Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciberseguridad Industrial
Infraestructuras críticas y
ciberseguridad industrial
Índice
Esquema 3
Ideas clave 4
2.1. Introducción y objetivos 4
2.2. ¿Qué es la ciberseguridad industrial? 7
2.3. ¿Qué son las infraestructuras críticas? 18
2.4. Niveles de alerta 30
© Universidad Internacional de La Rioja (UNIR)
A fondo 39
Actividades 42
Test 44
Esquema
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
3
Tema 2. Esquema
Ideas clave
Ciberseguridad Industrial
4
Tema 2. Ideas clave
Figura 1. Visión de la industria 4.0. Fuente: Roland Berger y (CCOO_Industria, 2017).
La figura 1, extraída de este informe, nos permite ver como los pilares sobre los que se
sustentará la industria 4.0 son los conceptos de big data, IoT (Internet de las cosas),
smart cities (ciudades inteligentes), cloud computing, inteligencia artificial, etc. Pero
todo ello soportado en un concepto que es el de ciberseguridad.
Ciberseguridad Industrial
5
Tema 2. Ideas clave
Esto hace todavía más grave el hecho de que el 50 % de las compañías no tomen
ninguna medida al respecto. Este informe finaliza haciendo hincapié en la
importancia de que desde los organismos se tomen medidas adecuadas y
armonizadas sobre temas críticos como la ciberseguridad en ambientes industriales.
En este informe resulta llamativo que la tecnología con mayor implantación, con un
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
6
Tema 2. Ideas clave
Esta contradicción puede ser debida precisamente a la falta de parámetros
objetivos de medición de la ciberseguridad, lo que tiende a dar una falsa sensación
de seguridad, de forma que muchas empresas responden que tienen sistemas de
ciberseguridad cuando no es así; o estos realmente no son apropiados o no están
orientados a sistemas OT, sino a sistemas IT.
Por lo tanto, es imposible que hoy podamos entender el concepto de industria 4.0
sin que seamos capaces de entender antes los conceptos de ciberseguridad
asociados con ellos.
Los objetivos que se alcanzarán con este tema son los siguientes:
ste apartado tiene como objetivo que el alumno sea capaz de entender el
alcance de la ciberseguridad industrial, su origen, contexto actual y el futuro
al que se enfrenta. No debemos olvidar que el concepto de ciberseguridad
© Universidad Internacional de La Rioja (UNIR)
Un tema importante que tenemos que entender antes de entrar más en profundidad
en el apartado es un error de concepto en la propia definición de ciberseguridad
Ciberseguridad Industrial
7
Tema 2. Ideas clave
industrial, que para mucha gente comprendería solo la seguridad de los sistemas de
control industriales, principalmente los sistemas SCADA (supervisory control and data
acquisition) e ICS (industrial control system security). Pero la realidad es bien diferente.
La ciberseguridad industrial no solo incluye estos sistemas, sino también las
normativas asociadas, procesos, recursos humanos, etc.
supuso la primera aparición de lo que hoy podríamos considerar esta nueva revolución
industrial. Podemos considerar que estas compañías pusieron la primera piedra al crear
sistemas como MsDos de Microsoft, que permitieron que los ordenadores llegaran al
usuario doméstico, iniciando la rueda que medio siglo después llevaría la cuarta
Ciberseguridad Industrial
8
Tema 2. Ideas clave
revolución industrial. Han pasado casi cincuenta años de ese momento, en que el
mundo no ha dejado de cambiar y evolucionar.
Desde su aparición en la década de los 70, los virus se han convertido en una de las
principales amenazas para la evolución de los sistemas, de forma que actualmente
compañías expertas en antivirus como Emsisoft añaden entre 30 000 y 50 000 nuevos
virus a sus bases de datos al día.
Actualmente se estima que existen más de treinta millones de virus en las redes
agrupados en un conjunto de familias, de las que las más relevantes son:
Ciberseguridad Industrial
9
Tema 2. Ideas clave
Virus de macros/código fuente: son virus que se contienen en documentos de
texto de programas como Word y también en hojas de cálculo como las de Excel.
Esto se debe a que se hacen pasar por una macro de dicho documento. Una
macro es una secuencia de órdenes de teclado y ratón asociadas a una sola tecla o
combinación de teclas. Podemos programar una macro si realizamos una misma
acción repetidas veces para mejorar nuestra productividad.
