La Protección de las Infraestructuras Críticas: el caso de...

1

La Protección de las Infraestructuras La Protección de las Infraestructuras La Protección de las Infraestructuras La Protección de las Infraestructuras Críticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de España

CNPICCNPICCNPICCNPIC

• Creación en el año 2.007

• Dependencia del Ministerio del Interior a través de la Secretaría de Estado de Seguridad

• Misión:

• Desarrollo del PNPIC

• Gestión del Catálogo Nacional de Infraestructuras Estratégicas

2

Ejes de Ejes de Ejes de Ejes de trabajotrabajotrabajotrabajo

• Sistema Integrado PIC

• Implantación legislación PIC

• Participación Público Privada

(confianza y cooperación mutuas)

• Catálogo IC

• Ciberseguridad de las IC

• Operación CERTSI

• Coordinación operadores y FCSECat. Nacional Cat. Nacional Cat. Nacional Cat. Nacional

Infraestructuras Infraestructuras Infraestructuras Infraestructuras EstratégicasEstratégicasEstratégicasEstratégicas

•Ley 8/2011Ley 8/2011Ley 8/2011Ley 8/2011•RD 704/2011RD 704/2011RD 704/2011RD 704/2011

•CERTSICERTSICERTSICERTSI•OCC

Conceptos Conceptos Conceptos Conceptos PIC: ¿PIC: ¿PIC: ¿PIC: ¿Qué es una Infraestructura CríticaQué es una Infraestructura CríticaQué es una Infraestructura CríticaQué es una Infraestructura Crítica????

3

Infraestructuras Críticas

“…. cuando su funcionamiento es indispensable y no permite soluciones alternativas”

Instrumentos de PlanificaciónInstrumentos de PlanificaciónInstrumentos de PlanificaciónInstrumentos de Planificación

PNPICPNPICPNPICPNPIC

PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES

PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR

PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS

PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO

PNPICPNPICPNPICPNPICGobiernoGobiernoGobiernoGobierno

Elaborados por el GTPICElaborados por el GTPICElaborados por el GTPICElaborados por el GTPIC

De cada operador críticoDe cada operador críticoDe cada operador críticoDe cada operador crítico

De cada infraestructura críticaDe cada infraestructura críticaDe cada infraestructura críticaDe cada infraestructura crítica

Medidas adicionales y Medidas adicionales y Medidas adicionales y Medidas adicionales y excepcionales de seguridadexcepcionales de seguridadexcepcionales de seguridadexcepcionales de seguridad

4

Plan Nacional de PICPlan Nacional de PICPlan Nacional de PICPlan Nacional de PIC

• Elaborado por la SES: dirige y coordina las actuaciones de las AAPP y los operadores críticos.

• Articula medidas preventivas para asegurar la protección permanente.

• Prevé distintos niveles de seguridad e intervención policial relacionado con el Plan de Prevención y Protección Antiterrorista.

• Aprobado año 2007, actualizado 2016

• Contempla cinco niveles de seguridad







Planes Estratégicos SectorialesPlanes Estratégicos SectorialesPlanes Estratégicos SectorialesPlanes Estratégicos Sectoriales

• Elaborados por los Grupos de trabajo PIC.

• Coordinados por el CNPIC.

• Liderados por los Ministerios competentes.

• Aprobados por la Comisión PIC.

• Finalidad Conocer:

• Funcionamiento de los servicios esenciales.

• Vulnerabilidades del sector.

• Consecuencias potenciales de su inactividad.

• Medidas organizativas necesarias para su mantenimiento.







5

Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)


• Análisis de la normativa

• InternacionalInternacionalInternacionalInternacional• EuropeaEuropeaEuropeaEuropea• NacionalNacionalNacionalNacional• SectorialSectorialSectorialSectorial

• Actividades y Actividades y Actividades y Actividades y aspectos reguladosaspectos reguladosaspectos reguladosaspectos regulados

• Evitar incompatibilidades y Evitar incompatibilidades y Evitar incompatibilidades y Evitar incompatibilidades y duplicidadesduplicidadesduplicidadesduplicidades



• Servicios esenciales y funcionamiento del Sector

• SubsectorSubsectorSubsectorSubsector

• ÁmbitoÁmbitoÁmbitoÁmbito

• SegmentoSegmentoSegmentoSegmento

6



• Tipología de infraestructuras e identificación de operadores



• Interdependencias

7



• Criticidad del servicio

II.II.II.II. Impacto económicoImpacto económicoImpacto económicoImpacto económico y deterioro de productos y servicios

IV.IV.IV.IV. Impacto público y social Impacto público y social Impacto público y social Impacto público y social y deterioro de servicios esenciales

