Documentos de Académico
Documentos de Profesional
Documentos de Cultura
nº 7
Ciberseguridad Industrial
Integración de la
ciberseguridad industrial
con la industria 4.0
Índice
Esquema 3
Ideas clave 4
7.1. Introducción y objetivos 4
7.2. Integración de la ciberseguridad industrial con el
© Universidad Internacional de La Rioja (UNIR)
resto de tecnologías y disciplinas del ecosistema de la
industria 4.0. 5
7.3. Visión global de la ciberseguridad industrial 11
7.4. Conclusiones finales 17
7.5. Referencias bibliográficas 19
A fondo 22
Esquema
INTEGRACIÓN DE LA CIBERSEGURIDAD INDUSTRIAL CON LA INDUSTRIA 4.0
Ciberseguridad
industrial vs. Visión global Concl usiones finales
industria 4.0
Infra estructuras
Proyectos críti ca s
Medi das de
Protecci ón
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
3
Tema 7. Esquema
Ideas clave
7.1. Introducción y objetivos
E
l objetivo de este tema es servir de refuerzo y de resumen de todos los
contenidos que se han visto durante las diferentes unidades del curso,
revisando conceptos y su relación con la industria 4.0. Por lo tanto,
podemos considerar esta última unidad como una unidad de resumen de los
contenidos del curso, reforzando su alineamiento con el objetivo del máster.
Introducción
Como hemos comentado en unidades anteriores, estamos en plena implantación
de la industria 4.0, pero no es el único concepto que está revolucionando el mundo.
Dentro de este concepto es fácil ver otros como defensa 4.0, astillero 4.0, logística
4.0, etc.
Esta revolución industrial ha afectado a todos los sectores en general. Y no es
posible entender la industria 4.0 sin una ciberseguridad 4.0, sin una logística 4.0,
educación 4.0, etc.
En esta unidad vamos a intentar complementar los conceptos sobre esta revolución
y su vinculación con la ciberseguridad.
Los objetivos que se pretenden conseguir son los siguientes:
© Universidad Internacional de La Rioja (UNIR)
Profundizar en el concepto de industria 4.0.
Aprender como la ciberseguridad se integra dentro de la industria 4.0.
Repasar los contenidos de los temas anteriores.
Ciberseguridad Industrial
4
Tema 7. Ideas clave
7.2. Integración de la ciberseguridad industrial con
el resto de tecnologías y disciplinas del ecosistema
de la industria 4.0.
E
n este apartado repasaremos los conceptos y las dimensiones en que se
valora la industria 4.0, para centrarnos en la dimensión de ciberseguridad y
seguir profundizando en los conceptos asociados con ella.
En el documento de Propuestas tecnológicas de INCIBE para la Industria 4.0 que se
presentó en la «High Level Conference 2017», se exponía el Mapa de Tendencias TIC
asociadas a la industria 4.0 que podemos ver en la figura 1 (Hernández, 2017).
Como podemos ver, gran parte de estos conceptos los hemos ido analizando durante el
curso (big data, cloud computing, IOT, sistemas ciberfísicos, redes 5G y la propia
industria 4.0). Aunque en la figura vemos que la industria 4.0 es un elemento más, la
realidad es que todos los elementos influyen entre sí, complementándose.
© Universidad Internacional de La Rioja (UNIR)
Figura 1. Mapa de tendencias TIC.
Fuente: propuestas tecnológicas de INCIBE, para la Industria 4.0 (Hernández, 2017).
Ciberseguridad Industrial
5
Tema 7. Ideas clave
Después se presenta un mapa asociado con el anterior en que se pueden ver las
tendencias en ciberseguridad (figura 2). Podemos observar el sector de la industria y
medio ambiente en el que se incluye la industria 4.0, las infraestructuras críticas, etc.,
con tres tendencias claramente definidas:
Modelos de gestión de ciber‐resiliencia de infraestructuras críticas.
Gestión de identificación y acceso a sistemas de la red eléctrica inteligente.
Protección de las redes inalámbricas industriales de sensores (smart grid).
Figura 2. Mapa de ciberseguridad.
Fuente: propuestas tecnológicas de INCIBE, para la Industria 4.0 (Hernández, 2017).
