LA CIBERSEGURIDAD EN LAS

INFRAESTRUCTURAS CRÍTICAS

CIBERSEGURIDAD E INFRAESTRUCTURAS CRÍTICAS

Madrid 05/03/2013
Manuel Escalante García - Director General INTECO
AMENAZA REAL A LAS IICC
EXPOSICIÓN A RIESGOS
Los operadores de IICC se encuentran expuestos a riesgos

“… los ciberataques podrían infligir más daño a los

EE.UU. que el 11S”
[Leon Panetta, Secretario de Defensa EE.UU.]

 Infraestructura que genera dependencia de la

sociedad.
 Poseedores de información industrial de gran
valor: tecnologías y conocimiento.
 Son claves desde el punto de vista estratégico y
económico. Susceptibles de sufrir
ciberespionaje.
 Aprovechan las ventajas de la SI para las
aplicaciones de negocio y la relación con los
clientes.

“Todos nuestros servicios esenciales en nuestras sociedades dependen del ciberespacio

– dependemos de él para el funcionamiento del transporte, para el suministro de energía y
agua en nuestras casas, para la comunicación, para la conectividad. Esta vulnerabilidad de
nuestras sociedades es susceptible de atraer a las fuerzas destructivas ” 2
[Catherine Ashton, Representante de la Unión para Asuntos Exteriores y Política de Seguridad.]
DEBEMOS PREPARARNOS

RESPUES
TA
HAY MUCHO EN JUEGO….
 La seguridad de las personas.
 Patrimonio tecnológico. Propiedad intelectual e industrial.
 Desarrollo económico y competitividad internacional de la industria.

DISEÑAR UNA RESPUESTA ACORDE AL RETO….

 Teniendo en cuenta todos los planos: estratégico, normativo y operativo.
 Son los Gobiernos los competentes en la salvaguarda de la seguridad pública.

El 80% de las IICC

son del sector privado
COOPERACIÓN REAL

LA SEGURIDAD DE LAS IICC ES COSA DE TODOS

3
SITUACIÓN DE PARTIDA
 Es una realidad global, común a todos
los países desarrollados.
 Nuestro punto de partida es el mismo,
pero otros nos llevan ventaja.
 Supone una oportunidad para nuestra
industria.
NO ESTAMOS
ESPECIALMENTE
MAL…
SOMOS CONSCIENTES DE NUESTRA
VULNERABILIDAD
• El hacktivismo y robo de
información suponen el 58% de
los ataques en el mundo.
• Las APTs aumentaron más de un
80% en los dos últimos años.
• Millones de equipos forman parte
de alguna botnet.
• EEUU, pionero en estos
asuntos, renovó en Mayo de 2011
su Estrategia para el Ciberespacio
• Más de 10 países miembro de
la UE cuentan ya con una
estrategia de ciberseguridad.
• Canadá y Japón disponen de
sendas estrategias desde 2010.
4
 DIVERSIDAD DE OPERADORES

NO TODOS LOS OPERADORES DE IICCSON IGUALES

LA SEGURIDAD LÓGICA ESTÁ EN

 El ámbito digital es su espacio natural.
SU ADN…..  Tienen conocimiento, experiencia y cultura de
ciberseguridad.
 Operadores TIC-NATIVOS

PREOCUPACIÓN SEGURIDAD FÍSICA,

 Su ritmo de incorporación de las TIC “estándar”
PREPARÁNDOSE PARA LA ha sido más lento.
SEGURIDAD LÓGICA
 Tecnologías robustas y orientadas a la operación
en remota y en ocasiones en tiempo real.
 Operadores de infraestructuras que
incorporan mecanismos de control  Comienzan a emplear las redes públicas de
industrial comunicaciones.
 Se generaliza la incorporación de protocolos y
SW estándar.
 Implementan su estrategia de negocio online.

ADMÓN AGUA ALIMENTACIÓN ENERGÍA ESPACIO FINANCIERO INVESTIGACIÓN NUCLEAR QUÍMICA SALUD TIC TRANSPORTE
 GRADO DE VULNERABILIDAD Y TIC

ADMÓN AGUA ALIMENTACIÓN ENERGÍA ESPACIO FINANCIERO INVESTIGACIÓN NUCLEAR QUÍMICA SALUD TIC TRANSPORTE
ALGUNOS DATOS DE INTERÉS
ESTUDIO DE LA SEGURIDAD DE LOS ICS EN EEUU

“SCADA and Process Control Security Survey”, de SANS INSTITUTE.

