DIPLOMADO DE SEGURIDAD DE LA

INFORMACIÓN

MODULO III:
SEGURIDAD DE APLICACIONES Y SISTEMAS OPERATIVOS

RELATOR: IVÁN FERNÁNDEZ-DÁVILA

• CRIPTOGRAFÍA
• SIMÉTRICA
• ASIMÉTRICA
• HASH
• TOKENIZACIÓN
• SEGURIDAD INDUSTRIAL

• Q&A

AGENDA DE HOY
 Se utiliza la misma llave para cifrar y descifrar
 También se conoce como “Shared Secret”
 Complejo de administrar en el caso de existir muchos nodos

 Advanced Encryption Standard (AES) o Rijndael

 Proceso en bloques (Block modes): ECB, CBC
 Foco en la confidencialidad y autenticación
 Triple Data Encryption Algorithm (TDEA, Triple DES, 3DES)
 Proceso en bloques (Block modes)
 Foco en la confidencialidad y autenticación
 Buenas Prácticas
 Revisar NIST Cryptographic Standards
 Mantener al mínimo los lugares donde existe la llave
 No utilizar algoritmos deprecados o en vías de deprecados
 DES
 Skipjack
 Blowfish
 3DES 56

CRIPTOGRAFÍA :: SIMÉTRICA
 Cada entidad tiene un par de llaves (pública y privada)
 También se conoce como “Public-Key”
 Criptografía distribuida
 Permite la distribución seguro de las llaves (Key Exchange) TLS 1.2 con RSA

 Diffie-Hellman
 Rivest-Shamir-Adleman (RSA)

CRIPTOGRAFÍA :: ASIMÉTRICA
 Produce un texto de largo fijo en función de una entrada
variable
 Foco en la integridad y en la autenticación
 Son “One-way” (no utilizar datos sensibles)

 MD5 (deprecado)
 SHA-1 (deprecado)
 SHA-2, SHA-3 (vigentes 256 y 512)
 BLAKE2 y BLAKE3 (vigentes)
 Whirlpool (vigente)

CRIPTOGRAFÍA :: HASH
 Produce un texto cifrado del mismo largo que el texto de a
cifrar
 Permite la coherencia lógica del dato en sistemas que esperan
un dato de largo y tipo X
 Utiliza AES para cifrar la información

 FPE modo FF1 es la recomendación

CRIPTOGRAFÍA :: TOKENIZACIÓN
 Industrial Control System (ICS)
Es un término general que abarca varios tipos de sistemas de control e
instrumentos asociados utilizados para el control de procesos
industriales.
 Combinación de componentes de control que interactúan para lograr
un objetivo industrial
 Es un término genérico, se pueden clasificar en:
 Discrete Controllers
 Es la implementación más simple de un ICS, todo lo necesario para
controlar el proceso
 Distributed Control Systems (DCS)
 Supervisory Control and Data Acquisition (SCADA)
 Programming Logic Controllers (PLC)
 Remote Terminal Units (RTU)
 Control Loop
 Se refiere a todos los componentes físicos y funciones de control
necesarios para ajustar automáticamente el valor de una variable de
proceso medida (PV) para igualar el valor de un punto de ajuste
deseado (SP). Incluye el sensor de proceso, la función del controlador
y el elemento de control final (FCE) que se requieren para el control
automático.

SEGURIDAD INDUSTRIAL :: CONCEPTOS

Distributed Control Systems (DCS)
Es un sistema de control aplicado a
procesos industriales complejos en las
grandes industrias como petroquímicas,
papeleras, metalúrgicas, centrales de
generación, plantas de tratamiento de
aguas, incineradoras o la industria
farmacéutica
 Se utilizan dentro de la misma zona
geográfica
 Se componen de múltiples subsistemas
integrados
 El monitoreo y control del proceso es
centralizado
 Puede formar parte de un ICS con
alcance nacional

SEGURIDAD INDUSTRIAL :: DCS

Supervisory Control and Data Acquisition (SCADA)
El sistema SCADA es una herramienta de automatización y control industrial utilizada en los procesos productivos que
puede controlar, supervisar, recopilar datos, analizar datos y generar informes a distancia mediante una aplicación
informática. Su principal función es la de evaluar los datos con el propósito de subsanar posibles errores.
 Permite monitorear y controlar ICS distribuidos geográficamente
 Utiliza software Human Machine Interface (HMI)
 Diseñados para recoger información desde el lugar de trabajo, llevar a las oficinas central en NRT (Near Real Time)
 Monitorea u controla de forma básica RTUs y PLCs

SEGURIDAD INDUSTRIAL :: SCADA

SEGURIDAD INDUSTRIAL :: SCADA (CONTD.)
 Programming Logic Controllers (PLC)
 Utilizados en SCADA y DCS
 Cuando se utilizan en DCS
 Computadores de nivel industrial
 Adaptados para controlar procesos en condiciones industriales

SEGURIDAD INDUSTRIAL :: PLC

 Riesgo y Seguridad de la Información
 El impacto de estos sistemas podría afectar incluso la vida humana, la economía y crear daños
ambientales
 El foco se debe centrar en la integridad y disponibilidad del proceso
 La seguridad física toma gran relevancia en estos ecosistemas
 Mantener BCP y DRP
 Qué hacer
 Realizar RIA (Risk Impact Analysis)
 Para DCS y SCADA se deben implementar controles de seguridad en la redes (aún se utilizan módems)
 Parchar los servidores, actualizar firmwares
 Aplicar hardening (cuando sea posible)
 Implementar arquitecturas basadas DID y Zerotrust
 Gestionar Control de Acceso
 Realizar concientización (awareness)

 https://www.youtube.com/watch?v=hh4fPUXYm5A

SEGURIDAD INDUSTRIAL :: SEGURIDAD

SEGURIDAD INDUSTRIAL :: DID
Q&A
Estándares Criptográficos NIST
https://csrc.nist.gov/Projects/cryptographic-standards-and-guidelines

Guía Seguridad Industrial NIST

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf

REFERENCIAS