Presentaciones Tema 1.1 - UNIR - Ciberseguridad

Ciberseguridad Industrial / IoT
Juan de Vicente Mohino
Fundamentos de la ciberseguridad industrial / IoT

Tema 1: Fundamentos de la Ciberseguridad Industrial / IoT
► 1.1 Introducción
► 1.2 Definiciones relacionadas con la Ciberseguridad
► 1.3 La Ciberseguridad Industrial / IoT en la actualidad
► 1.4 Marco legal y normativa aplicable a las Infraestructuras Críticas y

Entornos Industriales
2
3
1.1 Introducción
Este tema describe los conceptos y fundamentos más importantes

relacionados con la ciberseguridad y su aplicación en el ámbito industrial
El tema se centra en los aspectos relacionados con la importancia de la

ciberseguridad en el momento actual:
• Su aplicación en el ámbito industrial

• Los beneficios que se obtienen como consecuencia de su
aplicación
• La legislación actual que se ha desarrollado en torno a ella
4
1.1 Introducción
Objetivos de la unidad
▪ Conocer las definiciones formales asociadas a Ciberseguridad,

Análisis de Riesgos, Ciberseguridad Industrial e Infraestructuras
Críticas
▪ Comprender la importancia que tienen para las empresas los

análisis de riesgos, normativas y controles asociados con la
seguridad
▪ Entender la importancia real de que los ambientes industriales

cuenten con medidas de Ciberseguridad adecuadas
5
1.1 Introducción
Industria 4.0
El término Industria 4.0, o cuarta revolución industrial se refieren

al nuevo proceso que está sufriendo actualmente la industria,
asociado con automatización y la fabricación informatizada de todos
los procesos interconectados por medio del Internet de las Cosas (IoT)
6
1.1 Introducción
7
1.2 Definiciones relacionadas con la Ciberseguridad
8
Ciberseguridad
De manera informal:
▪ Se considera que la Ciberseguridad es la protección de los

sistemas informáticos contra amenazas que intentan causar
daños en activos de valor, aprovechando vulnerabilidades dentro
de los controles que intentar proteger estos activos
▪ Es decir, consiste en la implantación de controles eficientes que

impidan a las amenazas causar un daño sobre nuestros activos
de valor
9
Ciberseguridad
De manera formal según el Documento CCN – STIC – 401:

▪ 2.219.1 – Conjunto de actividades dirigidas a proteger el
ciberespacio contra el uso indebido del mismo, defendiendo su
infraestructura tecnológica, los servicios que prestan y la
información que manejan
▪ 2.219.2 - Conjunto de actuaciones orientadas a asegurar, en la

medida de lo posible, las redes y sistemas que constituyen el
ciberespacio
▪ 2.219.3 - Sinónimo del término Ciberdefensa. Normalmente el

término Ciberdefensa se suele utilizar en el ámbito militar, y el
término Ciberseguridad en el ámbito civil
10
Activo de información (A)

Principal elemento de cualquier sistema de información, o sistema
industrial que se desea proteger
Para el que se debe desarrollar una correcta estrategia de

Ciberseguridad que incluya controles para protegerlo y una correcta
gestión del riesgo
11

Se pueden dividir en dos bloques:
▪ Los denominados TI/IT:

o Asociados a las tecnologías de la información (ej.: Intranet,
programas de gestión, etc.)
▪ Los llamados OT:

o Asociados a las tecnologías operativas y más focalizados a la
parte industrial (ej.: SCADAS, PLCs, etc.)
12

Según el Documento CCN – STIC - 401
2.10.1 - Componente o funcionalidad de un sistema de información

susceptible de ser atacado deliberada o accidentalmente con
consecuencias para la organización
2.10.3 - (Estrategia del Servicio) Cualquier Recurso o Capacidad. Los

