Pues bien, gracias a ISA (International Society of Automation), durante los próximos 14, 15 y 16 de Febrero, se celebrará en Madrid el Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas que se imparte en nuestro país.

A continuación incluyo los detalles del mismo (podéis inscribiros aquí: http://www.isa-spain.org/actividad.asp?id=216).

RESUMEN

Las Infraestructuras Críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Por tanto cada vez más su adecuada Protección no sólo se hace necesaria, sino obligatoria a raíz de la publicación de numerosos marcos regulatorios y directivas internacionales a lo largo de todo el planeta.

Analizar y comprender el riesgo asociado a estas infraestructuras y su relación básica con los Sistemas de Control Industrial es necesario para cualquier profesional de la seguridad involucrado o relacionado con áreas como las TIC, energía, industria química y nuclear, sistemas financieros y tributarios, alimentación o transporte, entre otros.

Este taller llevará a los participantes a través del estudio del estado del arte de la Protección de Infraestructuras Críticas y la Ciberseguridad en Entornos Industriales en todo el mundo, tanto en lo que a legislación y normativa se refiere, como a los estándares, iniciativas, marcos de gestión y tecnologías aplicables, consiguiendo así una visión global de la gestión de la seguridad en este tipo de organizaciones que permita al final del día establecer claramente los siguientes pasos a seguir para asegurar una correcta supervisión, gestión e implantación de las medidas necesarias adecuadas.

Después de completar este taller el asistente podrá:

1. Identificar y definir los conceptos de Ciberseguridad en Sistemas de Control Industrial e Protección de Infraestructuras Críticas, sus definiciones y relaciones, analizando los riesgos e impacto en el negocio y en nuestras vidas,  desde las distintas perspectivas de cumplimiento, tecnológicas y de seguridad.
2. Descubrir y analizar el estado del arte de la Protección de Infraestructuras Críticas a nivel internacional (USA y Canadá, Latinoamérica, Europa) en cuanto a regulaciones, iniciativas, estándares, sectores, organizaciones, metodologías, etc.
3. Detectar y analizar la situación actual de la Seguridad en el Sector Industrial y las amenazas y vulnerabilidades de los Sistemas de Control Industrial reconociendo su riesgo asociado.
4. Discutir aspectos organizacionales y de gestión importantes: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Diseñar y proponer un marco de gestión adecuado en las Infraestructuras Críticas y Entornos Industriales
5. Identificar, describir y adoptar marcos y estándares aplicables en estos entornos: ISA 99, ISO 27001, BS 25999, NIST SP 800-82, etc.
6. Establecer, implementar y adoptar un Programa de Seguridad de los Sistemas de Control Industrial y Diseñar un Plan de Seguridad y Protección de la Infraestructura Crítica.

CONTENIDO DETALLADO

El taller seguirá una metodología participativa de forma que todos los asistentes, mediante la discusión, puesta en común y trabajo en equipo, tengan la oportunidad de asimilar, retener y aplicar más efectivamente los conocimientos adquiridos durante la sesión.

De forma general el contenido de la misma será el siguiente:

1. Introducción. Descripción de la situación socio económica actual y el impacto que la Protección de Infraestructuras Críticas y la Seguridad en Entornos Industriales (o la falta de ellas) puede tener en nuestras vidas, personales y profesionales, en nuestras organizaciones y en nuestros países. (20 min)
2. Términos y Conceptos. Definición e identificación de los distintos términos y conceptos claves: infraestructura crítica, infraestructura estratégica, servicios esenciales, sectores afectados, operadores críticos, plan de seguridad del operador, plan específico de protección, sistemas de control industrial, informática industrial, etc. (30 min)
3. Estado del arte internacional de la Protección de Infraestructuras Críticas: Estados Unidos y Canadá, Latinoamérica y Europa). Revisión del estado de este campo en los distintos países, incluyendo regulaciones, leyes, directivas, iniciativas, sectores, organizaciones sectoriales, grupos de trabajo y estándares. (60 min)
4. Relación entre Protección de Infraestructuras Críticas y Ciberseguridad en Sistemas de Control Industrial: entendiendo el riesgo. Análisis del enlace entre el entorno industrial, el corporativo y su impacto en las organizaciones clave para la supervivencia de un país. Análisis en detalle de un caso práctico: Stuxnet. (60 min). Trabajo en grupos para el análisis de Stuxnet y búsqueda de posibles analogías en distintos entornos (financiero, energético, telecomunicaciones, etc. uno por grupo). (20 min)
5. Aproximación a los Sistemas de Control Industrial. Aspectos básicos de los sistemas de control. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores, comunicaciones, wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. (60 min). Trabajo en equipo: identificación en grupos de los distintos elementos de un sistema de control sobre documentación proporcionada (15 min)
6. Vulnerabilidades y Amenazas de los Sistemas de Control. El perímetro. Vectores de ataque (líneas de comunicación, accesos remotos y módems, accesos de fabricantes, conexiones a bases de datos, manipulaciones del sistema, etc.). Análisis y contramedidas. (60 min). Trabajo en equipo: análisis de un caso práctico e identificación de vulnerabilidades y contramedidas a adoptar (30 min)
7. Situación Actual de la Ciberseguridad en los Entornos Industriales. Estudio de la tendencia hacia la convergencia entre los sistemas industriales y los corporativos (o de TI tradicional). Resultados de algunos estudios. Ejemplos y casos reales de convergencia y proyectos de convergencia. Análisis de los hechos: “imaginemos un mundo donde un simple resfriado pudiese matarnos: bienvenido al mundo de los sistemas industriales”. Análisis de la seguridad de los sistemas industriales. Regreso al futuro: la seguridad en los sistemas industriales. Algunos casos reales propios sobre problemas de seguridad en los entornos industriales. (60 min)
8. Aspectos Organizacionales y de gestión: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Aspectos humanos de la seguridad en entornos industriales y protección de infraestructuras críticas. Estudio de distintas alternativas de organización. (30 min).
9. Diagnóstico de la Seguridad en Entornos Industriales. Análisis y puesta en común del diagnóstico de la Seguridad en Entornos Industriales (visión del usuario, del fabricante, de la organización, de las ingenierías, etc.). Siguientes pasos. (30 min). Discusión pública y puesta en común entre los asistentes (15 min).
10. Estándares Aplicables. Descripción general y aplicación en estos casos de ISA 99, ISO 27001, BS 25999, NIST SP 800-82, NERC CIP Standards, etc. (90 min)
11. Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Seguridad de Sistemas de Control Industrial. Diseño de un plan de seguridad y protección de la infraestructura crítica. Estructura. Contenido. Aproximación práctica. (90 min). Trabajo en equipo: análisis de un caso práctico y desarrollo esquema/contenido mínimo de un Plan de Seguridad/Protección. “Role-play” presentación a Dirección del Programa de Ciberseguridad Entorno industrial o Protección Infraestructuras Crítica (120 min)
12. Taller Práctico HOL “Hands On Lab” (360 min). Objetivos:
a. Comprender y aplicar los conceptos relaciones con el diseño de redes seguroas
b. Descubrir y analizar vulnerabilidades en sistemas de control
c. Desarrollar y aplicar estrategias y técnicas de defensa

Este taller permitirá a los asistentes experimentar las dos caras de la Ciberseguridad de los Sistemas de Control:
- Un atacante intentando tomar el control del sistema
- Un gestor intentando defender el sistema de control

Durante los ejercicios, los asistentes serán capaces de identificar componentes vulnerables en la infraestructura del sistema de control, identificar cuáles sería los principales vectores de amenaza y desarrollar las estrategias de mitigación más adecuadas. Para conseguir estos, loa sistentes aprenderán a utilizar aplicaciones software estándares relacionadas con la seguridad como tcpdup/wireshark, OpenVAS o Metasploit, entre otros.

