infraestructura crÍtica cibernÉtica · 2016-02-29 · sectores/subsectores estratégicos...
TRANSCRIPT
www.cgfm.mil.co
INFRAESTRUCTURA
CRÍTICA CIBERNÉTICA
CN . José William Hernandez Murillo
Jefe de Estado Mayor CCOC
25 Febrero de 2016
www.cgfm.mil.co
Es el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices,
métodos de gestión del riesgo, acciones, investigación y desarrollo, formación, prácticas idóneas, seguros
y tecnologías que pueden utilizarse buscando la disponibilidad, integridad, autenticación, confidencialidad y
no repudio, con el fin de proteger a los usuarios y los activos de la organización en el ciberespacio.
Fuente: Adaptación definición ITU.
CIBERSEGURIDAD
Es el empleo de las capacidades militares ante amenazas o actos hostiles de naturaleza
cibernética que afecten la sociedad, la soberanía nacional, la independencia, la integridad
territorial, el orden constitucional y los intereses nacionales. Fuente: Ministerio de Defensa.
CIBERDEFENSA
Son las infraestructuras estratégicas soportadas por Tecnologías de Información y Comunicaciones (TIC) o
Tecnologías de Operación (TO), cuyo funcionamiento es indispensable, por lo que su perturbación o destrucción
tendría un grave impacto sobre los servicios esenciales”. Fuente: Ministerio de Defensa.
INFRAESTRUCTURA CRÍTICA CIBERNÉTICA
INFRAESTRUCTURAS CRÍTICAS
www.cgfm.mil.co
QUINTO DOMINIO QUINTO DOMINIO
Espacio
Mar
Tierra
Ciberespacio Aire
www.cgfm.mil.co
4
AMENAZAS CIBERNÉTICAS
Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Características
Amenaza
Interna
Externa
Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Origen
Ciberterrorismo Ciberterrorismo Cibercrimen
Espionaje Militar
Espionaje Militar
Ciberguerra
Espionaje Económico y
Espionaje Económico y
Político
Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU - Fuentes
Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Impacto
Características Origen
Impacto Fuentes
www.cgfm.mil.co
“Los necesarios para el mantenimiento de las funciones sociales básicas , la
salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz
funcionamiento de las Instituciones del Estado y las Administraciones Públicas”.
INFRAESTRUCTURAS CRÍTICAS
www.cgfm.mil.co
Fuente: http://www.oecd.org/investment/investment-policy/40700392.pdf
Infraestructura Crítica
www.cgfm.mil.co
Sectores Estratégicos Sectores Estratégicos
www.cgfm.mil.co
Estados Unidos
Hay 16 sectores de infraestructura crítica, cuyos activos, sistemas y redes, ya sea físico o virtual, se considera
tan vital para los Estados Unidos de que su incapacitación o destrucción tendría un efecto debilitante sobre la
seguridad , la seguridad económica nacional , la salud pública nacional, la seguridad , o cualquier combinación
de los mismos .
www.cgfm.mil.co
Estados Unidos
Hay 16 sectores de infraestructura crítica, cuyos activos, sistemas y redes, ya sea físico o virtual, se considera
tan vital para los Estados Unidos de que su incapacitación o destrucción tendría un efecto debilitante sobre la
seguridad , la seguridad económica nacional , la salud pública nacional, la seguridad , o cualquier combinación
de los mismos .
www.cgfm.mil.co
Estados Unidos
www.cgfm.mil.co
Canadá
www.cgfm.mil.co
Canadá
www.cgfm.mil.co
Australia
www.cgfm.mil.co
España España
Las Infraestructuras Críticas según el Plan Nacional de Protección de
Infraestructuras Críticas se pueden dividir en 12 sectores estratégicos:
1. Centrales y redes de energía
2. Tecnologías de la información y las comunicaciones
3. Sistema Financiero y Tributario (por ejemplo, banca, valores e
inversiones)
4. Sector sanitario
5. Espacio
6. Instalaciones de Investigación
7. Alimentación
8. Agua (embalses, almacenamiento, tratamiento y redes)
9. Transportes (aeropuertos, puertos, instalaciones intermodales,
ferrocarriles y redes de transporte público, sistemas de control del
tráfico)
10. Industria Nuclear
11. Industria Química
12. Administración (servicios básicos, instalaciones, redes de información,
activos, y principales lugares y monumentos nacionales).
www.cgfm.mil.co
GUÍA
INFRAESTRUCTURA
CRÍTICA CIBERNÉTICA
PARA COLOMBIA
MY. Milena Elizabeth Realpe Díaz
Jefe de Prospectiva CCOC
Ing. Samuel Gonzalo Pinzón Barrios
(ECOPETROL)
25 Febrero de 2016
www.cgfm.mil.co
Identificación, priorización y
catalogación de las
infraestructuras críticas.
