Proveer a las organizaciones la capacidad de respuesta y

Proveer a las organizaciones la capacidad de

respuesta y protección ante los riesgos del

negocio en un mundo digital.

Eduardo Morales C. + 17 años en la industria de las TIC

Desde 2016, Jefe Desarrollo de Productos y uno de los Creadores de la Unidad Entel

CyberSecure

para Corporaciones. Responsable del Portfolio de Nuevas Soluciones, Servicios y Alianzas

Estratégicas para nuestro CCI (Centro de Ciber Inteligencia).

2017-2018, Socio activo del Cigré Comité Chileno y líder del Workgroup de Ciberseguridad

y Ciber Riesgos para el estudio y análisis de las Infraestructuras críticas de las

empresas eléctricas.

Ing. Civil Eléctrico (U. de Chile)

MBA Universidad de Chile

Diplomado en Ciberseguridad y Ciberdefensa (c)

Agenda_

> La Digitalización en la Sociedad

> El reto del Riesgo

> Framework y Normativas II.CC.

> Cerrar la Brecha de Riesgo en II.CC.

> Conclusiones

La Digitalización en la Sociedad_

Ciberespacio_ Riesgos y Oportunidades

El desarrollo de las TIC ha generado un nuevo espacio de relación,

denominado “Ciberespacio”, lugar donde no existen fronteras y donde

se generan muchas oportunidades, pero también riesgos y amenazas en

un entorno dinámico.

El aumento de la superficie de ataque implica un

aumento en la demanda de servicios y soluciones

de ciberseguridad orientadas a mitigar los riesgos.

Definiciones de Ciberespacio:

“The digital revolution is not about technology – it’s about people”.

Digitalización_ Potenciada por la Sociedad Digital

“Los principios que formaban parte de este

nuevo entorno de TI ahora se extienden más

allá de la TI, involucrando a los Recursos

Humanos. Estos principios digitales deben

ofrecer nuevas maneras de trabajar ágiles”.

Hackers

Habilidades Digitales

Ataca y Aprovecha la Debilidad

en las Habilidades Digitales referentes al Uso y Gestión

de los Datos Críticos.

Amenazas y

Brechas de Seguridad

“Un reto a la estructura organizacional y a nuestros responsables TIC que deben sortear con las nuevas

necesidades y habilidades digitales que ellos demandan, pero por otro lado hacer frente a los gaps de

vulnerabilidades que con ello arrastra”.

Gestión de la Información_ Desde la Perspectiva Ciberseguridad

Se hace necesaria una

mirada de

Ciberseguridad.

Millennials

El Reto del Riesgo_

Impacto de un Ciberespacio inseguro_

Internet de las Cosas

MIRAI es una botnet, o red de ordenadores y dispositivos

zombies, que, por culpa de las pésimas medidas de seguridad

del Internet de las Cosas, creció exponencialmente a finales de

2016 y fue utilizada en varias ocasiones para llevar a cabo

distintos ataques informáticos, especialmente ataques DDoS,

siendo uno de los más graves el ataque contra Dyn que

dejó sin conexión a medio Internet.

Ataques denegación de Servicio > 1 Tb

F5 Lab – Agosto 2017

Ciber Amenazas_Ataques y Target Globales 2018

Risk Management_Industrial Control System Security

“Approach Multitier para la aplicación de la

Gestión del Riesgo en Redes ICS”

https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-

CERT_Defense_in_Depth_2016_S508C.pdf

Estructura y Proceso

Fuente: Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, National

Institute of Standards and Technology, April 16, 2018

Madurez en Seguridad (CMM)_ MIL 1-5

Competencias clave para garantizar la protección frente a las ciber amenazas. Un proceso de evaluación

del grado de madurez de las competencias actuales de los recursos que permitirá diseñar y establecer un

modelo lógico para el desarrollo de las capacidades futuras

Gobierno Corp_Mirada Estratégica de la Ciberseguridad

La ciberseguridad requiere de nuevos modelos de gestión, con una visión integral y nueva estructura organizacional.

• Gobierno

• Tecnología

• Procesos

• Personas

Frameworks y Normativas II.CC._

ISACA_IACS Cybersecurity Framework

Uno de los más completos estándares es el NERC CIP, establecido en 2006. Éste

abarca tres aspectos principales:

• Management—Establishing a risk-based approach and security policies, together

with personnel security measures, from training to background checks (CIP 002 “Critical

Asset Identification,” CIP 003 “Security Management Controls” and CIP 004 “Cyber

Security Personnel and Training”)

• Asset protection—Defining logical and physical security measures to protect

critical assets, including hardening, configuration management, technical assessments

and monitoring (CIP 005 “Electronic Security Perimeter” and CIP 006 “Physical

Security”)

• Operations—Identifying processes to secure critical assets and incident

response and recovery procedures to handle issues (CIP 007 “System Security

Management,” CIP 008 “Incident Reporting and Response Planning” and CIP 009

“Recovery Plan for Critical Cyber Assets”)

NERC CIP es obligatorio solo para el sector eléctrico USA, pero proporciona una

guía valiosa en la protección de activos críticos que pueden ser transferibles a

otras industrias.