AGENDA

FORMADORES

Samuel Linares
Samuel Linares es Director de Servicios TI y Seguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea y Gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 16 años de experiencia en seguridad, integración de sistemas y dirección de proyectos, lidera y ha creado los servicios de Seguridad y TI ofrecidos por Intermark Tecnologías y anteriormente de Tecnocom, una de las 3 mayores compañías del sector TIC en España, implementando numerosas soluciones de seguridad en clientes, desde planes directores de seguridad, auditorías o hacking éticos, hasta diseños de arquitecturas de red y servicios seguras. Cuenta en su haber con varias certificaciones como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor, BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, NetAsq CNE y CNA, Juniper JNCIA-FW, Checkpoint CCSA y CCSE o Sun SCNA y SCSA, entre otras. Samuel es Ingeniero Técnico en Informática por la Universidad de Oviedo, Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara y en la actualidad está cursando el Grado de Psicología en la Universitat Oberta de Catalunya.

Ignacio Paredes
Ingeniero Superior en Informática y actualmente trabaja como consultor de seguridad de la información en Intermark Tecnologías. Desde el año 1999 ha desarrollado su carrera profesional involucrado en proyectos de tecnologías de la información y telecomunicaciones para empresas de distintos sectores (telecomunicaciones, industria, logística, ingeniería, administración pública). Es experto en el diseño e implantación de soluciones de seguridad tanto a nivel físico y lógico como organizativo. Con amplia experiencia en campos como el diseño seguro de redes, hackings éticos, la seguridad en entornos industriales, la seguridad en aplicaciones, planes de continuidad del negocio, la implantación de sistemas de gestión de la seguridad ISO 27001, gestión y tratamiento de riesgos.
Entre otras, posee las certificaciones CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), PMP (Project management Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), ISO 27001 (BS 7799) Lead Auditor por BSI (British Standards Institution), EC-Council Certified Ethical Hacker, NetAsq CNE y CNA, Sun SCNA y Sun SCSA.

José Valiente
Diplomado en Informática de Gestión por la Universidad Pontificia de Comillas, es Especialista en Consultoría Tecnológica y de Seguridad.  Con más de 15 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en  proyectos de Seguridad y TI para Gran Cuenta y Administración Pública. Cuenta con múltiples certificaciones de soluciones de fabricantes de seguridad y TI (Cisco CCNA y CCDA, System Security Mcafee,  Security Specialist Juniper, Websense Certified Enginer, F5 Bigip Specialist y Radware certified security Specialist)
Actualmente es Gerente de Seguridad en Intermark Tecnologías y experto en la dirección de proyectos para gran cuenta y administración pública. Dirige proyectos de implantación de SGSIs en compañías del IBEX 35 y administración pública, con equipos de trabajo de alta capacitación en seguridad y cuenta con amplios conocimientos en ITIL y PMI, impartiendo formación a empresas del sector financiero y administración pública.

Francisco Uría
Licenciado en Derecho por la Universidad de Oviedo. Experto en Derecho de las Tecnologías de la Información y Comunicación, así como en Seguridad de la Información y Protección de Datos, desempeña en la actualidad las funciones de Consultor Legal dentro de la Dirección de Servicios de TI y Seguridad de Intermark Tecnologías. Además, es ISO 27001 Lead Auditor por BSI (British Standards Institution) y Especialista en Contratación Informática por el Real Centro Universitario de El Escorial.
Actualmente, es también el Responsable del Servicio de Gestión de Órganos de Gobierno de Gobertia Gestión del Conocimiento y Secretario de Consejos de Administración de las empresas de Grupo Intermark.

LUGAR

El curso tendrá lugar en MADRID:
Hotel Meliá Avenida América – C/ Juan Ignacio Luca de Tena, 36
Transporte Urbano: Autobús 146, salida Plaza del Callao y Autobús 114, salida desde Terminal Avenida de América

COSTE

El coste del curso será (I.V.A. INCLUIDO):
- Miembros ISA: 850 euros
- No miembros ISA: 1000 euros
- Sección Estudiantes: 200 euros

Nota: Como bonificación a los no miembros de ISA, se incluye dentro del costo del curso su inscripción gratuita por un año a ISA (costo normal: 100 euros aproximadamente)
Los estudiantes deberán hacer las inscripciones a través de la Sección de Estudiantes de ISA España a la que estén suscritos.
El coste comprende los gastos de impartición del curso, comidas, cafés, y documentación.
Los asistentes deberán llevar un ordenador personal el tercer día.

Esperamos que tenga muy buena acogida y satisfaga vuestras expectativas. Os esperamos a todos en Febrero!!!

Si estuviéseis interesados en organizar alguna otra convocatoria en otras fechas, lugares o “in company”, ponte en contacto conmigo

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Las amenazas están ahí fuera, las vulnerabilidades existen, el impacto de su explotación en estos entornos es elevado y la obligación de cumplimiento de protección de las infraestructuras, no sólo desde el punto de normativa interna sino de legislación pública, es un hecho. Por tanto es evidente que toda organización en este ámbito debería tomar las medidas técnicas y organizativas adecuadas para disminuir e intentar mitigar el riesgo al que están expuestas.

Buenas prácticas mínimas y habituales en el ámbito de las Tecnologías de la Información, como la segmentación de redes, la defensa en profundidad, la autenticación, criptografía o la detección y prevención de intrusiones, entre otras, deberían incorporarse a los diseños y arquitecturas de los proyectos para garantizar unos niveles de seguridad adecuados a los requisitos de disponibilidad, confidencialidad e integridad característicos de estas instalaciones, sin dejar de lado aspectos organizativos como la segregación de funciones, la adecuada gestión de personal o el cumplimiento normativo, por ejemplo.

