InfoSecMan Blog

• @mgtroyas @patriciaobejo Veo que el seminario de hacking de Mr. Paredes está dando resultados 😉 Go @equipoM45! 🙂 #
• Oops!!! RT @djbrown996: BBC News – Hackers hit Italian cyber-police http://bbc.in/mVe8O4 critical infrastructure info released.? #
• Qué dura es la vida cuando la vida es dura… #
• @hectorsm Disfruta! Si pasas por el rte. Macho Grill, saluda a mi cuñado Richard (el pianista :)) Música cubana en directo (muy USSR ;)) in reply to hectorsm #
• Mi admiración para el personal de limpieza de la Semana Negra de Gijón: 8:00AM y está todo casi impoluto, un día tras otro durante 10 días! #
• "Insider Trheat to Utilities: More Focus Needed on Critical Components": http://bit.ly/qol9gn #
• Wow!!! and what about CP/M? Those were the origins in Personal Computing RT @jcanto: MS-DOS is 30 today http://tinyurl.com/3djjoov #
• I was an "Amstrad guy" 😉 Ah, the GEM Windowing System…#revival RT @jcanto: @InfosecManBlog I started with MSX. I didn't even tried CP/M:) #
• @reversemode @jcanto Weeks ago I've found some "Energy" control systems running Windows 3.11 😛 #TimeTravelling 🙂 in reply to reversemode #
• Worth reading. Humour?? No: reality 🙁 "Our security auditor is an idiot, how do I give him the information he wants?": http://goo.gl/YnMci #
• Sencillo y práctico! RT @chemaalonso: 6 easy tests para evaluar la seguridad de tu web (o de tu empresa) http://bit.ly/oMc3yH }:)) #
• True!! RT @SCADAhacker: Critical infrastructure Security: Not just for private sector any more – http://goo.gl/ock2t #
• Habéis revisado ya la Guía de Contenidos Mínimos del Plan de Seguridad del Operador de Infraestructura Crítica? http://bit.ly/oDpRZT #
• Y el borrador de la Guía de Contenidos Mínimos del Plan de Protección Específico de Infraestructura Crítica? http://bit.ly/rt1zMp #
• Nueva entrega de la Serie sobre Infraestructuras Críticas: "ESRIF: The European Security Research and Innovation Forum" http://bit.ly/nrZSdn #
• More ICS Security! @KimZetter: Researchers Say Vulns. in Prison Systems Could Let Hackers Spring Prisoners From Cells – http://t.co/3ixvZlT #
• 😛 @digitalbond: Another Siemens-related Friday afternoon buried bulletin, only issued when they know it can no longer be plausibly denied #
• Only US? 😉 @FSecure: Stuxnet clones may target critical systems in the United States, Dept. of Homeland Security warns http://t.co/QTx4eFk #
• @jgfanjul A disfrutarlas!! Nos vemos a la vuelta 🙂 in reply to jgfanjul #
• El #CuernodeAfrica se muere de hambre y en los Telediarios se habla de la transformación de #ElBulli .. "algo" va mal 🙁 #yomevoyoiga #

Powered by Twitter Tools

El Foro Europeo para la Investigación e Innovación  en Seguridad (ESRIF) se creó en septiembre de 2007, basado en una iniciativa conjunta de la Comisión Europea y los 27 Estados Miembros. Su plenaria de 65 miembros de 32 países incluye presentantes de la industria, usuarios finales públicos y privados, centros de investigación y universidades, además de organizaciones no gubernamentales e instituciones europeas. ESRIF fue apoyado y soportado por más de 600 expertos convirtiéndola en la única iniciativa de alto nivel y a gran escala de este tipo en Europa.

El documento resultado del foro propone una Agenda Europa de Investigación e Innovación en Seguridad (ESRIA, European Security Research and Innovation Agenda) para los próximos 20 años y propone recomendaciones que soportarán el desarrollo de la seguridad Europea.

La visión de ESRIF para la Seguridad de la Sociedad es que la seguridad Europea es inseparable de los valores políticos, culturales y sociales que distingue la vida europea y su diversidad. La investigación e innovación en seguridad debe tener en cuenta la vulnerabilidad a largo plazo de estos valores a través de la economía, política, cultura y sistemas tecnológicos europeos.

La seguridad de las infraestructuras críticas europeas, y por tanto de los sistemas que las sustentan (en su gran mayoría industriales), es naturalmente un foco de la investigación e innovación en seguridad. Puesto que determinadas infraestructuras proporcionan servicios esenciales para la sociedad y la economía (con algunos de ellos directamente interactuando con los ciudadanos, como por ejemplo el suministro de agua o de telecomunicaciones), su criticidad es obvia. Otras infraestructuras críticas son menos visibles, pero también esenciales para el funcionamiento de los elementos de la sociedad como el control de navegación aérea (como tuvimos oportunidad de comprobar en fechas recientes en España).

Muchas de las funciones de estas infraestructuras críticas están tecnológica y operacionalmente interconectadas y por tanto deben conocerse y gestionarse adecuadamente las posibilidades exactas y los riesgos potenciales existentes. Así, como un tema general de investigación para la seguridad de las infraestructuras críticas,  deberían estudiarse y analizarse detenidamente estas interconexiones e interdependencias.

