Presentaciones Tema 2.1 - UNIR - Ciberseguridad

Ciberseguridad Industrial / IoT
Juan de Vicente Mohino
Infraestructuras críticas y ciberseguridad industrial e IoT

Tema 2: Infraestructuras críticas y ciberseguridad industrial/ IoT
► 1.1 Introducción y objetivos
► 1.2 ¿Qué es la Ciberseguridad Industrial?
► 1.3 Activos y amenazas en IoT
► 1.4 ¿Qué son las Infraestructuras Críticas?
► 1.5 Niveles de alerta
► 1.6 Medidas Asociadas a los Niveles de Alerta
2
3
1.1 Introducción
La consolidación y entendimiento de los Conceptos de

“Ciberseguridad Industrial”, “Infraestructura Crítica”, “Niveles de
Alerta” y “Medidas de Seguridad”, nos permitirán entender mejor la
situación actual y el verdadero objetivo que tiene la Ciberseguridad
Industrial en el mundo
4
1.1 Introducción
Objetivos de la unidad
▪ Entender el concepto de Ciberseguridad Industrial
▪ Entender el concepto de Infraestructura Crítica y en qué se

diferencia de las Infraestructuras Industriales
▪ Entender los niveles de alerta que se manejan actualmente

dentro de las Infraestructuras Críticas
▪ Entender las medidas de seguridad que se deben aplicar

dependiendo de los niveles de seguridad asociados a las mismas
5
1.1 Introducción
Visión de la Industria 4.0
▪ La mitad de las organizaciones que han evolucionado hacia la Industria

4.0 no han realizado todavía medidas asociadas a la
ciberseguridad, asumiendo el riesgo de los ataques informáticos
▪ El gran reto al que se enfrenta la sociedad actual es tener la capacidad

de desarrollar sistemas seguros capaces de adaptarse a los nuevos
requisitos de la Industria 4.0
6
1.2 ¿Qué es la ciberseguridad industrial?
▪ “Ciberseguridad Industrial”, comprende la Seguridad de los Sistemas

de Control Industriales, principalmente los Sistemas SCADA
(Supervisory Control And Data Acquisition) e ICS (Industrial Control
System Security) y las normativas asociadas, procesos, recursos
humanos, etc.
▪ Conjunto de prácticas, procesos, tecnologías y RRHH vinculados al

riesgo de sistemas que utilizan el ciberespacio dentro de infraestructuras
industriales, ya sea desde la perspectiva de las personas, los procesos o
las tecnologías involucradas
7
▪ Las compañías invertían en seguridad, pero sus sistemas sufrían

cada vez más ataques por lo que surgió la “Gestión de la
Seguridad”, y su principio básico es que la seguridad no debe
afrontarse tan sólo con herramientas, sino que debe gestionarse
▪ Esta tendencia se inicia en el año 1995 con el estándar británico

BS7799
▪ Considerado como el precursor de la primera norma internacional

para Gestión de la Seguridad, la denominada ISO17799 que entró en
vigor en el año 2000
8
▪ En 2005 se decide constituir la familia ISO27000 para unificar todos

los estándares de seguridad informática asociados a la gestión de la
misma
▪ Se crea la norma ISO27001, que será la primera norma que permite

certificar el Nivel de Gestión de la Seguridad de un Sistema de
Información
▪ La ISO17799 se reconvierte en la ISO27002, que es una Guía de

Buenas Prácticas de Seguridad de los Sistemas de Información
9
La familia de la ISO27000:
▪ ISO/IEC 27000 (01/2014, 02/2018) - Es un vocabulario estándar para

el SGSI. Introducción y base para el resto
▪ ISO/IEC 27001 (10/2005, 11/2013) - Es la certificación que deben

obtener las organizaciones para implementar un Sistema de Gestión
de Seguridad de la Información (SGSI)
▪ ISO/IEC 27002 (07/2007, 09/2013) - Es el código de buenas prácticas

para la gestión de seguridad de la información (listado de controles)
▪ ISO/IEC 27003 (02/2010) - Directrices para la implementación de un