Como recomendación mínima, recogeré a continuación a modo de breve resumen, 6 aspectos básicos para la mejora de la seguridad en estos entornos que pueden mejorar considerablemente la seguridad de una infraestructura y disminuir radicalmente el nivel de riesgo al que se ve expuesta. No se trata de volver a inventar la rueda, sino de aplicar los mismos paradigmas, principios y conceptos que llevamos empleando en las últimas décadas en el entorno de las TIC al escenario industrial, eso sí, con las consideraciones y cautelas particulares que sus especiales características requieren:

 1. Defensa en Profundidad. Se trata este de un paradigma o estrategia de defensa por el que, en lugar de establecer un único perímetro o línea de protección, se colocan distintas líneas de protección consecutivas (podríamos hacer el símil con una cebolla y sus capas, o un castillo y sus distintos niveles de protección) de forma que si una de ellas se supera o rompe, siguen existiendo mecanismos de defensa adicionales, teniendo que destinar un número de recursos mucho mayores, en cualquier caso, para intentar superar las distintas líneas de protección.

 2. Segmentación. Toda instalación o infraestructura debería ser dividida o segmentada en distintos dominios de seguridad, esto es, en distintas áreas o segmentos de red que compartan las mismas características en lo que a niveles de protección se refiere de forma que puedan configurarse las medidas técnicas de seguridad adecuadas y realizar un control de las mismas y del acceso entre segmentos o dominios en base a unas políticas y reglas definidas.

 3. Introducción de dispositivos de seguridad como Firewalls, Sistemas de Detección y Prevención de Intrusiones (IDS/IPS), Sistemas de Gestión Unificada de Amenazas (UTMs) o “Diodos de Datos”. La introducción de estos dispositivos de seguridad en los puntos de interconexión de los distintos segmentos y dominios de seguridad de las redes de la organización permitirán aplicar las políticas de seguridad adecuadas en forma de reglas de control de acceso, de detección de actividad maliciosa o de monitorización de la información transmitida por esos segmentos (basándose en protocolos, acciones, servicios, orígenes, destinos, rango horario, etc.). La regla de oro a seguir siempre será denegar todo acceso y actividad salvo  aquellos permitidos explícitamente (prohibición por defecto).

 4. Análisis de vulnerabilidades y Tests de Intrusión. Es conocido, y así lo he expuesto en otros posts anteriores, la existencia de vulnerabilidades en los sistemas y aplicaciones existentes en la organización. Muchas de estas vulnerabilidades pueden existir originalmente en los productos o desarrollos, o aparecer tras cambios, modificaciones, actualizaciones, etc. por lo que es de vital importancia la ejecución periódica (cada ciertos meses, cada año…) de análisis de vulnerabilidades (o incluso tests de intrusión) de los sistemas (de TI tradicional e industriales) que integran la infraestructura de la organización. Estos análisis y auditorías deberán ser realizados por expertos en este tipo de entornos dadas las especiales características y condiciones de los mismos.

 5. Estándares. Para la gestión de la seguridad de los distintos procesos, políticas y prácticas de producción, fabricación e industriales, deberían seguirse estándares internacionalmente reconocidos, probados e implantados. Existen estándares como la ISO 27001 para la gestión de la seguridad de la información, la norma británica BS 25999 para la gestión de la continuidad del negocio o la ISO 20000 para la gestión de servicios de tecnologías de la información. Sin embargo, sin duda en estos entornos es de mayor (y previa) aplicación la norma ISA 99, relativa al Establecimiento y Operación de un Programa de Seguridad de Sistemas de Control y Automatización Industrial, respectivamente. ¿Por qué reinventar la rueda si existen alternativas excelentes en la actualidad? Existen otros estándares o guías de buenas prácticas excelentes, y aplicables a distintos sectores, por lo que a día de hoy, y hasta que exista una referencia clara a nivel Europeo o sectorial, la recomendación es realizar un estudio de los estándares y buenas prácticas existentes en el sector y seleccionar los de mayor aplicación a nuestro caso.

 6. Formación y Concienciación. El último aspecto clave, pero no por ello el menos importante, es la formación y concienciación de los profesionales de planta y producción por una parte y de tecnologías de la información y seguridad por la otra. El ámbito de la ciberseguridad en estos entornos suele ser desconocido para ambos grupos de profesionales, desconociendo en muchos casos las consecuencias, características e impactos ya comentados por lo que deberían establecerse planes de formación adecuados para los distintos colectivos partiendo siempre de un nivel mínimo que recoja al menos los aspectos básicos de concienciación comentados someramente en este documento.

Teniendo en cuenta como línea base mínima estos 6 aspectos, cualquier organización podrá mejorar ostensiblemente la seguridad de sus infraestructuras, lo que redundará en una garantía de disponibilidad de sus servicios que, agregado a otras organizaciones, áreas geográficas e infraestructuras, elevará el nivel de seguridad de las infraestructuras esenciales para la nación.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Hoy se ha celebrado en Barcelona el workshop “Industrial Control Systems Security” en el que los participantes en el estudio hemos discutido el borrador del mismo y consensuado los contenidos que aparecerán en su versión final. El workshop ha sido todo un éxito, tanto en su organización como en su participación con más de 40 expertos de distintos países y organizaciones (usuarios finales, integradores, fabricantes, universidades, centros de investigación) discutiendo sobre este tema de tanto interés.

Aunque no quiero adelantar su contenido hasta su publicación oficial, sí podemos decir que el mismo se ha basado en el envío de encuestas a más de 100 expertos europeos, entrevistas personales con más de 20 (entre los que tengo el orgullo de encontrarme) y el estudio del estado del arte, publicaciones, estándares, etc. existentes a nivel no sólo europeo, sino también internacional.

El resultado, un entregable excelente con un contenido de mucho valor que resume fielmente la situación existente en este ámbito y una serie de recomendaciones para Europa y los Estados Miembros. Vayan desde aquí mis felicitaciones al equipo de ENISA y de S21Sec que lo han desarrollado y cómo no, también para todos los “stakeholders” que hemos participado en el mismo.

Mencionaré únicamente como adelanto la recomendaciones generales que hace el estudio en su actual estado de borrador (ya las he ido adelantando hoy en mi twitter):

- Recomendación 1: Creación de Estrategias Nacionales y Paneuropeas de Seguridad de los Sistemas de Control Indutrial (SCI en adelante)

- Recomendación 2: Creación de Guías de Buenas Prácticas para la Seguridad de los SCI

- Recomendación 3: Creación de Plantillas de Planes de Seguridad de SCI

- Recomendación 4: Aumentar la Concienciación y Formación

- Recomendación 5: Creación de un “test-bed” común, o alternativamente, una Certificación de Seguridad de SCI

- Recomendación 6: Creación de CERTs de SCI Nacionales

- Recomendación 7: Aumentar la Investigación en Seguridad de SCI, mejorando los Programas de Investigación existentes

Dicho esto, una de mis conclusiones personales es que, en este campo, en cuanto a iniciativas, política, organización, investigación, etc., Europa está al menos 5 años por detrás de Estados Unidos, y que España está al menos 5 años por detrás de Europa, y por tanto, mi impresión es que España está al menos 10 años por detrás de Estados Unidos. Una década es mucho tiempo, pero creo que no lograremos equipararnos al mismo nivel antes, sinceramente. Ojalá me equivoque…

En cualquier caso, creo que iniciativas como esta deben ser el comienzo de un largo camino hacia la mejora de la seguridad en este ámbito, tan necesaria si queremos contar con la competitividad que todos predicamos en los últimos tiempos.

