View
27
Download
0
Category
Preview:
Citation preview
La amenaza cibernética contra infraestructuras críticas: Un
enfoque práctico para abordar este riesgo desde la perspectiva
del Operador Nacional de Energía de Colombia
Septiembre de 2018
Sandra María Ríos Gonzalez - Erika Torres Carrasquilla
XM S.A. E.S.P.
1. Gestión Integral de riesgos XM
2. Riesgo cibernético – contexto y evaluación
3. Gestión del riesgo cibernético en sistemas SCADA
4. Claves para gestionar el riesgo cibernético
Agenda
2
Comunicación
Identificación de riesgos
Definición del contexto
Evaluación de riesgos
Monitoreo y revisión
Marcos:ISO 31000
COSO ERMMejores
Prácticas Análisis de riesgos
Tratamiento
1. Auditorías
2. Ethical Hacking
3. Incidentes
4.Tendencias
5. Entorno
1.Caracterización y valoración del riesgo
2. Medidas de administración
3.Coberturas
4.Informes y reportes
Metodología Gestión Integral de Riesgos
Principales insumos Principales productos
Mapa de Riesgos
REC
RDM
RDS
RCB
RPT
RJR
RFR
REORFT
RTH
RFN
RMN
RPA
Riesgos del entorno:RJR: Riesgo Jurídico y RegulatorioRPT: Riesgo Político
RCB: Riesgo CibernéticoRDS: Deficiencias del Sistema EléctricoRDM: Deficiencias del Mercado EléctricoRFN: Fenómenos Naturales o Fuerza Mayor
Riesgos estratégicos:REC: Riesgo en la definición y ejecución de la estrategiaRMN: Afectación del modelo de negocio por cambios en el entorno
Riesgos operacionales:RFR: FraudeREO: Errores y omisionesRFT: Fallas en la tecnologíaRTH: Deficiencias en la gestión del Talento HumanoRPA: Incumplimiento de proveedores críticos y aliados
¿Estamos preparados?
Video
“Trabajamos en ciberseguridad para proteger la productividad de los
negocios”
¿Estamos expuestos al riesgo cibernético?
8
¿Cuál es su exposición real al riesgo cibernético? ¿Qué tan atractivo puede
resultar su empresa a un atacante?
¿Cómo evaluamos y cuantificamos los riesgos cibernéticos? ¿Tenemos un enfoque basado en datos o dependemos de una evaluación subjetiva de las amenazas?
¿Qué gestión del riesgo cibernético realizan nuestros proveedores críticos? ¿Podemos
estar expuestos a través de ellos?
¿Debe existir un gobierno de ciberseguridad o es el mismo gobierno de riesgos?
¿Cómo participa el equipo de riesgos en la evaluación y gestión detallada de los riesgos cibernéticos?
Principales ataques
Notpetya
2015
o Ucrania
2016
o Ucrania
2010 2017
o Nivel mundial
2018
o Nivel mundial
Plantas nucleares Sector eléctrico Sector eléctrico Vulnerabilidades de día cero
Software especializado (Sistema Scada)
Afectación de infraestructura crítica
Ciberinteligencia, ciberespionaje, centrales de inteligencia
Web oscura / profunda, filtraciones de centrales de inteligencia
Cibercrimen, ciberterrorismo, malware como servicio
Stuxnet Black energy Black energy
Crashoverride
Hidden Cobra
Wannacry
TrisisCiber actividad
maliciosa de Rusia
Hidden Cobra
Marcos gubernamentales
Agosto 2016: adoptó la Directiva de Seguridad
de las Redes y Sistemas de Información (NIS)
Noviembre 2016: incorporó elementos de la Directiva NIS en su nueva ley nacional de seguridad cibernética
Abril 2016: adoptó los lineamientos de la
OCDE a través de la Política Nacional de
Seguridad Digital
Estados Unidos: en marzo de 2014, el Instituto Nacional de Estándares yTecnología publicó un marco para mejorar la seguridad cibernética deinfraestructura crítica, con actualizaciones en 2017 (NIST).