 Objeto: diagnóstico de la percepción de las empresas con respecto al nivel de
ciberseguridad de sus sistemas de control industrial y del impacto de incidentes de
ciberseguridad, así como del grado de concienciación sobre los riesgos y las prácticas
de seguridad.
 Participantes: 700 empresas participantes de los 18 sectores de infraestructuras
críticas señalados en el U.S. National Infrastructure Protection Plan (NIPP).
 Resultados más destacados:
 Empresas plenamente conscientes del riesgo de sus sistemas SCADA.
 Un 70% consideran como critico o alto el riesgo que corren sus sistemas.
 Un 33% sospechan haber sufrido incidentes de ciberseguridad.

7
RESPUESTA EN EL PLANO ESTRATÉGICO

[ENISA. National Cyber Security Strategies]

 Definir un marco estatal para la ciberseguridad.

 Definir un mecanismo apropiado para que se discutan y se acuerden las diferentes políticas de
seguridad.
 Remarcar y definir las políticas necesarias y medidas regulatorias, así como definir roles,
responsabilidades y derechos del sector público y privado.
 Marcar objetivos y los medios para las capacidades y los marcos necesarios a nivel nacional
para involucrarse en los esfuerzos internacionales para combatir el cibercrimen.
 Identificar infraestructuras críticas de información utilizando activos y servicios clave.
 Definir una gestión nacional de riesgos sistemática e integrada.
 Definir objetivos de las acciones de difusión y concienciación ciudadana.
 Prever nuevos currículos con énfasis en la ciberseguridad para los profesionales IT.
 Cooperación con miembros de la UE y de fuera de la UE.
 Investigar y desarrollar acciones centradas en elementos actuales y futuros.
 Desarrollar y mejorar la preparación, respuesta y recuperación de estas infraestructuras.

8
 RESPUESTA EN EL PLANO NORMATIVO

PERO ESTO ES SEGURIDAD PÚBLICA…

Requiere de un planteamiento estratégico global, que permita:
 Al operador:
 Tomar conciencia de la seguridad.
 Identificar el nivel de seguridad esperado y dotarle de la seguridad jurídica necesaria.
 Gestionar su seguridad impulsando la sistematización de sus procesos más críticos.

 A los poderes públicos:

 Establecer un marco homogéneo y valorar los niveles alcanzados.

GARANTIZAR NIVELES
MÍNIMOS DE SEGURIDAD
HOMOGÉNEOS BASADO
EN UN PROCESO Marco Normativo PIC (Ley 8/2011,
SISTEMATIZADO R.D. 704/2011, PSO/PPE, …)

¿SUFICIENTE?

“c) los operadores de ICCC de algunos sectores (…), los facilitadores de servicios de la sociedad de la
información (…) y las administraciones públicas deben adoptar prácticas de gestión de riesgos y comunicar los
incidentes significativos de seguridad que se produzcan en relación con sus servicios principales”
9
[Plan Ciberseguridad UE, Comunicado de Prensa]
RESPUESTA EN EL ENFOQUE OPERATIVO
 Esfuerzo por parte de los Operadores de IICC con la colaboración de:
 Los responsables públicos.
 Expertos proveedores de servicios y tecnologías de seguridad.

 Marco normativo en constante evolución y desarrollo de instrumentos para su

adecuación.

¿ESTO ES
 Prever las ciberamenazas.  compartir información
SUFICIENTE?  Disponer de profesionales capacitados con altos
conocimiento experto.
 Elevar la concienciación
 Evaluar y poner en práctica los planes de seguridad.
 Ejercicios de seguridad (ciberejercicios)….

Hace falta más

Por eso estamos aquí hoy…
10
NECESITAMOS “ALGO MÁS”…
ESTRATEGIA + NORMATIVA + OPERATIVA + INSTRUMENTOS

PREVENCIÓN Y ALERTA TEMPRANA RESPUESTA Y SOPORTE

Capacidades de detección Minimizar impacto
Vulnerabilidades y amenazas Recuperación
Mecanismos de notificación Investigación
Preparación (guías, buenas prácticas, …)
Concienciación

CERT
Centros de Respuesta a Incidentes de Seguridad
RESPUESTA

COORDINACIÓN Y COMPARTICIÓN DE INFORMACIÓN

 Estrategia de colaboración internacional.
 Compartición de información y colaboración en la resolución de incidentes
 Agentes(FCSE, CERTs, ISPs, dominios, operadores de IIC, prestadores de SSI,
empresas …)
11
UN CERT NO ES

 Un proveedor de tecnologías o sistemas de seguridad.

