Pues bien, gracias a ISA (International Society of Automation), durante los próximos 14, 15 y 16 de Febrero, se celebrará en Madrid el Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas que se imparte en nuestro país.

A continuación incluyo los detalles del mismo (podéis inscribiros aquí: http://www.isa-spain.org/actividad.asp?id=216).

RESUMEN

Las Infraestructuras Críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Por tanto cada vez más su adecuada Protección no sólo se hace necesaria, sino obligatoria a raíz de la publicación de numerosos marcos regulatorios y directivas internacionales a lo largo de todo el planeta.

Analizar y comprender el riesgo asociado a estas infraestructuras y su relación básica con los Sistemas de Control Industrial es necesario para cualquier profesional de la seguridad involucrado o relacionado con áreas como las TIC, energía, industria química y nuclear, sistemas financieros y tributarios, alimentación o transporte, entre otros.

Este taller llevará a los participantes a través del estudio del estado del arte de la Protección de Infraestructuras Críticas y la Ciberseguridad en Entornos Industriales en todo el mundo, tanto en lo que a legislación y normativa se refiere, como a los estándares, iniciativas, marcos de gestión y tecnologías aplicables, consiguiendo así una visión global de la gestión de la seguridad en este tipo de organizaciones que permita al final del día establecer claramente los siguientes pasos a seguir para asegurar una correcta supervisión, gestión e implantación de las medidas necesarias adecuadas.

Después de completar este taller el asistente podrá:

1. Identificar y definir los conceptos de Ciberseguridad en Sistemas de Control Industrial e Protección de Infraestructuras Críticas, sus definiciones y relaciones, analizando los riesgos e impacto en el negocio y en nuestras vidas,  desde las distintas perspectivas de cumplimiento, tecnológicas y de seguridad.
2. Descubrir y analizar el estado del arte de la Protección de Infraestructuras Críticas a nivel internacional (USA y Canadá, Latinoamérica, Europa) en cuanto a regulaciones, iniciativas, estándares, sectores, organizaciones, metodologías, etc.
3. Detectar y analizar la situación actual de la Seguridad en el Sector Industrial y las amenazas y vulnerabilidades de los Sistemas de Control Industrial reconociendo su riesgo asociado.
4. Discutir aspectos organizacionales y de gestión importantes: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Diseñar y proponer un marco de gestión adecuado en las Infraestructuras Críticas y Entornos Industriales
5. Identificar, describir y adoptar marcos y estándares aplicables en estos entornos: ISA 99, ISO 27001, BS 25999, NIST SP 800-82, etc.
6. Establecer, implementar y adoptar un Programa de Seguridad de los Sistemas de Control Industrial y Diseñar un Plan de Seguridad y Protección de la Infraestructura Crítica.

CONTENIDO DETALLADO

El taller seguirá una metodología participativa de forma que todos los asistentes, mediante la discusión, puesta en común y trabajo en equipo, tengan la oportunidad de asimilar, retener y aplicar más efectivamente los conocimientos adquiridos durante la sesión.

De forma general el contenido de la misma será el siguiente:

1. Introducción. Descripción de la situación socio económica actual y el impacto que la Protección de Infraestructuras Críticas y la Seguridad en Entornos Industriales (o la falta de ellas) puede tener en nuestras vidas, personales y profesionales, en nuestras organizaciones y en nuestros países. (20 min)
2. Términos y Conceptos. Definición e identificación de los distintos términos y conceptos claves: infraestructura crítica, infraestructura estratégica, servicios esenciales, sectores afectados, operadores críticos, plan de seguridad del operador, plan específico de protección, sistemas de control industrial, informática industrial, etc. (30 min)
3. Estado del arte internacional de la Protección de Infraestructuras Críticas: Estados Unidos y Canadá, Latinoamérica y Europa). Revisión del estado de este campo en los distintos países, incluyendo regulaciones, leyes, directivas, iniciativas, sectores, organizaciones sectoriales, grupos de trabajo y estándares. (60 min)
4. Relación entre Protección de Infraestructuras Críticas y Ciberseguridad en Sistemas de Control Industrial: entendiendo el riesgo. Análisis del enlace entre el entorno industrial, el corporativo y su impacto en las organizaciones clave para la supervivencia de un país. Análisis en detalle de un caso práctico: Stuxnet. (60 min). Trabajo en grupos para el análisis de Stuxnet y búsqueda de posibles analogías en distintos entornos (financiero, energético, telecomunicaciones, etc. uno por grupo). (20 min)
5. Aproximación a los Sistemas de Control Industrial. Aspectos básicos de los sistemas de control. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores, comunicaciones, wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. (60 min). Trabajo en equipo: identificación en grupos de los distintos elementos de un sistema de control sobre documentación proporcionada (15 min)
6. Vulnerabilidades y Amenazas de los Sistemas de Control. El perímetro. Vectores de ataque (líneas de comunicación, accesos remotos y módems, accesos de fabricantes, conexiones a bases de datos, manipulaciones del sistema, etc.). Análisis y contramedidas. (60 min). Trabajo en equipo: análisis de un caso práctico e identificación de vulnerabilidades y contramedidas a adoptar (30 min)
7. Situación Actual de la Ciberseguridad en los Entornos Industriales. Estudio de la tendencia hacia la convergencia entre los sistemas industriales y los corporativos (o de TI tradicional). Resultados de algunos estudios. Ejemplos y casos reales de convergencia y proyectos de convergencia. Análisis de los hechos: “imaginemos un mundo donde un simple resfriado pudiese matarnos: bienvenido al mundo de los sistemas industriales”. Análisis de la seguridad de los sistemas industriales. Regreso al futuro: la seguridad en los sistemas industriales. Algunos casos reales propios sobre problemas de seguridad en los entornos industriales. (60 min)
8. Aspectos Organizacionales y de gestión: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Aspectos humanos de la seguridad en entornos industriales y protección de infraestructuras críticas. Estudio de distintas alternativas de organización. (30 min).
9. Diagnóstico de la Seguridad en Entornos Industriales. Análisis y puesta en común del diagnóstico de la Seguridad en Entornos Industriales (visión del usuario, del fabricante, de la organización, de las ingenierías, etc.). Siguientes pasos. (30 min). Discusión pública y puesta en común entre los asistentes (15 min).
10. Estándares Aplicables. Descripción general y aplicación en estos casos de ISA 99, ISO 27001, BS 25999, NIST SP 800-82, NERC CIP Standards, etc. (90 min)
11. Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Seguridad de Sistemas de Control Industrial. Diseño de un plan de seguridad y protección de la infraestructura crítica. Estructura. Contenido. Aproximación práctica. (90 min). Trabajo en equipo: análisis de un caso práctico y desarrollo esquema/contenido mínimo de un Plan de Seguridad/Protección. “Role-play” presentación a Dirección del Programa de Ciberseguridad Entorno industrial o Protección Infraestructuras Crítica (120 min)
12. Taller Práctico HOL “Hands On Lab” (360 min). Objetivos:
a. Comprender y aplicar los conceptos relaciones con el diseño de redes seguroas
b. Descubrir y analizar vulnerabilidades en sistemas de control
c. Desarrollar y aplicar estrategias y técnicas de defensa

Este taller permitirá a los asistentes experimentar las dos caras de la Ciberseguridad de los Sistemas de Control:
– Un atacante intentando tomar el control del sistema
– Un gestor intentando defender el sistema de control

Durante los ejercicios, los asistentes serán capaces de identificar componentes vulnerables en la infraestructura del sistema de control, identificar cuáles sería los principales vectores de amenaza y desarrollar las estrategias de mitigación más adecuadas. Para conseguir estos, loa sistentes aprenderán a utilizar aplicaciones software estándares relacionadas con la seguridad como tcpdup/wireshark, OpenVAS o Metasploit, entre otros.

AGENDA

FORMADORES

Samuel Linares
Samuel Linares es Director de Servicios TI y Seguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea y Gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 16 años de experiencia en seguridad, integración de sistemas y dirección de proyectos, lidera y ha creado los servicios de Seguridad y TI ofrecidos por Intermark Tecnologías y anteriormente de Tecnocom, una de las 3 mayores compañías del sector TIC en España, implementando numerosas soluciones de seguridad en clientes, desde planes directores de seguridad, auditorías o hacking éticos, hasta diseños de arquitecturas de red y servicios seguras. Cuenta en su haber con varias certificaciones como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor, BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, NetAsq CNE y CNA, Juniper JNCIA-FW, Checkpoint CCSA y CCSE o Sun SCNA y SCSA, entre otras. Samuel es Ingeniero Técnico en Informática por la Universidad de Oviedo, Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara y en la actualidad está cursando el Grado de Psicología en la Universitat Oberta de Catalunya.