SGSI. Es el soporte de la norma ISO/IEC 27001
10
▪ ISO/IEC 27004 (12/2009) - Métricas para la gestión de seguridad de

la información
▪ ISO/IEC 27005 (06/2008, 06/2011) - Trata la gestión de riesgos en

seguridad de la información
▪ ISO/IEC 27006 (12/2007, 12/2011, 09/2015) - Requisitos para la

acreditación de las organizaciones que proporcionan la certificación
de los sistemas de gestión de la seguridad de la información
▪ ISO/IEC 27007 (11/2011) - Guía para auditar al SGSI

▪ ISO/IEC 27008 (10/2011) - Guía para auditar los controles
seleccionados para implantar un SGSI
11
▪ ISO/IEC 27009 (06/2016) - Detalla los requisitos para usar la norma

ISO/IEC 27001 en cualquier otro ámbito
▪ ISO/IEC 27010 (10/2012, 11/2015) - Guía para gestionar la seguridad

de la información cuando se comparte entre distintas organizaciones
▪ ISO/IEC 27011 (12/2008, 12/2016) - Guía de interpretación de la

información y gestión de la seguridad de ésta en organizaciones del
sector de telecomunicaciones
▪ ISO/IEC 27014 (04/2013) - Guía de gobierno corporativo de la

seguridad de la información
▪ ISO/IEC 27015 (11/2012) - Guía de SGSI orientada a organizaciones

del sector financiero y de seguros
12
▪ ISO/IEC 27016 (02/2014) - Norma que se concentra en un análisis

financiero y económico de equipos y procedimientos de la seguridad
de la información
▪ ISO/IEC 27017 (12/2015) - Guía de seguridad para cloud computing
▪ ISO/IEC 27018 (07/2014) - Guía para controlar la protección de datos

orientada servicios de computación en cloud computing
▪ ISO/IEC 27031 (03/2011) - Guía de apoyo para la adecuación de las

tecnologías de la información y comunicación
▪ ISO/IEC 27032:2012 (07/2012) – Tecnologías de la Información –

Técnicas de Seguridad - Guía de apoyo para la Ciberseguridad
13
▪ ISO/IEC 27035:2011 (08/2011) – Guía para la gestión de incidentes

de seguridad
▪ ISO/IEC 27038:2014 (03/2014) - Guía de especificación para

seguridad en la redacción digital
▪ ISO/IEC 27039:2015 (02/2015) - Guía para la selección, despliegue y

operación de sistemas de detección y prevención de intrusión
▪ ISO/IEC 27040:2015 (01/2015) - Guía para la seguridad en medios

de almacenamiento
▪ ISO/IEC 27041:2015 (06/2015) - Guía para garantizar la idoneidad y

adecuación de los métodos de investigación
14
▪ ISO/IEC 27042:2015 (06/2015) - Guía con directrices para el análisis

e interpretación de las evidencias digitales
▪ ISO/IEC 27043:2015 (03/2015) - Desarrolla principios de

investigación para la recopilación de evidencias digitales
▪ ISO/IEC 27050:2017 (10/2017) - Desarrolla en tres partes sobre la

información almacenada en dispositivos electrónicos
▪ ISO/IEC 27103:2018 (02/2018) - Norma desarrollada para

proporcionar orientación sobre cómo aprovechar las normas
existentes en un marco de Ciberseguridad
▪ ISO/IEC 27799 (07/2008, 07/2016) - Guía para implementar ISO/IEC

27002 en la industria de la salud
15
▪ ISO/IEC 27001:2022 (10/2022) – Nueva versión certificable a partir

de 2023
▪ ISO/IEC 27002:2022 (02/2022) – Nueva versión de controles
16
Análisis de normas anteriores:
▪ La norma ISO27001 es la única norma certificable
▪ Los controles que se certifican son los del Anexo A de la norma

ISO27001. En octubre de 2022 salió la tercera versión de la norma.
▪ Cada vez existen más guías sectoriales que buscan complementar

estos controles de seguridad
17
¿Por qué ha tenido éxito la norma ISO 27001?
▪ Respuesta a “¿Qué es hacer Seguro un Sistema de Información?”
▪ ISO27001 define una familia de más de 100 controles para analizar y

proteger nuestro sistemas
▪ Es la normativa base sobre la que se ha establecido la Ciberseguridad

