11 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0© Confidential

Tecnología y Seguridad en Infraestructuras Críticas:Seguridad y Continuidad de los Servicios

17 de Octubre de 2011

22 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Temas a tratar

▶ CONTEXTO NORMATIVO Y REGULATORIO

▶ PLANES Y PROGRAMAS DE CIBERSEGURIDAD

▶ CONTINUIDAD DE SERVICIOS

33 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Principales regulaciones

▶ Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las

Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su

Protección.

▶ En España, existe diversa legislación aplicable:

– BOE Ley 8/2011 - Protección de las infraestructuras críticas, BOE de 29-abril-2011.

– Real Decreto 704/2011, de 20 de mayo, “Reglamento de protección de las

infraestructuras críticas”.

– Ley 11/2007 (LAECSP) y su desarrollo, RD ENS,….

– Legislación propia de cada uno de los sectores (nucleares, energía, etc..)

▶ … y todos los estándares internacionales relacionados con la seguridad: Serie ISO/IEC

27000, BS2599 de Gestión de la Continuidad de Negocio, NIST,…

44 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Regulación en Infraestructuras críticas

▶ INFRAESTRUCTURA CRÍTICA (CI):

Las infraestructuras críticas son aquellas INSTALACIONES, REDES, SERVICIOS Y EQUIPOS FÍSICOS Y DE TECNOLOGÍA DE LA INFORMACIÓN cuya interrupción o destrucción pueden tener una REPERCUSIÓN IMPORTANTE en la SALUD, LA SEGURIDAD O EL BIENESTAR ECONÓMICO de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados miembros.

▶ PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS (CIP):

actividades dirigidas a asegurar la funcionalidad, CONTINUIDAD e integridad de las infraestructuras críticas con el objetivo de disuadir, mitigar y neutralizar cualquier amenaza, riesgo o vulnerabilidad.

» DIRECTIVA 2008/114/CE

DEL CONSEJO de 8 de

diciembre de 2008 sobre la

identificación y designación

de infraestructuras críticas

europeas y la evaluación de

la necesidad de mejorar su

protección

» DIRECTIVA 2008/114/CE

DEL CONSEJO de 8 de

diciembre de 2008 sobre la

identificación y designación

de infraestructuras críticas

europeas y la evaluación de

la necesidad de mejorar su

protección

Estas infraestructuras suelen ser sumamente interdependientes entre sí, razón por la cual los problemas

de seguridad que pueden desencadenarse en cascada a través del propio sistema tienen la posibilidad de ocasionar fallos inesperados y cada vez más graves en los servicios

básicos para la población.

55 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Regulación en Infraestructuras críticas

▶ AAPP

– Plan Nacional de Protección de las Infraestructuras Críticas,

– Planes Estratégicos Sectoriales, y

– Planes de Apoyo Operativo.

▶ EMPRESAS, ORG. O INSTIT. (OPERADORES CRÍTICOS)

– Planes de Seguridad del Operador.

– Planes de Protección Específicos.

» DIRECTIVA 2008/114/CE

DEL CONSEJO de 8 de

diciembre de 2008 sobre la

identificación y designación

de infraestructuras críticas

europeas y la evaluación de

la necesidad de mejorar su

protección

» DIRECTIVA 2008/114/CE

DEL CONSEJO de 8 de

diciembre de 2008 sobre la

identificación y designación

de infraestructuras críticas

europeas y la evaluación de

la necesidad de mejorar su

protección

…documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar por los

operadores críticos para garantizar la seguridad integral (física y lógica) de sus IC

…. medidas que los respectivos operadores críticos consideren necesarias en función de los ANÁLISIS DE RIESGOS realizados respecto de las amenazas, en particular, las de origen terrorista,

sobre sus activos, incluyendo los SI

66 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

CiberataquesTipos

VIRUS Y TROYANOS (Zeus)

Hacen referencia a software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo ocasiona daños.

DDoS

Distributed Denial of Service, modo de hacer caer una página web mediante el bombardeo de peticiones. Normalmente utilizan bootnets

STUXNET

Programa tipo troyano, especialmente sofisticado orientado a la toma de control de los sistemas SCADA de las centrales nucleares iraníes.

BOOTNETS

Redes de ordenadores zombies que se utilizan ataques, envíos masivos y espionaje contra empresas. Envío de correo basura y virus.

77 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

¿Estamos protegidos?Qué se puede hacer?