Dejadme lanzar una pregunta al aire: ¿Por qué no se organiza en nuestro país un grupo de trabajo de especialistas en este ámbito de igual forma, aunque sea informalmente? Todos somos competidores, pero estoy seguro que podemos ser colaboradores en muchos casos…. ¿o vivo en el país de los pájaros y flores?

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

¿Cuáles deberían ser los siguientes pasos ante este nuevo escenario? Es claro que los principales actores en el escenario (fabricantes de sistemas de control y de dispositivos de seguridad, empresas, asociaciones profesionales, ingenierías e integradores) deberían tomar las riendas de los cambios y adaptarse al nuevo entorno.

Los fabricantes de sistemas de control industrial deberían incorporar la seguridad como un requisito más en el diseño de sus productos y arquitecturas incluyendo autenticación fuerte, criptografía y las medidas de seguridad habituales que se incorporan ya de facto en la mayoría de sistemas de TI tradicionales.

La realidad es bien distinta. A día de hoy muy pocos fabricantes de sistemas de control industrial y SCADA están teniendo en cuenta la seguridad seriamente en el diseño de sus productos y soluciones y prueba de ello es la continua publicación desde la aparición de Stuxnet de numerosas vulnerabilidades de distintos fabricantes de conocida reputación en el ámbito industrial. Semanalmente el número de problemas de seguridad publicados en este tipo de sistemas está creciendo exponencialmente.

Los fabricantes de dispositivos de seguridad TIC, por su parte, deberían tener en cuenta las características y requisitos de los sistemas industriales incluyendo entre sus capacidades y funciones el manejo adecuado de los protocolos específicos en este ámbito, así como la incorporación de mecanismos de funcionamiento en tiempo real.

Lamentablemente los principales fabricantes de dispositivos de seguridad del mercado no reconocen a día de hoy la gran mayoría de los protocolos industriales con lo que para la mayoría de las soluciones de seguridad lógica tradicionales implantadas en las compañías,  la comunicación, vulnerabilidades y características de los sistemas industriales son “invisibles”. Sólo existen unos pocos fabricantes en el mercado internacional que han desarrollado productos “de nicho” ofreciendo unos dispositivos de seguridad pensados especialmente para el entorno industrial, que reconocen sus protocolos, características y vulnerabilidades, pero que tienen una cuota de mercado bajísima si lo comparamos con los fabricantes de dispositivos de seguridad tradicionales. En los últimos días precisamente hemos asistido a algunos movimientos en el mercado en este sentido con la reciente adquisición de Byres Security (fabricante de los dispositivos Tofino) por Belden-Hirschmann.

Por su parte, las empresas y usuarios finales tienen como principal gap la falta de concienciación y formación en esta área, además de la, inexistente en muchos casos y deficitaria en otros, comunicación entre las áreas de planta, producción, tecnologías de la información y seguridad. En la mayoría de los casos la organización no es siquiera consciente de los altos riesgos a los que están expuestos ni mucho menos como mitigarlos. Se hace necesaria una labor de divulgación, evangelización y formación importante entre los profesionales de las áreas industrial, de TI y Seguridad.

En este sentido las asociaciones profesionales, de estandarización y sectoriales deberían tomar cierto protagonismo. Existen estándares para la seguridad en los sistemas industriales como ISA 99, para la gestión de la seguridad como ISO 27001 o para la continuidad de negocio como BS 25999, pero, ¿podría tener sentido un estándar o marco de referencia que uniese al menos esos 3 estándares de forma coherente y consistente en el marco que estamos tratando? La respuesta afirmativa parece obvia. Este tipo de iniciativas, así como otras de concienciación y formación deberían ser lideradas por este tipo de asociaciones u organizaciones. A nivel internacional, especialmente en Estados Unidos esta área está mucho más madura y existen iniciativas sectoriales, grupos de trabajo y estudio, etc. mientras que en España únicamente se empiezan a ver tímidas iniciativas de algunas asociaciones como ISA (la Sociedad Internacional de Automatización) que ha incorporado la seguridad como uno de los temas a tratar en sus sesiones
técnicas durante 2011 o INTECO (el Instituto Nacional de Tecnologías de la Comunicación) que en el pasado Encuentro Internacional de la Seguridad de la Información estableció ya un track dedicado a la protección de infraestructuras críticas en el que se trataron también estos temas.

Finalmente uno de los actores con mayor relevancia para el cambio que estamos comentando son las ingenierías e integradores, que son los encargados de diseñar, construir, implantar y en muchos casos mantener las instalaciones industriales. La incorporación de la seguridad no sólo física sino también lógica o ciberseguridad como un requisito más a tener en cuenta dentro de los cuantiosos proyectos que llevan a cabo debe ser un paso imprescindible para conseguir los objetivos que se persiguen. El incremento en los costes globales de este tipo de proyectos por la inclusión de este requisito es mínimo respecto a las ventajas en la disminución de los riesgos asumidos por la organización y por ende, de la nación en muchos casos.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Tal es el caso de las infraestructuras críticas y las organizaciones que, aún sin serlo, puedan tener necesidades de protección muy superiores a las esperadas. Es conocido que el Catálogo Nacional de Infraestructuras de España está compuesto por 3.600 infraestructuras pertenecientes en un 80% a organizaciones privadas y en un 20% a organizaciones públicas. Todas estas organizaciones están sujetas al cumplimiento de la recientemente aprobada Ley de Protección de Infraestructuras Críticas que les obliga a implantar una serie de medidas y controles de seguridad organizativos y técnicos y por tanto a mantener y gestionar su seguridad de forma adecuada.

Hemos presentado hasta ahora las líneas directrices, planes a medio y largo plazo de la gestión de la seguridad a nivel Europeo y también nacional, pero si continuamos bajando hacia el detalle, las distintas organizaciones deberán desarrollar los correspondientes planes de gestión de su seguridad, no sólo física, sino también lógica o “ciberseguridad” y para ello, además de los correspondientes cambios a nivel organizativo será necesario contar con las herramientas necesarias para aplicar esas medidas de seguridad y más allá de aplicarlas, para gestionarlas de forma integral facilitando así la toma de decisiones estratégicas a los responsables de la organización.

