“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba Enjuto Nextel S.A.

2,113 views

Published on

Presentación de Joseba Enjuto, Responsable de Control Corporativo y Cumplimiento Legal de Nextel S.A., “Protección de las infraestructuras críticas: la fusión de dos mundos” en la XIII Jornada de la Seguridad TI de Nextel S.A. 2011

Published in: Technology
  • Be the first to comment

“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba Enjuto Nextel S.A.

  1. 1. Protección de las Infraestructuras Críticas: la fusión de dos mundos Joseba Enjuto Responsable de Control Corporativo y Cumplimiento Legal
  2. 2. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  3. 3. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  4. 4. ¿Qué es? <ul><li>Infraestructuras </li></ul><ul><ul><li>Instalaciones </li></ul></ul><ul><ul><li>Redes </li></ul></ul><ul><ul><li>Sistemas </li></ul></ul><ul><ul><li>Equipos físicos </li></ul></ul><ul><ul><li>Equipos informáticos </li></ul></ul><ul><li>Críticas </li></ul><ul><ul><li>Sobre ellas descansa el funcionamiento de los servicios esenciales </li></ul></ul><ul><ul><li>Su funcionamiento es indispensable y no permite soluciones alternativas </li></ul></ul><ul><ul><ul><li>Su perturbación o destrucción tendría un grave impacto en los servicios esenciales </li></ul></ul></ul>
  5. 5. Sectores Estratégicos Administración Espacio Nuclear Energía Salud TIC Química Investigación Agua Transporte Alimentación Financiero
  6. 6. Operadores Críticos <ul><li>Operador crítico: </li></ul><ul><ul><li>Entidad u organismo responsable de las inversiones o del funcionamiento diario de una infraestructura crítica </li></ul></ul><ul><li>Tipologías: </li></ul><ul><ul><li>Públicos / privados </li></ul></ul><ul><ul><li>Titulares / gestores </li></ul></ul><ul><ul><li>Diferencias por sector </li></ul></ul>
  7. 7. ¿Cuales?
  8. 8. Obligaciones <ul><li>Asesorar técnicamente al Ministerio del Interior, vía CNPIC </li></ul><ul><li>Colaborar en la elaboración de los Planes Estratégicos Sectoriales </li></ul><ul><li>Globalmente: </li></ul><ul><ul><li>Elaborar el Plan de Seguridad del Operador (PSO) </li></ul></ul><ul><ul><ul><li>6 meses de plazo tras el nombramiento como operador crítico </li></ul></ul></ul><ul><ul><li>Designar a un Responsable de Seguridad y Enlace </li></ul></ul><ul><li>Por cada infraestructura crítica: </li></ul><ul><ul><li>Elaborar un Plan de Protección Específico (PPE) </li></ul></ul><ul><ul><ul><li>4 meses de plazo tras la aprobación del PSO </li></ul></ul></ul><ul><ul><li>Designar a un Delegado de Seguridad </li></ul></ul><ul><li>Facilitar las inspecciones </li></ul><ul><li>Garantizar la seguridad de los datos relativos a sus infraestructuras </li></ul>
  9. 9. Marco Legal <ul><li>Europa: </li></ul><ul><ul><li>Directiva 2008/114/CE, de 8 de diciembre, sobre la identificación y designación de infraestructuras críticas europeas </li></ul></ul><ul><li>España: </li></ul><ul><ul><li>LPIC: Ley 8/2011, de 28 de abril, para la Protección de las Infraestructuras Críticas </li></ul></ul><ul><ul><li>RPIC: Real Decreto 704/2011, de 20 de mayo, Reglamento que desarrolla la LPIC </li></ul></ul>
  10. 10. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  11. 11. Principios Generales <ul><li>Catálogo Nacional de Infraestructuras Críticas </li></ul><ul><ul><li>~ 3500 infraestructuras </li></ul></ul><ul><li>Sistema de Protección de las Infraestructuras Críticas (SPIC) </li></ul><ul><ul><li>Agentes: </li></ul></ul><ul><ul><ul><li>Secretaría de Estado de Seguridad (Mº Interior) </li></ul></ul></ul><ul><ul><ul><li>CNPIC </li></ul></ul></ul><ul><ul><ul><li>Operadores Críticos </li></ul></ul></ul><ul><ul><ul><li>Otros </li></ul></ul></ul><ul><ul><ul><ul><li>Comisión Nacional PIC </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Grupo de Trabajo Interdepartamental PIC </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Administraciones Públicas (AGE, autonómicas y locales) </li></ul></ul></ul></ul>
