Unidad 1 - Infraestructuras Criticas PDF

FIM380 - Ciberseguridad Ing. Gerardo F. González Gionchetti Ing. Gonzalo Vilanova FIM380 - Ciberseguridad Infraestructuras críticas CONCEPTOS INTRODUCTORIOS Modalidad de cursada 1 Definiciones - Introducción 2 Identificar 3 Proteger 4 Detectar 5 Responder 6 Recuperar Agenda 12 Definiciones Convergencia IT / OT Contexto y gestión Industria 4.0 Infraestructuras Críticas Infraestructura Crítica Es un término muy usado por los Gobiernos para describir los activos que son esenciales para el funcionamiento normal de la sociedad y su economía. Los más comunes son: Generación, transporte y distribución eléctrica; producción de gas, transporte y distribución; producción, transporte y distribución de petróleo y combustibles; telecomunicaciones; agua; agricultura; salud pública; y otros. Infraestructura Crítica en Europa Unión Europea: The European Programme for Critical Infrastructure Protection (EPCIP). DIRECTIVA 2008/114/CE DEL CONSEJO de 8 de diciembre de 2008 Alemania: Programa de IC coordinado por el Ministerio Federal del Interior y la agencia Federal de Seguridad de la Información. Reino Unido: Centro de Protección para la Infraestructura Nacional, MI5 y CESG España: Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) ▪ Centro de Protección de Infraestructuras Criticas dependiendo de Ministerio del Interior (2007). ▪ Ley 8/2011, 28 de abril. Se establecen medidas para la protección de las infraestructuras críticas. ▪ Real Decreto 704/2011, 20 de mayo. Se aprueba el Reglamento de protección de las infraestructuras críticas. Situación en Latino América Perú Infraestructura Crítica en la Región Brasil: En el 2006 el Gabinete de Seguridad Institucional de Presidencia de la República (GSI-PR) reconoció la importancia de la IC y estableció diversas directrices. Colombia: Política Nacional de CiberSeguridad y CiberDefensa (CONPES 3701/2011) Grandes avances en el sector de Energía Eléctrica entre 2011 y 2014. Chile: Política Nacional de Ciberseguridad en 2017 Argentina: Política Nacional de Ciberseguridad 2019. Definición de IICC Perú: Política Nacional de Ciberseguridad 2017 (?). Definición de ACN (Activos Críticos Nacionales) Situación en Latino América Situación en Uruguay Situación en Argentina Infraestructura Crítica EEUU Directiva Presidencial 21 (PPD-21): NIPC Seguridad de Infraestructura Crítica y Resistencia define una política nacional para ▪ Centro de Protección de reforzar y mantener seguro, y en funcionamiento, a la infraestructura crítica. Esta Infraestructuras Nacionales. directiva reemplaza y supera a la Directiva 7 referida a la Seguridad de la Patria. ▪ Plan de Protección de Identifica los 16 Sectores de Infraestructura Crítica Infraestructuras Nacionales (NIPP, 2009). ▪ National Institute of Standards and Technology (NIST), es el encargado de desarrollar su marco Definición de Infraestructura Crítica de trabajo. ▪ Equipo de respuesta a emergencias de Ciberseguridad en Sistemas de Control (ICS-CERT). Las Infraestructuras Críticas son los activos, sistemas y redes, ya sea físico o virtual, tan ▪ Estándares NERC-CIP v4 de North vital para la Nación que su incapacitación o destrucción tendría un efecto debilitador American Electricity Reliability sobre la seguridad, la seguridad económica nacional, la salud pública o la seguridad Corporation (2014). nacional, o cualquier combinación de los mismos. Sectores Críticos Química Comunicaciones Predios Comerciales Manufactura Este sector típicamente Provee servicios esenciales a Predios que funcionan en Sectores de manufactura formado por capitales Privados otros Sectores Críticos, tales espacios públicos con acceso críticos pueden ser algunos de puede ser subdividido en 5 como: financieros, del público general, tales los siguientes: metales, segmentos importantes: emergencias, energía, etc. En como: museos, zoológicos, siderurgia, metalurgia, Químicos básicos, Químicos los últimos años se han clubes, hoteles, estadios, aluminio, generadores de Especiales, Agroquímicos, desarrollado enormemente aeropuertos, shopping centers, energía, turbinas, automotriz, Farmacéutica, y otros incluyendo su infraestructura grandes oficinas corporativas, partes para la aviación y otros Productos de Consumo. terrestre, satélite, inalámbrico, distritos financieros, etc. medios de transporte. y cableada. Sectores Críticos Represas Bases de Defensa Emergencias Energía Está formado por Represas, Consiste en componentes del Representan a la primeria línea Sin el suministro de energía Centrales Hidroeléctricas, Departamento de Defensa, de defensa nacional en la estable la salud y el bienestar Diques de Contención y