I. I. I. I. VíctimasVíctimasVíctimasVíctimas y consecuencias para la salud pública

III.III.III.III. Impacto Impacto Impacto Impacto medioambientalmedioambientalmedioambientalmedioambientaly degradación del lugar



• Análisis de riesgos

• Medidas organizativas

• Tablas de amenazasTablas de amenazasTablas de amenazasTablas de amenazas• Análisis del impactoAnálisis del impactoAnálisis del impactoAnálisis del impacto

• Medidas de carácter genéricoMedidas de carácter genéricoMedidas de carácter genéricoMedidas de carácter genérico

8

Planes Estratégicos Sectoriales (Sectores)Planes Estratégicos Sectoriales (Sectores)Planes Estratégicos Sectoriales (Sectores)Planes Estratégicos Sectoriales (Sectores)

EnergíaTIC

Agua

Alimentación

Administración I. Química FinancieroSalud

Investigación

Espacio

TransporteNuclear



• Proceso de designación

9

Planes de Seguridad del operadorPlanes de Seguridad del operadorPlanes de Seguridad del operadorPlanes de Seguridad del operador

• Documentos estratégicos de las políticas de seguridad del operador.

• Relación de servicios esenciales que presta.

• Metodología de análisis de riesgos que garantice la continuidad de los servicios proporcionados.

• Debe fijar criterios de implantación de las medidas de seguridad adoptadas.








Planes de Protección EspecíficosPlanes de Protección EspecíficosPlanes de Protección EspecíficosPlanes de Protección Específicos

• Define medidas concretas que garanticen la seguridad integral.

• Medidas permanentes y temporales en función de la activación de niveles del PNPIC.

• Debe fijar criterios de implantación de las medidas de seguridad adoptadas.







10

Planes de Apoyo OperativoPlanes de Apoyo OperativoPlanes de Apoyo OperativoPlanes de Apoyo Operativo

• Para cada infraestructura crítica se desarrollará un plan sobre medidas concretas de apoyo de las AAPP.

• Elaborado por el Cuerpo Policial estatal o autonómico competente.

• Medidas de vigilancia, prevención, protección y reacción.





PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO

La La La La Ciberseguridad Ciberseguridad Ciberseguridad Ciberseguridad de las Infraestructuras de las Infraestructuras de las Infraestructuras de las Infraestructuras Críticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de España

11

Oficina de Coordinación CibernéticaOficina de Coordinación CibernéticaOficina de Coordinación CibernéticaOficina de Coordinación Cibernética

• La misión de la Oficina de Coordinación Cibernética (OCC) es la de centralizar todas las actividades relacionadas con la cibercriminalidad, el ciberterrorismo y la ciberseguridad de las infraestructuras críticas, dentro del marco competencial del Ministerio del Interior

Objetivos de la OCCObjetivos de la OCCObjetivos de la OCCObjetivos de la OCC

• Coordinar la respuesta ante un ciberincidente enlazando con el CERTSI y con la unidad tecnológica de las FCSE.

• Establecer un canal de alerta temprana e intercambio de información sobre vulnerabilidades, ciberamenazas y ciberataques.

• Conciencia situacional fidedigna del estado de la ciberseguridad a nivel nacional.

12

Rol de la OCCRol de la OCCRol de la OCCRol de la OCC

Dispositivos CiberseguridadDispositivos CiberseguridadDispositivos CiberseguridadDispositivos Ciberseguridad

Proclamación de Felipe VI como Rey

de España

13

El CERT de Seguridad e Industria (CERTSI_) es la Capacidad de

Respuesta a incidentes de Seguridad de la Información del MINETUR

y del MIR, adscrito al CNPIC y al INCIBE, y operado por éste

último. Este servicio se creó en el año 2012 a través de un AcuerdoMarco de Colaboración en materia de Ciberseguridad entre la SETSIy La SES. Actualmente es regulado mediante Acuerdo de 21 deoctubre de 2015, suscrito por ambas Secretarías.

El CERTSI_ es el CERT Nacional español competente en la prevención,

mitigación y respuesta ante incidentes cibernéticos en el ámbito de

las empresas, los ciudadanos y los operadores de infraestructurascríticas.