De esta forma, vemos que el campo industrial es solo uno de los muchos campos en
los que es relevante la ciberseguridad. Si analizamos el resto de sectores veremos que
la ciberseguridad será de vital importancia en campos como vehículos inteligentes,
© Universidad Internacional de La Rioja (UNIR)
seguridad de los sistemas de aviación y marina, seguridad en los servicios financieros
(FinTech), seguridad en datos médicos, ciberinteligencia, etc.
Ciberseguridad Industrial
6
Tema 7. Ideas clave
En general, la ciberseguridad tiene una base común que parte de la gestión de la
seguridad, cuya base se ha visto en este curso, y que va evolucionando para cada uno
de los sectores.
Dentro de este informe, destacan cuáles son los principales mercados interesados en
la ciberseguridad ordenados por el mayor impacto potencial, siendo el prioritario la
industria, y precisamente por ello se ha enfocado el curso a este sector. Los siguientes
son, por orden de prioridad: servicios (energía y agua), telecomunicaciones, bancario,
transporte, sanidad y administración pública. Se puede ver como muchos de estos
mercados están a su vez directamente vinculados con la industria.
Dentro de este mismo informe se remarca que «La Industria 4.0 quiere convertir los
entornos industriales en ‘Smart Places’ en los que se realicen ‘Smart Products’
basándose en la integración de sistemas y/o en la optimización de procesos
industriales y en el desarrollo profesional y personal de las personas», pero para
conseguir este objetivo nos enfrentamos a una serie de retos, siendo el principal la
ciberseguridad.
Precisamente con ese objetivo, el INCIBE en España está liderando una serie de
proyectos que son de gran interés para la ciberseguridad y la industria 4.0:
SCADA Lab Proyect (laboratorio SCADA y banco de pruebas como servicio para la
protección de infraestructuras críticas) (figura 3): la propuesta acumula el
esfuerzo de varios miembros de distintos países de la Unión Europea como son
Hungría, Italia, Reino Unido y España.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
7
Tema 7. Ideas clave
Figura 3. Proyecto SCADA Lab de INCIBE (España).
Fuente: https://www.certsi.es/blog/scadalab‐seguridad‐ics
Este proyecto está incluido dentro del programa «Prevención, Preparación y Gestión
de las Consecuencias del Terrorismo», un programa específico financiado por la
Comisión Europea. Su principal objetivo es analizar las actuales medidas de
seguridad aplicadas en entornos ICS a través de:
• El desarrollo de un laboratorio y banco de pruebas específico, enfocado en el
sector energético.
• La reutilización de los recursos existentes, conocimiento y equipamiento, de una
manera eficiente.
Proyecto ESCILA ‐ Evaluación de Sistemas de Control Industrial y Automatización
(https://rnli.incibe.es/es/escila) (figura 4): ESCILA es una solución diseñada para
evaluar el nivel de seguridad de los dispositivos que constituyen los sistemas de
control industrial (SCI). Proporciona a su vez la generación inmediata de un informe
de evaluación en el que se describen las vulnerabilidades, clasificadas por criticidad,
detectadas en los activos analizados, delegando la decisión de tomar medidas para
© Universidad Internacional de La Rioja (UNIR)
mitigar el riesgo o asumirlo en el usuario final. Actualmente, ESCILA se encuentra en
una fase piloto con varias industrias y miembros integrantes de la Red Nacional de
Laboratorios Industriales (RNLI).
Ciberseguridad Industrial
8
Tema 7. Ideas clave
ESCILA es un proyecto que está liderado por el Laboratorio de Ciberseguridad
Industrial del INCIBE (LCSI), en colaboración con las empresas ARKOSOC, CNPIC,
Getronics, SICA, SIEMENS y el Laboratorio de investigación y docencia en nuevas
tecnologías de generación y transporte de energía y redes eléctricas (ERESMA GRID)
de la Universidad de León.
Figura 4. Proyecto ESCILA de INCIBE (España).
Fuente: https://rnli.incibe.es/es/escila
ICS‐SCAN ‐ Identification System for Industrial Control Systems
(https://rnli.incibe.es/en/ics‐scan) (figura 5): ICS‐SCAN es un sistema de
identificación de sistemas de control industriales (ICS), que utiliza información de
metabuscadores. Entre las diferentes características que ofrece ICS‐SCAN se
destacan las siguientes:
• Capacidades de detección de vulnerabilidad y configuración incorrecta en
dispositivos y servicios expuestos de ICS.