Los sectores críticos industriales como el energético, el transporte o el de telecomunicaciones, entre otros, son pilares clave para la sociedad española y europea. Todas estas organizaciones deben tener en cuenta las vulnerabilidades relacionadas con la tendencia a la interconexión e integración de las infraestructuras de información corporativas con las de planta y producción que hasta ahora venían estando aisladas. Mediante el análisis de las interdependencias y de los “ciber-riesgos”, es claro que queda mucho trabajo por hacer que tendrá una gran influencia en la arquitectura de los futuros sistemas de control. Las compañías eléctricas, organizaciones financieras, compañías de transporte y otros muchos sectores deberán trabajar en arquitecturas que estén protegidas y monitorizadas continuamente en cuanto a su seguridad (no solo a su disponibilidad o eficiencia), de forma que soporten la supervivencia del servicio bajo unas determinadas circunstancias.

Al final, la mayoría de las infraestructuras críticas residen sobre sistemas de control industrial que, debido a la demandada y cada vez más común integración de los “mundos de producción y corporativos”, están  totalmente expuestos a amenazas de ciber-ataques y, evidentemente, a un alto riesgo de fallos importantes para la organización que como ya hemos visto, en muchos casos puede, afectar al estado o nación.

Y es que las cosas han cambiado en el “mundo industrial o de producción”. Basta echar un vistazo a las características de los entornos tecnológicos en los que se basan los sistemas de fabricación o producción. Atendiendo a los resultados del estudio que anualmente viene realizando desde hace 11 años la conocida analista Logica denominado “MES Product Survey”, el escenario no difiere mucho del existente en los entornos corporativos tradicionales:  las bases de datos predominantes son Oracle y SQL Server, los sistemas operativos varían entre Windows (distintas versiones) con más de un 90% de base instalada y otros como Unix  o AS/400; las arquitecturas clientes servidor, los interfaces web son habituales y el estudio concluye indicando que “la tecnología Microsoft es dominante”.  Esta afirmación nos hace ver claramente que las cosas han cambiado. El mundo industrial ya no es un mundo propietario, sino que está utilizando las tecnologías de la información a su alcance.

Cada vez más la integración entre el mundo de planta y el corporativo es un hecho. En los últimos años se está asistiendo a una demanda cada vez mayor desde el negocio de la integración de los sistemas de producción con los sistemas de gestión empresarial (ERP) de las organizaciones. Los presupuestos de gestión e integración de los sistemas de fabricación se han incrementado en más de un 600% atendiendo a los estudios ya mencionados. Además estos nuevos sistemas de gestión de la fabricación no proporcionan únicamente información interna a la compañía sino que cada vez más se pretende ofrecer y ampliar la información hacia los sistemas de los proveedores y por supuesto hacia los clientes ofreciendo así un servicio de mayor calidad y muy valorado en estos entornos. Pero esta apertura a terceras partes, además de introducir nuevas funcionalidades y posibilidades para el negocio, introducen también nuevos medios de acceso a sistemas críticos para las organizaciones que hasta ahora estaban aislados y no estaban preparados para estar expuestos a las nuevas amenazas y vectores de ataque a los que ahora se enfrentan.

La convergencia entre los dos mundos es un hecho. Los sistemas de control ya no están aislados y han pasado de utilizar líneas de comunicaciones serie dedicadas, interfaces físicos y protocolos propietarios a utilizar la misma tecnología y protocolos que cualquiera puede estar utilizando en su casa, con redes Ethernet, inalámbricas compartidas y por supuesto todo basado sobre el protocolo TCP/IP.  Los dispositivos industriales han dejado de utilizar sistemas propietarios para pasar a utilizar sistemas operativos de propósito general (como Microsoft Windows o Linux, entre otros). En definitiva, han heredado todas las características y problemas de las Tecnologías de la Información tradicionales en los entornos corporativos.

Si imaginásemos un mundo donde un simple resfriado pudiese matarnos, estaríamos viendo el mundo de los sistemas de control industrial, en lo que a seguridad se refiere:

- Los sistemas de control han sido diseñados sin introducir los requisitos de ciberseguridad básicos, como se desprende de las noticias que durante el último año hemos estado viendo desde la aparición de Stuxnet, y sin ir más lejos, los hallazgos presentados ayer mismo por Dillon Beresford en la Black Hat 2011 en Las Vegas relativos a las vulnerabilidades de los PLCs S7-300 de Siemens.

- Las redes inalámbricas son habituales en este tipo de entornos, cuando es conocido  que su disponibilidad no está garantizada (olvidándonos ya de la confidencialidad de la información que fluye por ellas). Con un inhibidor de frecuencia de bajo coste es posible inhabilitar una red inalámbrica con las consecuencias que podemos imaginar (por ejemplo que una pala de descarga de carbón deje caer varias toneladas de carbón encima de un grupo de personas en lugar de encima de un camión).

- Existen dispositivos de filtrado (firewalls) habitualmente defendiendo el perímetro, pero en casi ningún caso existe esa seguridad hacia los segmentos internos, cuando se ha demostrado que la mayoría de los ataques o problemas vienen desde dentro.

- Entre el 80 y el 90% de los sistemas SCADA y de control están conectados a las redes corporativas, aun cuando en muchos casos el Departamento de Tecnologías de la Información ni siquiera es consciente de ello.

Habitualmente los sistemas de control industrial no requieren autenticación ni autorización, no utilizan técnicas de encriptación y cifrado de datos y no manejan adecuadamente los errores o excepciones, todo ello debido a su entorno aislado originalmente, lo que ha hecho que al “conectarlos” a las redes corporativas de las organizaciones se hayan abierto (en la mayoría de los casos inconscientemente) distintas fuentes potenciales de ataques como los siguientes, entre otros:

- Intercepción y manipulación de datos:  cualquiera podría manipular los datos intercambiados entre los PLCs y los Sistemas de Control y SCADA falseándolos

- Denegación de servicio: como se ha indicado en el caso de las redes inalámbricas es relativamente sencillo causar una pérdida de servicio a este tipo de sistemas.

- Falseo de Direcciones: un usuario malicioso puede falsear la “identidad” del PLC o del sistema SCADA y comenzar a comunicarse con el resto de sistemas como si fuese este modificando el funcionamiento global.

- Modificación de datos de registro (logs): en muchos casos es posible modificar los registros de actividad (de hecho en muchos casos no existen si quiera estos registros de actividad) con lo que una actuación maliciosa puede convertirse en “invisible” al no existir trazabilidad de las acciones efectuadas.

- Control no autorizado: aprovechando muchas de estas vulnerabilidades un tercero puede tomar el control global del sistema sin demasiados esfuerzos.

Todos estas vulnerabilidades, amenazas y vectores de ataque realmente no son ninguna novedad en los entornos de Tecnologías de la Información tradicionales donde en muchos casos ya están siendo mitigados, monitorizados y gestionados. Sin embargo en los entornos industriales, como se ha descrito, no se están controlando este tipo de amenazas en ningún sentido cuando la gran diferencia entre ambos mundos es sin duda el impacto. Como se pude desprender de todo lo descrito hasta ahora el impacto de la disrupción, brecha o mal funcionamiento de estos sistemas es mucho mayor llegando a las pérdidas humanas o, como se comenzaba exponiendo en este documento, a las amenazas a la seguridad de la nación y del modo de vida de nuestra sociedad.