Todo esto debería mejorar el conocimiento y concienciación del impacto y efectos en cadena para lo que las organizaciones y países deben estar preparados. Sobre esta base, deberán desarrollarse contramedidas proactivas, resistentes y efectivas que tengan en cuenta los riesgos y vulnerabilidades sistémicas predecibles. Si esto se combina con simulaciones avanzadas y herramientas de modelado (ambas para operaciones, impactos y malos funcionamientos de sistemas aislados o interconectados), entonces los usuarios finales y expertos en la gestión de crisis podrán contar con instrumentos potentes para la prevención y preparación de este tipo de incidentes. Esto debería llevar a una mayor seguridad y resistencia sistémica y social en general.

Un futuro grupo de concienciación debería analizar la futura potencial criticidad de las tecnologías emergentes y en constante evolución. Esto permitirá a los usuarios finales, investigadores y fabricantes definir conjuntamente protocolos y arquitecturas de seguridad al principio del proceso de diseño, que está en la línea de uno de los mensajes clave de ESRIF. Debe expandirse también la definición de infraestructuras críticas y analizar el paisaje industrial de Europa en búsqueda de capacidades de fabricación y capacidades críticas que deben ser tenidas en cuenta también en este contexto.

La Unión Europea se encuentra hoy con retos de seguridad totalmente diferentes de aquellos existentes en su incepción. Éstos varían desde el lavado de dinero y la corrupción al crimen organizado y los actos violentos de terrorismo, además de desastres naturales o pandemias. ESRIF es consciente de que la ESRIA, la agenda, debe proporcionar tanto un concepto estratégico como un proceso práctico que defina y actualice las prioridades compartidas para conseguir superar esos retos.  No obstante esto no puede llevarse a cabo de forma aislada. La protección de la población e infraestructuras de la Unión Europea debe ir acompañado de buen gobierno, sentido común económico y el respeto por los derechos fundamentales y los valores culturales de Europa. Para ESRIF, conseguir una ventaja competitiva y una posición de liderazgo para Europa en el mercado global de la seguridad debe reflejar los valores Europeos.

Algunas acciones ya se han llevado a cabo en Europa en esta línea. Como ya comentábamos en el último post, además de crear el Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) y la Red de Información y Alertas de Infraestructuras Críticas (CIWIN), la directiva europea 2008/114/EC que entró en vigor el 8 de Diciembre de 2008 sobre la identificación y designación de las Infraestructuras Críticas Europeas y la identificación de la necesidad de mejorar su protección, representa un paso importante en la cooperación de la Unión Europea sobre este tema. Esta Directiva establece que la responsabilidad principal y última para la protección de las infraestructuras críticas europeas reposa en los Estados Miembros y en los operadores (las organizaciones dueñas) de esas infraestructuras. También determina el desarrollo de un conjunto de obligaciones y acciones que deberían ser implementados por esos Estados e incorporadas a su legislación nacional.

Consecuentemente en cumplimiento de esta Directiva 2008/144/EC, los distintos Estados Miembro deberían desarrollar normas cuyos objetivos no sean únicamente regular la protección de las infraestructuras críticas contra todo tipo de ataques deliberados (físicos o cibernéticos), utilizando la definición y desarrollo de un sistema y procedimientos que unan todos los sectores públicos y privados afectados, sino que también deberán transponer la Directiva a los sistemas legales nacionales desarrollando todas las medidas incluidas en la Directiva. El propósito de estas normas  es establecer medidas para proteger las infraestructuras críticas estableciendo la base apropiada para una coordinación efectiva entre las administraciones públicas y las entidades, gestores y propietarios de infraestructuras que proporcionan servicios públicos esenciales para sociedad civil, en búsqueda de la mejora de su seguridad.

Un compendio de la Directiva 2008/114/EC es representada por la comunicación COM(2009)149 de la Comisión al Parlamento Europeo, al Consejo, al Comité Social y Económico Europeo y al Comité de las Regiones sobre la protección de Infraestructuras Críticas, denominada “Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience”.

Los Catálogos Nacionales de Infraestructuras Estratégicas (cada sector y cada Estado Miembro debería identificar sus infraestructuras críticas) y los Planes de Protección de Infraestructuras Nacionales deberán ser mantenidos sobre esta base, como la herramienta principal para la gestión de la seguridad de las infraestructuras a nivel nacional.

Se están llevando a cabo diversas acciones en este sentido a nivel nacional. Por ejemplo en España esta directiva ha sido transpuesta mediante la Ley 8/2011 por la que se establecen Medidas para la Protección de Infraestructuras Críticas (conocida ya como LPIC o Ley para la Protección de Infraestructuras Críticas) y posterior Reglamento de Protección de Infraestructuras Críticas (Real Decreto 704/2011) y aún más reciente (18 de Julio de 2011) acaban de publicarse para información pública y revisión, los borradores de las Guías de Contenidos Mínimos del Plan de Protección Específico (PPE) y del Plan de Seguridad del Operador (PSO).

Esta marco normativo establece el escenario de trabajo necesario para desarrollar las estrategias y estructuras apropiadas que permitirán la gestión y coordinación de todas las acciones de las distintas instituciones y organizaciones (públicas y privadas),  en lo que se refiere a la protección de las infraestructuras críticas incluyendo distintos sectores: administración espacio, industrial nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y las comunicaciones, transporte, alimentación y sistema financiero y tributario.