• Disponibilidad de un repositorio de información en el cual los datos son
almacenados para su posterior análisis y estudio por INCIBE.
• Posibilidad de identificar vulnerabilidades en el firmware/servicios comunes de
ICS.
• Preparación de informes personalizados.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
9
Tema 7. Ideas clave
Figura 5. Proyecto ICSSCAN de INCIBE (España).
Fuente: https://rnli.incibe.es/en/ics‐scan
Actualmente es fácil encontrar cada vez más publicaciones que remarcan la
importancia de la ciberseguridad dentro del contexto de la industria 4.0. A
continuación mencionamos algunas de ellas que los alumnos deberían revisar para
entender mejor cómo se vinculan estos dos elementos:
En el artículo «El auge de la Industria 4.0 y la importancia de la Ciberseguridad» se
analiza como la industria 4.0 está cada vez tomando más relevancia en la sociedad y
como la ciberseguridad es uno de los principales riesgos que pueden llegar a frenar
su avance (NCYT_Amazings, 2018).
Aitor Lejarzegi en su artículo «Industria 4.0: Los desafíos de Ciberseguridad que
amenazan a la PYME industrial» (Lejarzegi, 2018) remarca que la ciberseguridad es la
clave en la industria 4.0, ya que la aparición constante de vulnerabilidades no
tratadas, la falta de cultura de la seguridad y el uso de sistemas obsoletos está
impactando sobre las decisiones de muchas industrias a la hora de avanzar en la
modernización de sus sistemas.
Igualmente, el periódico digital de México Reportero Industrial publicó en 2017 un
artículo denominado «Ciberseguridad en la Industria 4.0» (ReporteroIndutrial,
© Universidad Internacional de La Rioja (UNIR)
2017), en el que remarcaba como uno de los principales problemas que solo seis
países de Latinoamérica cuentan con programas estructurados de educación en
seguridad cibernética, y que incluyen estabilidad presupuestaria así como
mecanismos de investigación y transferencia de conocimiento.
Ciberseguridad Industrial
10
Tema 7. Ideas clave
Este artículo está basado en un informe emitido por el Banco Interamericano de
Desarrollo (BID) y la Organización de los Estados Americanos (OEA) en colaboración
con la Universidad de Oxford, y muestra las grandes vulnerabilidades de la región
frente a ataques de enorme impacto. Este informe tiene el nombre de
«Ciberseguridad ¿Estamos preparado en América Latina y el Caribe?» (BID_OEA,
2016).
Otro informe que hay que tener en cuenta es el publicado por ENISA «Protecting
Industrial Control Systems. Recommendations for Europe and Member States ‐
Protección de sistemas de control industrial. Recomendaciones para Europa y
Estados Miembros» (ENISA, 2011), que describe la situación actual de la seguridad
de los ICS y propone siete recomendaciones para mejorarla. En particular, en su
recomendación número 5 destaca la falta de iniciativas específicas en estos
entornos y la necesidad de realizar evaluaciones independientes de productos de
seguridad de estos sistemas. Entre otros, ENISA fomenta el establecimiento de
bancos de pruebas, que deben ser entornos realistas para permitir llevar a cabo
evaluaciones que hagan validaciones y verificaciones independientes.
7.3. Visión global de la ciberseguridad industrial
E
n este apartado vamos a realizar un repaso del curso, para ver lo que hemos
aprendido durante las diferentes unidades y su utilidad a la hora de aplicar la
ciberseguridad industrial.
A lo largo del curso hemos visto muchos conceptos, legislaciones y organizaciones
© Universidad Internacional de La Rioja (UNIR)
relacionadas con la industria 4.0 y la ciberseguridad. En los siguientes apartados vamos
a intentar poner un poco de orden en todos ellos para extraer los elementos más
importantes del curso.
