SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de...
Transcript of SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de...
![Page 1: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/1.jpg)
SGPIC - Sistemas de Gestión de
Protección de Infraestructuras críticas
CARLOS VILLAMIZAR R.
Director Desarrollo de Negocios LATAM
CISA, CISM, CGEIT, CRISC, CFC, ISO27001 LA, ISO 22301 LI
![Page 2: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/2.jpg)
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .2
AGENDA
![Page 3: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/3.jpg)
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .3
AGENDA
![Page 5: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/5.jpg)
O realidad ?
Qué fue primero el huevo o la gallina ?
21/09/2016
Introducción
Pág .5
![Page 6: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/6.jpg)
Ley 8/2011: Protección de Infraestructuras
Críticas
Homeland Security: Control Systems Security
Program National CyberSecurity Division “Defense in depth”
2004: PEPIC – Programa Europeo de Protección de Infraestructuras Críticas
Directiva 2008/114
Lineamientos de Política para Ciberseguridad,
Ciberdefensa y Seguridad Digital
CONPES 3701 – 2011 CONPES 3854 - 2016
Pag. 6
Introducción
![Page 7: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/7.jpg)
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .7
AGENDA
![Page 8: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/8.jpg)
Infraestructura crítica cibernética nacional: aquella soportada por las TIC
y por tecnologías de operación, cuyo funcionamiento es indispensable para
la prestación de servicios esenciales para los ciudadanos y para el Estado.
Su afectación, suspensión o destrucción puede generar consecuencias
negativas en el bienestar económico de los ciudadanos, o en el eficaz
funcionamiento de las organizaciones e instituciones, así como de la
administración pública.
CONPES 3854
Definiciones
Pag. 8
![Page 9: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/9.jpg)
Quienes son infraestructuras críticas?
Qué servicios críticos brindan ?
Qué amenazas afectan la seguridad / disponibilidad de tales
servicios críticos ?
Cómo garantizar a la comunidad que no se verá afectada por la
suspensión de servicios críticos?
Definiciones
Pag. 9
![Page 10: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/10.jpg)
Concepto de SGPIC
Es la suma de Sistema de Gestión + Protección de Infraestructura Crítica
¿Por qué crear un Sistema de Gestión para la Protección de
Infraestructuras Críticas ?
R/ La idea parte de la necesidad de gestionar adecuadamente la seguridad y
continuidad de los servicios esenciales.
SG PIC SGPIC
Definiciones
Pag. 10
![Page 11: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/11.jpg)
Modelo para la definición, implementación,
mantenimiento y mejora continua de un sistema de
gestión para la protección de infraestructuras críticas
Definiciones
Concepto de SGPIC
Pag. 11
![Page 12: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/12.jpg)
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .12
AGENDA
![Page 13: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/13.jpg)
El modelo de madurez de la capacidad de seguridad cibernética es una medida que permite
calificar su madurez desde inicial (1) hasta dinámico (5).
La calificación anterior muestra el estatus de la posición actual y propuesta con relación
a las mejores prácticas, estándares y directrices de la industria.
1- Nada existe / naturaleza embrionaria.
2- Elementos casuales, desorganizadas, mal definidas.
3- Elementos establecidos y funcionando, mala asignación de recursos.
4- Se logra el resultado esperado de circunstancias particulares
5- Se logra adaptar la estrategia en función de circunstancias
imperantes (toma de decisiones rápida, reasignación de
recursos y atención constante a los cambios del entorno.
Estatus actual
Promedio
Meta
Capacidad de Seguridad Cibernética
Inicial Formativo Establecido Estratégico Dinámico
1 2 3 4 5
Pag. 13
![Page 14: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/14.jpg)
Informe Ciberseguridad 2016 - Colombia
Pag. 14
![Page 15: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/15.jpg)
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .15
AGENDA
![Page 16: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/16.jpg)
Planificar
•Entendimiento de la entidad (legal, tecnológico, etc.)
•Requerimientos de las partes interesadas
•Alcance del SGPIC
Contexto Organizacional
• Liderazgo y Compromiso
•Políticas PIC
•Roles y responsabilidades Liderazgo
•Estrategia de PIC
•Objetivos de PIC
• Inventario de activos críticos
•Análisis de Riesgos
•Análisis de impacto al negocio
Planeación
•Recursos (dinero, personas, herramientas)
•Marcos de referencia (NIST, ISA99, NERC CIP, otros)
•Competencias
•Concienciación
•Documentación
Soporte
Pag. 16
![Page 17: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/17.jpg)
Pag. 17
Planificar
Activos Críticos
Evaluación de Riesgos
Matriz de Riesgos BIA´s
![Page 18: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/18.jpg)
Pag. 18
Planificar
![Page 19: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/19.jpg)
Operar
Infraestructuras críticas
Gestión de Continuidad del Negocio
Gestión de Riesgos
Gestión de incidencias, incidentes o problemas
![Page 20: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/20.jpg)
Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION
DATOS
APLICACIÓN
SERVIDORES
RED
PERIMETRO
SEGURIDAD FÍSICA
PROCEDIMIENTOS
DATOS
APLICACIÓN
SERVIDORES
RED
PERIMETRO
SEGURIDAD FÍSICA
PROCEDIMIENTOS
Defensa en Profundidad
Pag. 20
![Page 21: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/21.jpg)
Verificar
Monitoreo
• Métricas
• Indicadores
Auditoría
• Interna
• Tercera parte
Revisión por la Dirección
• Informe gerencial
Pag. 21
![Page 22: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/22.jpg)
Mejora Continua
No conformidades y Acciones correctivas
Mejora continua
Pag. 22
Mejorar requiere tiempo y dedicación
![Page 23: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/23.jpg)
Certificación
Pag. 23
En Junio de 2016 se lanzó en España el Sello de
Ciberseguridad de la AEI (Cluster de Innovación
en Ciberseguridad ) quien ha desarrollado un
esquema de certificación completo dirigido
a infraestructuras críticas, su cadena de
proveedores y en general a toda entidad
pública o privada que quiera demostrar que
cumple con unos requisitos específicos de
Ciberseguridad, que incluyen:
•Protocolos de comunicaciones
•Protección de datos
•Infraestructura
•Recursos Humanos
•Proveedores
•Servicios
Mayor información: www.aeiciberseguridad.es
![Page 24: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/24.jpg)
3. Capacidad de seguridad cibernética
4. Elementos del SGPIC
2. Definiciones
1. Introducción
5. Preguntas
Pág .24
AGENDA
![Page 25: SGPIC - Sistemas de Gestión de Protección de ... · Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo](https://reader031.fdocumento.com/reader031/viewer/2022013020/5e5bd3ddac444d259a6b0f57/html5/thumbnails/25.jpg)
Más información
CARLOS VILLAMIZAR R.
Director Desarrollo de Negocios LATAM
www.globalsuite.es