Adicionalmente a la regulación nacional de protección de infraestructuras críticas, debería considerarse en todos los sectores anteriores la regulación de la seguridad por cada uno ellos. Por ejemplo en España, el Real Decreto 3/2010 del 8 de Enero, que regula el Esquema Nacional de Seguridad en el ámbito de las Administraciones Públicas y concretamente orientado a la Administración Electrónica es un buen punto de partida, pero es obvio que deja fuera otros sectores muy relevantes para la gestión de la seguridad, tanto públicos como privados.

En la próxima entrega abordaré el enlace de las Infraestructuras Críticas y los Sistemas de Control Industrial… pero eso será, con suerte, la semana próxima 🙂 Buen fin de semana!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

• No time for twitter these days 😛 #
• Hoy toca Zamudio/Bilbao. Me encuentro como en casa lloviendo a mares y con 16 grados 😉 #
• @hectorsm Estás hecho un chaval! 😉 in reply to hectorsm #
• Profesionales de las "big four" de consultoría que desconocen totalmente lo que es continuidad de negocio y principios básicos #paciencia #
• Day after day… 😉 @jeremiahg: xkcd on standards. http://t.co/cFsdwdH < simply brilliant #
• OMG! Ready to go!@GabrielGonzalez: Welcome Ethernet to Auto Industry http://t.co/dd5OIYp BMW considering for moving data around automobiles #
• Good article! @SecurityWeek: Demystifying Industrial Network Security http://t.co/ihyQpas | Eric Knapp of @nitrosecurity #SCADA #
• Worth reading @NESCOtweet: NESCOBOT: Air Gaps Dead, Network Isolation Making a Comeback #NESCOTweet http://t.co/j6uyz6B #
• +1 @EFOJONC: Colombia se une al grupo de paises con una estrategia en materia de CIBERSEGURIDAD y CIBERDEFENSA….nosotros para cuando…? #
• Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas: la serie 😉 http://bit.ly/nmC5jM #
• @lostinsecurity hey! New of the day! Best wishes and good good luck! Keep us updated! in reply to lostinsecurity #
• Qué bonito es que se vaya la luz en todo un Parque Tecnológico (Gijón)… Se oyen los generadores arrancando 😛 #
• @javiercao @lostinsecurity @aramosf Javier, los que vivimos en provincias es lo que tiene. Pero a cambio tenemos otras cosas, no? 🙂 #animo in reply to javiercao #
• 1a entrega serie "Protección de Infr. Críticas y Seguridad en Entornos Industriales: Situación Actual y Escenarios": http://bit.ly/o9eG5X #
• Gracias Enrique. Comentarios bienvenidos! 🙂 RT @EFOJONC: @InfosecManBlog Muy intersante Samuel. Sera lectura de este fin de semana. #
• @javiercao Ahí le duele ahí le duele! 😉 in reply to javiercao #
• @corcuman @the_britguy @mmisery Ayer estuve en La Papa Loca: Simplemente espectacular, calidad, cantidad, servicio, vistas, precios… in reply to corcuman #
• @lapapaloca Repetiremos sin duda 🙂 in reply to lapapaloca #
• @mikkohypponen Congrats for tour TED talk. I hadn't watched it 'til now. Really good! #
• Good presentation “@nigroeneveld: Attacking and Defending the Smart Grid http://t.co/O5XwvUL” #

Powered by Twitter Tools

El comienzo del siglo XXI será recordado en primer lugar por suponer el inicio del conocimiento de una amenaza global a la que aún estamos expuestos. Los ataques terroristas relacionados con movimientos radicales islámicos en Nueva York (2001), Madrid (2004), Londres  (2005) o Bombay (2006 y 2008), entre otros, han mostrado el hecho de que no existe un lugar seguro en el mundo. Desastres naturales como el terremoto de Japón de este mismo 2011, el tsunami asiático en 2004, el ciclón Burma en 2008 y los terremotos de Pakistan (2005), China (2008) o Haití (2010) han matado a más de 800.000 personas. Este gran número de muertes podría haber sido reducido sensiblemente si algunas infraestructuras vitales hubiesen estado funcionando  después de estos eventos. Los errores humanos o los fallos encadenados han llevado a desastres como el vuelo 447 de Air France en 2009, la fuga de petróleo de BP en el Golfo de México en 2010 o el reciente accidente de la mina de San José en Chile en agosto de 2010.

Cada uno de estos incidentes, junto a muchos otros han contribuido a la creación de un sentimiento global de peligro e incertidumbre que ha cambiado, y aún está cambiando, nuestro modo de vida. Una parte importante de la respuesta de los gobiernos ha sido el desarrollo de leyes y normativa centrada en la mejora de la seguridad, la preparación para tratar incidentes catastróficos y la recuperación adecuada después de estos incidentes. Sin embargo, como se comentará más adelante, estas iniciativas tienen muchos inconvenientes que hacen difícil conseguir su cumplimiento.

En segundo lugar, el siglo XXI será recordado por el enorme desarrollo e inclusión de las tecnologías de la información en nuestra vida diaria. Algunos dispositivos e instalaciones que no existían o eran meras curiosidades 10 años atrás, hoy parecen esenciales y resulta complicado imaginar cómo podríamos sobrevivir sin ellas. De hecho, existen muchos servicios esenciales que se basan totalmente sobre las tecnologías de la información.