Dejaremos para la siguiente entrega de la serie las tendencias tecnológicas y el mercado actual en esta área y finalizaremos la serie con una receta “sencilla” para la mitigación del riesgo existente en este tipo de entornos. Pero eso será dentro de unos días…

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

El documento resultado del foro propone una Agenda Europa de Investigación e Innovación en Seguridad (ESRIA, European Security Research and Innovation Agenda) para los próximos 20 años y propone recomendaciones que soportarán el desarrollo de la seguridad Europea.

La visión de ESRIF para la Seguridad de la Sociedad es que la seguridad Europea es inseparable de los valores políticos, culturales y sociales que distingue la vida europea y su diversidad. La investigación e innovación en seguridad debe tener en cuenta la vulnerabilidad a largo plazo de estos valores a través de la economía, política, cultura y sistemas tecnológicos europeos.

La seguridad de las infraestructuras críticas europeas, y por tanto de los sistemas que las sustentan (en su gran mayoría industriales), es naturalmente un foco de la investigación e innovación en seguridad. Puesto que determinadas infraestructuras proporcionan servicios esenciales para la sociedad y la economía (con algunos de ellos directamente interactuando con los ciudadanos, como por ejemplo el suministro de agua o de telecomunicaciones), su criticidad es obvia. Otras infraestructuras críticas son menos visibles, pero también esenciales para el funcionamiento de los elementos de la sociedad como el control de navegación aérea (como tuvimos oportunidad de comprobar en fechas recientes en España).

Muchas de las funciones de estas infraestructuras críticas están tecnológica y operacionalmente interconectadas y por tanto deben conocerse y gestionarse adecuadamente las posibilidades exactas y los riesgos potenciales existentes. Así, como un tema general de investigación para la seguridad de las infraestructuras críticas,  deberían estudiarse y analizarse detenidamente estas interconexiones e interdependencias.

Todo esto debería mejorar el conocimiento y concienciación del impacto y efectos en cadena para lo que las organizaciones y países deben estar preparados. Sobre esta base, deberán desarrollarse contramedidas proactivas, resistentes y efectivas que tengan en cuenta los riesgos y vulnerabilidades sistémicas predecibles. Si esto se combina con simulaciones avanzadas y herramientas de modelado (ambas para operaciones, impactos y malos funcionamientos de sistemas aislados o interconectados), entonces los usuarios finales y expertos en la gestión de crisis podrán contar con instrumentos potentes para la prevención y preparación de este tipo de incidentes. Esto debería llevar a una mayor seguridad y resistencia sistémica y social en general.

Un futuro grupo de concienciación debería analizar la futura potencial criticidad de las tecnologías emergentes y en constante evolución. Esto permitirá a los usuarios finales, investigadores y fabricantes definir conjuntamente protocolos y arquitecturas de seguridad al principio del proceso de diseño, que está en la línea de uno de los mensajes clave de ESRIF. Debe expandirse también la definición de infraestructuras críticas y analizar el paisaje industrial de Europa en búsqueda de capacidades de fabricación y capacidades críticas que deben ser tenidas en cuenta también en este contexto.

La Unión Europea se encuentra hoy con retos de seguridad totalmente diferentes de aquellos existentes en su incepción. Éstos varían desde el lavado de dinero y la corrupción al crimen organizado y los actos violentos de terrorismo, además de desastres naturales o pandemias. ESRIF es consciente de que la ESRIA, la agenda, debe proporcionar tanto un concepto estratégico como un proceso práctico que defina y actualice las prioridades compartidas para conseguir superar esos retos.  No obstante esto no puede llevarse a cabo de forma aislada. La protección de la población e infraestructuras de la Unión Europea debe ir acompañado de buen gobierno, sentido común económico y el respeto por los derechos fundamentales y los valores culturales de Europa. Para ESRIF, conseguir una ventaja competitiva y una posición de liderazgo para Europa en el mercado global de la seguridad debe reflejar los valores Europeos.

Algunas acciones ya se han llevado a cabo en Europa en esta línea. Como ya comentábamos en el último post, además de crear el Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) y la Red de Información y Alertas de Infraestructuras Críticas (CIWIN), la directiva europea 2008/114/EC que entró en vigor el 8 de Diciembre de 2008 sobre la identificación y designación de las Infraestructuras Críticas Europeas y la identificación de la necesidad de mejorar su protección, representa un paso importante en la cooperación de la Unión Europea sobre este tema. Esta Directiva establece que la responsabilidad principal y última para la protección de las infraestructuras críticas europeas reposa en los Estados Miembros y en los operadores (las organizaciones dueñas) de esas infraestructuras. También determina el desarrollo de un conjunto de obligaciones y acciones que deberían ser implementados por esos Estados e incorporadas a su legislación nacional.

Consecuentemente en cumplimiento de esta Directiva 2008/144/EC, los distintos Estados Miembro deberían desarrollar normas cuyos objetivos no sean únicamente regular la protección de las infraestructuras críticas contra todo tipo de ataques deliberados (físicos o cibernéticos), utilizando la definición y desarrollo de un sistema y procedimientos que unan todos los sectores públicos y privados afectados, sino que también deberán transponer la Directiva a los sistemas legales nacionales desarrollando todas las medidas incluidas en la Directiva. El propósito de estas normas  es establecer medidas para proteger las infraestructuras críticas estableciendo la base apropiada para una coordinación efectiva entre las administraciones públicas y las entidades, gestores y propietarios de infraestructuras que proporcionan servicios públicos esenciales para sociedad civil, en búsqueda de la mejora de su seguridad.

Un compendio de la Directiva 2008/114/EC es representada por la comunicación COM(2009)149 de la Comisión al Parlamento Europeo, al Consejo, al Comité Social y Económico Europeo y al Comité de las Regiones sobre la protección de Infraestructuras Críticas, denominada “Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience”.

Los Catálogos Nacionales de Infraestructuras Estratégicas (cada sector y cada Estado Miembro debería identificar sus infraestructuras críticas) y los Planes de Protección de Infraestructuras Nacionales deberán ser mantenidos sobre esta base, como la herramienta principal para la gestión de la seguridad de las infraestructuras a nivel nacional.

Se están llevando a cabo diversas acciones en este sentido a nivel nacional. Por ejemplo en España esta directiva ha sido transpuesta mediante la Ley 8/2011 por la que se establecen Medidas para la Protección de Infraestructuras Críticas (conocida ya como LPIC o Ley para la Protección de Infraestructuras Críticas) y posterior Reglamento de Protección de Infraestructuras Críticas (Real Decreto 704/2011) y aún más reciente (18 de Julio de 2011) acaban de publicarse para información pública y revisión, los borradores de las Guías de Contenidos Mínimos del Plan de Protección Específico (PPE) y del Plan de Seguridad del Operador (PSO).