Activos de un Proveedor de Servicio incluyen todo aquello que se pueda
atribuir a la entrega del Servicio
2.10.4 - Recursos del sistema de información o relacionados con éste,

necesarios para que la Organización funcione correctamente y alcance
los objetivos propuestos por su Dirección
13
Fuente: Incibe
14
Fuente: Incibe
15
Amenazas de seguridad (T)
Aquellos elementos que intentan alcanzar alguna de las dimensiones

de un activo de valor y causar un impacto negativo en ellas
No tienen por qué tener un impacto que seamos capaces de apreciar a

simple vista
En el contexto de una amenaza relativa a un Troyano, la dimensión de

“confidencialidad” es la que se está viendo afectada ya que se está
accediendo a esa información sin permiso, poniendo en riesgo el activo
propietario de la dimensión
16

Según el Documento CCN – STIC – 401:
▪ 2.42.1 - Causa potencial de un incidente no deseado que puede

ocasionar daño a un sistema o a una organización
▪ 2.42.3 - Cualquier elemento que pueda aprovechar un vulnerabilidad
▪ 2.42.4 - Cualquier circunstancia que puede explotar,

intencionadamente o no, una vulnerabilidad específica en un Sistema
de las TIC
▪ 2.42.8 - Eventos que pueden desencadenar un incidente en la

Organización, produciendo daños materiales o pérdidas inmateriales
en sus activos.
▪ 2.42.9 - Causa potencial de un incidente que puede causar daños a

un sistema de información o a una organización
17
Fuente: Incibe
18
Controles / salvaguardas de seguridad (C)
Aquellas medidas que introducimos dentro de nuestro sistema de

información con el objetivo de poder evitar que una amenaza impacte
sobre una dimensión de riesgo de un activo de valor
Un antivirus es un control de seguridad que pretende evitar que una

amenaza - un virus -, pueda causar un impacto sobre una dimensión –
disponibilidad – de un activo de valor – sistema de nóminas
19
▪ 2.306.1 – Medida que modifica un riesgo
▪ 2.306.3 - Un medio de gestión de Riesgo, asegurando que el

Objetivo de Negocio es alcanzado, o asegurando que un Proceso es
seguido
▪ 2.306.4 - Las políticas, procedimientos, prácticas y estructuras

organizacionales diseñadas para proporcionar una garantía
razonable de que los objetivos del negocio se alcanzarán y los
eventos no deseados serán prevenidos o detectados
20
21
Vulnerabilidades de seguridad (V)
Aquellos fallos existentes en nuestros sistemas, bien por malas

implantaciones de controles o por ausencia de los mismos, que permitirán
a las amenazas llegar hasta el activo y causar un impacto negativo sobre
el mismo
Un antivirus desactualizado se convierte en un control ineficiente, o con

una vulnerabilidad que puede ser aprovechada por un virus para causar
un impacto sobre una dimensión – disponibilidad – de un activo de valor –
sistema de nóminas
22
▪ 2.1050.2 - Debilidad de un activo o de un control que puede ser

explotada por una o más amenazas
▪ 2.1050.3 - Propiedades intrínsecas de que algo produzca como

resultado una sensibilidad a una fuente de riesgo que puede
conducir a un suceso con una consecuencia
23

▪ 2.1050.4 - Una debilidad que puede ser aprovechada por una

amenaza
▪ 2.1050.6 - Debilidad de seguridad de un sistema que le hace

susceptible de poder ser dañado al ser aprovechada por una
amenaza
▪ 2.1050.8 - Defecto o debilidad en el diseño, implementación u

operación de un sistema que habilita o facilita la materialización de
una amenaza
24
Fuente: Incibe
25
Fuente: NIST
26
Análisis de riesgos (AR)