La mayoría de los fatales eventos ya mencionados tienen en común la existencia de infraestructuras críticas que fueron dañadas, no funcionaron correctamente o fueron mal gestionadas. Si los sistemas como cámaras de vigilancia, controles de acceso físico, líneas de comunicaciones, transporte o sanidad fueran resistentes a los eventos que fueron expuestos, las pérdidas humanas de las catástrofes hubiesen sido mucho menores. Por supuesto han existido en el mundo desastres naturales, fallos humanos, sabotajes y terrorismo antes de la era de la información, pero las tecnologías de la información han traído un nuevo vector de amenaza. Hoy en día no es necesario estar físicamente cerca de una infraestructura para causarle daño. De hecho la mayoría de las infraestructuras críticas del mundo tienen sus sistemas de control accesibles remotamente mediante líneas de comunicación, incluso desde redes públicas como Internet. Años atrás existía una clara diferencia entre el mundo físico y el llamado mundo virtual que comúnmente (y de forma errónea) se asociaba a Internet y al world wide web, pero hoy existe una línea muy fina que separa estos dos mundos. Esta línea está compuesta de sistemas software y hardware que proporcionan los medios para gestionar y controlar los activos físicos que pueden tener impacto en el mundo real. Es obvio que estos sistemas de control gestionados remotamente se han convertido en un objetivo claro de cualquier atacante que quiera causar daño y por tanto se ha presentado la necesidad de su protección y prevención de ataques.

Como testimonio de la difusión e importancia en la sociedad que esta necesidad ha alcanzado baste mencionar la amplia cobertura que los medios de noticias generales han dado al caso Stuxnet (http://en.wikipedia.org/wiki/Stuxnet) donde una parte con intenciones maliciosas, probablemente un estado o gobierno, ha desarrollado una pieza de software compleja y muy sofisticada que funciona como un “gusano malware” focalizado en un sistema de control específico muy empleado para controlar plantas nucleares y otras infraestructuras estratégicas.

Como respuesta a estos hechos, la Unión Europea ha desarrollado iniciativas sobre la obligatoriedad de la mejora de la seguridad y resistencia de las infraestructuras críticas (y por añadidura, de los sistemas de control industrial que las sustentan). Algunas de estas iniciativas son:

EPCIP (Europa, 2005-2007)

http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_terrorism/l33260_en.htm
El Programa Europeo de Protección de Infraestructuras críticas, cuyo objetivo es mejorar la protección de infraestructuras críticas en la Unión Europa utilizando los siguientes elementos:
– Un procedimiento para identificar y designar las Infraestructuras Críticas Europeas y una vista común para evaluar sus necesidades de seguridad.
– Medidas como un plan de acción y una red de alertas sobre infraestructuras críticas (CIWIN: Critical Infrastructures Warning Information Netwrok) y grupos de expertos sobre protección de infraestructuras críticas
– Ayuda a los miembros de la Unión Europea
– Soporte financiero

CNPIC (España, 2007-actualidad)
http://www.cnpic-es.es/cnpic

El Centro Nacional de Protección de Infraestructuras Críticas tiene como principal objetivo preservar la seguridad de las infraestructuras críticas del territorio español. Después que la Comisión Europea aprobase el Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) en Diciembre de 2004, la Administración español lanzó el Plan Nacional para la Protección de Infraestructuras Críticas (PNPIC). El gabinete español decidió entonces crear el CNPIC, mediante acuerdo fechado el 2 de Noviembre de 2007. El CNPIC, dependiente de la Secretaría de Estado para la Seguridad, del Ministerio del Interior, es responsable de dirigir, coordinar y supervisar la protección las infraestructuras críticas nacionales.

CPNI (Reino Unido)

http://www.cpni.gov.uk

El Centro para la Protección de la Infraestructura Nacional (Centre for the Protection of National Infrastructure) es una autoridad gubernamental que proporciona ayuda y asesoramiento sobre seguridad y protección a las infraestructuras nacionales del Reino Unido. Este asesoramiento está dirigido principalmente al infraestructura nacional crítica (CNI, Critical National Infrastructure), aquellos elementos claves de la infraestructura nacional que son cruciales para la entrega continuada de los servicios esenciales al Reino Unido.  Sin estos elementos claves, los servicios esenciales podrían no ser ofrecidos y el Reino Unido podría sufrir consecuencias muy serias, incluyendo daños económicos importantes, problemas sociales graves o pérdidas de vidas a gran escala. El CPNI dirige su asesoramiento desde la experiencia, conocimiento de información de las organizaciones que contribuyen a su trabajo. Respalda investigaciones y trabajos en sociedad con centros educativos, otras organizaciones gubernamentales, instituciones de investigación y el sector privado, para desarrollar aplicaciones que puedan reducir la vulnerabilidad a ataques terroristas y otros tipos de ataques y disminuyan el impacto cuando estos ataques ocurran.

COSSI Plan PIRANET (Francia)

http://sgdn.gouv.fr/rubrique.php?id_rubrique=24

El Centro Operacional de la Seguridad de los Sistemas de Información (Centre Opérationnel de la Sécurité des Systèmes d’Information) ha desarrollado el plan PIRANET diseñado para tratar grandes ataques informáticos que puedan ser causado por terrorismo o puedan afectar sistemas de información de infraestructuras críticas así como para organizar la respuesta a estos ataques:
– Implementando un sistema de alarma y respuestas
– Llevando a cabo la contingencia de estos ataques y la rehabilitación de los sistemas afectados
– Transmitiendo la alerta a los servicios no afectados, indicando posturas y acciones a tomar.