Virus de programa: atacan a archivos ejecutables, es decir, aquellos con
extensiones como exe, com, dll, ovl, drv, sys, bin y pueden transferirse a otros
programas.
Virus de boot: atacan a servicios de inicio y boot del sector de arranque de los
discos duros.
Virus mutantes: van modificando su código para evitar ser detectados por el
antivirus.
Hoax: no son virus propiamente dichos, sino cadenas de mensajes distribuidas a
través del correo electrónico y redes sociales. Estos mensajes suelen apelar al
reenvío del mismo usando «amenazas» del tipo «si no reenvías este mensaje...»
o propagando información falsa sobre un nuevo virus informático o un niño
perdido. No debemos continuar estas cadenas reenviando el mensaje ya que no
son más que falsedades que pretenden conseguir un colapso.
Bombas de tiempo: están ocultas en archivos o en la memoria del sistema, y
están programadas para actuar a una hora determinada soltando un molesto
mensaje en el equipo infectado.
Esta es solo una de los cientos de clasificaciones que se pueden encontrar actualmente,
pero no debemos olvidar que los virus son solo un tipo de amenazas, posiblemente el
más conocido, pero no son los únicos ni los que mayor impacto pueden causar en los
sistemas industriales.
© Universidad Internacional de La Rioja (UNIR)
Una vez que la informática se hizo doméstica, es decir, llegó a los hogares, el
crecimiento fue exponencial y en la década de los 90 ya habían conseguido entrar en
casi todas las empresas y en gran parte de los hogares. Esta rápida expansión preparó
la sociedad para el siguiente gran salto, la llega de Internet.
Ciberseguridad Industrial
10
Tema 2. Ideas clave
Lo que hoy conocemos como Internet realmente es la evolución sufrida de un
experimento realizado entre tres universidades de California (EE. UU.) en el año 1969.
Ese año estas universidades decidieron crear ARPANET (Advanced Research Projects
Agency Network), la primera red de conexión de computadoras. Este proyecto fue
evolucionando paralelamente a la entrada de los ordenadores en las empresas y
hogares, hasta que en el año 1990 se creó la WWW (Word Wide Web), que era un
conjunto de protocolos para la consulta remota de archivos de hipertexto.
Para muchos, el año 1995 es el año en que ambas tecnologías convergen. Se trata de
un año dominado por la aparición de las primeras compañías de la denominada era de
los .com:
Los siguientes años seguirían apareciendo nuevas compañías, hasta llegar al momento
actual en que cinco de estas compañías (Amazon, Facebook, Microsoft, Apple, Google)
controlan gran parte de la economía mundial.
Por lo tanto, durante los últimos veinte años el ser humano se ha enfrentado a
continuos cambios. Posiblemente, desde la aparición del fuego ninguna revolución ha
sido tan agresiva y dramática desde el punto de vista del cambio social como la que ha
supuesto Internet, ya que en menos de cincuenta años ha revolucionado toda la
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
11
Tema 2. Ideas clave
Todos esos cambios y evoluciones durante cincuenta años nos han permitido llegar al
momento actual en que la sociedad se enfrenta a lo que se conoce como evolución 4.0
o industria 4.0.
En los últimos veinte años, la conexión de las tecnologías software / Internet hizo que el
número de amenazas aumentara exponencialmente y con ello surgió la necesidad de
crear sistemas que los protegieran, por lo que fue tomando cada vez más fuerza el
concepto de ciberseguridad.
Toda esta revolución trajo consigo que los sistemas de información pasaran a tener
una posición crítica dentro de las compañías y, por tanto, la seguridad también tomó
una importancia crucial. Ante esta nueva coyuntura, las principales consultoras de
seguridad del mundo se enfrentaron a un problema: visitaban a sus clientes y estos les
pedían que hicieran seguro a sus sistemas de información. Surgió entonces un
interrogante: ¿qué es hacer seguro un sistema de información?
Ante esta cuestión las compañías dieron diferentes respuestas: muchas compañías no
supieron que responder, otras dijeron que la seguridad en los sistemas de información
se alcanzaba con los antivirus y los firewalls, otras dijeron que hacía falta algo más pero
no sabían el qué...