Ciberseguridad Industrial
11
Tema 7. Ideas clave
Organizaciones
En el caso español y europeo hemos visto como algunas de las más importantes
organizaciones que nos pueden ayudar a entender la ciberseguridad dentro de la
industria 4.0 son:
ENISA (European Union Agency for Network and Information Security): organismo
europeo que se encarga de unificar las políticas de ciberseguridad de toda Europa
y establecer la estrategia de ciberseguridad. En el caso de Latinoamérica, dos
organizaciones han mencionado su interés en desarrollar una estrategia de
ciberseguridad: la Organización de Estados Americanos (OEA) y la Unión de Naciones
Sudamericanas (UNASUR).
INCIBE (Instituto Nacional de Ciberseguridad Español): es el organismo encargado
en España de gran parte del desarrollo de políticas y supervisión en el campo de la
ciberseguridad. Para muchos es una organización referente en Europa por su buen
funcionamiento. Dentro de INCIBE podemos encontrar el CERTSI (CERT de Seguridad
e Industria), que se ocupa de la parte Industrial.
Al igual que INCIBE existe en España, otros países han desarrollado sus propios
institutos de ciberseguridad. Entre ellos podemos destacar:
• colCERT (Grupo de Respuesta a Emergencias Cibernéticas de Colombia).
• ICIC (Programa Nacional de Infraestructuras Críticas de Información y
Ciberseguridad) de Argentina, que fue creado mediante la Resolución JGM N°
580/2011 y tiene como finalidad impulsar la creación y adopción de un marco
regulatorio específico que propicie la identificación y protección de las
infraestructuras estratégicas y críticas del sector público nacional.
Existen muchas otras organizaciones dentro del ámbito mundial que se ocupan de los
© Universidad Internacional de La Rioja (UNIR)
aspectos de la ciberseguridad, bien a nivel regional o bien a nivel nacional, pero no
existe actualmente ningún mapa a nivel mundial de los institutos de ciberseguridad ni
de los Centros de Alerta Temprana (CERT/CSIRT).
Ciberseguridad Industrial
12
Tema 7. Ideas clave
Legislaciones
A lo largo del curso nos hemos centrado principalmente en las leyes referidas a los
ambientes industriales críticos y referenciados por la legislación española, en particular
las siguientes leyes:
Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las
Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su
Protección (Directiva_2008/114/CE 2008)
Ley 8/2011 publicada en el Boletín Oficial del Estado Español (BOE) en el año 2011
(Ley‐8/2011 2011).
Real Decreto 704/2011, que definía el reglamento que tenían que cumplir las
empresas Industriales y la Infraestructuras Críticas (RD_704/2011 2011).
Estas leyes se pueden tomar como ejemplo de cómo Europa y España están afrontando
este problema, pero no son las únicas leyes que existen:
En el caso argentino existe la Resolución JGM N° 580/2011 para la Creación del
Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad
(InfoLEG 2011).
En el caso de Colombia existe el CONPES 3854, que define la Política Nacional de
Seguridad Digital de Colombia (Conpes3854 2016).
Existen otras muchas leyes que están surgiendo entorno a los riesgos y delitos
cibernéticos sobre las que el alumno debería profundizar.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
13
Tema 7. Ideas clave
La ciberseguridad industrial y las infraestructuras críticas
Durante el curso también hemos visto la relación existente entre las
infraestructuras industriales y las infraestructuras críticas, cómo se deben afrontar
estas y algunos de sus elementos más críticos:
La gestión de la seguridad de estas infraestructuras tomando como base la familia
de la ISO27001.
Los niveles de alerta antiterroristas que existen actualmente en el modelo europeo,
con sus ventajas y sus inconvenientes.
Las medidas de seguridad que debemos aplicar dependiendo de esos niveles de
alerta.
Para analizar estos aspectos se tuvo en cuenta el «Mapa de Ruta de Ciberseguridad
Industrial en España 2013‐2018» (CCI, 2013), pero sería interesante que los alumnos
profundizaran en otros documentos similares que se estén elaborando en otros países.
Redes industriales y sistemas SCADA
Durante el curso también hemos analizado las principales redes industriales que
afectan a la ciberseguridad dentro de la industria 4.0, haciendo especial hincapié
en dos normas y estándares:
Norma ISA/IEC 62443 (ISA/IEC_62443 2017) que es la evolución de la ISA‐99. La
norma ISA/IEC 62443 es actualmente el estándar más reconocido a nivel mundial
para la seguridad de control industrial y está derivado de la familia ISO/IEC 27000
© Universidad Internacional de La Rioja (UNIR)
(UNE‐ISO/IEC‐27000 2014) , dando un enfoque para los sistemas industriales.