Todas estas iniciativas parecen perfectamente adecuadas puesto que están focalizadas en:
– Proteger vidas humanas
– Asegurar la correcta operación de los procesos vitales para el país
– Proteger infraestructuras importantes y las inversiones realizadas en ellas

Pero más allá, el componente técnico de estas iniciativas está basado en estándares de seguridad adoptados y utilizados internacionalmente como:

– ISO 27000: Familia de estándares de Gestión de la Seguridad de la Información de ISO/IEC.
– BS 25999: Estándar de BSI (British Standard Institution) en el área de la Gestión de la Continuidad de Negocio, que es el estándar de facto para Continuidad de Negocio en todo el mundo.
– ISA 99: Estándar internacional de la Sociedad Internacional de Automatización (ISA) de  de Seguridad para los Sistemas de Control y Fabricación.
– NIST SP800-53 y SP800-82: publicaciones especiales del NIST que corresponden a las Guías de Seguridad de los Sistemas de Control Industrial y SCADA.
– Estándares NERC CIP: los estándares NERC CIP-002 al CIP-009 proporcionan un framework de cara a la ciberseguridad para la identificación y protección de “Ciber-activos” críticos para soportar la operación asegurada de la red eléctrica
– Guías CPNI: con buenas prácticas para la seguridad del Control de Proceso y de sistemas SCADA.

Estos estándares proporcionan una serie de buenas prácticas, controles y contramedidas para ser aplicadas a los sistemas protegidos para minimizar los riesgos e impactos en caso de un incidente.

Esta parece la aproximación correcta: el soporte gubernamental y el uso de estándares ampliamente conocidos y utilizados. En cualquier caso, sin embargo existen inconvenientes importantes en la adopción e implementación de los requisitos definidos por las iniciativas gubernamentales y los estándares propuestos. El mayor de ellos probablemente sea la falta de fondos que serán necesarios para desplegar, gestionar y mantener los requisitos de seguridad. Muchos de ellos necesitarán despliegues e instalaciones de controles técnicos y organizacionales que son complejos y caros. Este inconveniente se ve además agravado por la crisis económica que está sufriendo el mundo y que ha recortado drásticamente las inversiones. Por tanto, cualquier acción que se lleve a cabo deberá buscar el cumplimiento y la mejora en la gestión de la seguridad de estos sistemas, asegurando el maximizado del retorno de la inversión y proporcionando resultados en el corto plazo, todo ello agravado aún más si cabe por lo heterogéneo del tipo de sistemas que pueden residir dentro del alcance del concepto de infraestructura crítica. Con todo lo dicho, parece clara la necesidad de tener un framework común para la gestión de la seguridad en este tipo de instalaciones, en su mayoría industriales, que facilite y normalice la gestión de la seguridad de estos sistemas (no sólo de los sistemas TIC) de forma económica y rentable.

En la siguiente entrega de esta serie sobre Seguridad en Entornos Industriales y Protección de Infraestructuras críticas, veremos cuál es la visión global a nivel europeo de estos aspectos de la seguridad en lo que a Investigación e Innovación se refiere para los próximos 20 años mediante el análisis realizado por el Foro Europeo para la Investigación e Innovación  en Seguridad (ESRIF, European Security Research and Innovation Forum).

En breve, más 😉

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Hace tiempo que no escribo de forma dedicada en este espacio. Últimamente estoy mucho más activo en twitter por aquello de la inmediatez y el poco tiempo disponible (de ahí que haya optado por incluir un resumen semanal también en este medio). Sin embargo creo que llega el momento de volver a darle cierto contenido e impulso a este mi espacio personal y, cómo no, lo haré de la mano del tema que en los últimos tiempos me viene ocupando todo mi tiempo: la Seguridad en los Sistemas de Control Industrial, en los Entornos Industriales o en las Redes Industriales, como se prefiera.

Para ello voy a compartir por este medio una serie de artículos que tratarán de divulgar este tema de forma básica entre vosotros, lectores.

Comenzaré introduciendo el panorama actual y los escenarios de Protección de Infraestructuras Críticas, término este que está poniéndose de moda en nuestro país a estas alturas y que, algunos de nosotros llevamos tratando varios años, para continuar con un breve repaso del ESRIF (European Security Research and Innovation Forum) que nos dará pie para ver cómo Enlazamos las Infraestructuras Críticas y los Sistemas de Control Industrial y analizar cuáles están siendo las Tendencias Tecnológicas y el Mercado Actual.

Finalizaré la serie con una receta sencilla sobre Cómo Mitigar el Riesgo en este tipo de sistemas. Algo sencillo y simple que permita a cualquier profesional irse a su puesto de trabajo y aplicar las medidas básicas que garanticen una mejora de la seguridad en esos ámbitos.