Marcos adoptados por el sector eléctricocolombiano
Corporación norteamericana de confiabilidad eléctrica: requisitos técnicos para la gestión de la ciberseguridad, a través de la administración y aseguramiento de los activos cibernéticos.
Consejo Nacional de Operación del sistema eléctrico colombiano: guía de Ciberseguridad para realizar la gestión, aplicable al operador del Sistema y los agentes generadores,
transmisores y distribuidores.
* CCOC (Comando Conjunto cibernético de
las Fuerzas Militares).* COLCERT (Grupo de
respuesta a emergencias
cibernéticas en Colombia).
* CSIRT (Equipo de Respuesta ante
Incidentes de Seguridad).
Iniciativas a nivel país
2011-2015 2014-2018
o Estrategia Nacional de Ciberseguridad: Creación de equipos de respuesta a incidentes de seguridad cibernética (CSIRTs*) para sectores críticos.
o Fortalecimiento de las capacidades en ciberdefensa.
2016-2019
o Política nacional de seguridad digital.
o Marco institucional.
o Gestión de riesgo cibernético.
o Fortalecer la defensa y seguridad nacional.
o Desarrollar la cooperación, colaboración y asistencia.
o Acuerdo de obligatorio cumplimiento sector eléctrico.
o Basada en el estándar Nerc Cip v4.
o Establecen responsables de ciberseguridad por compañía
o Identificación de ciberactivos.
o Gestión seguridad ciberactivos.
o Seguridad Física ciberactivos.
o Plan de recuperación
o Lineamientos de política para ciberseguridad y ciberdefensa.
o Fortalecimiento en protección estatal en el ciberespacio mediante equipos especializados en ciberseguridad en: Ejercito, Policía y Sectores Críticos. (CCOC y COLCERT)
Iniciativas a nivel país
Infraestructura crítica cibernética nacional:
Es aquella soportada por las TIC y por las tecnologías deoperación, cuyo funcionamiento es indispensable para laprestación de servicios esenciales para los ciudadanos ypara el Estado.
Su afectación, suspensión o destrucción puede generarconsecuencias negativas en el bienestar económico de losciudadanos, o en el eficaz funcionamiento de lasorganizaciones e instituciones, así como de la administraciónpública.
Implementar planes de protección de la infraestructura crítica cibernética.
Objetivos
Estratégicos o XM, desde su constitución, ha visto la gestión
integral del riesgo como elemento clave para el logro de sus objetivos.
o Incremento en el nivel de madurez en gestión de riesgo cibernético
o Monitoreo continuo del riesgo
¿Cuál es la estrategia de la compañía?
¿Ciber como riesgo u oportunidad?
Estrategia
Equipo interdisciplinario
• Junta Directiva
• Comité de Gerencia: Comité de Seguridad
Seguridad de la InformaciónRiesgos
Ciberseguridad Seguridad Física
Procesos de Negocio
Preguntas para tratar de determinar la máxima perdida/reclamación/impacto posible:
Evaluación de escenarios
¿Qué pasa si XM no puede prestar el servicio a cargo de su proceso de negocio en un periodo de tiempo?
¿Qué afectaciones podría ocasionar? ¿Quiénes podrían reclamar o demandar a XM por esta situación?
Si por un ciberataque a XM, se generara una demanda no atendida o un apagón, ¿qué implicaría esto para XM?
¿De qué cuantía podrían ser aproximadamente esas demandas o reclamaciones?