La realidad es que, aunque las compañías invertían en seguridad, sus sistemas sufrían
cada vez más ataques, por lo que surgió una corriente que definió la necesidad de crear
una capa por encima de la seguridad tal y como se conocía entonces. Esta nueva
corriente acuñó el término de gestión de la seguridad, y su principio básico era que la
© Universidad Internacional de La Rioja (UNIR)
seguridad no debía afrontarse tan solo con herramientas, sino que debía gestionarse,
puesto que las vulnerabilidades podían venir no solo de amenazas software, sino
también de otros aspectos como los seres humanos, los fallos legales, etc.
Ciberseguridad Industrial
12
Tema 2. Ideas clave
Esta tendencia se inicia en el año 1995 con el estándar británico BS7799 (BS7799,
2002), que está considerado por muchos como el precursor de la primera norma
internacional para gestión de la seguridad, la denominada ISO17799 (ISO/IEC17799
2000) que entró en vigor en el año 2000.
La importancia de esta norma fue tal que en el año 2005 se decide constituir la familia
ISO27000 para unificar todos los estándares de seguridad informática asociados a la
gestión de la misma. De esta forma se crea la norma ISO27001 (ISO/IEC27001 2005),
que será la primera norma que permite certificar el nivel de gestión de la seguridad de
un sistema de información. La ISO17799 se reconvierte en la ISO27002 (ISO/IEC27002
2007), que es una guía de buenas prácticas de seguridad de los sistemas de
información. Desde entonces la familia de la ISO27000 no ha dejado de crecer,
apareciendo constantemente nuevas normas cada vez más sectorizadas y
especializadas, entre las que podemos destacar las siguientes:
Ciberseguridad Industrial
13
Tema 2. Ideas clave
de riesgos de seguridad en la información, en soporte del proceso de gestión de
riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard
BS 7799 parte 3.
ISO/IEC 27006: requisitos para la acreditación de las organizaciones que
proporcionan la certificación de los sistemas de gestión de la seguridad de la
información. Esta norma específica requisitos característicos para la certificación de
SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de
acreditación.
ISO/IEC 27007: guía para auditar al SGSI.
ISO/IEC 27008: guía para auditar los controles seleccionados para implantar un SGSI.
ISO/IEC 27009 (06/2016): detalla los requisitos para usar la norma ISO/IEC 27001 en
cualquier otro ámbito.
ISO/IEC 27010: guía para gestionar la seguridad de la información cuando se
comparte entre distintas organizaciones. Es aplicable a todas las formas de
intercambio y difusión de información.
ISO/IEC 27011: guía de interpretación de la información y gestión de la seguridad de
esta en organizaciones del sector de telecomunicaciones.
ISO/IEC 27014: guía de gobierno corporativo de la seguridad de la información.
ISO/IEC 27015: guía de SGSI orientada a organizaciones del sector financiero y de
seguros.
ISO/IEC 27016: norma que se concentra en un análisis financiero y económico de
equipos y procedimientos de la seguridad de la información.
ISO/IEC 27017: guía de seguridad para cloud computing.
ISO/IEC 27018: guía para controlar la protección de datos orientada servicios de
computación en cloud computing.
ISO/IEC 27031: guía de apoyo para la adecuación de las tecnologías de la
información y comunicación.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
14
Tema 2. Ideas clave
ISO/IEC 27038:2014: guía de especificación para seguridad en la redacción digital.
ISO/IEC 27039:2015: guía para la selección, despliegue y operación de sistemas de
detección y prevención de intrusión.
ISO/IEC 27040:2015: guía para la seguridad en medios de almacenamiento.
ISO/IEC 27041:2015: guía para garantizar la idoneidad y adecuación de los métodos
de investigación.
ISO/IEC 27042:2015: guía con directrices para el análisis e interpretación de las
evidencias digitales.
ISO/IEC 27043:2015: desarrolla principios de investigación para la recopilación de
evidencias digitales.
ISO/IEC 27050:2017: desarrolla en tres partes sobre la información almacenada en
dispositivos electrónicos.
ISO/IEC 27103:2018: norma desarrollada para proporcionar orientación sobre cómo
aprovechar las normas existentes en un marco de ciberseguridad.
ISO/IEC 27799: guía para implementar ISO/IEC 27002 en la industria de la salud.