A ver qué tal queda. Esperaré ansioso vuestros comentarios tanto por este medio como por twitter 😉

Comienzo en breve… 🙂

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

• Haciendo balance de lo que va de año a todos los niveles (personal, profesional, económico, investigación….). No hay queja por el momento #
• Buen resumen! @Securityartwork : Samuel publica unas pinceladas sobre lo que ya sabemos de COBIT 5 – http://t.co/pD6i4G5 #
• I'll be busy but really interesting!! RT @sgsblog: 2nd Smart Grid Security TwitterStorm Spotted http://bit.ly/pPQ0iG #
• Hay que echar un vistazo! RT @Legal_TIC: Revista Sistemas "Ciberseguridad y ciberterrorismo" Encuesta Nacional. http://bit.ly/r3UhEe #
• I was the presenter in the ISA Event in Madrid, not CNPIC 🙂 RT @djbrown996: Winning the Critical Infrastructure War: http://bit.ly/oXPPu2 #
• @chrisblask I was the presenter in the ISA Event in Madrid, not CNPIC 🙂 Anyway, good article! Winning the Cri… (cont) http://deck.ly/~5Wt1r #
• @chrisblask You are completely right! Thanks to you. Keep in touch 😉 in reply to chrisblask #
• @sergiohernando The same with wallets and "physical" money (first credit cards, now NFC…). They're wrong 😉 in reply to sergiohernando #
• (En aeropuerto) en serio?? @miquelroig: PROBLEMAS TÉCNICOS OBLIGAN A CERRAR LAS BOLSAS DE PARÍS, BRUSELAS, AMSTERDAM Y LISBOA #
• Download in progress!! Thanks US-CERT! RT @netForensics: US-CERT: Control Systems – Cyber Security Evaluation Tool http://1.usa.gov/mQwsKk #
• Enhorabuena por el trabajo! RT @DragonJAR: Descarga GRATIS el libro "Hacking Etico" de Carlos Tori, http://goo.gl/lNhL9 #
• Compartiendo ideas y experiencias sobre seguridad en sistemas de control industrial con @JCalmuntia, repetiremos! 😉 #
• Llegaré al final del dia tras 1 desayuno, 5 reuniones, 1 comida y un evento+vino español en Madrid? #PlanificacionTotal #EnForma 😉 #
• Inevitable: no he llegado a la Comisión de Buen Gob. TIC de ISACA y llegado por los pelos a la Charla Tec. Prot. Inf. Críticas 😛 #
• Jose Francisco Pereiro (IBM) presentando las debilidades y amenazas de las infraestructuras críticas #ISACAMadrid #
• @chusvega Hay que aprovechar el tiempo amigo 😉 in reply to chusvega #
• Daniel Moll (Evolium) describiendo Stuxnet #ISACAMadrid #
• Y tras unas cervezas con @MGarciaMenendez, @antonio_ramosga y otros amigos/as tras la Charla Tec. de #ISACAMadrid toca descansaaaarrrr 🙂 #
• Discovering/Realizing how the Blue Ocean Strategy is driving my professional life last years (whitout knowing or reading it) 😛 #
• @cyberhadesblog Un clásico. Qué tal la ponencia? in reply to cyberhadesblog #
• +1000 "Neither govmnt. nor the private sector nor individual citizens can meet this challenge alone, we'll expand the ways we work together" #
• Worth reading! “@WeldPond: DoD Strategy for Operating in Cyberspace (DSOC) http://t.co/K1MPkXA < this came out today” #
• Good Point 😉 “@WeldPond: The goal of security is to increase the Total Cost of 0wnership (TC0)" #
• Para cuando en España? @Legal_TIC: Colombia ya alista su estrategia de ciberdefensa http://fb.me/152tmitqi #
• Lo bueno de no ser los primeros, ni los segundos, o ser los últimos, es que no deberíamos caer en los mismos errores de los demás…o no 😛 #
• @luorunzhi Good luck Luorunzhi! See you there? 😉 in reply to luorunzhi #
• @RodolfoTesone Hay que ver lo alineados que estamos en nuestros intereses 😉 Disfrutalo! 🙂 in reply to RodolfoTesone #
• @mmMonterrubio @accenture ICS Security is a challenge for utilities & industrial organizations, some of us we're working for years in reply to mmMonterrubio #
• @mmMonterrubio El articulo esta bien, viene a ser un resumen de mis ponencias sobre el tema 🙂 in reply to mmMonterrubio #
• New players arriving… “@Accenture: Connecting industrl ctrl systems into #ERP is making them vulnerable—what to do? http://t.co/txQwhHZ&quot; #
• @corcuman @ronlegendario no es bueno echarle "cuerpos extraños" al ron 😉 in reply to corcuman #