Industrial a la de las Infraestructuras Críticas
18
1.3 Activos y amenazas en IoT
19
▪ Como ya se ha comentado, debemos identificar todos los activos que

debamos proteger (inventarios de activos). Es igualmente importante
tener una taxonomía de activos:
• Hardware
• Software/Firmware
• Sensores: detección, medición o extracción de información del
entorno en el que se encuentran
• Actuadores: dispositivos que trabajan como herramienta de
salida del entorno IoT. Ejecutan acciones o decisiones basadas
en la información que ha sido procesada
20
• Otros: dispositivos interfaz con IoT, de administración IoT,

embebidos
• Comunicaciones: redes (WLAN, WPAN,…), protocolos (MQTT,
Bluetooth,…)
• Infraestructuras: routers, gateways, alimentación, de seguridad
(IDS, IPS,…)
• Backend: basados en web, cloud,…
• Toma de decisiones: Data Mining, procesado de datos,…
• Aplicaciones y servicios: análisis de datos y visualización,
gestión de dispositivos de red,…
• Información: en reposo, en tránsito y en uso
21
▪ El objetivo último de identificar y clasificar activos en industria e IoT,

debe ser el de proteger los sistemas y dispositivos frente a las
principales amenazas que identifiquemos
22
▪ Amenazas:
• Actividad maliciosa: malware, exploits, ataques dirigidos, DoS y
DDoS, ataques a la privacidad, modificación de información,…
• Intercepción: Man in the middle, secuestro de protocolos,
reconocimiento, secuestro de sesión, recopilación de
información…
• Fallos o pérdidas de suministro: cortes de red, fallos en los
sistemas y dispositivos, pérdida de los servicios de soporte,…
• Fallos de diseño: vulnerabilidades, terceras partes, etc.
• Desastres: naturales, ambientales,..
• Físicos: robos, destrucción,…
23
▪ Amenazas
24
▪ Escenarios:
• Ataques contra actuadores, sensores, enlaces de red,…
• Explotación de vulnerabilidades
• Inyección de comandos
• Trampolín: preservar la identidad del responsable ejecutando el
ataque desde equipos previamente comprometidos
• Denegación de servicio: distribuido con el uso de botnets
• Manipulación de fuentes de energía
• Secuestro de información
25
1.4 Infraestructuras críticas
▪ La entrada en escena de la Industria 4.0 ha propiciado que cada vez

más sistemas que pueden ser críticos para las naciones sean más
vulnerables frente a amenazas externas
▪ Debido diferentes ataques realizados contra los estados, aparecieron

conceptos como de “Protección de Infraestructuras Críticas” (PIC)
y la “Ciberseguridad Industrial” (CI)
26
Infraestructura Industrial vs Infraestructura Crítica
▪ Existen, por un lado, una serie de Organismos y Empresas que son

considerados Infraestructuras Críticas por los riesgos que suponen
para la sociedad, mientras que sólo una parte de la Infraestructuras
Industriales son consideradas críticas
▪ Nos basaremos en el documento “La Protección de Infraestructuras

Críticas y la Ciberseguridad Industrial”
27
Infraestructura Industrial vs Infraestructura Crítica
28
Infraestructura Crítica
El término Infraestructura Crítica es empleado por los estados para

definir instalaciones y sistemas sobre los que recaen servicios esenciales
cuyo funcionamiento no permite soluciones alternativas
Las infraestructuras críticas existentes en un estado se agrupan

dentro de sectores estratégicos (los que son esenciales para la seguridad
nacional o para el conjunto de la economía de un país)
29
Agrupación de Infraestructura Crítica
▪ Sector Energético: Eléctrico, hidrocarburos, gas, etc.

▪ Sector Tecnologías Información: Telefonía, radio, televisión, etc.
▪ Sector Transportes: Aeropuertos, puertos, ferrocarril y carreteras
▪ Sector Hídrico: Depósitos, embalses, tratamiento y distribución
▪ Sector Salud: Biológico, asistencia hospitalaria, vacunas y laboratorios
▪ Sector Alimentación: Centros de almacenamiento y distribución
30
Agrupación de Infraestructura Crítica
▪ Sector Finanzas: Mercados regulados, pago y compensación

▪ Sector Nuclear: Producción y almacenamiento radiológico
▪ Sector Químico: Sustancias químicas, armas y explosivos
▪ Sector de Investigación: Laboratorios y almacenamientos
▪ Sector Espacio: Centros de control y telecomunicaciones
▪ Sector Administración: Altas Instituciones del Estado, Defensa,
Interior, Partidos Políticos, Servicios de Emergencia
31
Desarrollo normativo
Desarrollo normativo español a través del CNPIC – Centro Nacional de