  12. 12. Principios Generales <ul><li>Sistema de Protección de las Infraestructuras Críticas (SPIC) </li></ul><ul><ul><li>Instrumentos de Planificación: </li></ul></ul><ul><ul><ul><li>Plan Nacional de Protección de las Infraestructuras Críticas </li></ul></ul></ul><ul><ul><ul><ul><li>Elaborado por la Secretaría de Estado de Seguridad </li></ul></ul></ul></ul><ul><ul><ul><li>Planes Estratégicos Sectoriales </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por sector / subsector </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Elaborados por el Grupo de Trabajo y aprobados por la Comisión </li></ul></ul></ul></ul><ul><ul><ul><li>Planes de Seguridad del Operador </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por operador </li></ul></ul></ul></ul><ul><ul><ul><li>Planes de Protección Específicos </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por infraestructura crítica </li></ul></ul></ul></ul><ul><ul><ul><li>Planes de Apoyo Operativo </li></ul></ul></ul><ul><ul><ul><ul><li>Uno por infraestructura crítica </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Elaborados por el cuerpo policial competente </li></ul></ul></ul></ul>
  13. 13. Principios Generales <ul><li>Protección </li></ul><ul><ul><li>Conjunto de actividades para asegurar </li></ul></ul><ul><ul><ul><li>Funcionalidad </li></ul></ul></ul><ul><ul><ul><li>Continuidad </li></ul></ul></ul><ul><ul><ul><li>Integridad física </li></ul></ul></ul><ul><ul><li>Con el objetivo de </li></ul></ul><ul><ul><ul><li>Prevenir, paliar y neutralizar el daño causado por un ataque deliberado </li></ul></ul></ul><ul><ul><ul><li>Garantizar la integración de estas actuaciones con las de otros agentes </li></ul></ul></ul>
  14. 14. Herramientas <ul><li>PSO : Plan de Seguridad del Operador (Crítico) </li></ul><ul><ul><li>Plan General para garantizar la seguridad del conjunto de las instalaciones y sistemas que gestiona. </li></ul></ul><ul><ul><li>Contenido: </li></ul></ul><ul><ul><ul><li>Políticas generales de seguridad </li></ul></ul></ul><ul><ul><ul><li>Metodología de análisis de riesgos de continuidad de los servicios del operador </li></ul></ul></ul><ul><ul><ul><li>Criterios de aplicación de las medidas de seguridad </li></ul></ul></ul><ul><ul><ul><ul><li>Físicas / Lógicas </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Asociadas a los riesgos en función de cada tipología de activo </li></ul></ul></ul></ul>
  15. 15. Herramientas <ul><li>PPE s: Planes de Protección Específicos </li></ul><ul><ul><li>Planes de bajo nivel que definen, para cada infraestructura crítica, las medidas de seguridad específicas asociadas. </li></ul></ul><ul><ul><li>Contenido: </li></ul></ul><ul><ul><ul><li>Medidas de seguridad de carácter permanente </li></ul></ul></ul><ul><ul><ul><li>Medidas de seguridad temporales previstas </li></ul></ul></ul><ul><ul><ul><ul><li>Dependientes de las amenazas y los riesgos identificados en el Plan de Seguridad del Operador </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Activación en base a amenazas concretas sobre cada infraestructura. </li></ul></ul></ul></ul>
  16. 16. Claves <ul><li>Dos mundos: </li></ul><ul><ul><li>Seguridad física </li></ul></ul><ul><ul><ul><li>Amenazas: Desastres naturales / desastres “industriales” / ataques </li></ul></ul></ul><ul><ul><li>Seguridad lógica </li></ul></ul><ul><ul><ul><li>Ciber-amenazas </li></ul></ul></ul>