Powered by Twitter Tools

• UK Smart Grid Cyber Security Report: http://bit.ly/lBMoWg #
• Critical Infrastructure Protection Report from the Center for Infr. Prot. & Homeland Security of George Mason Univ.: http://bit.ly/jmvaSy #
• De aquí no me muevo, oiga! 🙂 Puxa Xixón! 🙂 http://yfrog.com/gzvdjefj #
• Dutch Cyber Security Council Now Operational (via Infosec Island): http://bit.ly/lQdu8L #
• #OffTopic Apoyad la candidatura individual de Laura Sánchez a los Premios Romper Barreras, ejem. superación personal: http://bit.ly/lIb4lH #
• Principales Estándares de Seguridad, Curso de Extensión Universitaria (4,5 créditos). BBB: Bueno, Bonito, Barato. http://t.co/Fvuf5wa #
• 2 asignaturas menos de Psicología (con 2 sobresalientes!). A paso de caracol, pero vamos avanzando 😉 #
• @chusvega Gracias Chus!! in reply to chusvega #
• Escuchándolo ahora mismo. Grande Rubén! 🙂 RT @mmorenog: PaulDotCom episodio 4 otro crack español: @reversemode http://cyha.es/qIDJub #
• Excelente compañia la de @eriesgo en la comida de hoy hablando de ciberseguridad y cloud computing. Tenemos que repetir! 😉 #
• @RodolfoTesone Gracias Rodolfo! Hiperactividad al meno sí 😉 in reply to RodolfoTesone #
• @tofinosecurity: Joel (@SCADAhacker) and I give #Siemens a #cybersecurity report card: http://t.co/YKXVExu | kool-aid officially wears off #
• NERC Announces Grid Security Exercise (Nov 15-17): http://bit.ly/m7OZWt We (Spain) are (at least) 5 years later… #
• Writing about the use of Social Decision Support Systems in Critical Infrastructure Protection… #
• +1000 @ramsesgallego: I am envisioning the Cloud discipline as a Re-Evolution. Same concepts, different context. Same game, different rules #
• Interesting! @isssource: The final version of the Guide to Industrial Control Systems Security has hit the cyber street. http://t.co/PkFur58 #
• The Cyber Security for Energy Delivery Conference, Septembre 27th-28th, San Jose (USA): http://bit.ly/plp7NA <– Too far for me 🙁 #
• Good point! @NERC_CIP: Before you succumb to cybersecurity salespitch, think about 1.Disconnecting, 2.Reducing scope, 3.Regulatory envment. #
• We need those initiatives in Europe/Spain! @ElyssaD: Senators Introduce Cyber Security Public Awareness Act: http://t.co/HPKOQTt via@AddThis #
• CSA and CSC announce free licensing agreement for CloudTrust Protocol, now 4th pillar of CSA's GRC Stack: http://t.co/VcBAj7r. <- @eriesgo ! #
• @ElyssaD I totally agree, but it's another driver for end users. IMHO, it's needed but not enough…although better anything than nothing 😉 in reply to ElyssaD #
• It's difficult to have half of your head on tomorrow, the other half on next 5 years… and a little piece on last 10! 😉 crazy! 😛 #
• Interesting approach! 🙂 @EFOJONC: A Strategy for Combating Cyber Terror: http://t.co/cYOkyZA #
• Gracias!!!! 😉 @unCajonLleno: #FF también por gijonudos a @rebecacasquero @InfosecManBlog @servilleta @corcuman ….. #
• +10000000 @mmdelrio: Me molesta mucho cuando algunos confunden consultoría con el uso profesional del copy/paste #fail #asino #
• Crossed fingers! 😉 @GarWarner: Predicted a $12 Billion increase in spending on security,cybersec experts in gt demand: http://t.co/mi7PBnS #

Powered by Twitter Tools

• Mucha suerte!! RT @MarlonMolina: Empezamos el Congreso Nacional de la #CMDB #
• 🙂 RT @mikkohypponen: Cold War sure is over; Defense Ministry of a NATO country runs Russian antivirus: http://bit.ly/kz3qvT #
• @MarlonMolina Me hubiese gustado pero imposible por agenda 😛 in reply to MarlonMolina #
• Cada vez más eventos PPT ("Pay per Talk") y menos KFT ("Know for talking")… o son imaginaciones mías? 😛 😉 #
• Original 🙂 RT @pedro_agb: El Arte de la Ciberguerra. Muy interesante http://bit.ly/kjmEqq #
• Interesting Paper: "The Art of Cyberwar" http://bit.ly/lOfl5h #
• "The Promise of Smart Grid" (Virtual Energy Forum) 45mins Webcast: http://bit.ly/kXqjbr #
• @RodolfoTesone Enhorabuena!! Las madres son las que más disfrutan siempre esas cosas (al menos la mía ;)) in reply to RodolfoTesone #
• Organizaciones Internacionales que para crear un capítulo territorial tienen más burocracia que Hacienda! 😛 #
• Llegando a la Comisión de Seguridad de @AMETIC_es tras interesantísima reunión con viejo amigo (estamos igualitos! ;)) #
• Da gusto compartir ideas y opiniones con personas como @antonio_ramosga: tenemos "visiones" muy muy parecidas 🙂 Gran comida amigo! #
• @antonio_ramosga En breve en breve 😉 in reply to antonio_ramosga #
• @RodolfoTesone absolutamente. Suena raro, pero yo te vi desde la ducha en el hotel ayer por la noche 🙂 jajaja in reply to RodolfoTesone #
• @sergiohernando disfrútalo! 🙂 in reply to sergiohernando #
• Comenzando sesión de concienciación en gran Administración Pública #factorhumano #
• @RodolfoTesone Enhorabuena! Estás en racha 🙂 in reply to RodolfoTesone #
• Marvellous! 😛 OMG! @mikkohypponen: Excellent! Control your chemical plant from your iPhone! Nothing can go wrong! http://bit.ly/klsjcF #
• Hehe! @cindyv: The Org Charts Of All The Major Tech Companies (Humor) http://t.co/Nq5FnxW via @sai #
• Gracias por la asistencia y participación a los asistentes a las sesiones de concienciación de esta semana. Espero vuestros comentarios 🙂 #
• Llegando a Gijón con un día espléndido. A ver si aguanta el fin de semana! Que lo disfruteis! #
• Great initiative! @nigroeneveld: CPNI/ENISA Energy & Utility Cyber Security Summit (Netherlands) http://bit.ly/jop1Yb #cybersecurity #enisa #
• @JuanDispal Qué bien amigo! Disfrútalas!! 🙂 in reply to JuanDispal #
• Yo lo conseguí! #retornados 🙂 @juanmacastano: No quiero barco, ni fincas, ni hublots, ni deportivos. Quiero vivir en Gijón. Esa es la meta. #
• I'm having many "dejavu experiences" regarding ICS Security last months. It's the same vendor/end-users scenario that early 90's in ICT Sec #
• ICS vendors reactions to vulns. disclosure, end users fear appearing, consultants evangelizating and poor collaboration: Back to Future 🙂 #

