Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1
La Protección de las Infraestructuras La Protección de las Infraestructuras La Protección de las Infraestructuras La Protección de las Infraestructuras Críticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de España
CNPICCNPICCNPICCNPIC
• Creación en el año 2.007
• Dependencia del Ministerio del Interior a través de la Secretaría de Estado de Seguridad
• Misión:
• Desarrollo del PNPIC
• Gestión del Catálogo Nacional de Infraestructuras Estratégicas
2
Ejes de Ejes de Ejes de Ejes de trabajotrabajotrabajotrabajo
• Sistema Integrado PIC
• Implantación legislación PIC
• Participación Público Privada
(confianza y cooperación mutuas)
• Catálogo IC
• Ciberseguridad de las IC
• Operación CERTSI
• Coordinación operadores y FCSECat. Nacional Cat. Nacional Cat. Nacional Cat. Nacional
Infraestructuras Infraestructuras Infraestructuras Infraestructuras EstratégicasEstratégicasEstratégicasEstratégicas
•Ley 8/2011Ley 8/2011Ley 8/2011Ley 8/2011•RD 704/2011RD 704/2011RD 704/2011RD 704/2011
•CERTSICERTSICERTSICERTSI•OCC
Conceptos Conceptos Conceptos Conceptos PIC: ¿PIC: ¿PIC: ¿PIC: ¿Qué es una Infraestructura CríticaQué es una Infraestructura CríticaQué es una Infraestructura CríticaQué es una Infraestructura Crítica????
3
Infraestructuras Críticas
“…. cuando su funcionamiento es indispensable y no permite soluciones alternativas”
Instrumentos de PlanificaciónInstrumentos de PlanificaciónInstrumentos de PlanificaciónInstrumentos de Planificación
PNPICPNPICPNPICPNPIC
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS
PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO
PNPICPNPICPNPICPNPICGobiernoGobiernoGobiernoGobierno
Elaborados por el GTPICElaborados por el GTPICElaborados por el GTPICElaborados por el GTPIC
De cada operador críticoDe cada operador críticoDe cada operador críticoDe cada operador crítico
De cada infraestructura críticaDe cada infraestructura críticaDe cada infraestructura críticaDe cada infraestructura crítica
Medidas adicionales y Medidas adicionales y Medidas adicionales y Medidas adicionales y excepcionales de seguridadexcepcionales de seguridadexcepcionales de seguridadexcepcionales de seguridad
4
Plan Nacional de PICPlan Nacional de PICPlan Nacional de PICPlan Nacional de PIC
• Elaborado por la SES: dirige y coordina las actuaciones de las AAPP y los operadores críticos.
• Articula medidas preventivas para asegurar la protección permanente.
• Prevé distintos niveles de seguridad e intervención policial relacionado con el Plan de Prevención y Protección Antiterrorista.
• Aprobado año 2007, actualizado 2016
• Contempla cinco niveles de seguridad
PNPICPNPICPNPICPNPIC
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS
PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO
PNPICPNPICPNPICPNPIC
Planes Estratégicos SectorialesPlanes Estratégicos SectorialesPlanes Estratégicos SectorialesPlanes Estratégicos Sectoriales
• Elaborados por los Grupos de trabajo PIC.
• Coordinados por el CNPIC.
• Liderados por los Ministerios competentes.
• Aprobados por la Comisión PIC.
• Finalidad Conocer:
• Funcionamiento de los servicios esenciales.
• Vulnerabilidades del sector.
• Consecuencias potenciales de su inactividad.
• Medidas organizativas necesarias para su mantenimiento.
PNPICPNPICPNPICPNPIC
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS
PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
5
Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
• Análisis de la normativa
• InternacionalInternacionalInternacionalInternacional• EuropeaEuropeaEuropeaEuropea• NacionalNacionalNacionalNacional• SectorialSectorialSectorialSectorial
• Actividades y Actividades y Actividades y Actividades y aspectos reguladosaspectos reguladosaspectos reguladosaspectos regulados
• Evitar incompatibilidades y Evitar incompatibilidades y Evitar incompatibilidades y Evitar incompatibilidades y duplicidadesduplicidadesduplicidadesduplicidades
Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
• Servicios esenciales y funcionamiento del Sector
• SubsectorSubsectorSubsectorSubsector
• ÁmbitoÁmbitoÁmbitoÁmbito
• SegmentoSegmentoSegmentoSegmento
6
Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
• Tipología de infraestructuras e identificación de operadores
Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
• Interdependencias
7
Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
• Criticidad del servicio
II.II.II.II. Impacto económicoImpacto económicoImpacto económicoImpacto económico y deterioro de productos y servicios
IV.IV.IV.IV. Impacto público y social Impacto público y social Impacto público y social Impacto público y social y deterioro de servicios esenciales
I. I. I. I. VíctimasVíctimasVíctimasVíctimas y consecuencias para la salud pública
III.III.III.III. Impacto Impacto Impacto Impacto medioambientalmedioambientalmedioambientalmedioambientaly degradación del lugar
Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
• Análisis de riesgos
• Medidas organizativas
• Tablas de amenazasTablas de amenazasTablas de amenazasTablas de amenazas• Análisis del impactoAnálisis del impactoAnálisis del impactoAnálisis del impacto
• Medidas de carácter genéricoMedidas de carácter genéricoMedidas de carácter genéricoMedidas de carácter genérico
8
Planes Estratégicos Sectoriales (Sectores)Planes Estratégicos Sectoriales (Sectores)Planes Estratégicos Sectoriales (Sectores)Planes Estratégicos Sectoriales (Sectores)
EnergíaTIC
Agua
Alimentación
Administración I. Química FinancieroSalud
Investigación
Espacio
TransporteNuclear
Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)Planes Estratégicos Sectoriales (estructura)
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
• Proceso de designación
9
Planes de Seguridad del operadorPlanes de Seguridad del operadorPlanes de Seguridad del operadorPlanes de Seguridad del operador
• Documentos estratégicos de las políticas de seguridad del operador.