Ignacio Paredes
Ingeniero Superior en Informática y actualmente trabaja como consultor de seguridad de la información en Intermark Tecnologías. Desde el año 1999 ha desarrollado su carrera profesional involucrado en proyectos de tecnologías de la información y telecomunicaciones para empresas de distintos sectores (telecomunicaciones, industria, logística, ingeniería, administración pública). Es experto en el diseño e implantación de soluciones de seguridad tanto a nivel físico y lógico como organizativo. Con amplia experiencia en campos como el diseño seguro de redes, hackings éticos, la seguridad en entornos industriales, la seguridad en aplicaciones, planes de continuidad del negocio, la implantación de sistemas de gestión de la seguridad ISO 27001, gestión y tratamiento de riesgos.
Entre otras, posee las certificaciones CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), PMP (Project management Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), ISO 27001 (BS 7799) Lead Auditor por BSI (British Standards Institution), EC-Council Certified Ethical Hacker, NetAsq CNE y CNA, Sun SCNA y Sun SCSA.

José Valiente
Diplomado en Informática de Gestión por la Universidad Pontificia de Comillas, es Especialista en Consultoría Tecnológica y de Seguridad.  Con más de 15 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en  proyectos de Seguridad y TI para Gran Cuenta y Administración Pública. Cuenta con múltiples certificaciones de soluciones de fabricantes de seguridad y TI (Cisco CCNA y CCDA, System Security Mcafee,  Security Specialist Juniper, Websense Certified Enginer, F5 Bigip Specialist y Radware certified security Specialist)
Actualmente es Gerente de Seguridad en Intermark Tecnologías y experto en la dirección de proyectos para gran cuenta y administración pública. Dirige proyectos de implantación de SGSIs en compañías del IBEX 35 y administración pública, con equipos de trabajo de alta capacitación en seguridad y cuenta con amplios conocimientos en ITIL y PMI, impartiendo formación a empresas del sector financiero y administración pública.

Francisco Uría
Licenciado en Derecho por la Universidad de Oviedo. Experto en Derecho de las Tecnologías de la Información y Comunicación, así como en Seguridad de la Información y Protección de Datos, desempeña en la actualidad las funciones de Consultor Legal dentro de la Dirección de Servicios de TI y Seguridad de Intermark Tecnologías. Además, es ISO 27001 Lead Auditor por BSI (British Standards Institution) y Especialista en Contratación Informática por el Real Centro Universitario de El Escorial.
Actualmente, es también el Responsable del Servicio de Gestión de Órganos de Gobierno de Gobertia Gestión del Conocimiento y Secretario de Consejos de Administración de las empresas de Grupo Intermark.

LUGAR

El curso tendrá lugar en MADRID:
Hotel Meliá Avenida América – C/ Juan Ignacio Luca de Tena, 36
Transporte Urbano: Autobús 146, salida Plaza del Callao y Autobús 114, salida desde Terminal Avenida de América

COSTE

El coste del curso será (I.V.A. INCLUIDO):
– Miembros ISA: 850 euros
– No miembros ISA: 1000 euros
– Sección Estudiantes: 200 euros

Nota: Como bonificación a los no miembros de ISA, se incluye dentro del costo del curso su inscripción gratuita por un año a ISA (costo normal: 100 euros aproximadamente)
Los estudiantes deberán hacer las inscripciones a través de la Sección de Estudiantes de ISA España a la que estén suscritos.
El coste comprende los gastos de impartición del curso, comidas, cafés, y documentación.
Los asistentes deberán llevar un ordenador personal el tercer día.

Esperamos que tenga muy buena acogida y satisfaga vuestras expectativas. Os esperamos a todos en Febrero!!!

Si estuviéseis interesados en organizar alguna otra convocatoria en otras fechas, lugares o “in company”, ponte en contacto conmigo

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

¿Cuáles deberían ser los siguientes pasos ante este nuevo escenario? Es claro que los principales actores en el escenario (fabricantes de sistemas de control y de dispositivos de seguridad, empresas, asociaciones profesionales, ingenierías e integradores) deberían tomar las riendas de los cambios y adaptarse al nuevo entorno.

Los fabricantes de sistemas de control industrial deberían incorporar la seguridad como un requisito más en el diseño de sus productos y arquitecturas incluyendo autenticación fuerte, criptografía y las medidas de seguridad habituales que se incorporan ya de facto en la mayoría de sistemas de TI tradicionales.