Esta marco normativo establece el escenario de trabajo necesario para desarrollar las estrategias y estructuras apropiadas que permitirán la gestión y coordinación de todas las acciones de las distintas instituciones y organizaciones (públicas y privadas),  en lo que se refiere a la protección de las infraestructuras críticas incluyendo distintos sectores: administración espacio, industrial nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y las comunicaciones, transporte, alimentación y sistema financiero y tributario.

Adicionalmente a la regulación nacional de protección de infraestructuras críticas, debería considerarse en todos los sectores anteriores la regulación de la seguridad por cada uno ellos. Por ejemplo en España, el Real Decreto 3/2010 del 8 de Enero, que regula el Esquema Nacional de Seguridad en el ámbito de las Administraciones Públicas y concretamente orientado a la Administración Electrónica es un buen punto de partida, pero es obvio que deja fuera otros sectores muy relevantes para la gestión de la seguridad, tanto públicos como privados.

En la próxima entrega abordaré el enlace de las Infraestructuras Críticas y los Sistemas de Control Industrial… pero eso será, con suerte, la semana próxima Buen fin de semana!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Cada uno de estos incidentes, junto a muchos otros han contribuido a la creación de un sentimiento global de peligro e incertidumbre que ha cambiado, y aún está cambiando, nuestro modo de vida. Una parte importante de la respuesta de los gobiernos ha sido el desarrollo de leyes y normativa centrada en la mejora de la seguridad, la preparación para tratar incidentes catastróficos y la recuperación adecuada después de estos incidentes. Sin embargo, como se comentará más adelante, estas iniciativas tienen muchos inconvenientes que hacen difícil conseguir su cumplimiento.

En segundo lugar, el siglo XXI será recordado por el enorme desarrollo e inclusión de las tecnologías de la información en nuestra vida diaria. Algunos dispositivos e instalaciones que no existían o eran meras curiosidades 10 años atrás, hoy parecen esenciales y resulta complicado imaginar cómo podríamos sobrevivir sin ellas. De hecho, existen muchos servicios esenciales que se basan totalmente sobre las tecnologías de la información.

La mayoría de los fatales eventos ya mencionados tienen en común la existencia de infraestructuras críticas que fueron dañadas, no funcionaron correctamente o fueron mal gestionadas. Si los sistemas como cámaras de vigilancia, controles de acceso físico, líneas de comunicaciones, transporte o sanidad fueran resistentes a los eventos que fueron expuestos, las pérdidas humanas de las catástrofes hubiesen sido mucho menores. Por supuesto han existido en el mundo desastres naturales, fallos humanos, sabotajes y terrorismo antes de la era de la información, pero las tecnologías de la información han traído un nuevo vector de amenaza. Hoy en día no es necesario estar físicamente cerca de una infraestructura para causarle daño. De hecho la mayoría de las infraestructuras críticas del mundo tienen sus sistemas de control accesibles remotamente mediante líneas de comunicación, incluso desde redes públicas como Internet. Años atrás existía una clara diferencia entre el mundo físico y el llamado mundo virtual que comúnmente (y de forma errónea) se asociaba a Internet y al world wide web, pero hoy existe una línea muy fina que separa estos dos mundos. Esta línea está compuesta de sistemas software y hardware que proporcionan los medios para gestionar y controlar los activos físicos que pueden tener impacto en el mundo real. Es obvio que estos sistemas de control gestionados remotamente se han convertido en un objetivo claro de cualquier atacante que quiera causar daño y por tanto se ha presentado la necesidad de su protección y prevención de ataques.

Como testimonio de la difusión e importancia en la sociedad que esta necesidad ha alcanzado baste mencionar la amplia cobertura que los medios de noticias generales han dado al caso Stuxnet (http://en.wikipedia.org/wiki/Stuxnet) donde una parte con intenciones maliciosas, probablemente un estado o gobierno, ha desarrollado una pieza de software compleja y muy sofisticada que funciona como un “gusano malware” focalizado en un sistema de control específico muy empleado para controlar plantas nucleares y otras infraestructuras estratégicas.

Como respuesta a estos hechos, la Unión Europea ha desarrollado iniciativas sobre la obligatoriedad de la mejora de la seguridad y resistencia de las infraestructuras críticas (y por añadidura, de los sistemas de control industrial que las sustentan). Algunas de estas iniciativas son:

EPCIP (Europa, 2005-2007)

http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_terrorism/l33260_en.htm
El Programa Europeo de Protección de Infraestructuras críticas, cuyo objetivo es mejorar la protección de infraestructuras críticas en la Unión Europa utilizando los siguientes elementos:
- Un procedimiento para identificar y designar las Infraestructuras Críticas Europeas y una vista común para evaluar sus necesidades de seguridad.
- Medidas como un plan de acción y una red de alertas sobre infraestructuras críticas (CIWIN: Critical Infrastructures Warning Information Netwrok) y grupos de expertos sobre protección de infraestructuras críticas
- Ayuda a los miembros de la Unión Europea
- Soporte financiero

CNPIC (España, 2007-actualidad)
http://www.cnpic-es.es/cnpic

El Centro Nacional de Protección de Infraestructuras Críticas tiene como principal objetivo preservar la seguridad de las infraestructuras críticas del territorio español. Después que la Comisión Europea aprobase el Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) en Diciembre de 2004, la Administración español lanzó el Plan Nacional para la Protección de Infraestructuras Críticas (PNPIC). El gabinete español decidió entonces crear el CNPIC, mediante acuerdo fechado el 2 de Noviembre de 2007. El CNPIC, dependiente de la Secretaría de Estado para la Seguridad, del Ministerio del Interior, es responsable de dirigir, coordinar y supervisar la protección las infraestructuras críticas nacionales.

CPNI (Reino Unido)

http://www.cpni.gov.uk

El Centro para la Protección de la Infraestructura Nacional (Centre for the Protection of National Infrastructure) es una autoridad gubernamental que proporciona ayuda y asesoramiento sobre seguridad y protección a las infraestructuras nacionales del Reino Unido. Este asesoramiento está dirigido principalmente al infraestructura nacional crítica (CNI, Critical National Infrastructure), aquellos elementos claves de la infraestructura nacional que son cruciales para la entrega continuada de los servicios esenciales al Reino Unido.  Sin estos elementos claves, los servicios esenciales podrían no ser ofrecidos y el Reino Unido podría sufrir consecuencias muy serias, incluyendo daños económicos importantes, problemas sociales graves o pérdidas de vidas a gran escala. El CPNI dirige su asesoramiento desde la experiencia, conocimiento de información de las organizaciones que contribuyen a su trabajo. Respalda investigaciones y trabajos en sociedad con centros educativos, otras organizaciones gubernamentales, instituciones de investigación y el sector privado, para desarrollar aplicaciones que puedan reducir la vulnerabilidad a ataques terroristas y otros tipos de ataques y disminuyan el impacto cuando estos ataques ocurran.