El estándar del NIST Cybersecurity Framework (NIST, 2018), en el que están basados
algunos de los patrones de riesgos que se han visto a lo largo del curso.
Ciberseguridad Industrial
14
Tema 7. Ideas clave
Dentro de los sistemas SCADA hemos analizado su tipología, ventajas, principales
vulnerabilidades y el futuro al que se enfrentan.
Análisis de riesgos
Otro de los aspectos que se han analizado con profundidad en el curso ha sido el
análisis de riesgos, que es una de las principales tendencias en la actualidad para
controlar los riesgos de las infraestructuras industriales.
Se analizaron unas diez metodologías de riesgos y se estudió en profundidad la
metodología MARISMA, trabajando sobre patrones basados en la industria 4.0,
MAGERIT o el NIST.
Para la orientación al riesgo industrial nos basamos en las premisas presentadas en
el «Mapa de Ruta CiberSeguridad Industrial en España 2013 – 2018» (CCI, 2013).
Hacking ético
Dedicamos una unidad a analizar y entender a los hackers, y en especial el hacking
ético apoyado en herramientas de pentesting, dado que es una de las principales
tendencias en la actualidad. Incluso normas de gestión de la seguridad como la
ISO27001 están haciendo obligatorio la realización de pruebas de penetración
como parte del mantenimiento del sistema de gestión de la seguridad.
Analizamos las fases para realizar un hacking ético y los tipos de hackers que nos
podemos encontrar.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
15
Tema 7. Ideas clave
Analizamos las principales certificaciones que nos pueden permitir convertirnos en
hackers éticos, entre las que debemos destacar:
Certified Ethical Hacking (CEH).
Offensive Security Certified Professional (OSCP).
Como vimos, existen otras muchas certificaciones, pero las mencionadas son las
más valoradas en la actualidad para hacking ético.
Por sí solas estas certificaciones no nos habilitan para certificar infraestructuras
industriales. Lo ideal es que vayan a su vez acompañadas de otras certificaciones
de prestigio para la seguridad de los sistemas como:
CISA (Certified Information Systems Auditor) de ISACA.
CISM (Certified Information Security Manager) de ISACA.
CRISC (Certified in Risk and Information Systems Control) de ISACA.
CGEIT (Certified in the Governance of Enterprise IT) de ISCA
CISSP (Certified Information Systems Security Professional).
IRCA LA27001 para auditores de ISO27001.
Finalmente, aprendimos las bases de KALI y otras suites de herramientas gratuitas
que se pueden utilizar para realizar el hacking ético.
Aplicación de medidas de protección
Aprendimos las características y finalidad de los CERT/CSIRT (Centro de Alerta
Temprana), aprendiendo en detalle donde buscarlos y los pasos que tenemos que
© Universidad Internacional de La Rioja (UNIR)
dar para crearlos.
Ciberseguridad Industrial
16
Tema 7. Ideas clave
Finalmente, detallamos cómo tenemos que rellenar dos de los documentos más
importante en la gestión de la seguridad industrial:
Plan de seguridad del operador (PSO) (CNPIC_PSO 2012): se analizaron aspectos
como la política general de seguridad del operador y el marco de gobierno a
seleccionar, la relación de servicios esenciales prestados por el operador crítico, la
metodología de análisis de riesgos seleccionada y los criterios de aplicación de
medidas de seguridad integral.
Plan de protección específico (PPE) (CN‐Cert, 2012): se analizaron aspectos críticos
como el inventario de activos, los proveedores críticos, el análisis de riesgos y el plan
de acción por activo.
7.4. Conclusiones finales
E
n este apartado vamos a exponer unas conclusiones finales sobre la
ciberseguridad industrial, el impacto presente que está teniendo y el futuro al
que se enfrenta.