Como podemos ver, actualmente la familia ISO27000 ya está formada por casi treinta
normativas, aunque están planificadas más de veinte nuevas incorporaciones para
nuevos sectores y necesidades.
Si analizamos las normas anteriores existen una serie de aspectos que debemos
mencionar:
aspecto muy importante porque el resto de normas son guías, pero realmente lo
certificable es el anexo A de la ISO27001.
Cada vez existen más guías sectoriales que buscan complementar estos controles
de seguridad, es decir, si vamos a certificar un ambiente sanitario la norma
certificable será la ISO27001 y los controles los del anexo A, pero la guía en la que
Ciberseguridad Industrial
15
Tema 2. Ideas clave
deberemos basarnos para implementar estos controles será la de la ISO27799 y no
la de la ISO27002.
Ciberseguridad Industrial
16
Tema 2. Ideas clave
Figura 2. Visión de la ciberseguridad según la ISO27032. Fuente: ISO/IEC 27032:2012.
En la figura 2 podemos ver la visión que tiene de la ciberseguridad actual según este
estándar, tomando como base la protección de las infraestructuras críticas, en las que
también estarían contenidas las industriales.
Como podemos ver, la tendencia actual es que toda la ciberseguridad se sustenta sobre
la familia ISO27001 y se cumplimenta con otras normas internacionales que
posteriormente analizaremos.
Pero, ¿por qué ha tenido tanto éxito la norma ISO27001? El éxito de esta normativa
viene precisamente de haber permitido responder a la pregunta: ¿qué es hacer seguro
un sistema de información?, al definir controles que se agrupan en objetivos de control
y dominios. De esta forma, la ISO27001 define una familia de más de cien controles que
son los que debemos analizar y proteger en nuestros sistemas.
© Universidad Internacional de La Rioja (UNIR)
Estos controles o puertas son los que tenemos que implementar, supervisar, corregir,
mejorar, etc., y son los que nos permitirán conocer en todo momento en qué estado se
encuentra nuestro sistema de información, o nuestro sistema industrial, y qué mejoras
tenemos que hacer para afrontar el riesgo.
Ciberseguridad Industrial
17
Tema 2. Ideas clave
Esta norma supuso un enorme avance para los auditores de ciberseguridad, ya que
permitió unificar criterios y puso las base para realizar análisis de riesgos sobre la
seguridad de los sistemas, algo que está en plena evolución actualmente.
A lo largo del curso aprenderemos cómo tratar este riesgo y cómo ser conscientes de
los niveles de ciberseguridad de nuestros sistemas.
Acontecimientos como el del 11 de septiembre de 2001 con los ataques a las torres
gemelas, o los realizados contra los estados como el caso Mandiant o la Wikileaks, o los
continuos ataques de grupos como Anonymous, hicieron que muchos gobiernos
desarrollaran una agenda en la que se incluyera el desarrollo de estrategias nacionales
de ciberseguridad y medidas de protección para garantizar la seguridad de sus
infraestructuras críticas.
críticas (PIC) y la ciberseguridad industrial (CI) que en muchas ocasiones son utilizados
como sinónimos. Particularmente, en el caso de las infraestructuras críticas de la
información poseen diferencias significativas que analizaremos en este apartado.
Ciberseguridad Industrial
18
Tema 2. Ideas clave
Origen de las infraestructuras críticas
Antes de realizar ese análisis, veremos un poco de historia que nos permitirá entender
mejor el origen del concepto de infraestructura crítica y la importancia que ha ido
tomando estos años.
En el año 2007 Estonia era un próspero país del Este de Europa que había iniciado una
importante senda de crecimiento económico gracias a la decisión en los años 90 de
apostar por la digitalización de su economía. En abril del año 2007, el Gobierno de
Estonia decidió reubicar de la plaza de Tallin la estatua del soldado de bronce,
representativo de los soldados rusos que habían muerto durante la Segunda Guerra
Mundial luchando contra el nacismo. Su idea era colocarla en el cementerio de la
ciudad, pero el ministro de exteriores de Rusia, Sergei Lavrov, calificó este acto de
«blasfemia contra quienes lucharon contra el nazismo» y desencadenó una serie de
acciones que perduran hoy en día y que para la mayoría de los expertos en seguridad
está considerado el primer acto de ciberguerra de la historia.