Powered by Twitter Tools

• Muchísimas gracias David!! @Davidmdf: @InfosecManBlog Interesantísima la sesión de trabajo. Que gran profesional y con que visión de futuro #
• @proactivajandro Gracias Alejandro! Buen viaje 🙂 in reply to proactivajandro #
• +1 @marlonmolina Aprender + de lo que se enseña es el sino del autentico sensei, por eso es bueno dejar que sean los alumnos los que enseñen #
• Me too, sp. Iberia flights @lostinsecurity: Waiting for my flight: 100% of my last 20 flights were delayed. They blame the air controllers. #
• Exámenes de psicología finalizados por este semestre. Ahora viajecito de vuelta a casa en busca del fresquito. Vamos vamos que nos vamos 🙂 #
• Llegando a Asturias: 28 grados menos que en Madrid, niebla, lluvia… Hogar dulce hogar 😉 http://yfrog.com/gylg7fjj #
• @mmMonterrubio bien bien, habrá que verlo, pero creo que bien 🙂 Gracias! 😉 in reply to mmMonterrubio #
• +1 @joshcorman: (cont) if you ask Google, you get 100,000 answers. If you ask a librarian, you get the correct one. Guardians of knowledge #
• What about Spain? 😉 -> "Shortage of adequately trained cyber pros puts US at risk" http://goo.gl/bJDGK #
• What about Spain? (2) 😉 -> "Germany opens cyberdefence centre to protect Critical Infrastructures" http://bit.ly/jx1Fqr? #
• @patowc …y los "ciberpros" suelen estar del "mismo lado" 😉 … in reply to patowc #
• @patowc En el bueno, en el bueno, siempre en el bueno 😉 jajaja 🙂 in reply to patowc #
• @RodolfoTesone Enhorabuena! Que salga muy bien! 🙂 in reply to RodolfoTesone #
• Interesting! @NESCOtweet: NESCOBOT: ICS Vulnerability Prioritization Problem #NESCOTweet http://t.co/gG1gHuh #
• La noche de San Juan en Gijón… 🙂 http://yfrog.com/h3zq7wuuj #
• @RodolfoTesone Gracias Rodolfo. Seguro que coincidimos pronto! Buen finde! in reply to RodolfoTesone #
• @aramosf Es un documento "en la nube" 😛 in reply to aramosf #

Powered by Twitter Tools

Como sabéis más que de sobra, estoy intentando seguir este tema bastante de cerca (no en vano llevamos ya mucho tiempo intentando predicar en el desierto con estas cosas :-P). Pues bien, podéis descargar ya el texto del Proyecto de Ley de Infraestructuras Críticas aquí. El plazo de presentación de enmiendas se ha ampliado hasta el 30 de Diciembre. Se sigue alargando la tramitación ya que esta fase tendría que haber finalizado el pasado 9 de Diciembre, pero bueno, parece que se va acercando el momento final.

Gracias a mi compañero Francisco Uría, experto en Derecho TIC, os adjunto a continuación algunas modificaciones respecto al anterior borrador del Real Decreto:

– Modificación del art. 4: El Catálogo Nacional de Infraestructuras Estratégicas

– Art. 5, se añaden como agentes del sistema a las CCAA y las entidades locales. Se elimina la distinción entre operadores críticos del sector público y del privado (ahora son operadores críticos)

– Arts. 6, 7, 8, 9, 11, 12, se eliminan las funciones de los distintos agentes, que las determinará el futuro Reglamento de desarrollo.

– Novedad art. 10: Las Comunidades Autónomas y Ciudades con Estatuto de Autonomía que ostenten competencias estatutariamente reconocidas para la protección de personas y bienes y para el mantenimiento del orden público podrán desarrollar, sobre las infraestructuras ubicadas en su demarcación territorial, las facultades que reglamentariamente se determinen respecto a su protección, sin perjuicio de los mecanismos de coordinación que se establezca.

– Novedad art. 13: operadores críticos (desaparece distinción entre sector público y privado)

– Art. 14: regula en él todos los planes de actuación, pero más escuetamente (antes arts. 14 a 25)

– Art 15. Seguridad de las comunicaciones, desaparecen los puntos 4 y 5 (uso de la Malla B).

– Art 16 y 17. El Responsable de Seguridad y Enlace y el Delegado de Seguridad, desaparece el plazo de 3 meses para su nombramiento por el que reglamentariamente se establezca

– Disposición final tercera. Habilitación para el desarrollo reglamentario, no se establece un plazo.

– Anexo: recoge los sectores estratégicos y los ministerios/organismos del sistema competentes

Cada vez se pone más interesante este culebrón 😉 … a ver cómo termina 🙂