Evaluación de escenarios
Escenario 1 8 horas 12 horas 24 horas
10% interrupción $ $ $
50% interrupción $ $ $
100% interrupción $ $ $
Escenario 2 8 horas 12 horas 24 horas
10% interrupción $ $ $
50% interrupción $ $ $
100% interrupción $ $ $
Escenario 3 8 horas 12 horas 24 horas
10% interrupción $ $ $
50% interrupción $ $ $
100% interrupción $ $ $
Ficha de riesgos: Ejemplo
Información hipotética
Prevenir
Proteger
Valor del Riesgo
Co
nte
xto
Meto
do
lóg
ico
: an
áli
sis
y e
valu
ació
n
Ataque cibernético que afecte la integridad, confidencialidad o disponibilidad de los servicios prestados por XM
Causas/Consecuencias
Situación deseada
Situación actual
Riesgo
Vulnerabilidades que hacen
posible un ataque cibernético
exitoso
Disminución de vulnerabilidades
que limiten el éxito de un
ataque cibernético
• Condiciones de seguridad y continuidad en contratos con proveedores críticos
• Pólizas de Cyber Risk y de Responsabilidad Civil
• Comunicación con autoridades (Plan de comunicación en crisis)
• Plan de Continuidad del Negocio
• Pla de Respuesta
• Vulnerabilidades • Ejecución de archivos no
confiables o con contenido malicioso
• Ataques robustos o elaborados • Falla crítica de los controles• Ingeniería social
• Afectación de la información
• Reclamaciones / Demandas
• Cuestionamientos • Sanciones
• Implementación acuerdos CNO 788 y CNO 1004
• CONPES 3854 – Política Nacional de Seguridad Digital
• Acuerdo de supervisión con Comando Conjunto Cibernético (CCOC)
• Programa Integral de Ciberseguridad.
Medidas de administración actuales
• Controles de seguridad informática
• Pruebas de Hacking Ético y auditorías periódicas
• Políticas de seguridad de la información
• Planes de capacitación y sensibilización en seguridad de la información
$ X
MUSD
Medidas de administración
potenciales
Programa Integral de CiberseguridadContexto y Enfoque
Tecnología
Incidentes y
Continuidado Gestión de riesgo
cibernéticoo Capacidad organización
para respuesta ante ciber ataque
o Pruebas de seguridad y vulnerabilidad
o Gestión de incidentes de seguridad
Cultura y Gobiernoo Programas de
entrenamiento y concientización adaptados a las responsabilidades de cada rol.
o Gobierno de Ciberseguridad
Ciberseguridad Activao Fortalecer capacidades
de detección, respuesta y recuperación
o Centro de Operaciones de Seguridad (SOC)
o Controles Tecnológicos
Personas
Procesos
• ¿Por qué la “caja negra” no es una opción?
• ¿Por qué están en riesgos los sistemas industriales (SCADA)?
• ¿Cómo gestionar el riesgo cibernético en OT?
• ¿Cómo aprender de la experiencia de ciberseguridad en IT?
• Transición hacia una ciberseguridad activa: Estar alerta y saber qué sucede en nuestra infraestructura
• Cooperación y ciberinteligencia
• Aspectos clave en la gestión del riesgo cibernético
Gestión del riesgo cibernético en sistemas SCADA
25
• Seguridad por oscuridad
• Evolución de los negocios
• Información para la decisión
• Necesidades de tecnologías
• Sinergias - Convergencia IT-OT
¿Por qué la “caja negra” ya no es una opción?
26
¿Por qué están en riesgos los sistemas industriales (SCADA)?
27
ASPECTO IT (Tecnologías de Información) OT (Tecnologías de Operación)
Objetivo – Propósito Confidencialidad, Integridad y Disponibilidad
Disponibilidad, integridad y confidencialidad
Ciclo de vida 2/3 años. Muchos proveedores 10/20 años con reducido numero de proveedores (específicos y sectoriales)
Gestión del riesgo Practica habitual que conduce a inversión en ciberseguridad
Practica realizada bajo demanda. A necesidad o por regulación.
Desarrollo de SGSI Usual. Se integra a la operación del negocio
No usual. No integrado.
Gestión de vulnerabilidades (antimalware –patch)
Habitual, políticas definidas y automatizadas
Poco habitual por la criticidad de los sistemas, complejo de desplegar y actualizar. Sin políticas específicas.
Cumplimiento de normativas Normativas genéricas Normativas especificas y sectoriales
Testing y auditorías Se utilizan metodologías y estándares. Evoluciona.
