SlideShare uma empresa Scribd logo

Protección de Infraestructuras Críticas

S
S2 Grupo · Security Art Work

Presentación de la charla de Antonio Villalón en las conferencias de AVADISE, la Asociación Valenciana de Directores de Seguridad, en relación con la Protección de Infraestructuras Críticas.

Tecnologia
1 de 25
www.securityartwork.es www.s2grupo.es Protección de Infraestructuras Críticas Antonio Villalón Director de Seguridad avillalon@s2grupo.es
Contenidos • Algunas reflexiones… • Seguridad… ¿lógica? – Mitos y realidades. • Unos ejemplos. • PIC en España. • Conclusiones. 2
¿Protección de IICC?
¿Protección de IICC? ¿Qué sigue igual que hace 800 años… o más? • Los pueblos (reinos, califatos, imperios… actualmente estados) NECESITAN proteger sus infraestructuras críticas… – Manantiales, depósitos de grano… o centrales nucleares. • … y lo hacen (o lo intentan) en múltiples frentes… • …con o sin LPIC. • Los enemigos ATACAN esas infraestructuras críticas con dos objetivos primarios: – DESTRUCCIÓN (o degradación). – CONTROL. 4
¿Protección de IICC? ¿Qué ha cambiado en este tiempo? LA TECNOLOGÍA • Beneficios indiscutibles en nuestras vidas, pero con contraprestaciones: • Para nosotros: – Más necesidades básicas y por tanto más infraestructuras críticas • Electricidad, TIC, espacio, nuclear… – Más interdependencias entre ellas. • Para un enemigo: – Más objetivos potenciales. – Más formas de ataque en todos los ámbitos… • … entre ellos, los relacionados con seguridad lógica. 5
Seguridad lógica SEGURIDAD GESTIÓN DE LA SEGURIDAD Seguridad de la Información Seguridad de los Sistemas de Información Seguridad Informática Seguridad Seguridad Lógica Física 6
Seguridad lógica • Medidas de seguridad (Resolución, de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad): – Organizativas o de gestión. – Operacionales o procedimentales. – De protección o técnicas. • Prevención y detección. – Medidas y elementos de seguridad física y electrónica. – Medidas y elementos de seguridad lógica. – Otros. • Coordinación y monitorización. • Seguridad “lógica”: salvaguardas lógicas… y todo lo demás. – Organización y gestión de la seguridad. – Respuesta ante incidentes. – Protección tecnológica. – Seguridad de la información. – … 7
Seguridad lógica: mitos Responsabilidad de “Informática” • ¿Qué leemos aquí? – Seguridad lógica vs. Seguridad lógica. – Seguridad informática vs. Seguridad informática. – Seguridad tecnológica vs. Seguridad tecnológica. – Seguridad de la información vs. Seguridad de la información. • ¿Se habla en la legislación del “Departamento de Informática” o del “Responsable de seguridad lógica”? • Separemos… – Informática vs. Seguridad. – Responsabilidad vs. Operación. 8
Seguridad lógica: mitos Seguridad “de los ordenadores” • Algo más que “ordenadores”: – Sistemas SCADA. – Elementos de seguridad “tradicional”: CRA, videovigilancia, controles de acceso… – …y otros “ordenadores”: tablets, smartphones… INFORMACIÓN, en definitiva. • Impacto de la tecnología en el negocio. • La información como activo crítico. 9
Seguridad lógica: mitos El riesgo no existe • El impacto es alto – Dependencia de la tecnología (informática, electrónica…). • ¿Y la probabilidad? Creo que también alta… – Superficie de ataque. – Riesgo para el atacante. – Impacto potencial. – … • Escenarios con alta probabilidad y alto impacto. – R = P x I, ¿no? – Alto riesgo. 10
Seguridad lógica: realidades • Los ataques tecnológicos a IICC son hoy en día una realidad. – No hablamos de ciencia ficción. – Alto impacto. • Mismos objetivos principales que hace 800 años: – Destrucción/degradación. – Control. • Rara vez hablamos de nuevos ataques. – Ataques clásicos cometidos a través de otros medios… – …con un problema añadido: estos nuevos medios NO sustituyen a los anteriores, sino que se añaden a ellos. – Quitemos el prefijo “ciber”. • Ciberdelincuencia, ciberguerra, ciberespionaje, ciberamenazas… 11
Seguridad lógica: realidades • ¿Qué persigue un atacante? – Destrucción o degradación. • Denegación de servicio (DoS). – Control. • Alteración. • Robo de información. • ¿Quién nos ataca? – Delincuentes. • Mafias. • Grupos terroristas. • … – Enemigos. • Estados. • Empresas. • … 12
Seguridad lógica: realidades • ¿Cómo lo hacen? – Ataques generalistas, dirigidos o no. – Ataques específicos, dirigidos. • Amenazas persistentes avanzadas (APT). • ¿Dónde nos pueden dañar? – Sistemas de control (destrucción, degradación, alteración). – Sistemas informáticos y de comunicaciones (todo lo anterior… y robo de información). • ¿Cuándo nos pueden atacar? – Ahora mismo. 13
Seguridad lógica: realidades • ¿Por qué un ataque lógico/tecnológico? – Conexión de sistemas a la red. • Sistemas generalistas. • Sistemas de control. – Impacto para el atacado. • Potencialmente alto… • …en especial, combinado con otros ataques. – Riesgo para el atacante. • Bajo (en especial si lo comparamos con otros ataques). – Otros factores, por ejemplo psicológicos. • Entendemos la bomba, pero no el ataque lógico… 14
