Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba Enjuto Nextel S.A.

2,363 views

Published on

Presentación de Joseba Enjuto, Responsable de Control Corporativo y Cumplimiento Legal de Nextel S.A., “Protección de las infraestructuras críticas: la fusión de dos mundos” en la XIII Jornada de la Seguridad TI de Nextel S.A. 2011

Published in: Technology
  • Be the first to comment

“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba Enjuto Nextel S.A.

  1. 1. Protección de las Infraestructuras Críticas: la fusión de dos mundos Joseba Enjuto Responsable de Control Corporativo y Cumplimiento Legal
  2. 2. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  3. 3. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  4. 4. ¿Qué es? <ul><li>Infraestructuras </li></ul><ul><ul><li>Instalaciones </li></ul></ul><ul><ul><li>Redes </li></ul></ul><ul><ul><li>Sistemas </li></ul></ul><ul><ul><li>Equipos físicos </li></ul></ul><ul><ul><li>Equipos informáticos </li></ul></ul><ul><li>Críticas </li></ul><ul><ul><li>Sobre ellas descansa el funcionamiento de los servicios esenciales </li></ul></ul><ul><ul><li>Su funcionamiento es indispensable y no permite soluciones alternativas </li></ul></ul><ul><ul><ul><li>Su perturbación o destrucción tendría un grave impacto en los servicios esenciales </li></ul></ul></ul>
  5. 5. Sectores Estratégicos Administración Espacio Nuclear Energía Salud TIC Química Investigación Agua Transporte Alimentación Financiero
  6. 6. Operadores Críticos <ul><li>Operador crítico: </li></ul><ul><ul><li>Entidad u organismo responsable de las inversiones o del funcionamiento diario de una infraestructura crítica </li></ul></ul><ul><li>Tipologías: </li></ul><ul><ul><li>Públicos / privados </li></ul></ul><ul><ul><li>Titulares / gestores </li></ul></ul><ul><ul><li>Diferencias por sector </li></ul></ul>
  7. 7. ¿Cuales?
  8. 8. Obligaciones <ul><li>Asesorar técnicamente al Ministerio del Interior, vía CNPIC </li></ul><ul><li>Colaborar en la elaboración de los Planes Estratégicos Sectoriales </li></ul><ul><li>Globalmente: </li></ul><ul><ul><li>Elaborar el Plan de Seguridad del Operador (PSO) </li></ul></ul><ul><ul><ul><li>6 meses de plazo tras el nombramiento como operador crítico </li></ul></ul></ul><ul><ul><li>Designar a un Responsable de Seguridad y Enlace </li></ul></ul><ul><li>Por cada infraestructura crítica: </li></ul><ul><ul><li>Elaborar un Plan de Protección Específico (PPE) </li></ul></ul><ul><ul><ul><li>4 meses de plazo tras la aprobación del PSO </li></ul></ul></ul><ul><ul><li>Designar a un Delegado de Seguridad </li></ul></ul><ul><li>Facilitar las inspecciones </li></ul><ul><li>Garantizar la seguridad de los datos relativos a sus infraestructuras </li></ul>
  9. 9. Marco Legal <ul><li>Europa: </li></ul><ul><ul><li>Directiva 2008/114/CE, de 8 de diciembre, sobre la identificación y designación de infraestructuras críticas europeas </li></ul></ul><ul><li>España: </li></ul><ul><ul><li>LPIC: Ley 8/2011, de 28 de abril, para la Protección de las Infraestructuras Críticas </li></ul></ul><ul><ul><li>RPIC: Real Decreto 704/2011, de 20 de mayo, Reglamento que desarrolla la LPIC </li></ul></ul>
  10. 10. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  11. 11. Principios Generales <ul><li>Catálogo Nacional de Infraestructuras Críticas </li></ul><ul><ul><li>~ 3500 infraestructuras </li></ul></ul><ul><li>Sistema de Protección de las Infraestructuras Críticas (SPIC) </li></ul><ul><ul><li>Agentes: </li></ul></ul><ul><ul><ul><li>Secretaría de Estado de Seguridad (Mº Interior) </li></ul></ul></ul><ul><ul><ul><li>CNPIC </li></ul></ul></ul><ul><ul><ul><li>Operadores Críticos </li></ul></ul></ul><ul><ul><ul><li>Otros </li></ul></ul></ul><ul><ul><ul><ul><li>Comisión Nacional PIC </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Grupo de Trabajo Interdepartamental PIC </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Administraciones Públicas (AGE, autonómicas y locales) </li></ul></ul></ul></ul>