 Un auditor de los sistemas del operador.
 Una autoridad de certificación.
 Un generador de normalización en seguridad.
 Un prestador de servicios de seguridad gestionados. NO ES UN
SOC.

Un CERT no sustituye a los equipos y medios de seguridad del

responsable del servicio o de la IICC. Lo complementa con la
información, conocimiento y capacidad de reacción que le proporciona
su experiencia, conocimiento y su posición en la cadena de valor de la
seguridad.
¿QUÉ SERVICIOS OFRECE UN CERT?

 Reacción y respuesta al incidente de seguridad, proporcionando

información y soporte a la entidad afectada a través de su equipo de
seguridad.

 Mecanismos efectivos de prevención y preparación: diseminación de

información y vigilancia tecnológica.

 Detección, análisis y alerta temprana de amenazas y riesgos.

 Concienciación.

 Coordinación y cooperación con los distintos agentes con

responsabilidades en seguridad.

 Promoción de ciberejercicios.

13
CERTS EN EUROPA
¿CÓMO NOS DOTAMOS DE ESTA CAPACIDAD?

CONVENIO SES-SETSI
 Firmado el 4 de octubre de 2012 por la Secretaría de Estado de Seguridad y la
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.
 Objetivo: Aunar esfuerzos y capacidades en materia de ciberseguridad de ambas
Secretarías de Estado a través de FCSE, CNPIC e INTECO.

Difusión,
concienciación,
formación y
LUCHA CONTRA EL capacitación PROTECCIÓN DE
CIBERTERRORISMO Y LA
CIBERDELINCUENCIA IICC
-Protección de menores en Internet:
lucha contra la pornografía infantil.
- Detección de evidencias de
(ciber)delito en registros.
- Detección y mitigación de botnets.

15
PROTECCIÓN DE IICC

 RESPUESTA A INCIDENTES DE SEGURIDAD TIC.

 PREVENCIÓN Y PREPARACIÓN.

 DETECCIÓN Y ALERTA TEMPRANA.

 CONCIENCIACIÓN.

 COORDINACIÓN.

 PROMOCIÓN Y REALIZACIÓN DE SIMULACROS Y CIBEREJERCICIOS.

16
¿POR QUÉ INTECO?
¿QUIÉNES SOMOS?
 Sociedad dependiente del Ministerio de Industria, Energía y Turismo (MINETUR) a través de la
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI).

 Es entidad de referencia para el desarrollo de la ciberseguridad y la confianza digital de

ciudadanos y empresas (Agenda Digital para España, aprobada en Consejo de Ministros el 15 de
Febrero de 2013).

 La actividad de INTECO se apoya en tres pilares fundamentales: la prestación de servicios, la

investigación y la coordinación.

 INTECO-CERT, equipo de respuesta a incidentes de seguridad TIC, trabaja para aumentar la

capacidad de detección y alerta temprana de nuevas amenazas, responder y analizar incidentes de
seguridad de la información, diseñar y diseminar medidas preventivas y concienciar y sensibilizar
en materia de seguridad de la información. En definitiva, nuestro objetivo es colaborar activamente
en la protección de nuestro público objetivo:

» Empresas
» Ciudadanos
» Red académica y de investigación (RedIRIS)

17
¿POR QUÉ INTECO?
MARCO DE COLABORACIÓN

COLABORACIONES
 Empresas de Seguridad: Fabricantes y distribuidores de antimalware,
distribuidores de información de vulnerabilidades, etc.
 Empresas TIC
 Proveedores de Servicios de Internet (ISP s)
 Otros CERTs
 Entidades financieras
 Universidades
 Administración: más de 40 entidades de la AGE, CCAA, Diputaciones y
Ayuntamientos.
 Difusores de Información: TV, radio, internet y prensa escrita.

MEMBRESÍA

18
“Si te proteges a ti mismo,
proteges a los demás; si proteges a
los otros te proteges a ti mismo.”
Buda

GRACIAS POR SU ATENCIÓN