Protección de Infraestructuras Críticas – dependiente del Ministerio del
Interior
El desarrollo normativo parte de la directiva EC 114/2008 - Identificación y

designación de Infraestructuras Críticas Europeas - y de la Ley 8/2011 y el
Real Decreto 704/2011 sobre Protección de Infraestructuras Críticas
32
1.5 Niveles de Alerta
Cuando hablamos de Infraestructuras Críticas e Industriales, uno de los

puntos fundamentales es que las medidas de seguridad serán dinámicas,
es decir, variarán dependiendo del riesgo de seguridad externo al que se
vean sometidas en cada momento
33
34
▪ Riesgo de Seguridad Externo definido por el NAIC (Nivel de Alerta en

Infraestructuras Críticas), asociado al NAA (Nivel de Alerta
Antiterrorista)
▪ NAIC formado por 5 niveles
▪ Actualmente en España nos encontramos en el Nivel 4 (Riesgo Alto)
35
▪ Nivel 1: Riesgo Bajo
▪ Nivel 2: Riesgo Moderado
▪ Nivel 3: Riesgo Medio
▪ Nivel 4: Riesgo Alto: movilización total de los agentes de la lucha

antiterrorista, extremando la vigilancia sobre personas sospechosas
▪ Nivel 5: Riesgo muy Alto: reservado para casos de atentados

inminentes en territorio nacional
36
▪ La activación de los niveles es competencia del Ministro del Interior.
▪ NAIC: indicador público que puede consultarse directamente en la

página web del CNPIC (Centro Nacional de Protección de
Infraestructuras Críticas)
▪ La Administración decretó dentro del PNPIC (Plan Nacional de

Protección de las Infraestructuras Criticas) que si la situación de
Alerta así lo requiere, se pueden establecer los denominados DEC
(Dispositivos Extraordinarios de Ciberseguridad), que serán
coordinados mediante la OCC (Oficina de Coordinación Cibernética)
del CNPIC
37
1.6 Medidas asociadas a los Niveles de Alerta
▪ Cuando un nivel del NAIC cambia, todas las Infraestructuras Críticas

e Industriales se ven afectadas por este cambio
▪ Los Niveles de Alerta están asociados con medidas específicas de

seguridad
▪ Si el Nivel de Alerta varia, obliga a que se tomen medidas de

seguridad adicionales sobre los controles ya establecidos
▪ Cuanto mayor sea el nivel del NAIC, mayores serán también los
niveles de seguridad a los que deban someterse los controles
38
Principales problemas del modelo NAIC
▪ Se establecen niveles de control normales para los niveles 1, 2 y 3.

A partir del nivel 4 se establecen medidas de seguridad adicionales y
costosas en muchos casos
▪ Las compañías muchas veces no cuentan con recursos

suficientes para adaptarse a esos niveles de seguridad, dado que
afectan de forma global a todos los controles
39
Solución a los principales problemas del modelo NAIC
La metodología MARISMA, ha acuñado el término GSS (Global

Security Shield), un escudo de seguridad global que permite a las
compañías compartir conocimiento sobre ataques específicos y
proteger los controles que son el objetivo, en lugar de tener que subir
el nivel de todos los controles involucrados en el sistema.
40
Medidas propuestas para Infraestructuras Críticas (Marisma Shield)
▪ Nombre breve de la medida

▪ Descripción detallada de la medida
▪ Niveles de Alerta en que debe estar activa la medida de seguridad
▪ Responsable de Implementación de la medida
▪ Estado de la misma, o fecha prevista para su implantación
41
42
▪ Planes reales formados por un conjunto de más de 100 medidas, lo que

los convierte en difíciles de cumplir en compañías con departamento de
seguridad limitados
▪ El enfoque de alertas orientadas a controles o medidas será mucho

más eficiente que el enfoque actual, en el marco del cual muchas
compañías lo que buscan es cumplir la ley, pero no mejorar realmente
sus niveles de seguridad
43
www.unir.net

Presentaciones Tema 2.1 - UNIR - Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Presentaciones Tema 2.1 - UNIR - Ciberseguridad

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Presentaciones Tema 2.1 - UNIR - Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Ciberseguridad Industrial / IoT

Juan de Vicente Mohino

Infraestructuras críticas y ciberseguridad industrial e IoT

► 1.1 Introducción y objetivos

► 1.2 ¿Qué es la Ciberseguridad Industrial?