de tales como: investigación y prevención y mitigación de de la población están en riesgo; Navegación, y barreras de desarrollo, fabricación de riesgos intencionales y y la economía de una nación Huracán que proveen de armas, sistemas, contratistas accidentales, soporte para los No puede funcionar. beneficios económicos, privados incluyendo productos otros sectores críticos, como Mayormente sobre Capital ambientales, y sociales y servicios para mantener las así también en respuesta a Privado involucra a la incluyendo de irrigación, agua operaciones militares. desastres naturales. Generación, Transporte y potable y energía. Distribución. Sectores Críticos Financiero Alimentos y Agro Gobierno Salud Representa un componente Casi por completo sobre el Incluye a una amplia variedad Este sector, tanto Privado vital de una Nación. Recientes sector Privado con miles de de edificaciones e instituciones como de Gobierno, brinda desastres naturales y la millones de granjas, de gobierno, incluyendo: protección a todos los Otros cantidad de eventos y ataques restaurantes, procesadoras de Nacionales, Estatales, y Sectores Críticos y a la a entidades financieras alimentos, depósitos y Federales; de las cuales Sociedad general frente a demuestran el enorme distribuidores puede llegar a algunas son abiertas al público riesgos, amenazas, infecciones, potencial de riesgo del sector y representar 1/5 o 1/4 de la general y otras muy sensibles y desastres naturales. de la información privada. economía de una Nación o por la información y más. actividades especificas. Sectores Críticos TI Nuclear Transporte Aguas El Sector de Tecnología de Incluye Plantas Nucleares para Este sector mueve personas y Uno de los Recursos Naturales Información es central a la la generación de energía, bienes en todo un país, e vitales para la supervivencia, seguridad nacional, economía, centros de investigación, incluye sectores como: sanidad, salud y servicios. y salud pública y seguridad. Los fabricantes de partes para aviación, autopistas y vehículos Incluye reservorios, plantas negocios, los gobiernos, la reactores, material radioactivo de transporte de pasajeros, potabilizadoras, suministro y educación, y los ciudadanos para medicina e industria, marítimo, trenes o terrestre distribución de agua potable, privados son cada vez más el combustibles nucleares, masivos, ductos, carga, tratamiento de efluentes, dependientes de este Sector. desperdicios nucleares, servicios postales y de transporte, y otros almacenamiento y transporte. encomiendas, y otros. proveedores estratégicos del sector. Industrias Críticas Sectores Críticos Sectores Industriales Industrias Críticas Inter/dependencias Una “Dependencia” denota una relación Unidireccional entre dos Infraestructuras. Una “Interdependencia” denota una relación Bi- direccional entre dos Infraestructuras. Inter/dependencias Ejemplos de  Combustibles y Lubricantes Transporte de Combustibles Interdependencias.  Petróleo Combustibles para los Transporte Comunicaciones SCADA Lo que suceda a una  Infraestructura puede Generadores, Lubricantes,.. afectar directa o  Energía para Bombas, Sistemas de Control,.. Gas Natural indirectamente a otra Energía Eléctrica Infraestructura, afectando a una gran área geográfica o  población, y provocar Agua  Telecom pérdidas en la economía nacional e inclusive global. Infraestructura Crítica: Principales definiciones Definición de Infraestructura Crítica USA Las Infraestructuras Críticas son los activos, sistemas y redes, ya sea físico o virtual, tan vital para la Nación que su incapacitación o destrucción tendría un efecto debilitador sobre la seguridad, la seguridad económica nacional, la salud pública o la seguridad nacional, o cualquier combinación de los mismos. ESPAÑA “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas“. España Tópicos en definición Infraestructuras críticas El conjunto de activos (instalaciones, redes, sistemas y equipos físicos de tecnología de la información y de la operación) sobre los que funcionan los servicios o procesos esenciales y no permiten soluciones alternativas o contingentes para el normal desenvolvimiento del negocio o función de la Organización Una falla parcial o total sobre estos activos se transforma en una vulnerabilidad de una IC a la cual está asociada por interdependencia o relación. Cualquier perturbación, avería o destrucción de estos activos puede tener un grave impacto sobre los servicios o procesos esenciales, el medio ambiente, la seguridad de las personas e integridad de las instalaciones, el Estado, afectando la imagen pública de la Organización y/o produciendo una cuantiosa pérdida