Como hemos visto a lo largo del curso, la ciberseguridad es un aspecto clave
dentro de la industria 4.0, afectando a toda la cadena de producción industrial. La
importancia de la ciberseguridad es tal que ha llegado un momento en que ha sido
necesario empezar a regular su funcionamiento. Algunos ejemplos de esto son la
Ley de Seguridad de Alemania, la certificación ANSSI en Francia y la NERC CIP en EE.
UU. En España existe el R. D. 704/2011, que aprueba el reglamento de protección
de infraestructuras críticas y que ha sido estudiado durante el curso
© Universidad Internacional de La Rioja (UNIR)
(CiudadesDelFuturo, 2017)
Actualmente, muchos países han decidido utilizar el denominado modelo de
defensa en profundidad (defense in depth) basado en la norma ISA99 y el estándar
Ciberseguridad Industrial
17
Tema 7. Ideas clave
IEC62443 (ISA/IEC_62443 2017), y que está formado por tres niveles o conceptos:
seguridad en planta, seguridad de red e integridad del sistema (figura 5).
Figura 6. Defense in depth.
Fuente: https://www.siemens.com/global/en/home/company/topic‐areas/future‐of‐
manufacturing/industrial‐security.html
De cara al futuro, y una vez que las empresas industriales han reconocido la
necesidad de evolucionar hacia una industria 4.0, el principal problema con el que
se están encontrando es la falta de mano de obra cualificada, en especial en
sectores de gran especialización como la ciberseguridad industrial. La falta de esta
mano de obra puede suponer un importante freno al avance de las compañías y,
por tanto, supone un gran reto para las naciones el desarrollo de planes de
formación para esa mano de obra.
Otro de los grandes retos será la adaptación de las administraciones públicas y las
legislaciones a la nueva realidad, en un mundo en que la seguridad total no puede
existir, pero en que un fallo de ciberseguridad puede poner en riesgo la vida de
miles de personas.
© Universidad Internacional de La Rioja (UNIR)
Finalmente, el cambio de mentalidad del empresario tradicional, acostumbrado a
una industria analógica, será otro de los grandes retos. La sociedad se enfrenta al
reto de conseguir una cultura de la seguridad, un cambio de mentalidad en la gente,
que entienda que la industria 4.0 trae grandes ventajas, pero también que se deben
Ciberseguridad Industrial
18
Tema 7. Ideas clave
afrontar riesgos, porque se están abriendo puertas al exterior y existen muchas
amenazas deseando alcanzar nuestros activos de valor.
De cualquier forma, y por concluir, este curso ha tenido como objetivo principal
marcar las bases para que los alumnos sean capaces de entender, en toda su
extensión y complejidad, este nuevo mundo que se abre con la ciberseguridad
industrial. Un nuevo mundo lleno de retos, pero también de grandes oportunidades
profesionales.
7.5. Referencias bibliográficas
ANSI/ISA‐62443‐4‐1‐2018, Security for industrial automation and control systems
Part 4‐1: Product security development life‐cycle requirements. Recuperado de
https://www.isa.org/store/ansi/isa‐62443‐4‐1‐2018,‐security‐for‐industrial‐
automation‐and‐control‐systems‐part‐4‐1‐product‐security‐development‐life‐cycle‐
requirements/60908278
BID y OEA. (marzo de 2016). Ciberseguridad: ¿Estamos preparados en América
Latina y el Caribe? publications.iadb.org. Recuperado de
https://publications.iadb.org/handle/11319/7449?locale‐
attribute=es#sthash.B56xUnGB.dpuf. B. I. d. D. B. O. d. l. E. Americanos.
CCI. (2013). Mapa de Ruta de Ciberseguridad Industrial en España 2013‐2018.
Centro de Ciberseguridad Industrial.
© Universidad Internacional de La Rioja (UNIR)
CN‐Cert (2012). Guía de Buenas Prácticas. Plan de Protección Específico (PPE).
Centro Criptológico Nacional (CNN).
CNPIC_PSO (2012). Guía de Buenas Prácticas. Plan de Protección Específico (PPE).
Centro criptológico Nacional (CNN).
Ciberseguridad Industrial
19
Tema 7. Ideas clave
Conpes (2016). Politica Nacional de Seguridad Digital. República de Colombia:
Consejo Nacional de Política Económica y Social (CONPES).
Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre Identificación
y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la
Necesidad de Mejorar su Protección. Diario oficial de la Unión Europea.