Definición de Patrón:
▪ Un patrón o esquema es la unión de todos los elementos

mencionados anteriormente (activos, amenazas, controles y
vulnerabilidades) y sus relaciones con el objetivo de poder analizar
y gestionar los riesgos
▪ Mediante la selección de un patrón normativo y la valoración de

sus elementos podemos analizar los riesgos a los que están
sometidos los activos y procesos de la organización y tomar
medidas para mitigarlos
27
Análisis de riesgos (AR)

▪ 2.52.1 - Proceso que permite comprender la naturaleza del riesgo

y determinar el nivel de riesgo
▪ 2.52.2 - Utilización sistemática de la información disponible para

identificar peligros y estimar los riesgos
▪ 2.52.3 - Proceso que permite comprender la naturaleza del riesgo

y determinar el nivel de riesgo
▪ 2.52.4 - Proceso sistemático para estimar la magnitud de los

riesgos a que está expuesta una Organización
28
Infraestructura Crítica e Industrial (IC / II)

Aquellas que pueden suponer un riesgo para la nación en caso de que el
país sufra un ciberataque y por tanto asignándoles la etiqueta de IC –
Infraestructura Critica
Una organización puede ser a la vez Infraestructura Industrial (II) e

Infraestructura Critica (IC)
29
Infraestructura Crítica e Industrial (IC / II)

Según el Documento CNN – STIC – 401:
▪ 2.597.1 - Infraestructuras estratégicas cuyo funcionamiento es
indispensable y no permiten soluciones alternativas, por lo que su
perturbación o destrucción tendría un grave impacto sobre los
servicios esenciales
▪ 2.597.4 - Aquellas instalaciones, redes, servicios y equipos físicos y

de tecnología de la información cuya interrupción o destrucción
pueden tener una repercusión importante en la salud, la seguridad o
el bienestar económico de los ciudadanos o en el eficaz
funcionamiento de los gobiernos de los Estados miembros
30
Ciberseguridad Industrial (CI)
Aplicación de Controles sobre los activos de valor de las Infraestructuras

Industriales a partir de los resultados de un análisis de riesgos, y con el
objetivo de mitigar los riesgos que ese análisis ha encontrado
31
1.3 La ciberseguridad industrial / IoT en la actualidad
La nueva Industria es cada vez más avanzada, automatizada y

conectada, y esto supone, un mayor riesgo
Existen gran variedad de ataques como la penetración en sistemas,

infecciones en equipos, robos en bancos…
Cada vez hay más ataques y malware que son más difíciles de detectar
32
Ejemplos de ataques
18/12/2017 – Debido a un fallo en el software Triconex de Schneider

Electric, usado a nivel mundial, en especial en el sector energético
(nuclear, petróleo, gas, etc.), un grupo de Hackers consiguió penetrar en
los sistemas de una planta de producción de energía. Algunas de las
medidas de seguridad evitaron la violación del sistema, dando la orden de
apagado general
24/05/2018 – Hackean el Banco de Chile y roban 10 millones de

dólares. Los primeros análisis forenses hacen pensar que se pudo utilizar
el malware KillDisk orientado a buscar fallos en los sistemas SCADAS,
mediante un APT (Advanced Persistent Threat – Amenaza Persistente
Avanzada)
33
Ejemplos de malware
STUXNET
Primer virus desarrollado específicamente para alterar un proceso
industrial.
Desarrollado con el objetivo de alterar los rotores de los sistemas de
enriquecimiento de Uranio en las plantas nucleares de Irán.
CRASH OVERRIDES / INDUSTROYER