colCERT
CCOC
Ciberdefensa de las
infraestructuras críticas
Heterogeneidad
Complejidad
Interdependencia
Sectores Estratégicos
ICC EN COLOMBIA
www.cgfm.mil.co
AMENAZAS A LA ICC
GU
ERR
A
TER
RO
RIS
MO
ESP
ION
AJE
CR
IMEN
AR
MA
S CIBERDEFENSA
SAB
OTA
JE
CIBERESPACIO
www.cgfm.mil.co
GRUPO INTERSECTORIAL
Secreto
www.cgfm.mil.co
Gobierno
Seguridad y Defensa
TIC
Electricidad
Financiero
Educación
Minero - Energético
Industria, Comercio y
Turismo
Ambiente
Salud y Protección
Social
Agua
Transporte
Agricultura – Alimentación
Fase I
Fase II
Fase III
13 - Sectores Colombia 13 - Sectores Colombia
CATÁLOGO INFRAESTRUCTURA
CRITICA CIBERNÉTICA
ACTIVOS CRÍTICOS
NACIONALES BASADO EN
GESTION DE RIESGOS
Información de Seguridad
y Defensa Nacional
Junio-2016 2017
www.cgfm.mil.co
Colombia
Gobierno Seguridad y Defensa TIC Electricidad Financiero
Educación Minero-Energético Industria, Comercio y Turismo
Ambiente Salud y Protección Social
Agua Transporte Agricultura y Alimentación
www.cgfm.mil.co
Línea de Tiempo
Consolidación de acuerdo a formatos por cada Sector
Entrega Información a
CCOC
Ene-Abril Mayo Junio Julio Agos Sep Oct Nov Dic
Documento Sectores
Estratégicos de Colombia
V1
Documento Sectores
Estratégicos de Colombia
V2
Documento Sectores
Estratégicos de Colombia Versión Final
Catálogo Nacional ICC para revisión
Consolidación, Catalogación y Priorización por parte del CCOC Catálogo
Nacional ICC enviado a UGG-MDN
Catálogo Nacional ICC Versión Final
Elaboración, revisión y aprobación nuevo
CONPES
Elaboración, revisión y aprobación Modelo Nacional de Gestión de Riesgos
Notificación Oficial a
propietarios de ICC
Inicio desarrollo Planes de
protección y Defensa
Firma de convenios
Aplicación Modelo Nacional de Gestión de Riesgos
www.cgfm.mil.co
Sectores de Infraestructuras Críticas: Un documento que describe los sectores
estratégicos de Colombia, que cuentan con al menos un servicio esencial que depende
de infraestructura de Tecnología de Información o Comunicaciones o Tecnología de
Operación ara su correcto funcionamiento.
El Catalogo Nacional de Infraestructuras Críticas
La documentación contenida en el Catálogo Nacional de Infraestructuras Estratégicas
(se trata de información completa, actualizada y contrastada sobre la totalidad de las
infraestructuras estratégicas en el territorio nacional, su ubicación, titularidad, servicio
que presta, nivel de seguridad que precisan, etcétera), será calificada como SECRETA,
dada la alta sensibilidad para la seguridad y defensa nacional de la información
contenida en dicho Catálogo.
Documentación ICC Documentación ICC
www.cgfm.mil.co
Guía IICC-CCOC Guía IICC-CCOC
Basado en:
Framework for Improving Critical
Infrastructure Cybersecurity. NIST.
Febrero 2014.
www.cgfm.mil.co
Guía IICC-CCOC Guía IICC-CCOC
www.cgfm.mil.co
Diagrama de Conceptos Diagrama de Conceptos
www.cgfm.mil.co
Diagrama de Conceptos Diagrama de Conceptos
www.cgfm.mil.co
Actividades de ICC Actividades de ICC
www.cgfm.mil.co
Servicios Esenciales Servicios Esenciales
www.cgfm.mil.co
Taxonomía Taxonomía
www.cgfm.mil.co
Criterios de Criticidad Criterios de Criticidad
www.cgfm.mil.co
CASO PRACTICO
Sector Recursos Minero -
Energéticos
Ing. Samuel Gonzalo Pinzón Barrios
(ECOPETROL S.A.)
25 Febrero de 2016
www.cgfm.mil.co
Actividades – Paso a Paso
No. Nombre Responsable Descripción
1 Identificar los servicios esenciales, según definición
de la sección 4. Glosario. Cada Sector Generar el listado de servicios esenciales vs.
sectores/subsectores estratégicos empleando el
formato descrito en la sección 6.2. 2 Identificar los sectores y subsectores estratégicos
que soportan los servicios esenciales. Cada Sector
3
Identificar empresas/organizaciones que cuentan
con infraestructura estratégica cibernética basados
en los servicios esenciales para el país.
Coordinador del
Sector / Empresas
del Sector
General el listado de empresas que prestan servicios
esenciales.
4
Identificar la infraestructura estratégica cibernética
dentro de cada empresa/organización identificada,
que soporta los servicios esenciales.
Coordinador del
Sector / Empresas
del Sector
Generar el listado de infraestructura estratégica
cibernética, empleando la taxonomía descrita en la
sección 6.3.
