1

LA INPORTANCIA DE LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Y

LA DEFENSA NACIONAL

TCL L. CARNEIRO

Comando de Defesa Cibernética - Brasil

SUMÁRIO

1.INTRODUCCIÓN: AMENAZAS

2.DESAROLLO: PROTECCIÓN DE IC

1. NIVEL POLÍTICO

2. NIVEL ESTRATÉGICO

3. JO RIO 2016

3.CONCLUSIÓN

2

INTRODUCCIÓN

NIVELES DE AMENAZAS

INTRODUCCIÓN

3

INTRODUCCIÓN

POLÍTICA NACIONAL DE DEFENSA

NIVEL POLÍTICO

4

NIVEL POLÍTICO

1. Macroprocesos para mapeo de activos de información2. Instrumentos para información cartográfica y de

seguimiento de activos3. Requisitos Mínimos de seguridad de infraestructuras

críticas de información: seguridad, resistencia y formación

4. Método de identificación de amenazas y seguridad virtual de generación de alertas de seguridad de las infraestructuras críticas de información

Anexos:1. Soporte para registro y gestión de activos de información2. Ejemplos de amenazas comunes3. Perfiles de amenazas4. Estructura genérica para la infraestructura de seguridad

informática crítica5. Visualización de las capas de seguridad

Categorías de Control Elementos de Control

Grado de Implementación (0 a 5 o NA)

Política de Proteción de la Información

Gestión de Riesgo

Gestión de Configuración

Mantenimiento

Protección de Medios Informáticos

Cultura de Seguridad

Gestión de crisis

Proteción Física e Ambiental

Seguridad de Personal

Respuesta a incidentes

Auditoría y Seguimiento de Responsabilidades

Control de Asceso al Sistema y Protección de las Comunicaciones

Aplicación

REQUISITOS MÍNIMOS NECESARIOS A LA SEGURIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS DE LA INFORMACIÓN

5

MÉTODO DE IDENTIFICACIÓN DE AMENAZAS Y GENERACIÓN DE ALERTAS

NIVEL ESTRATÉGICO

6

Todos los órganos del Estado deben contribuir aaumentar el nivel de seguridad nacional, conespecial énfasis en: [...] Las medidas para laseguridad de las áreas de infraestructuraestratégica, incluidos los servicios, especialmenteen lo que respecta a la energía, el transporte, elagua, las finanzas y las comunicaciones, a cargo delos Ministerios de Defensa, Minas y Energía,Transporte , Finanzas, Integración Nacional y decomunicaciones, así como la coordinación, laevaluación, el seguimiento y la reducción deriesgos, interpretado por el Gabinete de SeguridadInstitucional;

[...] Desarrollar la formación, la preparación y eluso de poderes cibernéticos operativas yestratégicas, en apoyo de las operacionesconjuntas y la protección de la infraestructuraestratégica;

NIVEL ESTRATÉGICO

En el sector de la cibernética, el Ministerio de Defensa yel Ministerio de Ciencia, Tecnología e Innovación, a través delDepartamento de Ciencia y Tecnología del Ejército, promoveránacciones que consideren el multidisciplinaria y la dualidad delas solicitudes; fomentar la defensa de la base industrial condoble sesgo: adquisición de conocimientos y la creación deempleo; y la protección de la infraestructura estratégica, conénfasis en el desarrollo de soluciones innovadoras nacionales,tales como:

NIVEL ESTRATÉGICO

7

- sistema integrado de protección del ambiente computacional; - simulador de ciberdefensa; - herramientas para el contenido web;- herramientas de inteligencia artificial; - algoritmos criptográficos y la autenticación propia; - Infraestructura de clave pública de la defensa; - sistema de análisis de malware; - herramientas de análisis de interés para el sector cibernético (voz, vídeo,

lenguaje y protocolos); - Sistema de Certificación de Tecnología de la Información; - Sistema de apoyo a la toma de decisiones; - Sistema de recuperación de negocios; - Sistemas de Gestión de Riesgos; - Sistema de Conocimiento de la situación; - computación de alto rendimiento; - radio definida por software; y - investigación científica a través de la Escuela Nacional de Ciberdefensa,

instituciones académicas, bajo el Ministerio de Defensa y otras instituciones de educación superior nacional e internacional.

(VIDEO)

NIVEL ESTRATÉGICO

PROTECCIÓN IC - JO 2016

8

• En los Juegos Olímpicos y Paralímpicos de Río 2016 (JO 2016) se llevaron a cabo Visitas de Orientación Técnica (VOT).

• En estas VOT, hubo presentaciones sobre:• las Estructuras Estratégicas (Etta Estr), con el despliegue de

destacamentos para los Juegos Olímpicos y Paralímpicos, • el escenario de la operación,• la protección de los activos de información• Cuaderno de recomendaciones de seguridad, que también estaba

disponible para las Etta Estr.

