taller seguridad scada. forum ciip 2010
TRANSCRIPT
1er Encuentro
Nacional CIIPTaller IV - Seguridad
en Productos y Sistemas de
Supervisión y Control Industrial (SCADA)
© Intermark Tecnologías 2009 | 20/07/2009 | 2
Presentación
Coordinador
Agenda
Objetivos
Taller
Parte I
Parte II
Conclusiones
© Intermark Tecnologías 2009 | 20/07/2009 | 3© Intermark Tecnologías 2010 | 19/02/2010 | 3
Ignacio Paredes• >10 años de experiencia en TI
• Especializado en Seguridad de la Información
• Ingeniero superior en Informática
• CISSP, CISM, CISA, BS-7799 Lead Auditor, CeH…
• Co-autor metodología IS2ME
• Miembro de ISACA, ISSA, ISMS Forum
• Vocal de la Comisión de Seguridad de ASIMELEC
• Gerente de Seguridad y TI en Intermark Tecnologías
• Jefe de proyecto en equipo M45 – Cluster TIC Asturias
Presentación
Coordinador
© Intermark Tecnologías 2009 | 20/07/2009 | 4© Intermark Tecnologías 2010 | 19/02/2010 | 4
Presentación
Intermark Tecnologías
Nuestra actividad
• Intermark Tecnologías es una Consultora especializada en Tecnologías de la Información
Nuestro oficio
• Integración de Sistemas de Información en el sector Industrial
• Seguridad de la Información
Nosotros
• Oficina de Conocimiento de Informática Industrial
• Oficina de Conocimiento de Seguridad de la Información
© Intermark Tecnologías 2009 | 20/07/2009 | 5© Intermark Tecnologías 2010 | 19/02/2010 | 5
Presentación
Intermark Tecnologías – Visión General de Nuestros Servicios
Integración de Sistemas de Información
Energía Aguas Infraestructuras
Soluciones para mejora de la productividad industrial
Instalaciones Industriales
Plantas de producción
• Supervisión
• Eficiencia de instalaciones
• GMAO – SPC – LIMS
• Gestión de la producción - MES
• Soluciones de movilidad industrial
• Supervisión y gestión de la explotación
• Integración de sistemas
Seguridad de la Información y Protección de Infraestructuras Críticas
© Intermark Tecnologías 2009 | 20/07/2009 | 6© Intermark Tecnologías 2010 | 19/02/2010 | 6
Presentación
Intermark Tecnologías – Seguridad, TI y Entornos Industriales
La seguridad es un proceso de mejora continua
La solución no es sólo tecnológica
Cumplimiento, LOPD: Obligatoriedad, multas
Estándares: ISA 99, ISO 27001, BS 25999, camino a seguir
Redes, sistemas, procesos… ORGANIZACIÓN
© Intermark Tecnologías 2009 | 20/07/2009 | 7© Intermark Tecnologías 2010 | 19/02/2010 | 7
Presentación
Intermark Tecnologías – Nuestros Servicios
SISTEMAS DE SEGURIDAD: Firewall, IPS, Proxy, AntiVirus, AntiSpyware, AntiSpam, VPNs, Control de Contenidos, etc.
DISEÑO: Topologías, Arquitecturas, Servicios
GESTIÓN Y OPERACIÓN: Procedimientos, Políticas
ESTÁNDARES: ISO27001, BS25999, ISA 99
CUMPLIMIENTO: LOPD, SoX
Plan
Act
Check
DoSeguridad de la información
© Intermark Tecnologías 2009 | 20/07/2009 | 8
Presentación
Coordinador
Agenda
Objetivos
Taller
Parte I
Parte II
Conclusiones
© Intermark Tecnologías 2009 | 20/07/2009 | 9© Intermark Tecnologías 2010 | 19/02/2010 | 9
Parte IDiscusión sobre el estado del arte y la problemática
Actual (30’)
Parte IIDiscusión de propuestas para mejoras de la seguridad
del sector y del CNPIC (45’)
Conclusiones
Agenda
© Intermark Tecnologías 2009 | 20/07/2009 | 10© Intermark Tecnologías 2010 | 19/02/2010 | 10
El taller pretende ser un espacio de discusión y generación de propuestas , mediante debate entre los asistentes, se tratará de:
• Establecer un marco de referencia sobre el estado actual de la seguridad en Smas. de Supervisión y Control que permita fundamentar posteriores trabajos.
• Definir estrategias y acciones orientadas a mejorar la seguridad de los Smas de Supervisión y Control, así como proporcionar feedback al CNPIC acerca de cómo debería desempeñar su papel.