Un ejemplo: STUXNET • Malware dirigido a sistemas de control industrial de SIEMENS, descubierto en junio de 2010. – Sabotaje de variadores de frecuencia… – …solo los usados para enriquecer Uranio… – …y sólo los de ciertas empresas. • Ataque dirigido, complejo y sofisticado. – Conocimientos elevados de informática. – Conocimientos elevados de sistemas SCADA. – Conocimientos elevados del proceso nuclear. • Afecta al sistema (PLC) pero el operador no observa nada raro. – Resultado: uranio enriquecido de calidad deficiente. • Impacto: retraso del programa nuclear iraní. • Creador: desconocido. 15
Un ejemplo: DUQU • Malware descubierto en septiembre de 2011 y cuyo objetivo es el robo de información… – …útil para organizar ataques posteriores contra ICS. • Ataque dirigido, complejo y sofisticado. – Muy similar a STUXNET en algunos puntos. • Ataque pasivo (al menos inicialmente). – Podría alterarse el código para dañar sistemas. • Impacto: desconocido (Irán reconoció contaminaciones). • Creador: desconocido (¿los mismos que crearon STUXNET?). 16
Un ejemplo: FLAME • Malware descubierto en mayo de 2012 cuyo objetivo es el robo de información… – ¡…activo desde febrero de 2010!. • Ataque complejo y sofisticado. – Descrita como la mayor herramienta de espionaje descubierta hasta el momento. • Veinte veces más complejo que STUXNET. • Hasta diez años para analizar el malware por completo. – Puede espiar cualquier entorno donde se disemine. • Ataque pasivo: espionaje. • Contaminaciones principalmente en Oriente Medio. • Impacto: desconocido. • Creador: desconocido. 17
PIC en España • Esto está sucediendo ahora mismo… – …y más ataques que no saltan a los medios generalistas… – …y más aún que desconocemos. • ¿Y en España? Informe Técnico sobre PIC (junio 2012). – Análisis generalista, no dirigido. – Pruebas no hostiles (information gathering). – Herramientas NO avanzadas. • Resumen: – Acceso potencial a unos 1.000 entornos de control. – Acceso potencial a unos 100 elementos adicionales ubicados en IICC. – Demasiados entornos inseguros. • Algunos sectores más que otros. 18
PIC en España 19
PIC en España • Problemática: falta de percepción del riesgo (entre otros). – Desconocimiento. – Comodidad. – Inseguridad por defecto. • Líneas de trabajo. – Eliminar el desconocimiento. – Primar seguridad frente a comodidad. – Exigir y mantener sistemas seguros. • ¿Cómo? – Concienciación, concienciación y más concienciación… – …de todos los actores… empezando por el Departamento de Seguridad, con su Director al frente. 20
PIC en España El rol del Director de Seguridad (aparte de lo dispuesto en la normativa…) • Líder de la seguridad corporativa en las IICC. – Protección del negocio. – Responsabilidad sobre la seguridad, sin apellidos. • Gestión global del riesgo (lógico, físico, humano…). – Debemos tomar consciencia del riesgo… – …y hacer que el resto de la organización la tome. • ¿Qué NO hacer con la seguridad lógica/tecnológica/de la información…? – Pensar que no es un problema. – Pasar a otros la responsabilidad. 21
PIC en España El rol del Director de Seguridad (aparte de lo dispuesto en la normativa…) • ¿Qué hacer con la seguridad lógica/tecnológica/de la información…? QUITARLE EL APELLIDO • Elemento clave para… • …la seguridad particular de nuestras organizaciones. • …la seguridad de nuestras IICC. • …la seguridad de nuestro país. • Hagamos lo mismo que hacemos con otros ámbitos de protección. • Planificar → Hacer → Comprobar → Actuar → Planificar… • Es SEGURIDAD. Punto. 22
Conclusiones • Ciberataques, ciberguerra… son conceptos que han dejado la ciencia ficción para convertirse en realidad. – Mismos problemas que hace siglos… a través de nuevos medios. – Quitemos la etiqueta “ciber”. • Los elementos tecnológicos pueden ser un punto débil de nuestra seguridad corporativa. – No sólo seguridad lógica. • Debemos protegernos desde el punto de vista tecnológico al igual que lo hacemos desde cualquier otro punto de vista. – Si no evaluamos estos aspectos de nuestra seguridad, otros lo harán por nosotros. • Seamos conscientes del riesgo. Y NO CONECTEMOS CUALQUIER COSA A UNA RED. 23
Referencias • “An inside look at Stuxnet”. Jon Larimer, IBM X-Force. Noviembre, 2010. http://blogs.iss.net/archive/papers/ibm-xforce-an-inside-look-at-stuxnet.pd • “Duqu: A Stuxnet-like malware found in the wild, technical report”. Laboratory of Cryptography of Systems Security (CrySyS), Budapest University of Technology and Economics. Octubre, 2011. http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf • “Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East”. Symantec Security Response. Mayo, 2012. http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and- 24
25