Orientado a realizar ataques contra infraestructuras industriales
críticas e incluso centrales nucleares
TRITON / TRISIS
Malware diseñado para aprovechar vulnerabilidades en un software
industrial específico
34
Instituciones orientadas en el apoyo a la ciberseguridad industrial
CERTSI (CERT de Seguridad e Industria)
▪ Dependiente del INCIBE (Instituto Nacional de Ciberseguridad

de España)
▪ Cuenta con una zona en su web para alertas tempranas

específicas de SCI (Ciberseguridad de Sistemas Industriales)
35
Ataques sufridos a Infraestructuras Industriales Españolas 2022
338 avisos reportados en 2022
Fuente: Incibe
36
Clasificación por naturaleza del ataque
 Avisos reportados por fabricante
Fuente: Incibe
37
 Evolución de avisos por sector
Fuente: Incibe
38
 Principales tipos de vulnerabilidades reportadas en 2022 en el ámbito

industrial
Fuente: Incibe
39
 Distribución de la vulnerabilidad CWE-121 Desbordamiento de buffer

por fabricante
Fuente: Incibe
40
Clasificación por países de LATAM, España y Portugal
 Colombia, España y Brasil, países con menos incidentes
41
Actualmente los gobiernos están trabajando y publicando leyes,

normativas, y creando grupos de expertos, con el objetivo de ser capaces
de poner freno a estos ataques y garantizar en la medida de lo posible que
los sistemas cuenten con medidas de protección adecuadas
Uno de los aspectos que más influye actualmente en esa evolución es la

falta de presupuesto de las empresas para la partida de
Ciberseguridad y el abandono de la parte OT (tecnología operacional)
de muchas compañías
42
1.4 Marco legal y normativo aplicables a las Infraestructuras

Críticas y Entornos Industriales
La norma IEC 62443 es el principal marco de referencia a nivel

internacional para la ciberseguridad de los sistemas industriales
Su objetivo es reducir el riesgo en el despliegue de los sistemas de

automatización y control industrial (IACS)
Detalla un conjunto de controles de seguridad para mitigar o reducir el

impacto y/o probabilidad de ocurrencia de ataques contra los mismos
Está compuesta por un conjunto de estándares
43

La normativa NERC-CIP es un estándar aplicable en las empresas

eléctricas en EEUU que nació con el objetivo de proveer de requisitos
específicos para la gestión de la seguridad de las infraestructuras críticas
vinculadas a la producción y gestión de las redes eléctricas
Nace en 2003. NERC CSS (Ciber Security Standards) – NERC CIP
Implantado en EEUU y varios países de Latinoamérica
Está compuesto por varios estándares
44

Adicionalmente, NIST publicó una serie de guidelines orientadas a la

seguridad industrial:
• NIST SP 800-82. Guide to Industrial Control Systems (ICS) Security
• NIST SP 800-53. Recommended Security Controls for Federal
Information Systems
45

Otros estándares a nivel internacional:

• IEC 62351. Data and communications security
• IEC 62210. Power system control and associated communications -
Data and communication security
• Familia ISO 27000
• ISO/IEC 15408. Evaluation criteria for IT security (also known as
“Common Criteria”)
• IEEE 1686-2007. Standard for Substation Intelligent Electronic Devices
(IEDs) Cyber Security Capabilities
• IEEE 1402. Guide for Electric Power Substation Physical and Electronic
Security
46

Otros estándares a nivel internacional:

• IEEE 1711. Trial-Use Standard for a Cryptographic Protocol for Cyber
Security of Substation Serial Links
• ISA 99. Manufacturing and Control System Security (en la que se basa
la IEC 62443)
• Cyber Security Assessments of Industrial Control Systems. A good
practice guide CPNI (UK) and DHS (USA)
• Configuring & managing remote access for industrial control systems. A
good practice guide CPNI (UK) and DHS (USA)
47

A nivel Europeo:
 Impulso de normativas por la Unión Europea en 2005 creando la
Agencia Europea de Seguridad de las Redes y de la Información
(ENISA – European Network and Information Security Agency)
 Protecting Industrial Control Systems. Recommendations for
Europe and Member States
 Empresas esenciales para el país se consideraron “Infraestructuras

Críticas” y pasaban a tener la obligación legal de contar con medidas
adecuadas de seguridad
48