  12. 12. Principios Generales <ul><li>Sistema de Protección de las Infraestructuras Críticas (SPIC) </li></ul><ul><ul><li>Instrumentos de Planificación: </li></ul></ul><ul><ul><ul><li>Plan Nacional de Protección de las Infraestructuras Críticas </li></ul></ul></ul><ul><ul><ul><ul><li>Elaborado por la Secretaría de Estado de Seguridad </li></ul></ul></ul></ul><ul><ul><ul><li>Planes Estratégicos Sectoriales </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por sector / subsector </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Elaborados por el Grupo de Trabajo y aprobados por la Comisión </li></ul></ul></ul></ul><ul><ul><ul><li>Planes de Seguridad del Operador </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por operador </li></ul></ul></ul></ul><ul><ul><ul><li>Planes de Protección Específicos </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por infraestructura crítica </li></ul></ul></ul></ul><ul><ul><ul><li>Planes de Apoyo Operativo </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por infraestructura crítica </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Elaborados por el cuerpo policial competente </li></ul></ul></ul></ul>
  13. 13. Principios Generales <ul><li>Protección </li></ul><ul><ul><li>Conjunto de actividades para asegurar </li></ul></ul><ul><ul><ul><li>Funcionalidad </li></ul></ul></ul><ul><ul><ul><li>Continuidad </li></ul></ul></ul><ul><ul><ul><li>Integridad física </li></ul></ul></ul><ul><ul><li>Con el objetivo de </li></ul></ul><ul><ul><ul><li>Prevenir, paliar y neutralizar el daño causado por un ataque deliberado </li></ul></ul></ul><ul><ul><ul><li>Garantizar la integración de estas actuaciones con las de otros agentes </li></ul></ul></ul>
  14. 14. Herramientas <ul><li>PSO : Plan de Seguridad del Operador (Crítico) </li></ul><ul><ul><li>Plan General para garantizar la seguridad del conjunto de las instalaciones y sistemas que gestiona. </li></ul></ul><ul><ul><li>Contenido: </li></ul></ul><ul><ul><ul><li>Políticas generales de seguridad </li></ul></ul></ul><ul><ul><ul><li>Metodología de análisis de riesgos de continuidad de los servicios del operador </li></ul></ul></ul><ul><ul><ul><li>Criterios de aplicación de las medidas de seguridad </li></ul></ul></ul><ul><ul><ul><ul><li>Físicas / Lógicas </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Asociadas a los riesgos en función de cada tipología de activo </li></ul></ul></ul></ul>
  15. 15. Herramientas <ul><li>PPE s: Planes de Protección Específicos </li></ul><ul><ul><li>Planes de bajo nivel que definen, para cada infraestructura crítica, las medidas de seguridad específicas asociadas. </li></ul></ul><ul><ul><li>Contenido: </li></ul></ul><ul><ul><ul><li>Medidas de seguridad de carácter permanente </li></ul></ul></ul><ul><ul><ul><li>Medidas de seguridad temporales previstas </li></ul></ul></ul><ul><ul><ul><ul><li>Dependientes de las amenazas y los riesgos identificados en el Plan de Seguridad del Operador </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Activación en base a amenazas concretas sobre cada infraestructura. </li></ul></ul></ul></ul>