Recomendados

Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad FísicaFrancisco Medina
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Seguridad 1
Seguridad 1Seguridad 1
Seguridad 1Jose Rivera
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAElisaCecibelChacha
 
Criptografía
CriptografíaCriptografía
CriptografíaOrestes Febles
 

Recomendados

Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad FísicaFrancisco Medina
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Seguridad 1
Seguridad 1Seguridad 1
Seguridad 1Jose Rivera
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAElisaCecibelChacha
 
Criptografía
CriptografíaCriptografía
CriptografíaOrestes Febles
 
Tendencias 2014 el_desafio_de_la_privacidad_en_internet
Tendencias 2014 el_desafio_de_la_privacidad_en_internetTendencias 2014 el_desafio_de_la_privacidad_en_internet
Tendencias 2014 el_desafio_de_la_privacidad_en_internetGener Julca Carreño
 
Adrián puerta
Adrián puertaAdrián puerta
Adrián puertaI.E.S Teobaldo Power
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCNOrestes Febles
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Yadira guingla
Yadira guinglaYadira guingla
Yadira guinglaYadira Guingla
 
Mirella guingla
Mirella guinglaMirella guingla
Mirella guinglamgnathaly7
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadclaudiocj7
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctorI.E.S Teobaldo Power
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaJoeDiaz66
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadFrancisco Medina
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticavrme
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Daniel Pecos Martínez
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 
Tema3 instalacionesestrategicas
Tema3 instalacionesestrategicasTema3 instalacionesestrategicas
Tema3 instalacionesestrategicasaghconsultoria
 
Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasPribatua
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
 

Mais conteúdo relacionado

Mais procurados

Tendencias 2014 el_desafio_de_la_privacidad_en_internet
Tendencias 2014 el_desafio_de_la_privacidad_en_internetTendencias 2014 el_desafio_de_la_privacidad_en_internet
Tendencias 2014 el_desafio_de_la_privacidad_en_internetGener Julca Carreño
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Mirella guingla
Mirella guinglaMirella guingla
Mirella guinglamgnathaly7
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadclaudiocj7
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctorI.E.S Teobaldo Power
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaJoeDiaz66
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadFrancisco Medina
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticavrme
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Daniel Pecos Martínez
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 

