La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Gestión de Infraestructuras Críticas y Ciberseguridad

Publicada porJosé Francisco Miguélez Montes Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Gestión de Infraestructuras Críticas y Ciberseguridad"— Transcripción de la presentación:

1 Gestión de Infraestructuras Críticas y Ciberseguridad
Basilio Navarro Sánchez Compañía Logística de Hidrocarburos CLH, S.A. Director General de Tecnología e Innovación

2 Índice El modelo logístico de CLH.
El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

3 Índice El modelo logístico de CLH.
El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

4 I.a) El modelo de negocio de CLH.
El modelo de negocio de CLH se fundamenta en la gestión integrada de una red logística de distribución de hidrocarburos compuesta por oleoductos, buques e instalaciones de almacenamiento, conectados con refinerías y puertos de importación. Integración de los sistemas de control de instalaciones, oleoductos y sistemas de gestión. Acceso directo de los clientes a los sistemas de información de la Compañía en tiempo real. Automatización de procesos. Flujos de información basados en un modelo de datos corporativos únicos. Estandarización y normalización de instalaciones y equipos. Las claves del éxito del modelo de negocio de CLH se encuentran en el desarrollo de un amplio plan de automatización e integración de distintos sistemas informáticos.

5 I.b) Infraestructura y medios logísticos.

6 I.c) Sistema Integrado de Operación.
Clientes Pedidos Aplicaciones que permiten a los clientes: La carga automática de pedidos. El seguimiento en tiempo real. Disponibilidad inmediata en cualquier punto. Centro de Control de Oleoductos único. Optimización de movimientos de productos. Oleoductos multiproducto. Integración de los sistemas de almacenamiento, transporte y gestión CLH Clientes Salida de Productos Reducido coste para los operadores. Proceso de carga eficiente. Garantía de calidad, cantidad y fiscal. Información Online

7 I.d) Automatización Instalaciones de almacenamiento.
SISTEMAS OPERADORES SISTEMAS CENTRALES CLH

8 I.d) Automatización Red de Oleoductos.

9 Índice El modelo logístico de CLH.
El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

10 II.a) Protección de Infraestructuras críticas. (1/2)
Corresponde a los Operadores de Infraestructuras Críticas, conforme al Reglamento de Protección de las Infraestructuras Críticas (RD. 704/2011) elaborar: Plan de Seguridad del Operador (PSO) Que deberá establecer una metodología de análisis de riesgo que garantice la continuidad de los servicios y en la que se recojan los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas. Plan de Protección Específico (PPE) Por cada una de las infraestructuras consideradas como críticas. Estos incluirán todas aquellas medidas que los operadores críticos consideren necesarias en función de los análisis de riesgos necesarios realizados, …, incluyendo los sistemas de información.

11 R (riesgo) = D (daño) x P (probabilidad)
II.a) Protección de Infraestructuras críticas. (2/2) Características de las ICs. Tienen un alto grado de dependencia entre sí. Su funcionalidad no sólo se circunscribe a un país, muchas veces son transnacionales. Afectan a muy diversos sectores sociales. Según la percepción clásica del riesgo, entendiendo riesgo como vulnerabilidad, este se podría definir por la ecuación matemática: R (riesgo) = D (daño) x P (probabilidad) El daño que produce el fallo de una IC es normalmente muy elevado en términos económicos y puede serlo también en términos humanos, por lo que se hace imprescindible reducir su probabilidad de suceso. Hay que considerarlas con un enfoque integral. Su protección incluye necesariamente la participación de los propietarios o gestores de la infraestructura, pero también de las Fuerzas y Cuerpos de Seguridad, especialmente para hacer frente a los riesgos Intencionados y a la seguridad informática. Por su parte, las empresas que gestionan ICs tienen que alinear los objetivos y recursos de Seguridad con los del negocio.

12 II.b) Criticidad de las instalaciones de CLH.
La criticidad de las infraestructuras logísticas de CLH se ha analizado con base en las incidencia sobre el servicio prestado a los ciudadanos por la carencia de combustibles. En este sentido, se han analizado todos los medios logísticos de la Compañía, estudiando la repercusión de su “falta” en la zona de influencia así como en el conjunto de la Compañía. Como criterios generales podemos decir que: Las instalaciones de almacenamiento no son críticas, dada la amplia cobertura que CLH tiene en todo el territorio nacional y la facilidad logística para cargar camiones-cisternas en cualquiera de ellas. La red de oleoductos es fácilmente reparable, por lo que su incidencia en el servicio es escasa. Determinadas estaciones de bombeo de la red de oleoductos pueden ser elementos críticos o esenciales. Determinados aeropuertos pueden ser elementos críticos o esenciales.

13 II.c) Seguridad y flexibilidad del sistema logístico de CLH
R. ALGECIRAS R. CORUÑA R. PUERTOLLANO R. HUELVA R. CARTAGENA R. CASTELLÓN R. SOMORROSTRO R. TARRAGONA 11% 55% 34% Respuesta de la logística de CLH para hacer frente al accidente de la refinería de Puertollano (Agosto 2003) 13

14 Índice El modelo logístico de CLH.
El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

15 Tecnología Procedimientos Personas
III.a) Riesgos de los sistemas de control. Consideramos que los aspectos fundamentales en los que se basa la seguridad de los sistemas informáticos y de control son tres: Tecnología Debe ayudarnos a resolver las amenazas cada vez más complejas y difíciles de detectar. Procedimientos Imprescindible desarrollar procedimientos, medidas organizativas y medidas técnicas; y chequearlos periódicamente. Personas Aumentar la formación del personal para evitar actitudes peligrosas por desconocimiento de buenas prácticas, falta de concienciación, etc.