La realidad es bien distinta. A día de hoy muy pocos fabricantes de sistemas de control industrial y SCADA están teniendo en cuenta la seguridad seriamente en el diseño de sus productos y soluciones y prueba de ello es la continua publicación desde la aparición de Stuxnet de numerosas vulnerabilidades de distintos fabricantes de conocida reputación en el ámbito industrial. Semanalmente el número de problemas de seguridad publicados en este tipo de sistemas está creciendo exponencialmente.

Los fabricantes de dispositivos de seguridad TIC, por su parte, deberían tener en cuenta las características y requisitos de los sistemas industriales incluyendo entre sus capacidades y funciones el manejo adecuado de los protocolos específicos en este ámbito, así como la incorporación de mecanismos de funcionamiento en tiempo real.

Lamentablemente los principales fabricantes de dispositivos de seguridad del mercado no reconocen a día de hoy la gran mayoría de los protocolos industriales con lo que para la mayoría de las soluciones de seguridad lógica tradicionales implantadas en las compañías,  la comunicación, vulnerabilidades y características de los sistemas industriales son “invisibles”. Sólo existen unos pocos fabricantes en el mercado internacional que han desarrollado productos “de nicho” ofreciendo unos dispositivos de seguridad pensados especialmente para el entorno industrial, que reconocen sus protocolos, características y vulnerabilidades, pero que tienen una cuota de mercado bajísima si lo comparamos con los fabricantes de dispositivos de seguridad tradicionales. En los últimos días precisamente hemos asistido a algunos movimientos en el mercado en este sentido con la reciente adquisición de Byres Security (fabricante de los dispositivos Tofino) por Belden-Hirschmann.

Por su parte, las empresas y usuarios finales tienen como principal gap la falta de concienciación y formación en esta área, además de la, inexistente en muchos casos y deficitaria en otros, comunicación entre las áreas de planta, producción, tecnologías de la información y seguridad. En la mayoría de los casos la organización no es siquiera consciente de los altos riesgos a los que están expuestos ni mucho menos como mitigarlos. Se hace necesaria una labor de divulgación, evangelización y formación importante entre los profesionales de las áreas industrial, de TI y Seguridad.

En este sentido las asociaciones profesionales, de estandarización y sectoriales deberían tomar cierto protagonismo. Existen estándares para la seguridad en los sistemas industriales como ISA 99, para la gestión de la seguridad como ISO 27001 o para la continuidad de negocio como BS 25999, pero, ¿podría tener sentido un estándar o marco de referencia que uniese al menos esos 3 estándares de forma coherente y consistente en el marco que estamos tratando? La respuesta afirmativa parece obvia. Este tipo de iniciativas, así como otras de concienciación y formación deberían ser lideradas por este tipo de asociaciones u organizaciones. A nivel internacional, especialmente en Estados Unidos esta área está mucho más madura y existen iniciativas sectoriales, grupos de trabajo y estudio, etc. mientras que en España únicamente se empiezan a ver tímidas iniciativas de algunas asociaciones como ISA (la Sociedad Internacional de Automatización) que ha incorporado la seguridad como uno de los temas a tratar en sus sesiones
técnicas durante 2011 o INTECO (el Instituto Nacional de Tecnologías de la Comunicación) que en el pasado Encuentro Internacional de la Seguridad de la Información estableció ya un track dedicado a la protección de infraestructuras críticas en el que se trataron también estos temas.

Finalmente uno de los actores con mayor relevancia para el cambio que estamos comentando son las ingenierías e integradores, que son los encargados de diseñar, construir, implantar y en muchos casos mantener las instalaciones industriales. La incorporación de la seguridad no sólo física sino también lógica o ciberseguridad como un requisito más a tener en cuenta dentro de los cuantiosos proyectos que llevan a cabo debe ser un paso imprescindible para conseguir los objetivos que se persiguen. El incremento en los costes globales de este tipo de proyectos por la inclusión de este requisito es mínimo respecto a las ventajas en la disminución de los riesgos asumidos por la organización y por ende, de la nación en muchos casos.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Tal es el caso de las infraestructuras críticas y las organizaciones que, aún sin serlo, puedan tener necesidades de protección muy superiores a las esperadas. Es conocido que el Catálogo Nacional de Infraestructuras de España está compuesto por 3.600 infraestructuras pertenecientes en un 80% a organizaciones privadas y en un 20% a organizaciones públicas. Todas estas organizaciones están sujetas al cumplimiento de la recientemente aprobada Ley de Protección de Infraestructuras Críticas que les obliga a implantar una serie de medidas y controles de seguridad organizativos y técnicos y por tanto a mantener y gestionar su seguridad de forma adecuada.