PROTECCIÓN IC - JO 2016

Entre las Estructuras Estratégicas que fueram visitadas, están:

-> ELETRONUCLEAR (Usina Nuclear de Angra 2) - Angra dos Reis, RJ-> ITAIPU BINACIONAL (Usina Hidreléctrica de Itaipu) - Foz do Iguaçu, PR-> LIGHT (Energía Eléctrica) - Rio de Janeiro, RJ-> CEDAE (Tratamiento y distribuición de água) - Rio de Janeiro, RJ-> AEROPORTO INTERNACIONAL DO GALEÃO - Rio de Janeiro, RJ-> AEROPORTO SANTOS DUMONT - Rio de Janeiro, RJ-> ONS (Operador Nacional del Sistema de Energía) - Rio de Janeiro, RJ-> LADETEC (Laboratório de Apoyo al Desarollo Tecnológico - Antidoping de los JO Rio 2016) - Rio de Janeiro, RJ-> INFRAERO (Empresa Brasileira de Infraestructura Aeropuertuaria) - Brasília, DF-> SAC (Secretaría de Aviación Civil de la Presidencia de la República) - Brasília, DF-> ANEEL (Agencia Nacional de Energía Eléctrica) - Brasília, DF-> ANAC (Agencia Nacional de Aviación Civil) - Brasília, DF-> ANATEL (Agencia Nacional de Telecomunicaciones) - Brasília, DF

PROTECCIÓN IC - JO 2016

9

CAMBIO DE PARADIGMAS

Antes:Preparación, detección, respuestaDetección = búsqueda de estándares, firmas Reacción = bloqueo planeado de ataque

Hoy :Preparación, Detección y Reacción Conocimiento de la situación y Adaptabilidad Resiliencia y Sanción de

los Responsables

SERVICIOS

� Análisis de riesgos y vulnerabilidad en activos de TI

� inteligencia cibernética.

� Detección automática de incidentes.

� Análisis de Incidentes (notificaciones de eventos deSeguridad).

� Soporte para recuperación a incidentes (Dst Rmto)

� Coordinación de la respuesta al incidente (Cooperación conotros Equipos de Tratamiento de incidentes).

� Distribución de alertas, recomendaciones y estadísticas.

10

ACTUACIÓN COLABORATIVA

GESTIÓN

DE ACTIVOSPERÍMETROS

ANÁLISIS DE

TENDENCIAS

HERRAMIENTAS

11

- Los ataques a los sistemas SCADA tienen

un gran impacto y enormes pérdidas.

- CDCiber no interviene directamente en los

activos de la infraestructura informática crítica.

- Coordinación e Integración.

- Práctica colaborativa.

- La responsabilidad es compartida por todos.

CARACTERÍSTICAS DE LAS OPERACIONES

CUADERNO DE RECOMENDACIONES DE SEGURIDAD

�Propósito: aumentar el nivelde la madurez deSeguridad de la Información

�Beneficios: identificar lasamenazas, reducir los impactos de lasvulnerabilidades

12

ESTRUCTURA

•Sensibilización a nivel estratégico;

•riesgos y gestión de la seguridad;

•Activos de seguridad;

•Ingeniería de seguridad;

•Seguridad de las redes y las comunicaciones;

•Gestión de Identidad y acceso;

•Evaluación de la seguridad y testes;

•Operaciones de seguridad;

•Desarrollo de software seguro;

•Toma de conciencia de los usuarios.

REFERENCIAS

�CISSP;

�Normas ISO 27000;

�ITIL;

�COBIT;

�NIST (National Institute of

Standards and Technology);

�Department of Defense - GoviernoAustraliano;

�Common Criteria.

CUADERNO DE RECOMENDACIONES DE SEGURIDAD

CUADERNO DE RECOMENDACIONES DE SEGURIDAD

13

PUNTUACIÓN DE LOS CONTROLES

Los controles se puntuaron en una escala de 1 a 5 de acuerdo con la siguienteclasificación:

Aumento efectivo de seguridad: ¿ Cuál la ganancia efectiva que la corporación tendráen seguridad de la información con la aplicación del control? Siendo 1 la más baja y 5 la másalta;

La aceptación del usuario / organización: ¿ Cuál el nivel de aceptación del usuario uorganización (usuario es alguien que se verá afectado por esta implementación; organizaciónes la cultura de la organización)? 1 siendo el nivel más bajo de aceptación y 5 el más altonivel de aceptación;

Costo de implementación: ¿Cuál es el costo de implementar el control (el alquiler o laasignación de personas, adquisición de nueva tecnología, un nuevo diseño del proceso)? 1siendo el mayor costo de la implementación y 5 la más baja;

El costo de mantenimiento: ¿Cuál es el costo de mantener el control de la operación(costo de personal adicional, el mantenimiento de hardware o software, proceso deadaptación constante)? 1 siendo el mayor costo de mantenimiento y 5 la más baja.

APLICACIÓN DE CONTROLES�Implementado: para los casos en que el control se ha implementado demanera efectiva y se mitigan los riesgos;

�Control definido: para los casos en que la aplicación de un control decompensación que reduce la probabilidad de una vulnerabilidad fueaprobada;

�Control implementado: para los casos en que el control decompensación autorizado ha sido implementado de manera efectiva;

�Riesgo aceptado: donde, por las limitaciones presupuestarias, fechalímite para la aplicación o la posición técnica de desacuerdo sobre elcontrol, no se toma ninguna acción. En este caso, el responsable de lainfraestructura debe ser consciente de que asume los riesgos;

�riesgo subcontratado: Cuando la responsabilidad de la realización deun riesgo se subcontrata a otra, como la realización de seguros, porejemplo.

14

CONCLUSIÓN

Seguridad de Infraestructuras Críticas no se hacesolo.

Medidas de colaboración, la coordinación y laintegración son medidas clave para el éxito de lamisión.