DOCUMENTO NO CLASIFICADO
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICASCÓDIGO: GMVSGI-CRICTISIM-PRE-013FECHA: 17/10/2011VERSIÓN: 1CÓDIGO INTERNO: GMVSGI 21028/11 V1/11
With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-
related Risks Programme European Commission - Directorate-General Home Affairs
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 217/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
1. Introducción
2. Datos de proyecto
3. Metodología MIMICS
4. Conclusiones
INDICE
DOCUMENTO NO CLASIFICADO
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
INTRODUCCIÓN
DOCUMENTO NO CLASIFICADO
With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-
related Risks Programme European Commission - Directorate-General Home Affairs
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 417/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
MOTIVACIÓN
� Aumento de la dependencia de los sistemas de información.
� Aumento de la complejidad de las infraestructuras y aumento de la incertidumbre sobre su rendimiento.
� Aparición de organizaciones de hacktivistas, no siempre bienintencionados.
� Inicio del despliegue de las estrategias de ciberdefensa por parte de los gobiernos.
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 517/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
� Análisis y detección de puntos críticos.
� Análisis de los procesos asociados a una infraestructura crítica ICT.
� Evaluar dependencias entre entidades y el impacto en el sistema global.
� Determinar y priorizar puntos de acción para mejorar la seguridad y fiabilidad.
� Simular y evaluar escenarios, calcular y reducir el impacto de un cambio o incidente.
OBJETIVOS DEL PROYECTO
DOCUMENTO NO CLASIFICADO
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
DATOS DE PROYECTO
DOCUMENTO NO CLASIFICADO
With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-
related Risks Programme European Commission - Directorate-General Home Affairs
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 717/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
HITOS Y PRESUPUESTO
� Hitos� Inicio de proyecto: Julio de 2010
� Fin de proyecto: Diciembre de 2011
�Presupuesto total: 505.826,98 €
�Se trata de un proyecto que se incluye dentro del programa CIPS de Comisión Europea.
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 817/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
CONSORCIO
Co-beneficiario
Líder de proyecto Asociado
Co-beneficiario
DOCUMENTO NO CLASIFICADO
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
MIMICSMETODOLOGÍA
DOCUMENTO NO CLASIFICADO
With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-
related Risks Programme European Commission - Directorate-General Home Affairs
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 1017/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
BASADA EN RAMS
– Reliability
– Availability
– Maintainability
– Safety
• Técnicas usadas en los sectores aeronáutico y aeroespacial para diseñar servicios críticos que podrían provocar:– Pérdida de vidas humanas.– Costes económicos muy altos.
• GMV aplica habitualmente estas técnicas para los satélites de la Agencia Espacial Europea y operadores privados (EUTELSAT, EUMETSAT, INMARSAT, HISPASAT, etc.)
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 1117/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
WORKFLOW DE UN PROYECTO MIMICS
INVENTORY CONTROL
INVENTORY CONTROL
ARCHITECTURESIDENTIFICATIONARCHITECTURESIDENTIFICATION
OPERATIONALPROFILE
DESCRIPTION
OPERATIONALPROFILE
DESCRIPTION
DATA SOURCEIDENTIFICATION
DATA SOURCEIDENTIFICATION
RAMSMODELLING
RAMSMODELLING
METRICS PLANMETRICS PLAN
ASSESSMENT: BASE LINE
ASSESSMENT: BASE LINE
SIMULATION ANDFINE-TUNING
SIMULATION ANDFINE-TUNING
SENSITIVITYANALYSIS
SENSITIVITYANALYSIS
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 1217/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
BLOQUES DE LA METODOLOGÍA
HardwareHardware SoftwareSoftware ContingenciaContingencia
OperacionalOperacional SeguridadLógica
SeguridadLógica
RedRed
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 1317/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
� MTBFMean Time Between Failures es una métrica que nos permite cuantificar cuanto tiempo es capaz un componente de mantenerse en funcionamiento sin que se produzca un fallo.
� MTTRMean Time To Repair or Recovery es una métrica que nos permite cuantificar cuanto tiempo es necesario invertir en la reparación o reemplazo de un componente o su puesta en marcha tras un fallo.
� VarianzaEs una métrica que nos permite cuantificar la dispersión de los valores de las otra métricas. Es decir, en cuanto, los valores reales o simulados se alejan en cada caso de la media.
MÉTRICAS IMPORTANTES
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 1417/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
ESTRUCTURA DEL MODELO
Para obtener resultados fiables respecto de la
disponibilidad, fiabilidad y mantenibilidad de los servicios
necesitamos conocer de qué se componen.
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 1517/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
APLICACIONES
� Aquellas infraestructuras críticas incluidas dentro de la Ley de Infraestructuras Críticas.
� Aquellas infraestructuras cuya disponibilidad es básica para el desempeño de la actividad de una organización. P.ej.: Portal web de un comercio electrónico.
� Aquellos servicios cuyo análisis detallado (con su coste asociado) sea considerado como necesario.
� Cualquier infraestructura ICT.
DOCUMENTO NO CLASIFICADO
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
CONCLUSIONES
DOCUMENTO NO CLASIFICADO
With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-
related Risks Programme European Commission - Directorate-General Home Affairs
© GMV, 2011DOCUMENTO NO CLASIFICADO
PREDICCIÓN DE DEPENDABILIDAD DE LAS INFRAESTRUCTURAS CRÍTICAS
Pág. 1717/10/2011, Versión 1GMVSGI-CRICTISIM-PRE-014
CONCLUSIONES
• MIMICS permite reducir la incertidumbre en el análisis sobre la resiliencia de las infraestructuras críticas.
• La reducción de la incertidumbre permite detectar los puntos débiles de la infraestructura antes que generen problemas graves.
• El mayor nivel de información que proporciona permite optimizar las inversiones.
Permite predecir el impacto de modificaciones en las infraestructuras.
DOCUMENTO NO CLASIFICADO
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
GraciasJordi Recio Prieto
Consultor de Seguridad IT y
Responsable Técnico de CRICTISIM
Email: [email protected]
www.gmv.com
DOCUMENTO NO CLASIFICADO
With the support of the Prevention, Preparedness and Consequence Management of Terrorism and other Security-
related Risks Programme European Commission - Directorate-General Home Affairs