Hemos presentado hasta ahora las líneas directrices, planes a medio y largo plazo de la gestión de la seguridad a nivel Europeo y también nacional, pero si continuamos bajando hacia el detalle, las distintas organizaciones deberán desarrollar los correspondientes planes de gestión de su seguridad, no sólo física, sino también lógica o “ciberseguridad” y para ello, además de los correspondientes cambios a nivel organizativo será necesario contar con las herramientas necesarias para aplicar esas medidas de seguridad y más allá de aplicarlas, para gestionarlas de forma integral facilitando así la toma de decisiones estratégicas a los responsables de la organización.

Los sectores críticos industriales como el energético, el transporte o el de telecomunicaciones, entre otros, son pilares clave para la sociedad española y europea. Todas estas organizaciones deben tener en cuenta las vulnerabilidades relacionadas con la tendencia a la interconexión e integración de las infraestructuras de información corporativas con las de planta y producción que hasta ahora venían estando aisladas. Mediante el análisis de las interdependencias y de los “ciber-riesgos”, es claro que queda mucho trabajo por hacer que tendrá una gran influencia en la arquitectura de los futuros sistemas de control. Las compañías eléctricas, organizaciones financieras, compañías de transporte y otros muchos sectores deberán trabajar en arquitecturas que estén protegidas y monitorizadas continuamente en cuanto a su seguridad (no solo a su disponibilidad o eficiencia), de forma que soporten la supervivencia del servicio bajo unas determinadas circunstancias.

Al final, la mayoría de las infraestructuras críticas residen sobre sistemas de control industrial que, debido a la demandada y cada vez más común integración de los “mundos de producción y corporativos”, están  totalmente expuestos a amenazas de ciber-ataques y, evidentemente, a un alto riesgo de fallos importantes para la organización que como ya hemos visto, en muchos casos puede, afectar al estado o nación.

Y es que las cosas han cambiado en el “mundo industrial o de producción”. Basta echar un vistazo a las características de los entornos tecnológicos en los que se basan los sistemas de fabricación o producción. Atendiendo a los resultados del estudio que anualmente viene realizando desde hace 11 años la conocida analista Logica denominado “MES Product Survey”, el escenario no difiere mucho del existente en los entornos corporativos tradicionales:  las bases de datos predominantes son Oracle y SQL Server, los sistemas operativos varían entre Windows (distintas versiones) con más de un 90% de base instalada y otros como Unix  o AS/400; las arquitecturas clientes servidor, los interfaces web son habituales y el estudio concluye indicando que “la tecnología Microsoft es dominante”.  Esta afirmación nos hace ver claramente que las cosas han cambiado. El mundo industrial ya no es un mundo propietario, sino que está utilizando las tecnologías de la información a su alcance.

Cada vez más la integración entre el mundo de planta y el corporativo es un hecho. En los últimos años se está asistiendo a una demanda cada vez mayor desde el negocio de la integración de los sistemas de producción con los sistemas de gestión empresarial (ERP) de las organizaciones. Los presupuestos de gestión e integración de los sistemas de fabricación se han incrementado en más de un 600% atendiendo a los estudios ya mencionados. Además estos nuevos sistemas de gestión de la fabricación no proporcionan únicamente información interna a la compañía sino que cada vez más se pretende ofrecer y ampliar la información hacia los sistemas de los proveedores y por supuesto hacia los clientes ofreciendo así un servicio de mayor calidad y muy valorado en estos entornos. Pero esta apertura a terceras partes, además de introducir nuevas funcionalidades y posibilidades para el negocio, introducen también nuevos medios de acceso a sistemas críticos para las organizaciones que hasta ahora estaban aislados y no estaban preparados para estar expuestos a las nuevas amenazas y vectores de ataque a los que ahora se enfrentan.

La convergencia entre los dos mundos es un hecho. Los sistemas de control ya no están aislados y han pasado de utilizar líneas de comunicaciones serie dedicadas, interfaces físicos y protocolos propietarios a utilizar la misma tecnología y protocolos que cualquiera puede estar utilizando en su casa, con redes Ethernet, inalámbricas compartidas y por supuesto todo basado sobre el protocolo TCP/IP.  Los dispositivos industriales han dejado de utilizar sistemas propietarios para pasar a utilizar sistemas operativos de propósito general (como Microsoft Windows o Linux, entre otros). En definitiva, han heredado todas las características y problemas de las Tecnologías de la Información tradicionales en los entornos corporativos.