Objetivos
© Intermark Tecnologías 2009 | 20/07/2009 | 11
Presentación
Coordinador
Agenda
Objetivos
Taller
Parte I
Parte II
Conclusiones
© Intermark Tecnologías 2009 | 20/07/2009 | 12
Parte I
Estado del Arte y Problemática Actual
Objetivo:
Conocer el estado de la seguridad en los productos y Sistemas de Supervisión y Control Industrial
© Intermark Tecnologías 2009 | 20/07/2009 | 13© Intermark Tecnologías 2010 | 19/02/2010 | 13
Materia de Máxima Importancia
Criticidad
Nuevo Mundo – Nuevas Amenazas
Desconocimiento del Problema
Falsa percepción de seguridad
Falta de concienciación
Proceso de Convergencia
Smas. de Control Industrial / Smas. TI
Mayores funcionalidades, abaratamiento
Problemas heredados
Discusión: Estado del Arte y Problemática Actual
Hechos
© Intermark Tecnologías 2009 | 20/07/2009 | 14© Intermark Tecnologías 2010 | 19/02/2010 | 14
• Imaginemos un mundo donde un simple resfriado pudiese matarte: Bienvenido al mundo de los Sistemas Industriales
• Eric Byres ha demostrado la posibilidad de “colgar/parar” un PLC enviándole un único paquete malformado en una conexión ethernet…
• ¿Redes Inalámbricas?: es posible hacer una denegación de servicio a cualquier red inalámbrica con una mínima inversión
• ¿Hay un firewall externo? ¿y qué hay de la seguridad interna?: la mayoría de los “ataques” o problemas vienen desde dentro
• 80-90% de los Sistemas SCADA están conectados a la red corporativa (muchas veces sin que el departamento de TI sea consciente de ello)
Discusión: Estado del Arte y Problemática Actual
Hechos
Interesante…
Evidentemente…
ESTAMOS
TENIENDO
SUERTE
Al Final…
© Intermark Tecnologías 2009 | 20/07/2009 | 17© Intermark Tecnologías 2010 | 19/02/2010 | 17
En el Entorno:¿Cuáles son las principales amenazas sobre los Smas. de Supervisión y Control?
Externas/Internas – Dirigidas/Casuales
¿Cuál es la postura de los proveedores de Smas. de Supervisión y Control respecto a la seguridad?
Es la seguridad un requisito o un nice to have
¿Y de los proveedores de Seguridad sobre las particularidades de la seguridad en Smas. de Supervisión y Control?
Equipamiento de seguridad específico para entornos industriales?
En la Organización:¿Existe conocimiento de los potenciales problemas de seguridad?
¿en qué departamentos (Producción, TI, Dirección)?
¿De quién debería ser la responsabilidad de la seguridad en los Smas. de Supervisión y Control?
Dpto. Seguridad, T.I., Producción/Negocio, Dirección,
¿Es la seguridad una prioridad para la Dirección de la Organización?
¿Se aplican medidas de seguridad a los Smas. de Control? ¿de la misma forma que a los Smas. T.I.?
Discusión: Estado del Arte y Problemática Actual
Cuestiones
© Intermark Tecnologías 2009 | 20/07/2009 | 18
Parte II
Propuestas para mejorar el sector y el CNPIC
Objetivo:
Definir las estrategias más adecuadas para mejorar la seguridad de los Sistemas de Supervisión y Control Industriales
© Intermark Tecnologías 2009 | 20/07/2009 | 19© Intermark Tecnologías 2010 | 19/02/2010 | 19
Normativa
Leyes específicas sobre seguridad para las infraestructuras críticas
ISA 99 x ISO 27001
Divulgación
Difusión y concienciación de las necesidades de seguridad
Tractores
CNPIC
Otras Iniciativas Estatales
Industria (Fabricantes, Integradores, Compañías de Referencia…)
Propuestas para mejorar el Sector y para el CNPIC
Problemática
© Intermark Tecnologías 2009 | 20/07/2009 | 20© Intermark Tecnologías 2010 | 19/02/2010 | 20
Propuestas para mejorar el Sector y para el CNPIC
Cuestiones
¿Qué papel deben cumplir los actores y cómo pueden hacerlo?Estado/Gobierno: Coordinación, Regulación, Subvenciones, Formación e Información
Organismos de Normalización y Certificación: Definición de standards
Fabricantes: Incorporar seguridad en sus productos, tener en cuenta particularidades del entorno industrial
Integradores: Incorporar seguridad en los proyectos , incluir requisitos de seguridad en propuestas
Usuarios: Conocer la problemática y exigir seguridad
Compañías de Referencia: Difundir sus experiencias, utilizarlas como ventaja competitiva
¿Qué aspectos deben mejorarse en los Smas. de Supervisión y Control Industrial?
Productos
Metodologías
Concienciación
El alcance es amplio y heterogéneoSectorización
¿En qué aspectos? normativa, productos,