► 1.3 Activos y amenazas en IoT

► 1.4 ¿Qué son las Infraestructuras Críticas?

► 1.5 Niveles de alerta

► 1.6 Medidas Asociadas a los Niveles de Alerta

La consolidación y entendimiento de los Conceptos de

▪ Entender el concepto de Ciberseguridad Industrial

▪ Entender el concepto de Infraestructura Crítica y en qué se

▪ Entender los niveles de alerta que se manejan actualmente

▪ Entender las medidas de seguridad que se deben aplicar

Visión de la Industria 4.0

▪ La mitad de las organizaciones que han evolucionado hacia la Industria

▪ El gran reto al que se enfrenta la sociedad actual es tener la capacidad

1.2 ¿Qué es la ciberseguridad industrial?

▪ “Ciberseguridad Industrial”, comprende la Seguridad de los Sistemas

▪ Conjunto de prácticas, procesos, tecnologías y RRHH vinculados al

1.2 ¿Qué es la ciberseguridad industrial?

▪ Las compañías invertían en seguridad, pero sus sistemas sufrían

▪ Esta tendencia se inicia en el año 1995 con el estándar británico

▪ Considerado como el precursor de la primera norma internacional

1.2 ¿Qué es la ciberseguridad industrial?

▪ En 2005 se decide constituir la familia ISO27000 para unificar todos

▪ Se crea la norma ISO27001, que será la primera norma que permite

▪ La ISO17799 se reconvierte en la ISO27002, que es una Guía de

1.2 ¿Qué es la ciberseguridad industrial?

▪ ISO/IEC 27000 (01/2014, 02/2018) - Es un vocabulario estándar para

▪ ISO/IEC 27001 (10/2005, 11/2013) - Es la certificación que deben

▪ ISO/IEC 27002 (07/2007, 09/2013) - Es el código de buenas prácticas

▪ ISO/IEC 27003 (02/2010) - Directrices para la implementación de un

1.2 ¿Qué es la ciberseguridad industrial?

▪ ISO/IEC 27004 (12/2009) - Métricas para la gestión de seguridad de

▪ ISO/IEC 27005 (06/2008, 06/2011) - Trata la gestión de riesgos en

▪ ISO/IEC 27006 (12/2007, 12/2011, 09/2015) - Requisitos para la

▪ ISO/IEC 27007 (11/2011) - Guía para auditar al SGSI

1.2 ¿Qué es la ciberseguridad industrial?

▪ ISO/IEC 27009 (06/2016) - Detalla los requisitos para usar la norma

▪ ISO/IEC 27010 (10/2012, 11/2015) - Guía para gestionar la seguridad

▪ ISO/IEC 27011 (12/2008, 12/2016) - Guía de interpretación de la

▪ ISO/IEC 27014 (04/2013) - Guía de gobierno corporativo de la

▪ ISO/IEC 27015 (11/2012) - Guía de SGSI orientada a organizaciones

1.2 ¿Qué es la ciberseguridad industrial?

▪ ISO/IEC 27016 (02/2014) - Norma que se concentra en un análisis

▪ ISO/IEC 27017 (12/2015) - Guía de seguridad para cloud computing

▪ ISO/IEC 27018 (07/2014) - Guía para controlar la protección de datos

▪ ISO/IEC 27031 (03/2011) - Guía de apoyo para la adecuación de las

▪ ISO/IEC 27032:2012 (07/2012) – Tecnologías de la Información –

1.2 ¿Qué es la ciberseguridad industrial?

▪ ISO/IEC 27035:2011 (08/2011) – Guía para la gestión de incidentes

▪ ISO/IEC 27038:2014 (03/2014) - Guía de especificación para

▪ ISO/IEC 27039:2015 (02/2015) - Guía para la selección, despliegue y

▪ ISO/IEC 27040:2015 (01/2015) - Guía para la seguridad en medios

▪ ISO/IEC 27041:2015 (06/2015) - Guía para garantizar la idoneidad y

1.2 ¿Qué es la ciberseguridad industrial?

▪ ISO/IEC 27042:2015 (06/2015) - Guía con directrices para el análisis