16 III.b) Política de seguridad de los sistemas.
Necesidad de encontrar un equilibrio entre Operatividad y Seguridad. Actualizaciones de software (base o de aplicación) deben realizarse con criterios funcionales, operativos y de oportunidad. El criterio actual es mantenerse en “la penúltima versión” lo que nos asegura correcto funcionamiento y estabilidad. En los sistemas industriales no se realiza ningún cambio en los sistemas de base o antivirus hasta que el fabricante del sistema industrial certifica su funcionamiento. Generalmente no se compra hardware ni software, contratamos servicios. No podemos ser expertos en todos los temas. Nos rodeamos de los mejores en cada materia y seguimos sus recomendaciones. Se dispone de un Sistema de Gestión de la Seguridad de la Información certificado según la norma ISO Se dispone de un Análisis de Riesgos.

17 III.c) Seguridad lógica en CLH. (1/5)
Medidas de control y protección de acceso físico y lógico a la información. Protección Perimetral : - FW - IDS / IPS - Antivirus Protección de la red de control: Preparación de planes de contingencia.

18 III.c) Seguridad lógica en CLH. (2/5)
Medidas de control y protección de acceso físico y lógico a la información. El acceso lógico a los sistemas de control ha de cumplir las siguientes condiciones: Las claves de acceso son personales y robustas. No se comparten usuarios. Existe una política de cambios de contraseñas. Se eliminan las cuentas o permisos de usuarios no necesarios. Todos los cambios de puesto son gestionados inmediatamente, modificando o eliminando los permisos de acceso. Se controlan y monitorizan los intentos fallidos de contraseñas y de acceso a los equipos. El acceso físico: Impedir los accesos físicos no autorizados a las áreas donde estén alojados los sistemas de control. Impedir cualquier daño o interferencia en la operativa de la instalación.

19 III.c) Seguridad lógica en CLH. (3/5)
Protección Perimetral (Red, Sistemas e Información). Es fundamental un diseño seguro de red mediante: Implantación de arquitecturas y tecnologías de seguridad que protejan a la organización: Cortafuegos (FW): Aislando zonas de confianza de zonas de riesgo (especialmente internet), con reglas que, al menos, filtren por origen/destino. Estableciendo filtrado de protocolos de control de transmisión (TCP), evitando cualquier comunicación del sistema de control con equipos o usuarios no autorizados expresamente. IDSs/IPSs: Que permitan la detección y prevención de intrusiones en los sistemas. Aislamiento de dispositivos sensibles buscando disminuir en lo posible la superficie de ataque, aislándolos de todo lo que no este destinado al control. Eliminación de puertos USB en servidores.

20 Protección de la red de control.
III.c) Seguridad lógica en CLH. (4/5) Protección de la red de control. Segregación: De diferentes redes, normalmente mediante FW configurados para denegar el tráfico que no está explícitamente autorizado. Evitando cualquier comunicación del sistema de control con equipos o usuarios no autorizados expresamente. El sistema SCADA se segrega mediante el uso de FW y una DMZ de aislamiento para intercambio de información con los sistemas centrales. Monitorización: Uso de herramientas SIEM para monitorización y correlación de eventos que generen alertas cuando se detectan situaciones anómalas. Contratación de servicios de SOC, en especial en lo que se refiere a los accesos remotos y de terceras partes a zonas sensibles. Bastionado de equipos: Antivirus y listas blancas a fin de proteger los sistemas de control de virus y troyanos. Diseño, implantación y auditoria periódica de las configuraciones y estado de bastionado de los equipos.

21 III.c) Seguridad lógica en CLH. (5/5)
Seguridad aplicaciones. Ciclo de vida de desarrollo e implantación de sistemas: Inclusión de los requisitos de seguridad en las fases más tempranas de desarrollo (adquisición o contratación). Normas e instrucciones técnicas de actualización que garanticen que esta tarea no afectará a la fiabilidad, disponibilidad, el rendimiento o la seguridad operacional. Rigurosidad y control de los cambios (HW y SW) de los sistemas de producción. Formación en seguridad de los equipos de desarrollo y producción. Todos los participantes deben de entender y asimilar los conceptos de seguridad a fin de aplicarlos en sus tareas. Segregación de las tareas de desarrollo y las de producción en equipos diferentes. Gestión especial de los accesos remotos de terceros con privilegios especiales de administración y mantenimiento.

22 III.d) Casuísticas de fallo en equipos y sistemas.
En CLH somos conscientes de que un fallo en los equipos y Sistemas de Información puede afectar seriamente a la actividad. Por dicha razón tenemos estudiadas todas las casuísticas de fallo y establecido los planes de contingencia correspondientes. Entre los que podemos distinguir: Desastre en el CPD Fallos en elementos de infraestructura básica. Fallos en servidores. Fallos en comunicaciones. Fallos en Instalaciones. Plan de Contingencias de la red de oleoductos.

23 MUCHAS GRACIAS POR SU ATENCIÓN
Basilio Navarro Sánchez Compañía Logística de Hidrocarburos CLH, S.A. Director General de Tecnología e Innovación ww.clh.es

Descargar ppt "Gestión de Infraestructuras Críticas y Ciberseguridad"

Presentaciones similares

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
PRODUCCIÓN.

PRODUCCIÓN.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
‘‘ERP’’ Enterprice Resourse Planning .

‘‘ERP’’ Enterprice Resourse Planning .
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
ADMINISTRACIÓN DE RIESGOS PROYECTO PLAN MAESTRO DE CARTAGENA

ADMINISTRACIÓN DE RIESGOS PROYECTO PLAN MAESTRO DE CARTAGENA
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
¿Cómo conectamos nuestra red a Internet?

¿Cómo conectamos nuestra red a Internet?
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google