Los días posteriores a la reubicación de la estatua las fronteras digitales que el país
había definido durante treinta años empezaron a resquebrajarse. Las webs del
gobierno pasaron de entre 1000-1500 visitas diarias, a tener esa misma cantidad por
segundo, en torno a 130 000 000 visitas diarias. Inicialmente se bloquearon los
sistemas del Parlamento y la presidencia del Gobierno, después los ministerios,
partidos políticos, agencias de noticias, periódicos, bancos, empresas de
comunicaciones... Todo servicio conectado sufrió lo que se conoce como DDos (ataque
de denegación de servicio).
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
19
Tema 2. Ideas clave
Durante tres semanas todos los sistemas fueron colapsados, lo que fue acompañado
del desplome de los servicios y la economía del país. A continuación, exponemos una
periodicidad de los sucesos:
Durante el conflicto Estonia solicitó ayuda por medio de la OTAN (Organización del
Tratado Atlántico Norte) a sus aliados de la Unión Europea (UE) y Estados Unidos (EE.
UU.), los cuales evitaron que el colapso fuera mayor.
Estos sucesos crearon un precedente mundial. Por un lado, sirvieron para que Estonia
diese el impulso definitivo hacia la madurez tecnológica, lo que le ha servido para estar
hoy a la vanguardia mundial.
© Universidad Internacional de La Rioja (UNIR)
Estonia es hoy el primer país del mundo que ofrece la e-Residency, que según ellos
mismo definen «es una identificación digital emitida por el gobierno disponible para
cualquier persona en el mundo. E-Residency ofrece la libertad de iniciar y gestionar
fácilmente un negocio global en un entorno de confianza de la UE». Estonia ha seguido
una senda de crecimiento orientada totalmente a la digitalización de la economía, pero
Ciberseguridad Industrial
20
Tema 2. Ideas clave
algo cambió ese abril del 2007 y el gobierno se dio cuenta de las enormes ventajas que
tenía una sociedad digitalizada, pero también de los grandes riesgos que suponía si
carecían de una correcta seguridad y, por ello, consideraron que la ciberseguridad
debía ser un objetivo prioritario a partir de ese momento.
Existen, por un lado, una serie de organismos y empresas que son considerados
infraestructuras críticas por los riesgos que suponen para la sociedad, mientras que
solo una parte de las infraestructuras industriales son consideradas críticas. Esto en
ningún caso quiere decir que el resto de las infraestructuras industriales queden fuera
del concepto de ciberseguridad, más bien se puede ver como que todas las
infraestructuras industriales tienen que tener ciberseguridad, y si adicionalmente son
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
21
Tema 2. Ideas clave
Figura 3. Diferencia entre las infraestructuras críticas y las infraestructuras industriales
Ciberseguridad Industrial
22
Tema 2. Ideas clave
existentes en un estado se agrupan dentro de sectores estratégicos (los que son
esenciales para la seguridad nacional o para el conjunto de la economía de un país).
Actualmente, las infraestructuras críticas han sido agrupadas bajo doce sectores
estratégicos, que a su vez tienen subsectores:
Siguiendo con las diferencias entre ambos conceptos, si nos centramos en una visión
puramente operativa, la ciberseguridad industrial sería de aplicación en todos los
entornos que contengan sistemas de control industrial. La protección de
Ciberseguridad Industrial
23
Tema 2. Ideas clave
infraestructuras críticas requerirá en ocasiones el uso de métodos y tecnologías propias
de la ciberseguridad industrial, pero no todas las acciones de la ciberseguridad
industrial estarán asociadas a una Infraestructura crítica, aunque dentro de su ámbito
de actuación puedan ser igualmente importantes.
Ciberseguridad Industrial
24
Tema 2. Ideas clave
una gran carencia actualmente de sistemas objetivos que permitan medir los
verdaderos riesgos a los que están sometidos este tipo de infraestructuras.
También dentro de este documento es importante destacar las normativas base que se
han tenido en cuenta para su realización, y que son las que actualmente se están
aplicando:
member states.
INTECO (actual INCIBE): estudio sobre la seguridad de los sistemas de monitorización
y control de procesos e infraestructuras (SCADA).
Guía de buenas prácticas para la elaboración de los contenidos mínimos de los
planes de seguridad del operador.