Si imaginásemos un mundo donde un simple resfriado pudiese matarnos, estaríamos viendo el mundo de los sistemas de control industrial, en lo que a seguridad se refiere:

– Los sistemas de control han sido diseñados sin introducir los requisitos de ciberseguridad básicos, como se desprende de las noticias que durante el último año hemos estado viendo desde la aparición de Stuxnet, y sin ir más lejos, los hallazgos presentados ayer mismo por Dillon Beresford en la Black Hat 2011 en Las Vegas relativos a las vulnerabilidades de los PLCs S7-300 de Siemens.

– Las redes inalámbricas son habituales en este tipo de entornos, cuando es conocido  que su disponibilidad no está garantizada (olvidándonos ya de la confidencialidad de la información que fluye por ellas). Con un inhibidor de frecuencia de bajo coste es posible inhabilitar una red inalámbrica con las consecuencias que podemos imaginar (por ejemplo que una pala de descarga de carbón deje caer varias toneladas de carbón encima de un grupo de personas en lugar de encima de un camión).

– Existen dispositivos de filtrado (firewalls) habitualmente defendiendo el perímetro, pero en casi ningún caso existe esa seguridad hacia los segmentos internos, cuando se ha demostrado que la mayoría de los ataques o problemas vienen desde dentro.

– Entre el 80 y el 90% de los sistemas SCADA y de control están conectados a las redes corporativas, aun cuando en muchos casos el Departamento de Tecnologías de la Información ni siquiera es consciente de ello.

Habitualmente los sistemas de control industrial no requieren autenticación ni autorización, no utilizan técnicas de encriptación y cifrado de datos y no manejan adecuadamente los errores o excepciones, todo ello debido a su entorno aislado originalmente, lo que ha hecho que al “conectarlos” a las redes corporativas de las organizaciones se hayan abierto (en la mayoría de los casos inconscientemente) distintas fuentes potenciales de ataques como los siguientes, entre otros:

– Intercepción y manipulación de datos:  cualquiera podría manipular los datos intercambiados entre los PLCs y los Sistemas de Control y SCADA falseándolos

– Denegación de servicio: como se ha indicado en el caso de las redes inalámbricas es relativamente sencillo causar una pérdida de servicio a este tipo de sistemas.

– Falseo de Direcciones: un usuario malicioso puede falsear la “identidad” del PLC o del sistema SCADA y comenzar a comunicarse con el resto de sistemas como si fuese este modificando el funcionamiento global.

– Modificación de datos de registro (logs): en muchos casos es posible modificar los registros de actividad (de hecho en muchos casos no existen si quiera estos registros de actividad) con lo que una actuación maliciosa puede convertirse en “invisible” al no existir trazabilidad de las acciones efectuadas.

– Control no autorizado: aprovechando muchas de estas vulnerabilidades un tercero puede tomar el control global del sistema sin demasiados esfuerzos.

Todos estas vulnerabilidades, amenazas y vectores de ataque realmente no son ninguna novedad en los entornos de Tecnologías de la Información tradicionales donde en muchos casos ya están siendo mitigados, monitorizados y gestionados. Sin embargo en los entornos industriales, como se ha descrito, no se están controlando este tipo de amenazas en ningún sentido cuando la gran diferencia entre ambos mundos es sin duda el impacto. Como se pude desprender de todo lo descrito hasta ahora el impacto de la disrupción, brecha o mal funcionamiento de estos sistemas es mucho mayor llegando a las pérdidas humanas o, como se comenzaba exponiendo en este documento, a las amenazas a la seguridad de la nación y del modo de vida de nuestra sociedad.

Dejaremos para la siguiente entrega de la serie las tendencias tecnológicas y el mercado actual en esta área y finalizaremos la serie con una receta “sencilla” para la mitigación del riesgo existente en este tipo de entornos. Pero eso será dentro de unos días…

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Exagerando un poco, permitidme una analogía bastante sencilla.  Ante una epidemia, una enfermedad, les decimos a la gente cómo prevenirse, qué deben hacer, etc. además de darles medicinas. La situación actual en cuanto a pérdida de información es similar a una epidemia. Basta repasar algunos números: en 2005 (no me atrevo a poner los datos actuales porque ya estos me marean…), 250 millones de personas en USA perdieron o les fue robada información personal sensible. El coste de gestionar este éxodo de información fue estimado en unos 55 billones de dólares (billón arriba billón abajo ).