  17. 17. Claves <ul><li>Tres momentos: </li></ul><ul><ul><li>Alerta </li></ul></ul><ul><ul><li>Prevención </li></ul></ul><ul><ul><li>Reacción </li></ul></ul>
  18. 18. Claves <ul><li>Una filosofía: </li></ul>RESILIENCIA
  19. 19. Ámbito de actuación <ul><li>Protección de Infraestructuras Críticas = </li></ul><ul><ul><li>Gestionadas integralmente </li></ul></ul><ul><ul><li>Seguridad física </li></ul></ul>+ <ul><ul><li>Seguridad lógica (TIC) </li></ul></ul>+ <ul><ul><li>Seguridad en interfaz físico–lógico (SCADA) </li></ul></ul>
  20. 20. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  21. 21. Proyectos <ul><li>Consultoría / Ingeniería: </li></ul><ul><ul><li>Continuidad de negocio </li></ul></ul><ul><ul><li>Continuidad de servicios </li></ul></ul><ul><li>I + D + i: </li></ul><ul><ul><li>Iñude (PV): Plataforma Integral para la Gestión de la Seguridad, Mantenimiento y Emergencias en Infraestructuras Críticas </li></ul></ul><ul><ul><li>Fasys (ES): Tecnología para garantizar por diseño y de forma integrada la seguridad y el bienestar en las fábricas </li></ul></ul><ul><ul><li>Bugyo Beyond (EU): Aseguramiento de la seguridad de las infraestructuras TIC </li></ul></ul><ul><ul><li>Secricom (EU): Comunicaciones integradas en situaciones de crisis </li></ul></ul>
  22. 22. Lecciones aprendidas Prevención >> Recuperación
  23. 23. Lecciones aprendidas Impacto <=> Riesgo BIA Análisis de Riesgos
  24. 24. Lecciones aprendidas Seguridad dinámica: Mantenimiento
  25. 25. Lecciones aprendidas TIC elemento integral
  26. 26. Lecciones aprendidas Detección temprana: Sensores
  27. 27. Lecciones aprendidas Inteligencia automatizada  Alertas
  28. 28. Lecciones aprendidas Prever consecuencias de situaciones de crisis
  29. 29. Lecciones aprendidas Arquitectura modular
  30. 30. Lecciones aprendidas Colaboración “tibia”
  31. 31. Índice <ul><li>Introducción </li></ul><ul><li>Protegiendo las infraestructuras críticas </li></ul><ul><li>Experiencias prácticas en infraestructuras críticas </li></ul><ul><li>Conclusiones </li></ul>
  32. 32. Situación actual <ul><li>Necesidades de los operadores críticos: </li></ul><ul><ul><li>Agilidad </li></ul></ul><ul><ul><li>Eficacia </li></ul></ul><ul><ul><li>Precisión </li></ul></ul><ul><li>Dificultades de los operadores críticos : </li></ul><ul><ul><li>Vulnerabilidad </li></ul></ul><ul><ul><li>Concienciación </li></ul></ul><ul><ul><li>Especialización </li></ul></ul>?
  33. 33. Oferta de Nextel <ul><li>Propuesta de valor: </li></ul><ul><ul><li>Conocimiento especializado </li></ul></ul><ul><ul><li>Experiencia práctica </li></ul></ul><ul><ul><li>Capacidad de externalización </li></ul></ul>
  34. 34. Oferta de Nextel <ul><li>Servicios para Protección de Infraestructuras Críticas: </li></ul><ul><ul><li>Consultoría: </li></ul></ul><ul><ul><ul><li>Análisis de necesidades </li></ul></ul></ul><ul><ul><ul><li>Desarrollo de Planes de Seguridad </li></ul></ul></ul><ul><ul><ul><li>Desarrollo de Planes de Protección </li></ul></ul></ul><ul><ul><ul><li>Soporte a la gestión de la seguridad </li></ul></ul></ul><ul><ul><li>Ingeniería: </li></ul></ul><ul><ul><ul><li>Implantación de medidas de seguridad </li></ul></ul></ul><ul><ul><ul><li>Despliegue de planes </li></ul></ul></ul><ul><ul><li>Externalización: </li></ul></ul><ul><ul><ul><li>Operación de seguridad </li></ul></ul></ul><ul><ul><ul><li>Gestión de la seguridad </li></ul></ul></ul><ul><ul><ul><li>Despliegue de centros expertos </li></ul></ul></ul>
  35. 35. Dudas y preguntas FIN MUCHAS GRACIAS Joseba Enjuto Responsable de Control Corporativo y Cumplimiento Legal

×