Mais procurados (19)

Tendencias 2014 el_desafio_de_la_privacidad_en_internet
Tendencias 2014 el_desafio_de_la_privacidad_en_internetTendencias 2014 el_desafio_de_la_privacidad_en_internet
Tendencias 2014 el_desafio_de_la_privacidad_en_internet
 
Adrián puerta
Adrián puertaAdrián puerta
Adrián puerta
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Yadira guingla
Yadira guinglaYadira guingla
Yadira guingla
 
Mirella guingla
Mirella guinglaMirella guingla
Mirella guingla
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridad
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctor
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informática
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridad
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacion
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de Datos
 

Destaque

Tema3 instalacionesestrategicas
Tema3 instalacionesestrategicasTema3 instalacionesestrategicas
Tema3 instalacionesestrategicasaghconsultoria
 
Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasPribatua
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
 
Tema1 instalacionesestrategicas
Tema1 instalacionesestrategicasTema1 instalacionesestrategicas
Tema1 instalacionesestrategicasaghconsultoria
 
Eulen Seguridad - Protección de Infraestructuras Críticas
Eulen Seguridad - Protección de Infraestructuras CríticasEulen Seguridad - Protección de Infraestructuras Críticas
Eulen Seguridad - Protección de Infraestructuras CríticasRicardo Cañizares Sales
 
Seguridad de edificios control de acccesos
Seguridad de edificios control de acccesosSeguridad de edificios control de acccesos
Seguridad de edificios control de acccesososwaldo chomba
 
Vigilancia en Puertos
Vigilancia en PuertosVigilancia en Puertos
Vigilancia en PuertosCENPROEX
 
Grupo control protección infraestructuras críticas
Grupo control protección infraestructuras críticasGrupo control protección infraestructuras críticas
Grupo control protección infraestructuras críticasJoaquín González
 
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012Ricardo Cañizares Sales
 
Vigilancia en Eventos Deportivos y Espectáculos Públicos
Vigilancia en Eventos Deportivos y Espectáculos PúblicosVigilancia en Eventos Deportivos y Espectáculos Públicos
Vigilancia en Eventos Deportivos y Espectáculos PúblicosCENPROEX
 
Instructor de tiro Cartuchería.
Instructor de tiro Cartuchería.Instructor de tiro Cartuchería.
Instructor de tiro Cartuchería.aghconsultoria
 
Producción & Distribución De Energía
Producción & Distribución De EnergíaProducción & Distribución De Energía
Producción & Distribución De EnergíaAvantimePress
 
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...Ricardo Cañizares Sales
 
Thales Seguridad En Infraestructuras Criticas
Thales Seguridad En Infraestructuras CriticasThales Seguridad En Infraestructuras Criticas
Thales Seguridad En Infraestructuras Criticasalberto1g
 
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...aghconsultoria
 
Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticasEventos Creativos
 

Destaque (20)

Tema3 instalacionesestrategicas
Tema3 instalacionesestrategicasTema3 instalacionesestrategicas
Tema3 instalacionesestrategicas
 
Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras Críticas
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
 
Tema1 instalacionesestrategicas
Tema1 instalacionesestrategicasTema1 instalacionesestrategicas
Tema1 instalacionesestrategicas
 
Eulen Seguridad - Protección de Infraestructuras Críticas
Eulen Seguridad - Protección de Infraestructuras CríticasEulen Seguridad - Protección de Infraestructuras Críticas
Eulen Seguridad - Protección de Infraestructuras Críticas
 
Seguridad de edificios control de acccesos
Seguridad de edificios control de acccesosSeguridad de edificios control de acccesos
Seguridad de edificios control de acccesos
 
Estudio de seguridad
Estudio de seguridadEstudio de seguridad
Estudio de seguridad
 
Procedimientos de vigilancia
Procedimientos de vigilanciaProcedimientos de vigilancia
Procedimientos de vigilancia
 
Vigilancia en Puertos
Vigilancia en PuertosVigilancia en Puertos
Vigilancia en Puertos
 
Grupo control protección infraestructuras críticas
Grupo control protección infraestructuras críticasGrupo control protección infraestructuras críticas
Grupo control protección infraestructuras críticas
 
escoltas 1
escoltas 1escoltas 1
escoltas 1
 
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
 
Vigilancia en Eventos Deportivos y Espectáculos Públicos
Vigilancia en Eventos Deportivos y Espectáculos PúblicosVigilancia en Eventos Deportivos y Espectáculos Públicos
Vigilancia en Eventos Deportivos y Espectáculos Públicos
 
Instructor de tiro Cartuchería.
Instructor de tiro Cartuchería.Instructor de tiro Cartuchería.
Instructor de tiro Cartuchería.
 