• Relación de servicios esenciales que presta.
• Metodología de análisis de riesgos que garantice la continuidad de los servicios proporcionados.
• Debe fijar criterios de implantación de las medidas de seguridad adoptadas.
PNPICPNPICPNPICPNPIC
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS
PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
Planes de Protección EspecíficosPlanes de Protección EspecíficosPlanes de Protección EspecíficosPlanes de Protección Específicos
• Define medidas concretas que garanticen la seguridad integral.
• Medidas permanentes y temporales en función de la activación de niveles del PNPIC.
• Debe fijar criterios de implantación de las medidas de seguridad adoptadas.
PNPICPNPICPNPICPNPIC
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS
PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO
PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS
10
Planes de Apoyo OperativoPlanes de Apoyo OperativoPlanes de Apoyo OperativoPlanes de Apoyo Operativo
• Para cada infraestructura crítica se desarrollará un plan sobre medidas concretas de apoyo de las AAPP.
• Elaborado por el Cuerpo Policial estatal o autonómico competente.
• Medidas de vigilancia, prevención, protección y reacción.
PNPICPNPICPNPICPNPIC
PLANESPLANESPLANESPLANESSECTORIALESSECTORIALESSECTORIALESSECTORIALES
PLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADPLANES SEGURIDADOPERADOROPERADOROPERADOROPERADOR
PLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNPLANES PROTECCIÓNESPECÍFICOSESPECÍFICOSESPECÍFICOSESPECÍFICOS
PLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVOPLANES APOYO OPERATIVO
La La La La Ciberseguridad Ciberseguridad Ciberseguridad Ciberseguridad de las Infraestructuras de las Infraestructuras de las Infraestructuras de las Infraestructuras Críticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de EspañaCríticas: el caso de España
11
Oficina de Coordinación CibernéticaOficina de Coordinación CibernéticaOficina de Coordinación CibernéticaOficina de Coordinación Cibernética
• La misión de la Oficina de Coordinación Cibernética (OCC) es la de centralizar todas las actividades relacionadas con la cibercriminalidad, el ciberterrorismo y la ciberseguridad de las infraestructuras críticas, dentro del marco competencial del Ministerio del Interior
Objetivos de la OCCObjetivos de la OCCObjetivos de la OCCObjetivos de la OCC
• Coordinar la respuesta ante un ciberincidente enlazando con el CERTSI y con la unidad tecnológica de las FCSE.
• Establecer un canal de alerta temprana e intercambio de información sobre vulnerabilidades, ciberamenazas y ciberataques.
• Conciencia situacional fidedigna del estado de la ciberseguridad a nivel nacional.
12
Rol de la OCCRol de la OCCRol de la OCCRol de la OCC
Dispositivos CiberseguridadDispositivos CiberseguridadDispositivos CiberseguridadDispositivos Ciberseguridad
Proclamación de Felipe VI como Rey
de España
13
El CERT de Seguridad e Industria (CERTSI_) es la Capacidad de
Respuesta a incidentes de Seguridad de la Información del MINETUR
y del MIR, adscrito al CNPIC y al INCIBE, y operado por éste
último. Este servicio se creó en el año 2012 a través de un AcuerdoMarco de Colaboración en materia de Ciberseguridad entre la SETSIy La SES. Actualmente es regulado mediante Acuerdo de 21 deoctubre de 2015, suscrito por ambas Secretarías.
El CERTSI_ es el CERT Nacional español competente en la prevención,
mitigación y respuesta ante incidentes cibernéticos en el ámbito de
las empresas, los ciudadanos y los operadores de infraestructurascríticas.
