GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
23 de junio de 2.010
Protección de Infraestructuras Críticas
Un impulso a la convergencia de la seguridad
Ricardo Cañizares Sales
Director de Consultoría
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Índice
• Evolución• Antecedentes• Protección de Infraestructuras Criticas• Conclusiones
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Evolución
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
Febrero 2005
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
Octubre 2008
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
Marzo 2009
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
Marzo 2009
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
Octubre 2009
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
Junio 2010
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
Junio 2010
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Convergencia de la Seguridad
A partir de ahora …….
EL FUTURO
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Antecedentes
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Antecedentes
• Protección de Riesgos Laborales• Seguridad Medioambiental• Seguridad Alimentaria• Protección Contraincendios• Seguridad Privada• La Seguridad de la Información• …….
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• Octubre 1992– LORTAD– Agencia de Protección de Datos
• Junio 1999– Reglamento de Seguridad
14
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• Diciembre 1999– LOPD
• Diciembre 2007– Reglamento de Desarrollo de la LOPD
Madurez y consolidación
15
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• Normas– 1995
• BS-7779– 1998
• BS-7779-1• BS-7779-2 (certificable)
– 2000• ISO/IEC 17799 (BS-7779-1)
16
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• Normas– 2002
• UNE-ISO/IEC 17799– 2004
• UNE-71502 (certificable)– 2005
• ISO/IEC 27001 (certificable)
17
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• Normas– 2007
• ISO/IEC 27001 (certificable)• ISO/IEC 27002• AENOR abandona la UNE-71502
Aumentan las implantaciones de SGSI
18
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• 2004– Centro Criptológico Nacional
• 2005– INTECO
19
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• 2007– CCN-CERT
– ENISE
20
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Seguridad de la Información
• 2007– Esquema de evaluación y certificación
• 2010– Esquema Nacional de Seguridad
21
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Protección Infraestructuras
Criticas
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Infraestructuras Criticas
• 2004 – Unión Europea – Programa Europeo
de Protección de Infraestructuras Críticas (PECIP)
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Infraestructuras Criticas
• 2007– Acuerdo Consejo de Ministros– Centro Nacional para la Protección de
Infraestructuras Críticas (CNPIC)– Primer Plan Nacional de Protección de las
Infraestructuras Críticas
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Infraestructuras Criticas
• 2008– Directiva 2008/114 del Consejo de la Unión Europea– Establece que la responsabilidad principal y última
de proteger las infraestructuras críticas europeas corresponde a los Estados miembros y a los operadores de las mismas y determina el desarrollo de una serie de obligaciones y de actuaciones por aquéllos, que deben incorporarse a las legislaciones nacionales.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Infraestructuras Criticas
• 2010– Borrador de Real Decreto por el que se
establecen medidas para la protección de las infraestructuras críticas
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Borrador de Real Decreto
• Infraestructuras estratégicas (IE): – Las instalaciones, redes, sistemas y equipos físicos y
de tecnología de la información sobre las que descansa el funcionamiento de los servicios públicos esenciales.
• Infraestructuras críticas (IC): – Las infraestructuras estratégicas cuyo funcionamiento
es indispensable y no permite soluciones alternativas, por lo que su interrupción o destrucción tendría un grave impacto sobre los servicios públicos esenciales.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Borrador de Real Decreto
• En consecuencia, y dada la complejidad de la materia, su incidencia sobre la seguridad de las personas y sobre el funcionamiento de las estructuras básicas nacionales e internacionales, y en cumplimiento de lo estipulado por la Directiva 2008/114/CE, se hace preciso elaborar una norma cuyo objeto es, por un lado, regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo (tanto de carácter físico como cibernético)
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Borrador de Real Decreto
• Los Planes Estratégicos Sectoriales estarán basados en un análisis general de riesgos donde se contemplen las vulnerabilidades y amenazas potenciales, tanto de carácter físico como lógico, que afecten al sector o subsector en cuestión en el ámbito de la protección de las infraestructuras estratégicas.
• El Plan de Seguridad del Operador deberáfundamentarse en un análisis de riesgos apropiado en el que se contemplen, de una manera global, tanto las amenazas físicas como lógicas.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Borrador de Real Decreto
• ¿Desde que punto de vista se plantea la seguridad de las IC?
C O N V E R G E N C I A
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Sectores Estratégicos
• Administración Pública• Espacio • Industria Nuclear • Industria Química • Instalaciones de Investigación • Energía • Salud • Tecnologías de la Información y las Comunicaciones• Transporte • Alimentación• Sistema Financiero y Tributario
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Otras Iniciativas
• ISO– Comité TC 223 – Societal Security
• AENOR– Subcomité CTN 196/SC1 – Continuidad de infraestructuras y servicios
críticos
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Conclusiones
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Conclusiones
• El modelo tradicional de la seguridad estásuperado.
• Los análisis de riesgos deben contemplar de una forma global, tanto las amenazas físicas como lógicas.
• El modelo de convergencia es una obligación para los operadores de infraestructuras críticas.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
El siguiente paso
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Modelo de Madurez
• Avanzar en la madurez de la Seguridad Corporativa
• Dentro de un proceso de mejora continua
36
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Modelo de Madurez
– Modelo de Madurez de CapacidadesCMM (Capability Maturity Model)
37
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Modelo de Madurez
• CMMI– Integración de Modelos de Madurez de
Capacidades • ISO/IEC 21827 SSE-CMM.
– System Security Engineering Capability Maturity Model
• People CMM– People Capability Maturity Model
• …..38
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Modelo de Madurez
0 No-existente 1 Inicial/Ad Hoc 2 Repetible pero intuitivo 3 Proceso definido4 Administrado y Medible5 Optimizado
39
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Modelo de Madurez
• Los incidentes de seguridad ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras.
• Los servicios prestados por terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa
• Los informes de seguridad no contienen un enfoque claro de negocio
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
EULEN SEGURIDAD
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Nuestro enfoque
C O N V E R G E N C I A
42
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Nuestras capacidades
• Inteligencia• Conocimientos• Metodología• Tecnología • Personas
43
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N Nuestra experiencia
44
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Eulen Seguridad
• Comprometida con la excelencia en la prestación de servicios
• Comprometida con la honestidad y ética profesional
• Comprometida con la Seguridad de nuestra Sociedad
45
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
46
más de 35 años innovando para proteger su patrimonio