Producción & Distribución De Energía
Producción & Distribución De EnergíaProducción & Distribución De Energía
Producción & Distribución De Energía
 
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
 
Thales Seguridad En Infraestructuras Criticas
Thales Seguridad En Infraestructuras CriticasThales Seguridad En Infraestructuras Criticas
Thales Seguridad En Infraestructuras Criticas
 
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
 
Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticas
 
06 protección de edificios.
06 protección de edificios.06 protección de edificios.
06 protección de edificios.
 

Semelhante a Protección de Infraestructuras Críticas

Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónManuel Santander
 
0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdfcalamilla
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJordi Garcia Castillon
 
Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Jose Flores
 
Presentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupoPresentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupoVelegui Cruz Lopez
 
I n s o m n i a 1
I n s o m n i a 1I n s o m n i a 1
I n s o m n i a 1JPCNS
 
Seguridad: Introducción a la seguridad informática
Seguridad: Introducción a la seguridad informáticaSeguridad: Introducción a la seguridad informática
Seguridad: Introducción a la seguridad informáticaFrancesc Perez
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadJesus Vilchez
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosCristián Rojas, MSc., CSSLP
 
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)luis enrique
 
Seguridad Informática pdf
Seguridad Informática pdfSeguridad Informática pdf
Seguridad Informática pdfBryanArm21
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaElizabethG12
 
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)CISObeat
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 

Semelhante a Protección de Infraestructuras Críticas (20)

Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Portada
PortadaPortada
Portada
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH es
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISO
 
Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014
 
Presentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupoPresentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupo
 
I n s o m n i a 1
I n s o m n i a 1I n s o m n i a 1
I n s o m n i a 1
 
Seguridad: Introducción a la seguridad informática
Seguridad: Introducción a la seguridad informáticaSeguridad: Introducción a la seguridad informática
Seguridad: Introducción a la seguridad informática
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridad
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
 
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
 
Seguridad Informática pdf
Seguridad Informática pdfSeguridad Informática pdf
Seguridad Informática pdf
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
 
Cid
CidCid
Cid
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 

Mais de S2 Grupo · Security Art Work

Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasS2 Grupo · Security Art Work
 

Mais de S2 Grupo · Security Art Work (10)

LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Continuidad de Negocio (UNE 71599 / BS 25999)
Continuidad de Negocio (UNE 71599 / BS 25999)Continuidad de Negocio (UNE 71599 / BS 25999)
Continuidad de Negocio (UNE 71599 / BS 25999)
 
Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la Nube
 
Gestión de Incidencias
Gestión de IncidenciasGestión de Incidencias
Gestión de Incidencias
 
El nuevo director de seguridad
El nuevo director de seguridadEl nuevo director de seguridad
El nuevo director de seguridad
 
Convergencia de la Seguridad
Convergencia de la SeguridadConvergencia de la Seguridad
Convergencia de la Seguridad
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 