CERT de Seguridad e IndustriaCERT de Seguridad e IndustriaCERT de Seguridad e IndustriaCERT de Seguridad e Industria
Convenio SES-SETSI(04/10/2012)
PROTECCIÓN DE LAS IICC
LUCHA CONTRA LOS CIBERDELITOS Y EL CIBERTERRORISMO
DIFUSIÓN, CONCIENCIACIÓN, FORMACIÓN Y CAPACITACIÓN
Objetivos del convenio
14
Análisis y resolución
de incidentes en
Operadores
Respuesta a incidentes
Detección proactiva
Alerta tempranaDetector de incidentes
Information gathering
Ciber-ejerciciosPreventivos
647.300.717
Servicio en formato 24x7
Respuesta a incidentes en infraestructuras críticasRespuesta a incidentes en infraestructuras críticasRespuesta a incidentes en infraestructuras críticasRespuesta a incidentes en infraestructuras críticas
17
134
66
2013 2014 2015 2016
204
15
PPPA Instrucción 3/2015PPPA Instrucción 3/2015PPPA Instrucción 3/2015PPPA Instrucción 3/2015
DIFUSIÓN LIMITADA
16
Guía de reporte de Guía de reporte de Guía de reporte de Guía de reporte de ciberincidentesciberincidentesciberincidentesciberincidentes
13 categorías
VULNERABILIDAD0-DAY
INFECCIÓNMALWARE
RANSOMWARE
DISTRIBUCIÓNDE
MALWARE
DENEGACIÓNDE
SERVICIO
AMENAZAAPT
DEFACEMENT
REPORTE DE INCIDENTESREPORTE DE INCIDENTESREPORTE DE INCIDENTESREPORTE DE INCIDENTES
• Clasificación de incidentes que sirve de orientación
• Siempre deberá considerarse la de mayor impacto.
• Para cada categoría, se precisa:
• Definición
• Contexto
• Ventana de Reporte
• Nivel PNPIC
17
Guía de reporte de Guía de reporte de Guía de reporte de Guía de reporte de incidentesincidentesincidentesincidentes
Nivel 1BajoNivel 1Bajo
Nivel 2ModeradoNivel 2Moderado
Nivel 3MedioNivel 3Medio
Nivel 4AltoNivel 4Alto
Nivel 5Muy altoNivel 5Muy alto
SLA CERTSI: 90´
No hay obligación de reportar para los operadores
SLA CERTSI: 90´
No hay obligación de reportar para los operadores
SLA: 60´
Se reportarán incidentes:• 0 Day• APT• DoS/DDoS
SLA: 60´
Se reportarán incidentes:• 0 Day• APT• DoS/DDoS
SLA: 45´
Se reportarán incidentes:• Nivel 3• Intrusión• Ransomware• fuga de datos• defacement
SLA: 45´
Se reportarán incidentes:• Nivel 3• Intrusión• Ransomware• fuga de datos• defacement
SLA: 30´
Se reportarán incidentes:• Nivel 4• Malware • Escaneos • ingeniería
social
SLA: 30´
Se reportarán incidentes:• Nivel 4• Malware • Escaneos • ingeniería
social
INTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓN
FUNDAMENTO: Compartir los IOCs del malware conocido para
facilitar la detección
• Anonimización de la información compartida.
• Nodos de entrada para alimentación.
• Nodos de salida para obtención de información.
• Análisis de la información por parte de CERTSI.
18
INTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓN
Usuario 1 Usuario 2
Usuario N
Nodo N
Entrada
manual por
el CERTSI_
Acceso vía WEB por
otras organizaciones
Conexión
automatizada a
repositorios de
información
Federación con otras
organizaciones del país
Incidente
reportado
Intercambio de información sobre CIBERAMENAZAS:
Eventos vivos en el momento de su adición o publicación.
• Amenazas reales.
• De utilidad para distintas entidades.
• Ejemplos:
• Malware dirigido
• Botnets
• DDoS
• Ransonware
• Troyanos
• Fraude que pueda afectar a nivel sectorial/mundial
INTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓNINTERCAMBIO DE INFORMACIÓN
19
Beneficios
CiberejerciciosCiberejerciciosCiberejerciciosCiberejercicios
4. Concienciación a todos los niveles
1. Mejorar capacidades técnicas
2. Coordinación interna y externa
3. Mejorar los mecanismos de comunicación
3 Fases implementadas:
• Fase I: Ataque continuado
• Fase II: Roleplay
• Fase 3: Simulación de
incidente
CyberExCyberExCyberExCyberEx 2015201520152015
28 de septiembre – 19 de octubre
Especialización
Sector Financiero
Equipos confirmados18
Bancos13
2
Medios de pago2
Aseguradoras1
Sociedades valores
20
Criterios de participación
• Operadores críticos
• Orden de solicitud
VUELTA A UN EJERCICIO MULTISECTORIAL
CyberExCyberExCyberExCyberEx 2016201620162016
Graciaspor su atención