Agencia Europea de Seguridad de las Redes y de la Información
 La principal función de ENISA es la de ayudar y aconsejar de forma

profesional, a la Comisión Europea y a los Estados Miembros, con el
objetivo de crear legislaciones adecuadas para reducir el número de
vulnerabilidades de sus organizaciones
 ENISA (European Network and Information Security Agency)

https://europa.eu/european-union/about-eu/agencies/enisa_en
49

A nivel Europeo:
 UK (CPNI - Centre for the Protection of National Infrastructure)
• Good practice guide - Process Control and SCADA Security
• Firewall deployment for SCADA and process control networks. A
good practice guide
 The Netherlands
• Process Control Domain (PCD) – Security Requirements for Vendors
(Regulation)
 Francia
• Managing Information Security in an Electric Utility
50

A nivel Europeo:
 Alemania
• NAMUR NA 115. IT-Security for Industrial Automation Systems:
Constraints for measures applied in process industries
• VDI/VDE 2182 Series
• VGB R175. IT security for generating plants
 Noruega (OLF - Norwegian Oil Industry Association)
• OLF Guideline No. 104. Information security baseline requirements
for process control, safety and support ICT systems
• OLF Guideline No. 110. Implementation of information security in
Process Control, Safety and Support ICT Systems
51

Debido a la Ciberguerra entre Rusia y Estonia, los países de

Latinoamérica y la Península Ibérica impulsaron estas leyes
En 2008 se publicó en el Diario Oficial de la Unión Europea la Directiva

2008 / 114/ CE del Consejo sobre Identificación y Designación de las
Infraestructuras Críticas Europeas a la Evaluación de la Necesidad de
Mejorar su Protección
52

En España:
 Al igual que en Europa, en 2004, mediante el Real Decreto 421 / 2004,

de 12 de marzo, donde se regula y define el ámbito y funciones del
Centro Criptológico Nacional (CCN), como parte del Centro Nacional de
Inteligencia (CNI)
 El CNN se convierte en uno de los principales pilares de la creación de

Ciberseguridad Nacional
53

En 2011 en España surgió la primera ley que regulaba las “Infraestructuras

Críticas”
▪ Para las medidas que debían cumplir las organizaciones que
fueran designadas Infraestructuras Críticas – Ley 8/2011
▪ Para la definición del reglamento que tenían que cumplir dichas

organizaciones – Real Decreto 704/2011
54

Posteriormente en España, se fueron creando otras leyes acordes a la

evolución cibernética:
▪ Ley 5 / 2014 de Seguridad Privada

▪ Ley 17 / 2015 del Sistema Nacional de Protección Civil
▪ Ley 36 / 2015 de Seguridad Nacional
▪ Ley 4 / 2015 de Protección de la Seguridad Ciudadana
55

De igual forma, el CCN publicó una serie de guías para la protección y

securización de los sistemas SCADA:
▪ CCN-STIC-480 Seguridad en sistemas SCADA
▪ CCN-STIC-480A SCADA - Guía de buenas prácticas
▪ CCN-STIC-480B SCADA - Comprender el riesgo del negocio
▪ CCN-STIC-480C SCADA - Implementar una arquitectura segura
▪ CCN-STIC-480D SCADA - Establecer capacidades de respuesta
▪ CCN-STIC-480E SCADA - Mejorar la concienciación y las
habilidades
▪ CCN-STIC-480F SCADA - Gestionar el riesgo de terceros
▪ …
56
Legislación en LATAM
 14 Países desarrollaron el CSIRT (Equipos de respuesta a Incidentes
de Seguridad Cibernética)
 Se pueden destacar:
• 1999 – Argentina creando el ArCERT
• 2001 – Chile creando el CICERT
• 2004 – Brasil creando el CTIR-GOV
• 2006 – Guatemala creando el CTIRGT
• 2008 – Uruguay creando el CERTUy
• 2009 – Venezuela creando el VenCERT
• 2011 – Colombia creando el ColCERT
• 2012 – Ecuador creando el ecuCERT
57
www.unir.net