Ciberseguridad Industrial
25
Tema 2. Ideas clave
Guía de buenas prácticas para la elaboración de los contenidos mínimos de los
planes de protección específicos.
CCN-STIC-480: seguridad en sistemas SCADA.
CCN-STIC-480A SCADA: guía de buenas prácticas.
CCN-STIC-480B SCADA: comprender el riesgo del negocio.
CCN-STIC-480C SCADA: implementar una arquitectura segura.
CCN-STIC-480D SCADA: establecer capacidades de respuesta.
CCN-STIC-480E SCADA: mejorar la concienciación y las habilidades.
CCN-STIC-480F SCADA: gestionar el riesgo de terceros.
CCN-STIC-480G SCADA: afrontar proyectos.
CCN-STIC-480H SCADA: establecer una dirección permanente.
Ley 8/2011 por la que se establecen medidas para la protección de las
infraestructuras críticas.
R. D. 704/2011 por la que se aprueba el reglamento para la protección de las
infraestructuras críticas.
Acuerdo Consejo de Ministros sobre protección de infraestructuras críticas.
Estrategia española de seguridad.
Ley 2/1985: protección civil.
R. D. 407/1992: norma básica de protección civil.
R. D. 393/2007: norma básica de autoprotección de centros y establecimientos.
R. D. 1468/2008 que modifica R.D. 393/2007.
R. D. 399/2007: protocolo intervención unidad militar emergencia.
Directiva 2008/114/CE del Consejo, sobre identificación y designación de las
infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su
protección.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
26
Tema 2. Ideas clave
En el documento se definen una serie de objetivos:
Ciberseguridad Industrial
27
Tema 2. Ideas clave
permitan garantizar, a lo largo del tiempo, la ciberseguridad de las instalaciones
industriales. Para conseguir este objetivo se definieron cuatro acciones:
• RISK-1: desarrollo de catálogos de activos, amenazas y vulnerabilidades para
distintos sectores industriales.
• RISK-2: definición de una metodología de análisis de riesgos.
• RISK-3: desarrollo de métricas de rendimiento comunes.
• RISK-4: desarrollo de herramientas de análisis de riesgos.
Protección. Reducir el riesgo y mitigar los impactos: el conocimiento del riesgo es
fundamental para poder determinar cuáles son las medidas de protección más
adecuadas para su reducción y para la mitigación de los impactos que podrían
resultar de la explotación de vulnerabilidades. Para conseguir este objetivo se
definieron ocho acciones:
• PROT-1: desarrollar soluciones de seguridad para infraestructuras industriales.
• PROT-2: desarrollar y utilizar componentes seguros que incluyan seguridad en
el diseño.
• PROT-3: aumentar la automatización en las prácticas, procedimientos y
políticas de ciberseguridad.
• PROT-4: establecer un esquema de certificación en ciberseguridad de
componentes industriales.
• PROT-5: fomentar la I+D+i (investigación, desarrollo e innovación) en busca de
soluciones de protección adecuadas para el entorno industrial.
• PROT-6: construir entornos de prueba (testbeds) que permitan la realización
de pruebas en entornos seguros.
• PROT-7: elaboración de catálogo de entornos de prueba.
• PROT-8: desarrollar un modelo de madurez de ciberseguridad industrial.
Detección y gestión de incidentes: la falta de adecuación de los sistemas industriales
hace necesario establecer sistemas adecuados para detectar y gestionar los
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
28
Tema 2. Ideas clave
• INCI-1: desarrollo de soluciones de detección de incidentes en los distintos
niveles (red, sistemas y aplicación) para entornos industriales.
• INCI-2: desarrollo de un catálogo de soluciones que ayuden en la toma de
decisiones frente a ciberataques.
• INCI-3: involucrar a los CERTs en la detección y tratamiento de incidentes de
ciberseguridad industrial.
• INCI-4: desarrollo de soluciones que faciliten el análisis forense.
• INCI-5: definición de requisitos para la restauración y recuperación de
sistemas y redes industriales.
• INCI-6: desarrollo de un catálogo de lecciones aprendidas.
Colaboración y coordinación: para poder conseguir todos los objetivos propuestos
en el mapa de ruta es necesario que exista una colaboración total entre todas las
organizaciones y empresas involucradas. Para conseguir este objetivo se definieron
cinco acciones:
• CLBR-1: acercar el conocimiento de la cibersituación a los niveles directivos de
los actores implicados.