La gente sigue facilitando su información porque creen que están haciendo lo correcto, muchas veces colaborando con personas (que les están engañando), otras publicando información personal en redes sociales sin ser conscientes de las implicaciones que todo esto tiene, etc.

Necesitamos un antibiótico para esta epidemia y por supuesto, educar a las personas para evitar el contagio (se está fallando en ambos puntos). Estamos asistiendo a una auténtica pandemia de la información y no estamos abordando correctamente (a veces ni lo abordamos) el principal problema o punto débil en la situación: las personas.

En mi opinión, las compañías deben evaluar su nivel de conciencia(ción) de seguridad: ¿cómo de bien saben proteger los empleados la información sensible de la compañía? (y la suya propia, por supuesto). Deberíamos compartir esta reflexión con muchos de los responsables y directores de organizaciones, pero también con los propios usuarios “de a pie”. ¿Todo el mundo es consciente que lo que está publicando en Facebook (o en este blog) tiene la misma privacidad que si lo pusiese en el muro de su calle…. Si por su calle pasasen varios cientos de millones de personas?

La respuesta, en el caso de las organizaciones, pasa por elaborar e implantar un Programa de Conciencia(ción) en Seguridad. Crear una programa así no supone descubrimientos científicos, ni ciencia ficción: no deja de ser marketing. Si un empleado no ve valor en el contenido de la información que se le proporciona entonces, ¿por qué hacerle caso, y mucho menos seguir sus indicaciones? Es extremadamente importante que las iniciativas, acciones e información que se desarrolle  y promueva tenga aplicación en sus vidas personales (evitar virus en sus casas, información en redes sociales, mensajería instantánea, acceso a cuentas bancarias por internet, etc.). Lo que hagamos debe ser aplicable a su vida personal y esa será la única forma de tener cierto éxito en nuestra labor.

El Programa de Conciencia(ción) debe ser continuo y visto como un valor importante de la compañía por la dirección y los empleados. Debemos identificar canales de comunicación adecuados como intranet, correo, panfletos, posters/carteles, podcasts, vídeos, etc.: Debemos intentar transmitir el mismo concepto 7 veces de 7 formas distintas.

Concluyo ya resumiendo lo que para mí serían los tres pilares base y clave de mi visión de la Conciencia(ción) en Seguridad:

• – Diles lo que vas a decirles. Díselo, y después diles lo que les dijiste.
• – La concienciación (awareness) es una responsabilidad individual y un esfuerzo de equipo.
• – ¡Comunica, comunica y comunica!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

Aprovechando el embarazo de mi mujer, llevaba ya unos meses observando una situación que me parecía bastante preocupante, y que estaba esperando a publicar aquí a que naciese mi hija: la falta de “autenticación” en los servicios médicos. Me explico.

Desde la primera visita al médico hasta el momento del parto el único mecanismo de autenticación de los servicios médicos hacia la madre ha sido la tarjeta sanitaria que como podéis suponer, no supone autenticación alguna ya que no contiene ningún dato “contrastable” fácilmente (como una fotografía o similar).

Esto que al principio me resultó algo sorprendente, me dejó profundamente preocupado cuando al acudir a urgencias el día del parto tampoco se le solicitó en ningún momento el documento nacional de identidad o algún otro medio de autenticación adecuado. Quiere esto decir que alguien podría suplantar la identidad de la madre (por ejemplo una madre de alquiler) durante todo el embarazo e incluso en el mismo parto de forma muy sencilla (portando su tarjeta sanitaria!!)… con todo el campo de posibilidades que esto proporciona.

Me quedé algo más tranquilo cuando una vez nacida mi hija, al poco tiempo le tomaron las huellas a la madre y a la niña (hombre, al menos un punto de autenticación biométrico, en realidad más bien de registro y malo ya que las huellas están movidas) y me proporcionaron una copia de la ficha que se supone que debería entregar en el Registro Civil al inscribir la recién nacida.

En la inscripción en el Registro, he de comunicaros que en ningún momento me pidieron la ficha, y por tanto pude inscribir a mi hija sin autenticación alguna, nuevamente.

Mi pregunta entonces es: ¿se realiza algún tipo de comprobación con las huellas registradas en la ficha del hospital o es un mero registro? Mi impresión es que únicamente es esto último, aunque si alguien tiene más información sobre este tema, estaría encantado de conocerla.