Presentaciones Tema 1.1 - UNIR - Ciberseguridad

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Presentaciones Tema 1.1 - UNIR - Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Ciberseguridad Industrial / IoT

Juan de Vicente Mohino

Fundamentos de la ciberseguridad industrial / IoT

► 1.2 Definiciones relacionadas con la Ciberseguridad

► 1.3 La Ciberseguridad Industrial / IoT en la actualidad

► 1.4 Marco legal y normativa aplicable a las Infraestructuras Críticas y

Este tema describe los conceptos y fundamentos más importantes

El tema se centra en los aspectos relacionados con la importancia de la

• Su aplicación en el ámbito industrial

▪ Conocer las definiciones formales asociadas a Ciberseguridad,

▪ Comprender la importancia que tienen para las empresas los

▪ Entender la importancia real de que los ambientes industriales

El término Industria 4.0, o cuarta revolución industrial se refieren

1.2 Definiciones relacionadas con la Ciberseguridad

1.2 Definiciones relacionadas con la Ciberseguridad

▪ Se considera que la Ciberseguridad es la protección de los

▪ Es decir, consiste en la implantación de controles eficientes que

1.2 Definiciones relacionadas con la Ciberseguridad

De manera formal según el Documento CCN – STIC – 401:

▪ 2.219.2 - Conjunto de actuaciones orientadas a asegurar, en la

▪ 2.219.3 - Sinónimo del término Ciberdefensa. Normalmente el

1.2 Definiciones relacionadas con la Ciberseguridad

Activo de información (A)

Para el que se debe desarrollar una correcta estrategia de

1.2 Definiciones relacionadas con la Ciberseguridad

Activo de información (A)

▪ Los denominados TI/IT:

▪ Los llamados OT:

1.2 Definiciones relacionadas con la Ciberseguridad

Activo de información (A)

2.10.1 - Componente o funcionalidad de un sistema de información

2.10.3 - (Estrategia del Servicio) Cualquier Recurso o Capacidad. Los

2.10.4 - Recursos del sistema de información o relacionados con éste,

1.2 Definiciones relacionadas con la Ciberseguridad

Activo de información (A)

1.2 Definiciones relacionadas con la Ciberseguridad

Activo de información (A)

1.2 Definiciones relacionadas con la Ciberseguridad

Amenazas de seguridad (T)

Aquellos elementos que intentan alcanzar alguna de las dimensiones

No tienen por qué tener un impacto que seamos capaces de apreciar a

En el contexto de una amenaza relativa a un Troyano, la dimensión de

1.2 Definiciones relacionadas con la Ciberseguridad

Amenazas de seguridad (T)

▪ 2.42.1 - Causa potencial de un incidente no deseado que puede

▪ 2.42.3 - Cualquier elemento que pueda aprovechar un vulnerabilidad

▪ 2.42.4 - Cualquier circunstancia que puede explotar,

▪ 2.42.8 - Eventos que pueden desencadenar un incidente en la

▪ 2.42.9 - Causa potencial de un incidente que puede causar daños a

1.2 Definiciones relacionadas con la Ciberseguridad

Amenazas de seguridad (T)

1.2 Definiciones relacionadas con la Ciberseguridad

Controles / salvaguardas de seguridad (C)

Aquellas medidas que introducimos dentro de nuestro sistema de

Un antivirus es un control de seguridad que pretende evitar que una

1.2 Definiciones relacionadas con la Ciberseguridad

Controles / salvaguardas de seguridad (C)

Según el Documento CCN – STIC – 401:

▪ 2.306.1 – Medida que modifica un riesgo

▪ 2.306.3 - Un medio de gestión de Riesgo, asegurando que el

▪ 2.306.4 - Las políticas, procedimientos, prácticas y estructuras

1.2 Definiciones relacionadas con la Ciberseguridad