SUPERVIVENCIA

capacidad de un sistema para cumplir su misión, puntualmente, en presencia de ataques, fallos o accidentes

RESILIENCIA

capacidad de un sistema para resistir y recuperarse de la adversidad, volviendo a su estado original o a nuevo estado (alternativo) ajustado a las circunstancias

SEGURIDAD:

Protección + Detección + Capacidad de Reacción.

88 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Desde el punto de vista de seguridad

99 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

PROGRAMA DE CIBER-

SEGURIDAD

PROGRAMA DE CIBER-

SEGURIDAD

PLAN DE CIBERSEGURIDAD

PLAN DE CIBERSEGURIDAD

ANÁLISIS DE ALCANCE Y

AUTORIZACIÓN

EQUIPO DE EVALUACIÓN DE CIBERSEGURIDAD

IDENTIFICACIÓN DE ACTIVOS

CRÍTICOS

REVISIÓN Y PRUEBAS

MITIGACIÓN VUNERABILIDADES

YAPLICACIÓN CONTROLES DE CIBERSEGURIDAD

ANÁLISIS DE PRACTICAS

Mecanismos de planificación, prevención, protección y reacción ante una eventual amenaza.

Desde el punto de vista de seguridad

1010 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Desde el punto de vista de continuidad de los servicios

Planes de Seguridad del Operador: Documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.

Planes de Seguridad del Operador: Documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.

▶ Establecen la metodología de análisis de riesgos que garantice la continuidad de los

servicios proporcionados por el operador.

▶ Definen los criterios de aplicación de las medidas de seguridad que se implanten para

hacer frente a las amenazas tanto físicas como lógicas identificadas sobre cada una de las

tipologías de sus activos.

1111 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Desde el punto de vista de continuidad de los servicios

Planes de Protección Específicos: Documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.

Planes de Protección Específicos: Documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.

▶ Incluyen todas aquellas medidas que se consideren necesarias en función de los

análisis de riesgos realizados.

▶ Contemplan la adopción tanto de medidas permanentes de protección, como de

medidas de seguridad temporales y graduadas, que vendrán en su caso determinadas

por la activación del Plan Nacional de Protección de las Infraestructuras Críticas, o como

consecuencia de una amenaza concreta.

1212 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Desde el punto de vista de continuidad de los serviciosEsquema general de un Plan de Continuidad

1313 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Desde el punto de vista de continuidad de los serviciosPlanes de Seguridad del OperadorPlanes de Seguridad del Operador

Planes de Protección EspecíficosPlanes de Protección Específicos

Análisis de Riesgos,

vulnerabilidades y consecuencias

Evaluación de amenazas

Interdependencias

Responsable de Seguridad y

EnlaceDelegado de

Seguridad de la IC

Resp. de Continuidad de

Negocio

Implantación de medidas

físicas y lógicas

Medidas temporales

Ejercicios y simulacros

Preparación e instrucción del

personalCanales de comunicación

Planes de evacuación

Estimación de recursos de

recuperación Mantenimiento, revisión y

actualización

1414 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

Aspectos importantes a destacar…

▶ Preservar, garantizar y promover la EXISTENCIA DE UNA CULTURA DE SEGURIDAD de las infraestructuras críticas en el ámbito de las Administraciones públicas.

▶ Establecer MEDIDAS PARA LA PROTECCIÓN de las infraestructuras críticas.

▶ ANÁLISIS GENERAL DE RIESGOS donde se contemplen las VULNERABILIDADES Y AMENAZAS potenciales, tanto de carácter físico como lógico.

▶ Garantizar la SEGURIDAD INTEGRAL (FÍSICA Y LÓGICA) de sus infraestructuras críticas.

▶ MEDIDAS DE COORDINACIÓN con el PNPIC.

▶ Establecer MEDIDAS DE CONTINUIDAD DE LOS SERVICIOS definidos como críticos.

1515 | AtoS| Octubre 2011| Ponencia TESIC 2011 | Tecnologías de la Información en AAPP | v1.0

www.atos.net

Your business technologists. Powering progressPowering progressPowering progressPowering progress

Atos, the Atos logo, Atos Consulting, Atos Worldline, Atos Sphere, Atos Cloud and Atos WorldGridare registered trademarks of Atos SA. June 2011© 2011 Atos. Confidential information owned by Atos, to be used by the recipient only. This document, or any part of it, may not be reproduced, copied, circulated and/or distributed nor quoted without prior written approval from Atos.

Muchas gracias

Arancha Jiménez Martínez, CISA, CISM, QSA (PCI DSS), CDPP

Responsable del Área de Seguridad y Gestión del Riesgo