5
Aplicar la tabla de variables de criticidad a la
infraestructura estratégica cibernética identificada
en el punto 4, considerando una afectación tal que
impida la prestación del servicio por causa de la
materialización de una amenaza cibernética.
Coordinador del
Sector / Empresas
del Sector
Diligenciar el catálogo de infraestructura crítica
cibernética descrito en la sección 6.4, empleando los
criterios horizontales de criticidad descritos en la
sección 6.5.
6 Consolidar el listado de infraestructura crítica
cibernética.
CCOC
Mesa Nacional
Analizar y depurar la información enviada por los
sectores y en caso requerido solicitar aclaraciones o
correcciones.
7 Generar catálogo de infraestructura crítica
cibernética.
CCOC
Mesa Nacional
Consolidar la información enviada por los sectores
para generar el catálogo de infraestructura crítica
cibernética del País.
www.cgfm.mil.co
Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services – ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.
Actividades – Paso a Paso
Catálogo de Infraestructura
Crítica Cibernética
Sector Estratégico 1 Sector
Estratégico 2 Sector
Estratégico n
SERVICIOS ESENCIALES
Subsector Estratégico
Subsector Estratégico
1 1
2 2
3 3 Empresas del Sector
Sector Subsector Servicio esencial Justificación
Sector 1
Subsector 1.1 Descripción … Explicación del por qué es
esencial (Máximo 80 palabras)
Subsector 1.2
Subsector 1.3
Sector 2 Subsector 2.1
Subsector 2.2
Sector n … …
www.cgfm.mil.co
Marco Conceptual
In
Catálogo de Infraestructura
Crítica Cibernética
Infraestructura Estratégica
Sector Estratégico 1 Sector
Estratégico 2 Sector
Estratégico n
SERVICIOS ESENCIALES
Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services – ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.
Subsector Estratégico
Subsector Estratégico
1 1
2 2
4 4 Infraestructura Estratégica Cibernética
3 3 Empresas del Sector
www.cgfm.mil.co
Marco Conceptual
In
Catálogo de Infraestructura
Crítica Cibernética
Infraestructura Estratégica
Infraestructura Crítica
Sector Estratégico 1 Sector
Estratégico 2 Sector
Estratégico n
SERVICIOS ESENCIALES
Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services – ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.
Subsector Estratégico
Subsector Estratégico
Infraestructura No Crítica
Cri
teri
os
ho
rizo
nta
les
de
crit
icid
ad
Infraestructura Crítica
Cibernética
4 4
3 3 Empresas del Sector
1 1
2 2
5 5
Impacto social
0,5 % Población Nacional
Impacto económico PIB de un día ó 0.123% del PIB
Anual
Impacto medioambiental
250.000 personas 464.619.736,13 3 años
www.cgfm.mil.co
Marco Conceptual
In
Catálogo de Infraestructura
Crítica Cibernética
Infraestructura Estratégica
Infraestructura Crítica
Sector Estratégico 1 Sector
Estratégico 2 Sector
Estratégico n
SERVICIOS ESENCIALES
Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services – ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas en España.
Subsector Estratégico
Subsector Estratégico
Infraestructura No Crítica
Cri
teri
os
ho
rizo
nta
les
de
crit
icid
ad
Infraestructura Crítica
Cibernética
4 4
3 3 Empresas del Sector
1 1
2 2
5 5
6 6
7 7
www.cgfm.mil.co
Caso práctico: Identificación de Infraestructura Crítica ECOPETROL – Ejemplo ilustrativo
http://www.ecopetrol.com.co/especiales/mapa_infraestructura.htm
www.cgfm.mil.co
Caso práctico: Identificación de Infraestructura Crítica ECOPETROL – Ejemplo ilustrativo
Sector
Subsector
Empresa
Contacto Principal
Nombre:
Correo Electrónico:
Teléfono:
Contacto Suplente:
Correo Electrónico:
Teléfono:
Infraestructura Crítica Cibernética (Use la taxonomía de la sección 6.3)
Subsector
Una afectación tal que impida la prestación del servicio por causa de la materialización de una amenaza cibernética en la ICC ocasionaría un
impacto:
Social Económico Medioambiental
Nombre Descripción general de la ICC. Incluye: ¿qué soporta?, ubicación (ciudad)
Incluya el número estimado de la población afectada.
Incluya el % estimado de afectación en el PIB.
Incluya el número de años estimado de recuperación.
…
www.cgfm.mil.co
Riesgos
Acciones de Tratamiento
Implementación
Verificación / Mejora
Identificación de Activos
IT/OT
Siguientes pasos …
Catálogo Infraestructura Crítica Cibernética
Gestión de Activos
Activos Críticos IT/OT
www.cgfm.mil.co
GRACIASGRACIAS [email protected]@ccoc.mil.co Tel. SOC: 2660247Tel. SOC: 2660247
Celular Servicio: 313Celular Servicio: 313--84136868413686