Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
-
Upload
mariano-m-del-rio -
Category
Documents
-
view
261 -
download
0
Transcript of Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
Desafíos de la Gestión de la #Ciberseguridad en
Infraestructuras Críticas
14 - 16 de Julio – México 1 Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
2 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
3 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Agenda
¿Qué son las
infraestructuras críticas?
Gestión de la #Ciberseguridad
Saber qué tenemos
Saber cuánto vale Saber qué nos podría pasar
Tomar decisiones Mantenerlo en el
tiempo
Recomendaciones Finales
Preguntas Referencias
4 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
¿Qué son las infraestructuras críticas?
•CNPIC
•ENISA
•CPNI
•Homeland Security
Referencias
Fuente: wired
“Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Definición CNPIC
5 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Gestión de la #Ciberseguridad
• ENISA National Cybersecurity Strategies
• ISO 27001/2
• NIST SP800-82
• CNPIC Best Practices Guides
• Critical Security Controls – Council On Cybersecurity
• Top 35 Mitigations Strategies – Australia DSD
• SP800-100
• FIPS 199/200
Referencias
Fuente: SecuringTheHuman
Requerimientos Básicos
Marco de
Gobierno
•Políticas
•Roles y Responsabilidades
•Alcance
•Gestión de Riesgos
•Procesos
•Documentación
•Métricas
6 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Gestión de la #Ciberseguridad
Fuente: SecuringTheHuman
Algunos Desafíos
Marco de
Gobierno
•Definición de una Estrategia Nacional de Ciberseguridad.
•Marco Legal y/o Regulatorio adecuado.
•Compromiso de las partes necesarias.
•Recursos.
•Visión de Largo Plazo.
•Apoyo Político.
• Influencia de actores clave.
• Lograr Compromiso Sociedad
•Nombre Activo
•Tipo de Activo
•Dirección IP
•Hostname
•Máscara de Red
•Sistema Operativo
•Servicios Activos
•Configuración Detallada
•Documentación
Datos Técnicos
7 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué tenemos
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• FIPS 199/200
Referencias
Fuente: Fondos10.net
Actividades Básicas
Inventario de
Activos
•Definición Alcance
•Registros Vitales
•Herramientas de Identificación
•Datos Técnicos
•Relaciones
•Dependencias
• Servicios Involucrados
8 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué tenemos
Fuente: Fondos10.net
Inve
nta
rio
de
Act
ivo
s
Algunos Desafíos
Colaboración Público – Privada
Establecimiento Regulaciones
Mecanismos de Comunicación Seguros
Obtener Recursos Requeridos
Entrenamiento
Mantenerlo en el Tiempo
Entender el funcionamiento
La improvisación se paga caro.
9 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber cuánto vale
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• CPNI
• NERC
• ENISA
• FIPS 199/200
Referencias
Actividades Básicas
Clasificar
Activos
•Definición Alcance
•Talleres / Entrenamiento
•Metodologías Probadas
• Identificación Owner
• Steering Committe
•Personal Clave
•Nomenclatura
• Sistema de Gestión
• Internalizar el proceso
•Matriz de Clasificación
Fuente: Macove
10 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber cuánto vale C
lasi
fica
r A
ctiv
os
Algunos Desafíos
Criterios de Clasificación
Recursos Requeridos
Contar con el Personal Clave
Colaboración Público - Privada
Entrenamiento
Mantenerlo en el tiempo
Fuente: Macove
11 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué nos podría pasar
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• CPNI
• NERC
• ENISA
Referencias
Fuente: Missionmode
Actividades Básicas
Análisis de
Riesgos
•Definición Alcance
•Talleres / Entrenamiento
•Metodologías Probadas
• Identificación Owner
• Steering Committe
• Sistema de Gestión
• Internalizar el proceso
•Estandarizar Catálogos
•Entrenamiento
12 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué nos podría pasar
Fuente: Missionmode
Algunos Desafíos
Análisis de
Riesgos
•Colaboración Público – Privada
•Obtener Recursos Necesarios
•Entrenamiento
•Tomadores de Decisión
•Contar con Personal Clave
•Mantenerlo en el tiempo
•Conocer el entorno
•Agregar Valor
13 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Tomar decisiones
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• ENISA
• CCI
Referencias
Actividades Básicas
Tratar los Riesgos
•Analizar Resultados
• Identificar y Analizar Riesgo Residual
•Asignar Recursos
•Aprobar Planes de Acción
•Dar apoyo y seguimiento
•Establecer Acuerdos
• Identificar Dificultades
•Definir Métricas
Fuente: Blogspot
14 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Tomar decisiones
Algunos Desafíos
Tratar los Riesgos
• Lograr Compromiso Actores Involucrados
•Colaboración Público – Privada
•Colaboración Industria
•Recursos Técnicos y Económicos
•Competencias Requeridas
•Profesionalismo
•Conocer el entorno y la tecnología
•Mantenerlo en el Tiempo
• Seguimiento y Control
15 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Mantenerlo en el tiempo
• ISO 27001
• ISO 9001
• CCI
• Harvard Review
Referencias
Mejora Continua
•Analizar Métricas
•Analizar Planes de Acción
•Analizar Incidentes / Problemas
•Repetir Análisis de Riesgos
•Aprender de lo sucedido
•Reuniones de Revisión Steering Committee
•Evaluaciones por parte de Terceros
•Certificación y/o Acreditación
Actividades Básicas
Convertir el Proyecto en Cultura
16 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Mantenerlo en el tiempo
Algunos Desafíos
Mejora Continua
•Resistencia al Cambio
•Pérdida de Apoyo
•Cambios en las condiciones del entorno
•Compromiso de los involucrados
•Errores en las definiciones
•Ausencia de Visión de Largo Plazo
17 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Recomendaciones Finales
Aspectos Relevantes
Resumen
• Utilizar Estándares Internacionales
• Conocer el entorno
• Generar Acuerdos
• Obtener Sponsor Adecuado
• Comprometer Recursos
• Planificar, Planificar, Planificar
• Definir Alcance Realizable
• Fases, Hitos y Etapas
• Medir, Corregir, Aprender
• Documentar
• Trabajar por Proyectos
• Visión de Largo Plazo
18 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Preguntas
19 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
20 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Referencias
21 14 - 16 de Julio – México Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Fuente: SecureTheHuman - SANS
Referencias