Doñoro, J. L. (18 de enero de 2017). Sin ciberseguridad no hay Industria 4.0
[Mensaje en un blog]. Recuperado de https://ciudadesdelfuturo.es/sin‐
ciberseguridad‐no‐hay‐industria‐4‐0.php.
ENISA (2011). Protecting Industrial Control Systems. Recommendations for Europe
and Member States. enisa.europa.eu.
Hernández, A. (2017). Propuestas tecnológicas de INCIBE, para la Industria 4.0. High
Level Conference On Assurance. Madrid: ISACA.
ISO/IEC‐27000: 2014. Information technology ‐‐ Security techniques ‐‐ Information
security man‐agement systems – Overview and vocabulary. International
Organization for Standardization (ISO).
Lejarzegi, A. (22 de marzo de 2018). Industria 4.0: Los desafíos de ciberseguridad
que amenazan a la PYME industrial [Mensaje en un blog].Recuperado de
https://blog.sarenet.es/ciberseguridad‐pyme‐industrial/
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de
las infraestructuras críticas. Boletín Oficial del Estado, 29 de abril de 2011, núm.
© Universidad Internacional de La Rioja (UNIR)
102.
NCYT Amazings. (3 de abril de 2018). El auge de la Industria 4.0 y la importancia de
la ciberseguridad. Recuperado de https://noticiasdelaciencia.com/art/28039/el‐
auge‐de‐la‐industria‐40‐y‐la‐importancia‐de‐la‐ciberseguridad
Ciberseguridad Industrial
20
Tema 7. Ideas clave
NIST (2018). Framework for Improving Critical Infraestructure Cybersecurity, version
1.1. National Institute of Standards and Technology.
Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento para
la Protección de las Infraestructuras Críticas. Boletín Oficial del Estado, 21 de mayo
de 2011, núm. 121.
Reportero Indutrial. (abril de 2017). Ciberseguridad en la Industria 4.0 [Mensaje en
un blog]. Recuperado de
http://www.reporteroindustrial.com/temas/Ciberseguridad‐en‐la‐Industria‐
40+118870
Resolución 580/2011. Créase el Programa Nacional de Infraestructuras Críticas de
Información y Ciberseguridad. Objetivos. Ministerio de Justicia y Derechos Humanos
de Argentina. Recuperado de
http://servicios.infoleg.gob.ar/infolegInternet/anexos/185000‐
189999/185055/norma.htm
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
21
Tema 7. Ideas clave
A fondo
Protección de Infraestructuras Críticas – Árboles de ataque
Cañizares, R. (2018). Árboles de Ataque, una herramienta imprescindible en la
Protección de Infraestructuras Críticas [Mensaje en un blog].
Artículo en el que se destaca la utilización de los llamados “Árboles de ataque”
como herramienta imprescindible en la prestación de servicios de seguridad en
infraestructuras críticas.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://siseguridad.es/blog/2018/07/la‐proteccion‐de‐infraestructuras‐criticas‐se‐
ha‐convertido‐ultimamente‐en‐un‐tema‐recurrente‐en‐todos‐los‐eventos‐y‐
publicaciones‐del‐sector‐de‐la‐seguridad‐nos‐encontramos‐con‐diferentes‐
ponencias/
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
22
Tema 7. A fondo
Protección de Infraestructuras Críticas – Director de Seguridad
Vídeo en el que D. Eleuterio Gutiérrez Pérez, Presidente de la Asociación Nacional
de Directores de Seguridad Siglo XXI, describe la importancia y necesidad de
preparación de la figura del Director de Seguridad ante las necesidades de
protección de una Infraestructura Crítica.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=764mJt4akB4
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
23
Tema 7. A fondo
Ley de protección de Infraestructuras Críticas
Vídeo con la ponencia de Elena Maestre y Tomás Martín en el Congreso Visión11
auspiciado por ISACA. En la misma hacen una aproximación a la situación actual e
introducen la nueva legislación aplicable a la Seguridad de Infraestructuras Críticas.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=9DW88mNC‐yM
Casting de 'hackers' para defender a España
De la Cal, L. y Negre, J. (21 de mayo de 2017). Casting de 'hackers' para defender a
España [Mensaje en un blog].