España, Ley PIC 8/2011 y Real Decreto 704/2011

https://www.incibe.es/

España, Ley PIC 8/2011 y Real Decreto 704/2011

Tabla General de Impacto de una Infraestructura Estratégica

Sectores Estratégicos

¿Qué es una infraestructura crítica?

“Aquellas instalaciones, redes, servicios y equipos físicos y de

tecnología de la información cuya interrupción o destrucción tendría un

impacto mayor en la salud, la seguridad o el bienestar económico de los

ciudadanos o en el eficaz funcionamiento de las instituciones del Estado

y de las Administraciones Públicas“

USA, Critical Infrastructure Community

Definición “La infraestructura crítica de la nación proporciona los servicios esenciales que sustentan la sociedad americana y sirven como la columna vertebral de la economía, la seguridad y la salud de nuestra nación. Lo conocemos como el poder que usamos en nuestros hogares, el agua que bebemos, el transporte que nos mueve, las tiendas en las que compramos y los sistemas de comunicación en los que confiamos para mantenerse en contacto con amigos y familiares”. En general, hay 16 sectores de infraestructura crítica que componen los activos, sistemas y redes, ya sean físicos o virtuales, tan vitales para los Estados Unidos que su incapacitación o destrucción tendría un efecto debilitante sobre la seguridad nacional, la salud pública nacional o Seguridad, o cualquier combinación de los mismos. La Oficina de Protección de Infraestructura (IP) de la Dirección Nacional de Protección y Programas dirige el esfuerzo nacional coordinado para gestionar los riesgos de la infraestructura crítica del país y mejorar la seguridad y la resistencia de la infraestructura física y cibernética de Estados Unidos. Lea más sobre cómo lidera IP este esfuerzo nacional..

Cerca del 85% de las infraestructuras críticas

están en manos de privados.

NIPP 2013

Plan de Protección Nacional de Infraestructuras “En febrero de 2013, el Presidente emitió la Directiva de Política Presidencial 21 (PPD-21), Seguridad de las infraestructuras críticas y solicita explícitamente una actualización del Plan Nacional de Protección de Infraestructuras (NIPP). El NIPP se publicó por última vez en 2009. El Plan Nacional se basa en los NIPP anteriores al enfatizar los objetivos complementarios de la seguridad y la resiliencia para la infraestructura crítica. Para alcanzar estos objetivos, la seguridad cibernética y física y la resiliencia de los activos de infraestructura crítica, sistemas y redes se integran en un enfoque más Empresarial de la Gestión de Riesgos”.

“Una mirada más amplia de las Amenazas, más allá de los Ataques Físicos y Virtuales,

con un alcance Nacional y Sectorial de manera Sustentable y de Mejora Continua.

https://www.dhs.gov/national-infrastructure-protection-plan

Cerrar la Brecha de Riesgo en II.CC._

Evolución y Creación de _SOC Avanzados

Mandiant´s Framework to Cyberdefense Center

Gestionar un Centro de Operaciones de Seguridad (SOC) se volvió tan complejo

que requiere de apoyo a nivel de Partner MSSP (Managed Security Service

Provider) para proveer los especialistas y herramientas de Virtual SOC.

Uso del Cloud (Anti DDoS), Big Data (Security Analytics) e IA

(Machine Learning y Threat Intelligence)

Ciber Resiliencia_Uso de Ciberejercicios como

Simulación y Respuesta ante Ataques

Certificaciones_Recomendadas

Las certificaciones, adherencias y el cumplimiento normativo en Ciberseguridad se vuelve

relevante para subir los niveles de madurez a nivel del: Gobierno, Procesos, Personas y

Tecnología en Ciberseguridad.

para Organizaciones para Profesionales

para CSIRT

Colaboración y Cooperación_Transversal

Internet es el resultado de un trabajo continuo

y colaborativo de todos.

Ciberseguridad

Corporativa

Partners de Seguridad

SOCs y CSIRTs

II.CC.

Ciber Inteligencia y Ciber Resiliencia

Organizacional con Foco País

Gobierno (Políticas, Normativas)

Academia (Formación, Investigación)

Si lo Construimos entre todos debemos protegerlo entre

todos

Evolución

Comunidad (ONG´s, Expertos)

Conclusiones_

La ciberseguridad como aspecto estratégico para la sociedad

digital para comenzar a abordarlo en todo nivel. #1

Enfatizar en el desarrollo de conciencia y mentalidad

cibernética desde la escolaridad hasta llegar a la cultura

institucional.

#3

La colaboración e intercambio de información como aspecto

clave para enfrentar los ciberataques en conjunto como País. #2

Formación y educación cibernética para reducir la falta de

profesionales expertos en esta materia. #4

#5 Concretar una Ley de Protección de II.CC.

Conclusiones_

Eduardo Morales Cabello ecmorales@entel.cl

VP Corporaciones Entel

Santiago, Chile

Mayo 2018