Último (10)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 

Protección de Infraestructuras Críticas

  • 1. www.securityartwork.es www.s2grupo.es Protección de Infraestructuras Críticas Antonio Villalón Director de Seguridad avillalon@s2grupo.es
  • 2. Contenidos • Algunas reflexiones… • Seguridad… ¿lógica? – Mitos y realidades. • Unos ejemplos. • PIC en España. • Conclusiones. 2
  • 4. ¿Protección de IICC? ¿Qué sigue igual que hace 800 años… o más? • Los pueblos (reinos, califatos, imperios… actualmente estados) NECESITAN proteger sus infraestructuras críticas… – Manantiales, depósitos de grano… o centrales nucleares. • … y lo hacen (o lo intentan) en múltiples frentes… • …con o sin LPIC. • Los enemigos ATACAN esas infraestructuras críticas con dos objetivos primarios: – DESTRUCCIÓN (o degradación). – CONTROL. 4
  • 5. ¿Protección de IICC? ¿Qué ha cambiado en este tiempo? LA TECNOLOGÍA • Beneficios indiscutibles en nuestras vidas, pero con contraprestaciones: • Para nosotros: – Más necesidades básicas y por tanto más infraestructuras críticas • Electricidad, TIC, espacio, nuclear… – Más interdependencias entre ellas. • Para un enemigo: – Más objetivos potenciales. – Más formas de ataque en todos los ámbitos… • … entre ellos, los relacionados con seguridad lógica. 5
  • 6. Seguridad lógica SEGURIDAD GESTIÓN DE LA SEGURIDAD Seguridad de la Información Seguridad de los Sistemas de Información Seguridad Informática Seguridad Seguridad Lógica Física 6
  • 7. Seguridad lógica • Medidas de seguridad (Resolución, de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad): – Organizativas o de gestión. – Operacionales o procedimentales. – De protección o técnicas. • Prevención y detección. – Medidas y elementos de seguridad física y electrónica. – Medidas y elementos de seguridad lógica. – Otros. • Coordinación y monitorización. • Seguridad “lógica”: salvaguardas lógicas… y todo lo demás. – Organización y gestión de la seguridad. – Respuesta ante incidentes. – Protección tecnológica. – Seguridad de la información. – … 7
  • 8. Seguridad lógica: mitos Responsabilidad de “Informática” • ¿Qué leemos aquí? – Seguridad lógica vs. Seguridad lógica. – Seguridad informática vs. Seguridad informática. – Seguridad tecnológica vs. Seguridad tecnológica. – Seguridad de la información vs. Seguridad de la información. • ¿Se habla en la legislación del “Departamento de Informática” o del “Responsable de seguridad lógica”? • Separemos… – Informática vs. Seguridad. – Responsabilidad vs. Operación. 8
  • 9. Seguridad lógica: mitos Seguridad “de los ordenadores” • Algo más que “ordenadores”: – Sistemas SCADA. – Elementos de seguridad “tradicional”: CRA, videovigilancia, controles de acceso… – …y otros “ordenadores”: tablets, smartphones… INFORMACIÓN, en definitiva. • Impacto de la tecnología en el negocio. • La información como activo crítico. 9
  • 10. Seguridad lógica: mitos El riesgo no existe • El impacto es alto – Dependencia de la tecnología (informática, electrónica…). • ¿Y la probabilidad? Creo que también alta… – Superficie de ataque. – Riesgo para el atacante. – Impacto potencial. – … • Escenarios con alta probabilidad y alto impacto. – R = P x I, ¿no? – Alto riesgo. 10
  • 11. Seguridad lógica: realidades • Los ataques tecnológicos a IICC son hoy en día una realidad. – No hablamos de ciencia ficción. – Alto impacto. • Mismos objetivos principales que hace 800 años: – Destrucción/degradación. – Control. • Rara vez hablamos de nuevos ataques. – Ataques clásicos cometidos a través de otros medios… – …con un problema añadido: estos nuevos medios NO sustituyen a los anteriores, sino que se añaden a ellos. – Quitemos el prefijo “ciber”. • Ciberdelincuencia, ciberguerra, ciberespionaje, ciberamenazas… 11
  • 12. Seguridad lógica: realidades • ¿Qué persigue un atacante? – Destrucción o degradación. • Denegación de servicio (DoS). – Control. • Alteración. • Robo de información. • ¿Quién nos ataca? – Delincuentes. • Mafias. • Grupos terroristas. • … – Enemigos. • Estados. • Empresas. • … 12
  • 13. Seguridad lógica: realidades • ¿Cómo lo hacen? – Ataques generalistas, dirigidos o no. – Ataques específicos, dirigidos. • Amenazas persistentes avanzadas (APT). • ¿Dónde nos pueden dañar? – Sistemas de control (destrucción, degradación, alteración). – Sistemas informáticos y de comunicaciones (todo lo anterior… y robo de información). • ¿Cuándo nos pueden atacar? – Ahora mismo. 13
  • 14. Seguridad lógica: realidades • ¿Por qué un ataque lógico/tecnológico? – Conexión de sistemas a la red. • Sistemas generalistas. • Sistemas de control. – Impacto para el atacado. • Potencialmente alto… • …en especial, combinado con otros ataques. – Riesgo para el atacante. • Bajo (en especial si lo comparamos con otros ataques). – Otros factores, por ejemplo psicológicos. • Entendemos la bomba, pero no el ataque lógico… 14
