Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715

Desafíos de la Gestión de la #Ciberseguridad en

Infraestructuras Críticas

14 - 16 de Julio – México 1 Taller de Sistemas de Control Industrial e Infraestructuras

Críticas - OEA

2 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras

Críticas - OEA


Críticas - OEA

Agenda

¿Qué son las

infraestructuras críticas?

Gestión de la #Ciberseguridad

Saber qué tenemos

Saber cuánto vale Saber qué nos podría pasar

Tomar decisiones Mantenerlo en el

tiempo

Recomendaciones Finales

Preguntas Referencias


Críticas - OEA

¿Qué son las infraestructuras críticas?

•CNPIC

•ENISA

•CPNI

•Homeland Security

Referencias

Fuente: wired

“Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Definición CNPIC


Críticas - OEA


• ENISA National Cybersecurity Strategies

• ISO 27001/2

• NIST SP800-82

• CNPIC Best Practices Guides

• Critical Security Controls – Council On Cybersecurity

• Top 35 Mitigations Strategies – Australia DSD

• SP800-100

• FIPS 199/200

Referencias

Fuente: SecuringTheHuman

Requerimientos Básicos

Marco de

Gobierno

•Políticas

•Roles y Responsabilidades

•Alcance

•Gestión de Riesgos

•Procesos

•Documentación

•Métricas


Críticas - OEA


Fuente: SecuringTheHuman

Algunos Desafíos

Marco de

Gobierno

•Definición de una Estrategia Nacional de Ciberseguridad.

•Marco Legal y/o Regulatorio adecuado.

•Compromiso de las partes necesarias.

•Recursos.

•Visión de Largo Plazo.

•Apoyo Político.

• Influencia de actores clave.

• Lograr Compromiso Sociedad

•Nombre Activo

•Tipo de Activo

•Dirección IP

•Hostname

•Máscara de Red

•Sistema Operativo

•Servicios Activos

•Configuración Detallada

•Documentación

Datos Técnicos


Críticas - OEA

Saber qué tenemos

• ISO 27005

• NIST SP800-100

• NIST SP800-37

• CERT Octave

• CCI

• FIPS 199/200

Referencias

Fuente: Fondos10.net

Actividades Básicas

Inventario de

Activos

•Definición Alcance

•Registros Vitales

•Herramientas de Identificación

•Datos Técnicos

•Relaciones

•Dependencias

• Servicios Involucrados


Críticas - OEA

Saber qué tenemos

Fuente: Fondos10.net

Inve

nta

rio

de

Act

ivo

s

Algunos Desafíos

Colaboración Público – Privada

Establecimiento Regulaciones

Mecanismos de Comunicación Seguros

Obtener Recursos Requeridos

Entrenamiento

Mantenerlo en el Tiempo

Entender el funcionamiento

La improvisación se paga caro.


Críticas - OEA

Saber cuánto vale

• ISO 27005

• NIST SP800-100

• NIST SP800-37

• CERT Octave

• CCI

• CPNI

• NERC

• ENISA

• FIPS 199/200

Referencias


Clasificar

Activos


•Talleres / Entrenamiento

•Metodologías Probadas

• Identificación Owner

• Steering Committe

•Personal Clave

•Nomenclatura

• Sistema de Gestión

• Internalizar el proceso

•Matriz de Clasificación

Fuente: Macove


Críticas - OEA

Saber cuánto vale C

lasi

fica

r A

ctiv

os

Algunos Desafíos

Criterios de Clasificación

Recursos Requeridos

Contar con el Personal Clave

Colaboración Público - Privada

Entrenamiento

Mantenerlo en el tiempo

Fuente: Macove


Críticas - OEA

Saber qué nos podría pasar

• ISO 27005

• NIST SP800-100

• NIST SP800-37

• CERT Octave

• CCI

• CPNI

• NERC

• ENISA

Referencias

Fuente: Missionmode


Análisis de

Riesgos


•Talleres / Entrenamiento

•Metodologías Probadas

• Identificación Owner

• Steering Committe

• Sistema de Gestión

• Internalizar el proceso

•Estandarizar Catálogos

•Entrenamiento


Críticas - OEA

Saber qué nos podría pasar

Fuente: Missionmode

Algunos Desafíos

Análisis de

Riesgos

•Colaboración Público – Privada

•Obtener Recursos Necesarios

•Entrenamiento

•Tomadores de Decisión

•Contar con Personal Clave

•Mantenerlo en el tiempo

•Conocer el entorno

•Agregar Valor


Críticas - OEA

Tomar decisiones

• ISO 27005

• NIST SP800-100

• NIST SP800-37

• CERT Octave

• ENISA

• CCI

Referencias


Tratar los Riesgos

•Analizar Resultados

• Identificar y Analizar Riesgo Residual

•Asignar Recursos

•Aprobar Planes de Acción

•Dar apoyo y seguimiento

•Establecer Acuerdos

• Identificar Dificultades

•Definir Métricas

Fuente: Blogspot


Críticas - OEA

Tomar decisiones

Algunos Desafíos

Tratar los Riesgos

• Lograr Compromiso Actores Involucrados

•Colaboración Público – Privada

•Colaboración Industria

•Recursos Técnicos y Económicos

•Competencias Requeridas

•Profesionalismo

•Conocer el entorno y la tecnología

•Mantenerlo en el Tiempo

• Seguimiento y Control


Críticas - OEA


• ISO 27001

• ISO 9001

• CCI

• Harvard Review

Referencias

Mejora Continua

•Analizar Métricas

•Analizar Planes de Acción

•Analizar Incidentes / Problemas

•Repetir Análisis de Riesgos

•Aprender de lo sucedido

•Reuniones de Revisión Steering Committee

•Evaluaciones por parte de Terceros

•Certificación y/o Acreditación


Convertir el Proyecto en Cultura


Críticas - OEA


Algunos Desafíos

Mejora Continua

•Resistencia al Cambio

•Pérdida de Apoyo

•Cambios en las condiciones del entorno

•Compromiso de los involucrados

•Errores en las definiciones

•Ausencia de Visión de Largo Plazo


Críticas - OEA

Recomendaciones Finales

Aspectos Relevantes

Resumen

• Utilizar Estándares Internacionales

• Conocer el entorno

• Generar Acuerdos

• Obtener Sponsor Adecuado

• Comprometer Recursos

• Planificar, Planificar, Planificar

• Definir Alcance Realizable

• Fases, Hitos y Etapas

• Medir, Corregir, Aprender

• Documentar

• Trabajar por Proyectos

• Visión de Largo Plazo


Críticas - OEA

Preguntas


Críticas - OEA


Críticas - OEA

Referencias


Críticas - OEA

Fuente: SecureTheHuman - SANS

Referencias

Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715

Documents

Transcript of Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715