CERT de Seguridad e IndustriaCERT de Seguridad e IndustriaCERT de Seguridad e IndustriaCERT de Seguridad e Industria

Convenio SES-SETSI(04/10/2012)

PROTECCIÓN DE LAS IICC

LUCHA CONTRA LOS CIBERDELITOS Y EL CIBERTERRORISMO

DIFUSIÓN, CONCIENCIACIÓN, FORMACIÓN Y CAPACITACIÓN

Objetivos del convenio

14

Análisis y resolución

de incidentes en

Operadores

Respuesta a incidentes

Detección proactiva

Alerta tempranaDetector de incidentes

Information gathering

Ciber-ejerciciosPreventivos

647.300.717

[email protected]

Servicio en formato 24x7

Respuesta a incidentes en infraestructuras críticasRespuesta a incidentes en infraestructuras críticasRespuesta a incidentes en infraestructuras críticasRespuesta a incidentes en infraestructuras críticas

17

134

66

2013 2014 2015 2016

204

15

PPPA Instrucción 3/2015PPPA Instrucción 3/2015PPPA Instrucción 3/2015PPPA Instrucción 3/2015

DIFUSIÓN LIMITADA

16

Guía de reporte de Guía de reporte de Guía de reporte de Guía de reporte de ciberincidentesciberincidentesciberincidentesciberincidentes

13 categorías

VULNERABILIDAD0-DAY

INFECCIÓNMALWARE

RANSOMWARE

DISTRIBUCIÓNDE

MALWARE

DENEGACIÓNDE

SERVICIO

AMENAZAAPT

DEFACEMENT

REPORTE DE INCIDENTESREPORTE DE INCIDENTESREPORTE DE INCIDENTESREPORTE DE INCIDENTES

• Clasificación de incidentes que sirve de orientación

• Siempre deberá considerarse la de mayor impacto.

• Para cada categoría, se precisa:

• Definición

• Contexto

• Ventana de Reporte

• Nivel PNPIC

17

Guía de reporte de Guía de reporte de Guía de reporte de Guía de reporte de incidentesincidentesincidentesincidentes

Nivel 1BajoNivel 1Bajo

Nivel 2ModeradoNivel 2Moderado

Nivel 3MedioNivel 3Medio

Nivel 4AltoNivel 4Alto

Nivel 5Muy altoNivel 5Muy alto

SLA CERTSI: 90´

No hay obligación de reportar para los operadores

SLA CERTSI: 90´

No hay obligación de reportar para los operadores

SLA: 60´

Se reportarán incidentes:• 0 Day• APT• DoS/DDoS

SLA: 60´

Se reportarán incidentes:• 0 Day• APT• DoS/DDoS

SLA: 45´

Se reportarán incidentes:• Nivel 3• Intrusión• Ransomware• fuga de datos• defacement

SLA: 45´

Se reportarán incidentes:• Nivel 3• Intrusión• Ransomware• fuga de datos• defacement

SLA: 30´

Se reportarán incidentes:• Nivel 4• Malware • Escaneos • ingeniería

social

SLA: 30´

Se reportarán incidentes:• Nivel 4• Malware • Escaneos • ingeniería

social

INTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓN

FUNDAMENTO: Compartir los IOCs del malware conocido para

facilitar la detección

• Anonimización de la información compartida.

• Nodos de entrada para alimentación.

• Nodos de salida para obtención de información.

• Análisis de la información por parte de CERTSI.

18


Usuario 1 Usuario 2

Usuario N

Nodo N

Entrada

manual por

el CERTSI_

Acceso vía WEB por

otras organizaciones

Conexión

automatizada a

repositorios de

información

Federación con otras

organizaciones del país

Incidente

reportado

Intercambio de información sobre CIBERAMENAZAS:

Eventos vivos en el momento de su adición o publicación.

• Amenazas reales.

• De utilidad para distintas entidades.

• Ejemplos:

• Malware dirigido

• Botnets

• DDoS

• Ransonware

• Troyanos

• Fraude que pueda afectar a nivel sectorial/mundial


19

Beneficios

CiberejerciciosCiberejerciciosCiberejerciciosCiberejercicios

4. Concienciación a todos los niveles

1. Mejorar capacidades técnicas

2. Coordinación interna y externa

3. Mejorar los mecanismos de comunicación

3 Fases implementadas:

• Fase I: Ataque continuado

• Fase II: Roleplay

• Fase 3: Simulación de

incidente

CyberExCyberExCyberExCyberEx 2015201520152015

28 de septiembre – 19 de octubre

Especialización

Sector Financiero

Equipos confirmados18

Bancos13

2

Medios de pago2

Aseguradoras1

Sociedades valores

20

Criterios de participación

• Operadores críticos

• Orden de solicitud

VUELTA A UN EJERCICIO MULTISECTORIAL

CyberExCyberExCyberExCyberEx 2016201620162016

Graciaspor su atención

La Protección de las Infraestructuras Críticas: el caso de...

Documents

Transcript of La Protección de las Infraestructuras Críticas: el caso de...