  • 15. Un ejemplo: STUXNET • Malware dirigido a sistemas de control industrial de SIEMENS, descubierto en junio de 2010. – Sabotaje de variadores de frecuencia… – …solo los usados para enriquecer Uranio… – …y sólo los de ciertas empresas. • Ataque dirigido, complejo y sofisticado. – Conocimientos elevados de informática. – Conocimientos elevados de sistemas SCADA. – Conocimientos elevados del proceso nuclear. • Afecta al sistema (PLC) pero el operador no observa nada raro. – Resultado: uranio enriquecido de calidad deficiente. • Impacto: retraso del programa nuclear iraní. • Creador: desconocido. 15
  • 16. Un ejemplo: DUQU • Malware descubierto en septiembre de 2011 y cuyo objetivo es el robo de información… – …útil para organizar ataques posteriores contra ICS. • Ataque dirigido, complejo y sofisticado. – Muy similar a STUXNET en algunos puntos. • Ataque pasivo (al menos inicialmente). – Podría alterarse el código para dañar sistemas. • Impacto: desconocido (Irán reconoció contaminaciones). • Creador: desconocido (¿los mismos que crearon STUXNET?). 16
  • 17. Un ejemplo: FLAME • Malware descubierto en mayo de 2012 cuyo objetivo es el robo de información… – ¡…activo desde febrero de 2010!. • Ataque complejo y sofisticado. – Descrita como la mayor herramienta de espionaje descubierta hasta el momento. • Veinte veces más complejo que STUXNET. • Hasta diez años para analizar el malware por completo. – Puede espiar cualquier entorno donde se disemine. • Ataque pasivo: espionaje. • Contaminaciones principalmente en Oriente Medio. • Impacto: desconocido. • Creador: desconocido. 17
  • 18. PIC en España • Esto está sucediendo ahora mismo… – …y más ataques que no saltan a los medios generalistas… – …y más aún que desconocemos. • ¿Y en España? Informe Técnico sobre PIC (junio 2012). – Análisis generalista, no dirigido. – Pruebas no hostiles (information gathering). – Herramientas NO avanzadas. • Resumen: – Acceso potencial a unos 1.000 entornos de control. – Acceso potencial a unos 100 elementos adicionales ubicados en IICC. – Demasiados entornos inseguros. • Algunos sectores más que otros. 18
  • 20. PIC en España • Problemática: falta de percepción del riesgo (entre otros). – Desconocimiento. – Comodidad. – Inseguridad por defecto. • Líneas de trabajo. – Eliminar el desconocimiento. – Primar seguridad frente a comodidad. – Exigir y mantener sistemas seguros. • ¿Cómo? – Concienciación, concienciación y más concienciación… – …de todos los actores… empezando por el Departamento de Seguridad, con su Director al frente. 20
  • 21. PIC en España El rol del Director de Seguridad (aparte de lo dispuesto en la normativa…) • Líder de la seguridad corporativa en las IICC. – Protección del negocio. – Responsabilidad sobre la seguridad, sin apellidos. • Gestión global del riesgo (lógico, físico, humano…). – Debemos tomar consciencia del riesgo… – …y hacer que el resto de la organización la tome. • ¿Qué NO hacer con la seguridad lógica/tecnológica/de la información…? – Pensar que no es un problema. – Pasar a otros la responsabilidad. 21
  • 22. PIC en España El rol del Director de Seguridad (aparte de lo dispuesto en la normativa…) • ¿Qué hacer con la seguridad lógica/tecnológica/de la información…? QUITARLE EL APELLIDO • Elemento clave para… • …la seguridad particular de nuestras organizaciones. • …la seguridad de nuestras IICC. • …la seguridad de nuestro país. • Hagamos lo mismo que hacemos con otros ámbitos de protección. • Planificar → Hacer → Comprobar → Actuar → Planificar… • Es SEGURIDAD. Punto. 22
  • 23. Conclusiones • Ciberataques, ciberguerra… son conceptos que han dejado la ciencia ficción para convertirse en realidad. – Mismos problemas que hace siglos… a través de nuevos medios. – Quitemos la etiqueta “ciber”. • Los elementos tecnológicos pueden ser un punto débil de nuestra seguridad corporativa. – No sólo seguridad lógica. • Debemos protegernos desde el punto de vista tecnológico al igual que lo hacemos desde cualquier otro punto de vista. – Si no evaluamos estos aspectos de nuestra seguridad, otros lo harán por nosotros. • Seamos conscientes del riesgo. Y NO CONECTEMOS CUALQUIER COSA A UNA RED. 23
  • 24. Referencias • “An inside look at Stuxnet”. Jon Larimer, IBM X-Force. Noviembre, 2010. http://blogs.iss.net/archive/papers/ibm-xforce-an-inside-look-at-stuxnet.pd • “Duqu: A Stuxnet-like malware found in the wild, technical report”. Laboratory of Cryptography of Systems Security (CrySyS), Budapest University of Technology and Economics. Octubre, 2011. http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf • “Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East”. Symantec Security Response. Mayo, 2012. http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and- 24
  • 25. 25