económica. Definición Infraestructuras críticas El conjunto de activos (instalaciones, redes, sistemas y equipos físicos de tecnología de la información y de la operación) sobre las que descansa el funcionamiento de los servicios esenciales y no permiten soluciones alternativas o contingentes para el normal desenvolvimiento del negocio. Una falla parcial o total sobre estos activos se transforma en una vulnerabilidad de una IC a la cual está asociada por interdependencia o relación. (Ejemplo: Sistema CCTV, telecomunicaciones, etc.). Cualquier perturbación, avería o destrucción de estos activos puede tener un grave impacto sobre los servicios esenciales, el medio ambiente, la seguridad de las personas e integridad de las instalaciones, afectando la imagen pública de la empresa y/o produciendo una cuantiosa pérdida económica. Infraestructura Crítica Infraestructura Crítica Hemos visto definiciones y procedimientos sugeridos por distintas normas e instituciones para referirnos e identificar IICC No hay nada que nos permita extender la misma a una organización, privada o pública, pero puertas adentro de ella, es decir, buscar una definición e identificación de “infraestructuras críticas a nivel organizacional” Por ello debemos hacer un análisis entre las definiciones vistas y relacionarlas al concepto de infraestructura crítica de un país y al concepto de activo crítico en una organización Cada IC deberá ser analizada y protegida en particular, acorde a sus interdependencias y dimensiones así como a los activos críticos y las tecnologías que la componen. ¿ Concepto de Infraestructura Crítica en Organizaciones ? No hay nada que nos permita extender la misma a una organización, privada o pública, pero puertas adentro de ella, es decir, buscar una definición e identificación de “infraestructuras críticas a nivel organizacional” Debemos hacer un análisis entre las definiciones vistas y relacionarlas al concepto de infraestructura crítica de un país y al concepto de activo crítico en una organización Cada IC deberá ser analizada y protegida en particular, acorde a sus interdependencias y dimensiones así como a los activos críticos y las tecnologías que la componen. Definición establecida por la Directiva europea: 2008/114/CE del 8 de diciembre de 2008, en el Plan Nacional de Protección de Infraestructuras Críticas, desarrollado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas) de España. “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas“. ¿ Concepto de Infraestructura Crítica en Organizaciones ? Deducimos entonces que debe considerarse como "infraestructuras críticas de una organización” a aquellos activos físicos y/o ciber activos que son esenciales para el funcionamiento de los procesos críticos de su negocio, cuya afectación, perturbación o destrucción ocasionada por cualquier evento o desastre (físico, ambiental o ciber-incidente), pueda impactar en: La Continuidad de las operaciones de la compañía (disponibilidad) La Confidencialidad de la información (en reposo y/o tránsito) de la organización y terceras partes o asociados. La Integridad de la información (en reposo y/o tránsito) de la organización y terceras partes o asociados. La imagen corporativa. Activo Crítico Activo Crítico Activo Crítico Situación en Argentina Evaluación Desarrollo e Mantenimiento Implementación Situación en Argentina Evaluación Desarrollo e Mantenimiento Implementación Situación en Argentina Anexo I Evaluación Desarrollo e Mantenimiento Implementación Situación en Argentina Anexo I Evaluación Desarrollo e Mantenimiento Implementación Situación en Argentina Evaluación Anexo II Desarrollo e Mantenimiento Implementación Situación en Argentina Evaluación Desarrollo e Mantenimiento Implementación Situación en Argentina Evaluación Desarrollo e Mantenimiento Implementación IMPACTO: Vida humana Económico Medio ambiente DDHH y libertades individuales Público o social Funciones del Estado Soberanía Nacional Mantenimiento Integridad del territorial nacional Infraestructura Crítica: Principales definiciones Definición de Infraestructura Crítica USA Las Infraestructuras Críticas son los activos, sistemas y redes, ya sea físico o virtual, tan vital para la Nación que su incapacitación o destrucción tendría un efecto debilitador sobre la seguridad, la seguridad económica nacional, la salud pública o la seguridad nacional, o cualquier combinación de los mismos. ESPAÑA “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas“. ¡MUCHAS GRACIAS! FIM380 - Ciberseguridad Infraestructuras críticas CONCEPTOS INTRODUCTORIOS

Unidad 1 - Infraestructuras Criticas PDF

Document Details

Tags

Related

Summary

Full Transcript