Pruebas especificas
Gestión de Incidentes y análisis forense
Proceso desplegado. En ocasiones de carácter obligatorio
Poco habitual. No realiza análisis forense
Fuente: http://www.ciberseguridadlogitek.com/seguridad-it-versus-ciberseguridad-industrial/
• Implementar medidas de seguridad para reducir el riesgo
• Administrar la seguridad para una protección integral: Personas + Procesos + Tecnología
• Evaluar la seguridad para medir el riesgo
• Aprender de la experiencia en IT
• Sinergias en gestión de conocimiento
¿Cómo gestionar el riesgo cibernético en OT?
28
Protección
continua
Riesgo
reducidoPlanificación
de la respuesta
Estrategia de defensa contra amenazas potenciales
Referentes para asegurar las operaciones y proteger la información
o XM cuenta con un SGSI certificado, lo que permea la cultura organizacional con el fin deproteger la información de los agentes del mercado eléctrico.
o Adoptamos buenas prácticas del NIST y el estándar NERC-CIP.
Necesidad de pasar a una Defensa activa en Ciberseguridad
Fuente: Gartner Research
Transición hacia una ciberseguridad activa
o Apoyo de la alta administracióno Grupos interdisciplinarios de
trabajoo Grupos de interés y grupos del
sectoro Cultura y capacitacióno Conciencia situacional
o Gobierno de Ciber
o Plan de continuidad de negocio
o Análisis de permanente de riesgos
o Pruebas de seguridad y vulnerabilidad / auditorias
o Gestión de incidentes de Seguridad
o Ajuste en diseño y definición de procesos
Programa Integral de
Ciberseguridad
o Seguridad desde el diseñoo Integración de seguridad OT y TI o Convenio con el Comando Conjunto
Cibernéticoo Pruebas de intrusión y vulnerabilidadeso Ciberseguridad Activa
Meta: Ciberseguridad activa Fortalecer capacidades de detección, respuesta y recuperación
Centro de Operaciones de Seguridad (SOC)
Personas
ProcesosTecnología
Transición hacia una ciberseguridad activa
¿Contamos con los conocimientos y hábitos necesarios para proteger adecuadamente la información de la organización y del sector?
Programa de concienciación, entrenamiento y capacitación
Encuesta web
Pruebas Ing. Social
Entrevistas grupales –Áreas de negocio
Fortaleciendo la cultura organizacional
Ciberseguridad activa
o Activos (identificación, interrelaciones y necesidades)
o Sondas y colectores (protocolos industriales)
o Monitoreo permanente
o Correlación y análisis
o Gestión de incidentes y tiquetes
o Inteligencia y gestión del conocimiento
o Seguridad por Diseño
Monitoreo 7x24
o Integración sistemas gestión
o Documentación
o Evidencias
o Mejora continua
Procesos y procedimientos
Implementación SOC IT/OTS
eg
uri
dad
acti
va -
7x2
4
“Mantenerse seguro significa mantenerse activo” Siemens
Cooperación y ciberinteligencia
o Con agencias públicas y privadas, nacionales einternacionales en temas de ciberseguridad
o Con los CERT y CSIRT existentes que apoyen la gestión deciberseguridad del sector
o Con otros sectores estratégicos para mejoras las practicas delsector
o Fomentar el desarrollo de Investigación, desarrollo einnovación (I+D+I) en ciberseguridad con la academia
o Fomentar la cooperación con organismos de desarrollo deestándares que fortalezcan la ciberseguridad del sector
Claves para gestionar el riesgo cibernético
Cuantificar la exposición al riesgo.
El apoyo y convencimiento de la Alta Administración es fundamental.
El programa de ciberseguridad debe estar totalmente conectado con la estrategia de la compañía.
Claridad en roles y responsabilidades. El líder no debería ser tecnología, requiere transversalidad y enfoque en procesos de negocio.
Consolidar un equipo. Disponer de personas con dedicación exclusiva y permanentemente capacitadas.
No solo inversiones en tecnología, las personas suelen ser la parte mas vulnerable. Cultura permanente.
Auditorías con enfoque ciber en puesta en producción de grandes proyectos.
Enfoque proactivo. Redes con terceros.
Claves para gestionar el riesgo cibernético
39
“Sólo existen dos tipos de empresas:aquellas que han sido hackeadas, y otrasque lo serán en el futuro”.
Robert Mueller, Director FBI, 2012
Recommended