Notas do Editor

  1. Las murallas de Moya empezaron a construirse a principios del siglo XIII y se ampliaron hasta el siglo XVI. La fuente se protege con una muralla doble y paralela y defendida por dos torres del siglo XIII: nada más empezar a hacer murallas, ya se protegió la fuente convenientemente. LA fuente era una IC para los habitantes del castillo; con la muralla garantizaban que ante un asedio, tendrían agua.
  2. En el antiguo Egipto protegían los depósitos de grano, tanto con soldados como con GATOS (ante una plaga de ratones)
  3. Ha cambiado la técnica/tecnología. No solo seguridad lógica: p.e. aviación. Con estas premisas, vamos a hablar de seguridad “lógica” Ataques con base tecnológica
  4. Hablábamos de seguridad lógica, pero era insuficiente… Unimos la seguridad física y hablamos de seguridad informática, pero era insuficiente. Hablamos entonces de cosas que no son puramente “informática” y hablamos de seguridad de los SSII (o de los sistemas de control, p.e. ¿Qué son los sistemas de información? Entornos tecnológicos automatizados que manejan, de una u otra forma, datos: un ordenador personal… o el ordenador que maneja un brazo robot o una depuradora. Pero queremos salvaguardar la información, no los sistemas per se: seguridad de la información En definitiva, SEGURIDAD
  5. Organizativas o de gestión: seguridad lógica en AR, normativa interna, etc. Operacionales o procedimentales: seguridad lógica en la respuesta ante incidentes, en la gestión de activos lógicos… La seguridad tecnológica/lógica, o la protección de la información, debe incluirse en todas las medidas de seguridad definidas en la norma
  6. Nos pasa mucho el quedarnos con la segunda parte; p.e. en Seguridad de los RRHH (que no es lo mismo que protección de personas, obviamente), nos quedamos con “RRHH” en lugar de hacerlo con “Seguridad”. Parece que nos dé miedo lo que no controlamos técnicamente, o simplemente la carga de trabajo… pero debemos verlo como un reto. Separación informática vs. Seguridad: auditor vs. Auditado.
  7. Superficie de ataque: muchos sistemas lógicos con implicaciones de seguridad corporativa, desde ordenadores a SCADAs. Riesgo para el atacante: las medidas de disuasión no suelen ser útiles.
  8. El riesgo es real, luego veremos ejemplos.
  9. Como veíamos antes, incremento superficie de ataque (conexión de sistemas), el impacto es muy alto y el riesgo es mínimo. ¿Para qué complicarme con un ataque tradicional si puedo lanzar uno tecnológico o mejor, combinar ambos?
  10. Podemos clasificarlo como generalista, aunque no se ataca al público en general.
  11. Entornos de control: No sabemos si en IICC, pero no conozco a nadie con un SCADA en su casa.
  12. Protocolos inseguros (HTTP, TELNET… incluso SNMP) Algunos sectores mejor que otros