Esto no deja de confirmar mi desconfianza con los mecanismos habituales de autenticación en el área de la salud donde son tan extremadamente importantes (de ser quien dices que ser a ser otro, puede suponer la extirpación de un órgano vital… o la bienvenida de un nuevo hijo… sin haberlo concebido). De hecho se han dado fraudes importantes  utilizando esa debilidad al cambiar historiales de pacientes más enfermos por otros sanos (por ejemplo para obtener pensiones de forma “maliciosa”) y acontecimientos similares.

… 2 familiares cercanos en diferentes momentos y lugares, ambos con problemas óseos importantes en rodillas, espalda, etc. curiosamente desaparecieron de sus historiales todas las radiografías que tenían, … ¿casualidad?…

Es importante proteger los datos tratados en estas áreas, pero también es importante asegurar su autenticidad e integridad (la disponibilidad, como el valor, se presupone ;)) ¿Existe alguna medida de obligado cumplimiento en ese sentido?

La frase hace referencia a que probablemente veríamos a muy pocos de nuestros amigos vociferando en un karaoke alguna canción de los 80 a la vez que la baila y gesticula como un loco y sin embargo, sí que es posible que muchos de ellos estén haciendo lo propio en sus casas con la salvedad que el “karaoke” no se llama así, sino “Guitar Hero” y corre sobre una XBox en el cuarto de estar.

Del mismo modo, compañías o personas que jamás hubiesen externalizado diversos servicios en un entorno de “infraestructuras gestionadas” o alojado sus datos en entornos externos a su organización, ahora comienzan a hacerlo porque repentinamente eso se llama “Cloud Computing”, si bien en los principios básicos, sigue siendo prácticamente lo mismo (si obviamos las importantes diferencias y aproximaciones comerciales actuales…).

Lo cierto es que a día de hoy, yo no creo para nada en este tema tan de moda (quizás tenga que rectificar más adelante, quién sabe :-P), que como indica Hoff, tiene más de novedad en su aproximación comercial, que en sus principios tecnológicos.

Si queréis profundizar más sobre el tema os recomiendo su Blog Rational Survivability, donde incluye reflexiones, contenidos y opiniones muy interesantes sobre ese tema (y otros). Imprescindible su último post comentando el modelo “Cloud Cube” del Jericho’s Forum y sus impresiones. Echadle un vistazo.

En mis presentaciones y charlas siempre digo que la seguridad de la información en el entorno industrial está al menos 5 años por detrás de la situación en el resto de sistemas corporativos y digo que si pensásemos un mundo en el que un simple catarro pudiese matarnos, estaríamos hablando de la seguridad de los sistemas industriales, la informática industrial y los sistemas SCADA, entre otros.

Pues bien, en el artículo de hoy de Wall Street Journal, se confirma que Estados Unidos ha recibido ataques a sus redes de suministro eléctrico desde China, Rusia y otros países y que han encontrado software y programas maliciosos instalados internamente, preparados para ser activados que podrían causar importantes alteraciones en el servicio en el caso de ser activados (dicen ellos que probablemente estarían preparados para ser activados en caso de guerra o ataque de otro tipo… aunque quizás pueda ser algo teatral, según se lee).

El caso es que desde fuentes oficiales se confirman estos ataques y estos hechos. Así mismo indican que los hallazgos no han sido descubiertos por las compañías que mantenía los sistemas sino por “agencias de intelegencia gubernamentales”, lo que no deja de ser aún más preocupante, y dejan datos como que durante los últimos 6 meses se han gastado más de 100 millones de dólares en reparar “ciber-daños” (es decir problemas causados desde el “ciberespacio”).

Quizás esta sea una de las causas del importante programa de defensa del ciberespacio que la “administración Obama” está desplegando, dedicando importantísimos recursos monetarios, humanos y organizativos a este tema.

Como ya habíamos comentado aquí, existen varias normativas y estándares de obligado cumplimiento en ese país para empresas de suministro energético, aguas, etc. Parece que están en el camino de tomar las riendas en el problema y comenzar una aproximación al mismo.

Ya preguntaba antes aquí cuál era la situación en nuestro país en este sentido… y no he recibido ningún comentario ni contestación… lo cuál no deja de confirmar mi preocupación (que se acentúa cada vez que conozco alguna instalación crítica). Deberíamos estar haciendo algo… si no lo estamos haciendo ya ¿no creéis?

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

Recojo a continuación solo las 10 primeras … quien quiera leer el resto que lo haga en el Blog de los autores, que para eso se las han trabajado 

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí

Enhorabuena a ambos de nuevo!