• CLBR-2: crear un marco común para la coordinación de la gestión de la
colaboración para todos los implicados (PPP).
• CLBR-3: desarrollo de normativas apropiadas en materia de ciberseguridad
industrial.
• CLBR-4: participación en foros internacionales de ciberseguridad.
• CLBR-5: establecimiento de acuerdos internacionales para la gestión de la
ciberseguridad industrial.
Investigación: durante el análisis de todo el documento se puede ver uno de los
principales problemas a los que se enfrenta la ciberseguridad industrial, y es la falta
de investigación asociada a la misma. Para conseguir este objetivo se definieron
tres acciones:
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
29
Tema 2. Ideas clave
2.4. Niveles de alerta
Fuente: www.cnpic.es
Actualmente, este riesgo de seguridad externo viene definido por el NAIC (nivel de
alerta en infraestructuras críticas), que está asociado al NAA (nivel de alerta
antiterrorista). En la figura 5 se puede ver como el NAIC está formado por cinco
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
30
Tema 2. Ideas clave
suele estar reservado para casos de atentados inminentes y podría llegar a implicar
presencia militar en las calles.
La activación de cada uno de los niveles es competencia del ministro del Interior,
una vez oídos los informes de los expertos de los servicios de inteligencia y las
fuerzas de seguridad. Los criterios para activar uno u otro nivel dependen, según
Interior, de la valoración de la amenaza «en función de la intención, la capacidad y
Ciberseguridad Industrial
31
Tema 2. Ideas clave
la probabilidad de comisión de un atentado terrorista», así como de la
vulnerabilidad de los potenciales objetivos de ataque y su posible impacto o
repercusión.
Inicialmente se tenía una escala de tres niveles, pero en el año 2009 fue revisada al
considerarla insuficiente y se cambió por una de cuatro niveles, que finalmente fue
modificada en el año 2015 a la actual.
Aun así, el cambio ha sido muy criticado, y en la realidad se puede considerar poco
práctico, dado que realmente se puede considerar que sigue existiendo un sistema
de tan solo tres niveles (1-2-3, 4, 5).
Ciberseguridad Industrial
32
Tema 2. Ideas clave
2.5. Medidas asociadas a los niveles de alerta
Ciberseguridad Industrial
33
Tema 2. Ideas clave
variable que es el NAIC. Cuando esta varía, obliga a que se tomen medidas de
seguridad adicionales sobre los controles ya establecidos, de forma que cuanto
mayor sea el nivel del NAIC, mayores serán también los niveles de seguridad a los
que deban someterse los controles.
Se establecen niveles de control normales para los niveles 1, 2 y 3. A partir del nivel
4 se establecen medidas de seguridad adicionales y costosas en muchos casos. Pero
en la realidad se ha demostrado que el nivel 4 se puede llegar a mantener durante
años, lo que hace inviable que las compañías bloqueen su operativa diaria durante
periodos tan largos. Esto ha obligado a flexibilizar las medidas asociadas al nivel 4,
con lo cual se ha perdido parte del objetivo que se buscaba conseguir.
Las compañías muchas veces no cuentan con recursos suficientes para adaptarse a
esos niveles de seguridad, dado que afectan de forma global a todos los controles.
Desde el punto de vista de muchos grupos de investigación este es un gran error, ya
que los niveles de seguridad deberían tener una orientación hacia controles y no
global. Es decir, se debería indicar en todo momento qué controles son los más
atacados y, por tanto, suponen las principales amenazas en ese instante de tiempo.
Para solucionar esto, la metodología MARISMA (metodología para análisis de riesgo
sistemático), que se estudiará a lo largo del curso, ha acuñado el término GSS
(Global Security Shield), un escudo de seguridad global que permite a las compañías
compartir conocimiento sobre ataques específicos y proteger los controles que son
el objetivo, en lugar de tener que subir el nivel de todos los controles involucrados
en el sistema.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
34
Tema 2. Ideas clave
De cualquier forma, es necesario entender cómo funciona el sistema actualmente y
qué medidas deben implementarse para el mismo.
