitidos, y el control y uso de identificadores nicos comoidentificadores de usuario y contraseas.

o Proceso de autorizacin de accesos y privilegios de usuarios.

o Requerimiento para mantener actualizada una lista de individuos autorizados autilizar los servicios que han de implementarse y sus derechos y privilegios conrespecto a dicho uso.

Definicin de criterios de desempeo comprobables, de monitoreo y presentacin de

informes. Adquisicin de derecho a auditar responsabilidades contractuales o surgidas del

acuerdo.

Establecimiento de un proceso para la resolucin de problemas y en caso decorresponder disposiciones con relacin a situaciones de contingencia

Responsabilidades relativas a la instalacin y al mantenimiento de hardware y software.

Estructura de dependencia y del proceso de elaboracin y presentacin de informesque contemple un acuerdo con respecto a los formatos de los mismos.

Proceso claro y detallado de administracin de cambios.

Controles de proteccin fsica requeridos y los mecanismos que aseguren laimplementacin de los mismos.

Mtodos y procedimientos de entrenamiento de usuarios y administradores en materiade seguridad.

Controles que garanticen la proteccin contra software malicioso.

Elaboracin y presentacin de informes, notificacin e investigacin de incidentes yviolaciones relativos a la seguridad.

Relacin entre proveedores y subcontratistas.

4.1.4. Herramientas

4.1.4.1. Gestin Documental

Servir para evitar la prdida de documentos, evitar la violacin de la informacin o ladestruccin no deseada de documentos, mantener informacin crtica oculta a quin no debieratener acceso a ella, etc. Adems, ser importante tener un lugar donde almacenar las polticasde manera que puedan ser accedidas en cualquier momento por las personas responsables.


45/214


PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS GUÍA PARA LA ELABORACIÓN DE PLANES DE SEGURIDAD DEL...

Documents

Transcript of PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS GUÍA PARA LA ELABORACIÓN DE PLANES DE SEGURIDAD DEL...