Artículo en el que se analiza la necesidad de cubrir en perfil de hacker ético para
reforzar la ciberseguridad nacional, introduciendo el concepto de ciberreserva y
haciendo hincapié en una de las oportunidades de empleo incipientes con más
proyección a corto plazo.
© Universidad Internacional de La Rioja (UNIR)
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://www.elmundo.es/cronica/2017/05/21/5920208be5fdea60568b45aa.html
Ciberseguridad Industrial
24
Tema 7. A fondo
Análisis de riesgos en 6 pasos
INCIBE. (16 de enero de 2017). ¡Fácil y sencillo! Análisis de riesgos en 6 pasos [Mensaje
en un blog].
Artículo en el que se sientan las bases de la necesidad, importancia y fases de la
realización de un Análisis de riesgos orientado a la Ciberseguridad de una compañía.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.incibe.es/protege‐tu‐empresa/blog/analisis‐riesgos‐pasos‐sencillo
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
25
Tema 7. A fondo
1. ¿Qué es una salvaguarda de seguridad?
A. Medida que introducimos en un sistema de información para evitar que
una amenaza impacte sobre una dimensión de riesgo de un activo de valor.
B. Medida que modifica un riesgo.
C. Medio de gestionar el uso o comportamiento de un elemento de
configuración, sistema o servicio TI.
D. Todas las anteriores son correctas.
2. ¿Cuál de los siguientes es considerado el primer virus desarrollado
específicamente para actuar sobre entornos industriales?
A. Industroyer.
B. Stuxnet.
C. Crash Overrides.
D. Triton.
3. ¿Cuál de las siguientes normas surgió específicamente orientada al concepto de
ciberseguridad?
A. ISO27032.
B. ISO27001.
C. ISO27018.
D. ISO27040.
4. ¿Cuáles de las siguientes son características que debe cumplir un SCADA?
A. Especialización en la función que realiza.
B. Capaz de supervisar, medir y corregir sin intervención de la interacción
humana.
C. Comunicarse con facilidad y transparencia con el usuario, de forma fácil e
© Universidad Internacional de La Rioja (UNIR)
intuitiva.
D. Todas las anteriores.
Innovación tecnológica y transformación digital de las empresas
26
Tema 1. Test
5. ¿Cuáles de las siguientes son metodologías de análisis de riesgos?
A. MEHARI.
B. MAGERIT.
C. OCTAVE.
D. Todas las anteriores.
6. ¿Cuáles de los siguientes problemas son más preocupantes en la ciberseguridad
en SCADA?
A. Falta de estándares en seguridad.
B. Bugs en el código.
C. Focalización en el software por parte de los fabricantes.
D. Falta de control de acceso.
7. ¿Cuáles de los siguientes elementos son fundamentales en un análisis de
riesgos?
A. Amenazas.
B. Normas y estándares.
C. Incidentes de seguridad.
D. Todas las anteriores.
8. ¿Cuáles de los siguientes son tipos de ataque que permite KALI?
A. Denegación de servicio.
B. Inyección de SQL.
C. Suplantación de identidad.
D. Todas las anteriores.
© Universidad Internacional de La Rioja (UNIR)
Innovación tecnológica y transformación digital de las empresas
27
Tema 1. Test
¿Cuáles de los siguientes son retos de la ciberseguridad industrial?
A. Elevar la concienciación general y proporcionar formación especializada
según el nivel o tipo de usuario.
B. Creación de estrategias de ciberseguridad para la Industria.
C. Creación de cultura dentro de los pilares de la seguridad industrial
tradicional.
D. Todas las anteriores.
© Universidad Internacional de La Rioja (UNIR)
Innovación tecnológica y transformación digital de las empresas
28
Tema 1. Test
9. ¿Cuáles de las siguientes no son funciones propias de un CSIRT?
A. Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.
B. Auditar y certificar la adaptación a las normativas de TI del sector.
C. Reaccionar a los incidentes relacionados con las TI.
D. Realizar un seguimiento de los progresos conseguidos en el ámbito de la
seguridad.
© Universidad Internacional de La Rioja (UNIR)
Innovación tecnológica y transformación digital de las empresas
29
Tema 1. Test