  16. 16. Claves <ul><li>Dos mundos: </li></ul><ul><ul><li>Seguridad física </li></ul></ul><ul><ul><ul><li>Amenazas: Desastres naturales / desastres “industriales” / ataques </li></ul></ul></ul><ul><ul><li>Seguridad lógica </li></ul></ul><ul><ul><ul><li>Ciber-amenazas </li></ul></ul></ul>
  17. 17. Claves <ul><li>Tres momentos: </li></ul><ul><ul><li>Alerta </li></ul></ul><ul><ul><li>Prevención </li></ul></ul><ul><ul><li>Reacción </li></ul></ul>
  18. 18. Claves <ul><li>Una filosofía: </li></ul>RESILIENCIA
  19. 19. Ámbito de actuación <ul><li>Protección de Infraestructuras Críticas = </li></ul><ul><ul><li>Gestionadas integralmente </li></ul></ul><ul><ul><li>Seguridad física </li></ul></ul>+ <ul><ul><li>Seguridad lógica (TIC) </li></ul></ul>+ <ul><ul><li>Seguridad en interfaz físico–lógico (SCADA) </li></ul></ul>
  20. 20. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  21. 21. Proyectos <ul><li>Consultoría / Ingeniería: </li></ul><ul><ul><li>Continuidad de negocio </li></ul></ul><ul><ul><li>Continuidad de servicios </li></ul></ul><ul><li>I + D + i: </li></ul><ul><ul><li>Iñude (PV): Plataforma Integral para la Gestión de la Seguridad, Mantenimiento y Emergencias en Infraestructuras Críticas </li></ul></ul><ul><ul><li>Fasys (ES): Tecnología para garantizar por diseño y de forma integrada la seguridad y el bienestar en las fábricas </li></ul></ul><ul><ul><li>Bugyo Beyond (EU): Aseguramiento de la seguridad de las infraestructuras TIC </li></ul></ul><ul><ul><li>Secricom (EU): Comunicaciones integradas en situaciones de crisis </li></ul></ul>
  22. 22. Lecciones aprendidas Prevención >> Recuperación
  23. 23. Lecciones aprendidas Impacto <=> Riesgo BIA Análisis de Riesgos
  24. 24. Lecciones aprendidas Seguridad dinámica: Mantenimiento
  25. 25. Lecciones aprendidas TIC elemento integral
  26. 26. Lecciones aprendidas Detección temprana: Sensores
  27. 27. Lecciones aprendidas Inteligencia automatizada  Alertas
  28. 28. Lecciones aprendidas Prever consecuencias de situaciones de crisis
  29. 29. Lecciones aprendidas Arquitectura modular
  30. 30. Lecciones aprendidas Colaboración “tibia”
  31. 31. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  32. 32. Situación actual <ul><li>Necesidades de los operadores críticos: </li></ul><ul><ul><li>Agilidad </li></ul></ul><ul><ul><li>Eficacia </li></ul></ul><ul><ul><li>Precisión </li></ul></ul><ul><li>Dificultades de los operadores críticos : </li></ul><ul><ul><li>Vulnerabilidad </li></ul></ul><ul><ul><li>Concienciación </li></ul></ul><ul><ul><li>Especialización </li></ul></ul>?
  33. 33. Oferta de Nextel <ul><li>Propuesta de valor: </li></ul><ul><ul><li>Conocimiento especializado </li></ul></ul><ul><ul><li>Experiencia práctica </li></ul></ul><ul><ul><li>Capacidad de externalización </li></ul></ul>
  34. 34. Oferta de Nextel <ul><li>Servicios para Protección de Infraestructuras Críticas: </li></ul><ul><ul><li>Consultoría: </li></ul></ul><ul><ul><ul><li>Análisis de necesidades </li></ul></ul></ul><ul><ul><ul><li>Desarrollo de Planes de Seguridad </li></ul></ul></ul><ul><ul><ul><li>Desarrollo de Planes de Protección </li></ul></ul></ul><ul><ul><ul><li>Soporte a la gestión de la seguridad </li></ul></ul></ul><ul><ul><li>Ingeniería: </li></ul></ul><ul><ul><ul><li>Implantación de medidas de seguridad </li></ul></ul></ul><ul><ul><ul><li>Despliegue de planes </li></ul></ul></ul><ul><ul><li>Externalización: </li></ul></ul><ul><ul><ul><li>Operación de seguridad </li></ul></ul></ul><ul><ul><ul><li>Gestión de la seguridad </li></ul></ul></ul><ul><ul><ul><li>Despliegue de centros expertos </li></ul></ul></ul>
  35. 35. Dudas y preguntas FIN MUCHAS GRACIAS Joseba Enjuto Responsable de Control Corporativo y Cumplimiento Legal

×