COSSI Plan PIRANET (Francia)

http://sgdn.gouv.fr/rubrique.php?id_rubrique=24

El Centro Operacional de la Seguridad de los Sistemas de Información (Centre Opérationnel de la Sécurité des Systèmes d’Information) ha desarrollado el plan PIRANET diseñado para tratar grandes ataques informáticos que puedan ser causado por terrorismo o puedan afectar sistemas de información de infraestructuras críticas así como para organizar la respuesta a estos ataques:
- Implementando un sistema de alarma y respuestas
- Llevando a cabo la contingencia de estos ataques y la rehabilitación de los sistemas afectados
- Transmitiendo la alerta a los servicios no afectados, indicando posturas y acciones a tomar.

Todas estas iniciativas parecen perfectamente adecuadas puesto que están focalizadas en:
- Proteger vidas humanas
- Asegurar la correcta operación de los procesos vitales para el país
- Proteger infraestructuras importantes y las inversiones realizadas en ellas

Pero más allá, el componente técnico de estas iniciativas está basado en estándares de seguridad adoptados y utilizados internacionalmente como:

- ISO 27000: Familia de estándares de Gestión de la Seguridad de la Información de ISO/IEC.
- BS 25999: Estándar de BSI (British Standard Institution) en el área de la Gestión de la Continuidad de Negocio, que es el estándar de facto para Continuidad de Negocio en todo el mundo.
- ISA 99: Estándar internacional de la Sociedad Internacional de Automatización (ISA) de  de Seguridad para los Sistemas de Control y Fabricación.
- NIST SP800-53 y SP800-82: publicaciones especiales del NIST que corresponden a las Guías de Seguridad de los Sistemas de Control Industrial y SCADA.
- Estándares NERC CIP: los estándares NERC CIP-002 al CIP-009 proporcionan un framework de cara a la ciberseguridad para la identificación y protección de “Ciber-activos” críticos para soportar la operación asegurada de la red eléctrica
- Guías CPNI: con buenas prácticas para la seguridad del Control de Proceso y de sistemas SCADA.

Estos estándares proporcionan una serie de buenas prácticas, controles y contramedidas para ser aplicadas a los sistemas protegidos para minimizar los riesgos e impactos en caso de un incidente.

Esta parece la aproximación correcta: el soporte gubernamental y el uso de estándares ampliamente conocidos y utilizados. En cualquier caso, sin embargo existen inconvenientes importantes en la adopción e implementación de los requisitos definidos por las iniciativas gubernamentales y los estándares propuestos. El mayor de ellos probablemente sea la falta de fondos que serán necesarios para desplegar, gestionar y mantener los requisitos de seguridad. Muchos de ellos necesitarán despliegues e instalaciones de controles técnicos y organizacionales que son complejos y caros. Este inconveniente se ve además agravado por la crisis económica que está sufriendo el mundo y que ha recortado drásticamente las inversiones. Por tanto, cualquier acción que se lleve a cabo deberá buscar el cumplimiento y la mejora en la gestión de la seguridad de estos sistemas, asegurando el maximizado del retorno de la inversión y proporcionando resultados en el corto plazo, todo ello agravado aún más si cabe por lo heterogéneo del tipo de sistemas que pueden residir dentro del alcance del concepto de infraestructura crítica. Con todo lo dicho, parece clara la necesidad de tener un framework común para la gestión de la seguridad en este tipo de instalaciones, en su mayoría industriales, que facilite y normalice la gestión de la seguridad de estos sistemas (no sólo de los sistemas TIC) de forma económica y rentable.

En la siguiente entrega de esta serie sobre Seguridad en Entornos Industriales y Protección de Infraestructuras críticas, veremos cuál es la visión global a nivel europeo de estos aspectos de la seguridad en lo que a Investigación e Innovación se refiere para los próximos 20 años mediante el análisis realizado por el Foro Europeo para la Investigación e Innovación  en Seguridad (ESRIF, European Security Research and Innovation Forum).

En breve, más

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Para ello voy a compartir por este medio una serie de artículos que tratarán de divulgar este tema de forma básica entre vosotros, lectores.

Comenzaré introduciendo el panorama actual y los escenarios de Protección de Infraestructuras Críticas, término este que está poniéndose de moda en nuestro país a estas alturas y que, algunos de nosotros llevamos tratando varios años, para continuar con un breve repaso del ESRIF (European Security Research and Innovation Forum) que nos dará pie para ver cómo Enlazamos las Infraestructuras Críticas y los Sistemas de Control Industrial y analizar cuáles están siendo las Tendencias Tecnológicas y el Mercado Actual.

Finalizaré la serie con una receta sencilla sobre Cómo Mitigar el Riesgo en este tipo de sistemas. Algo sencillo y simple que permita a cualquier profesional irse a su puesto de trabajo y aplicar las medidas básicas que garanticen una mejora de la seguridad en esos ámbitos.

A ver qué tal queda. Esperaré ansioso vuestros comentarios tanto por este medio como por twitter

Comienzo en breve…

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Gracias a mi compañero Francisco Uría, experto en Derecho TIC, os adjunto a continuación algunas modificaciones respecto al anterior borrador del Real Decreto:

- Modificación del art. 4: El Catálogo Nacional de Infraestructuras Estratégicas

- Art. 5, se añaden como agentes del sistema a las CCAA y las entidades locales. Se elimina la distinción entre operadores críticos del sector público y del privado (ahora son operadores críticos)

- Arts. 6, 7, 8, 9, 11, 12, se eliminan las funciones de los distintos agentes, que las determinará el futuro Reglamento de desarrollo.

- Novedad art. 10: Las Comunidades Autónomas y Ciudades con Estatuto de Autonomía que ostenten competencias estatutariamente reconocidas para la protección de personas y bienes y para el mantenimiento del orden público podrán desarrollar, sobre las infraestructuras ubicadas en su demarcación territorial, las facultades que reglamentariamente se determinen respecto a su protección, sin perjuicio de los mecanismos de coordinación que se establezca.

- Novedad art. 13: operadores críticos (desaparece distinción entre sector público y privado)

- Art. 14: regula en él todos los planes de actuación, pero más escuetamente (antes arts. 14 a 25)

- Art 15. Seguridad de las comunicaciones, desaparecen los puntos 4 y 5 (uso de la Malla B).

- Art 16 y 17. El Responsable de Seguridad y Enlace y el Delegado de Seguridad, desaparece el plazo de 3 meses para su nombramiento por el que reglamentariamente se establezca

- Disposición final tercera. Habilitación para el desarrollo reglamentario, no se establece un plazo.

- Anexo: recoge los sectores estratégicos y los ministerios/organismos del sistema competentes

Cada vez se pone más interesante este culebrón … a ver cómo termina

Entre ellos podéis acceder a la ponencia que tuve oportunidad de impartir: “Regreso al Futuro: La Seguridad en los Entornos Industriales”. Si quereis ir directamente a la ponencia, escoged el capítulo 7 (Samuel Linares Fernández).

Que la disfrutéis!