Fuente: www.emarisma.com
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
35
Tema 2. Ideas clave
Si analizamos la figura 6 podemos ver:
más eficiente que el enfoque actual, en el marco del cual muchas compañías lo que
buscan es cumplir la ley, pero no mejorar realmente sus niveles de seguridad.
En las próximas unidades iremos profundizando más sobre los conceptos de niveles
de seguridad y medidas específicas, y veremos cómo estas quedan integradas
Ciberseguridad Industrial
36
Tema 2. Ideas clave
dentro de los PPE (Plan de Protección Específico) y PPO (Plan de Protección del
Operador).
Ciberseguridad Industrial
37
Tema 2. Ideas clave
ISO/IEC27001:2013. Information technology - Security Techniques Information
security management systemys – Requirements. Organization for Standardization
(ISO), octubre de 2013.
Ciberseguridad Industrial
38
Tema 2. Ideas clave
A fondo
¿Qué es la Cuarta Revolución Industrial?
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.salesforce.com/mx/blog/2018/4/Que-es-la-Cuarta-Revolucion-
Industrial.html
Vídeo desarrollado en el ámbito del World Economic Forum de 2016 explicando las
principales claves, efectos, agentes y consecuencias de la llamada Cuarta Revolución
Industrial.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
39
Tema 2. A fondo
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=-OiaE6l8ysg
Tipos de virus
Artículo desarrollado por Panda Security en el que se ofrece una posible y completa
clasificación (y descripción) de los tipos de virus más significativos y sus efectos.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.pandasecurity.com/spain/homeusers/security-info/about-
malware/technical-data/date-3.htm
Ciberseguridad Industrial
40
Tema 2. A fondo
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=GzsEFCVwhz0
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://www.seguritecnia.es/content/download/19077/226801/file/Art%C3%ADcul
o%20Rafael%20Pedrera.pdf
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
41
Tema 2. A fondo
Actividades
▸ Descripción de la actividad:
Indicar diferentes ejemplos de medidas de seguridad se podrían
implementar para cada uno de los Niveles, en el ámbito de las
Infraestructuras Críticas. Indicar 20 posibles medidas repartidas entre los 5
posibles niveles de alerta.
Las medidas tendrán que ir alineadas con la ISO27001 o la ISO62443.
Los niveles de alerta antiterrorista deben ser coherentes.
Se debe indicar el responsable de la medida.
Se debe indicar la fecha de implantación de la medida.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
42
Tema 2. Actividades
▸ Rúbrica
Título de la
actividad Puntuación máxima Peso
Descripción
(valor real: 4 (puntos) %
puntos)
Justificación de las respuestas 7
Criterio 1 70%
Coherencia en los niveles 1
Criterio 2 10%
Rellenar todos los campos solicitados en la
Criterio 3 2 20%
descripción
10 100 %
Ciberseguridad Industrial
43
Tema 2. Actividades
Test
1. ¿Qué tipos de virus son los más peligrosos?
A. Caballos de Troya.
B. Gusanos.
C. Virus de programa.
D. Todos los anteriores.
Ciberseguridad Industrial
44
Tema 2. Test
5. ¿Cuándo surgió el concepto de infraestructura crítica?
A. En la primera década del siglo XXI, siendo un concepto relativamente joven.
B. Durante la Segunda Guerra Mundial.
C. En la década final del siglo XX.
D. En los años 80, con la consolidación de las TI y el crecimiento de Internet.
Ciberseguridad Industrial
45
Tema 2. Test
9. ¿Qué niveles define la escala NAIC?
A. Riesgo nulo, riesgo bajo, riesgo medio, riesgo alto, riesgo muy alto.
B. Riesgo bajo, riesgo medio, riesgo moderado, riesgo alto, riesgo muy alto.
C. Riesgo nulo, riesgo bajo, riesgo medio, riesgo alto, riesgo crítico.
D. Riesgo Bajo, riesgo medio, riesgo moderado, riesgo alto, riesgo crítico.
10. ¿Qué implicación supone el cambio de nivel de NAIC?:
A. Cuanto mayor sea el nivel del NAIC, mayores serán también los niveles de
seguridad a los que deban someterse los controles.
B. La dificultad de mantener en el tiempo determinados controles supone un
problema a la hora de su aplicación práctica.
C. Se debe revisar la adaptación al nuevo nivel de una forma global.
D. Todas son correctas.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
46
Tema 2. Test