Gestión de Infraestructuras Críticas y Ciberseguridad

Slides:



Advertisements
Presentaciones similares
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Advertisements

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD "ALONSO DE OJEDA"
Seguridad Definición de seguridad informática. Terminología.
PRODUCCIÓN.
Control Interno Informático. Concepto
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
ESET Endpoint Security y ESET Endpoint Antivirus
‘‘ERP’’ Enterprice Resourse Planning .
Análisis y gestión de riesgos en un Sistema Informático
ESCUELA POLITÉCNICA DEL EJÉRCITO
ADMINISTRACIÓN DE RIESGOS PROYECTO PLAN MAESTRO DE CARTAGENA
Auditoria Informática Unidad II
Metodologías de control interno, seguridad y auditoría informática
¿Cómo conectamos nuestra red a Internet?
ESCUELA POLITÉCNICA DEL EJÉRCITO
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Nuevas Estrategias de Mantenimiento
PRESENTADO POR: JENNIFFER E. CAÑI YAJA. SUBTEMA : SEGURIDAD DE LA RED.
Auditoría de Sistemas y Software
© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.
FIREWALLS.
Octubre V3.7 Presentación Corporativa. ¿Quiénes somos? Misión Ayudamos a mejorar la competitividad de nuestros clientes al proveerles Soluciones.
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
Metodología de Control Interno, Seguridad y Auditoría Informática
Norman Endpoint Protection Seguridad avanzada, pero sencilla.
Análisis y Gestión de Riesgos
DE SEGURIDAD INFORMÁTICA.
Juan Sebastián Agudelo Pérez. SEGURIDAD INFORMÁTICA La Seguridad Informática se refiere a las características y condiciones de sistemas de procesamiento.
Organización del Departamento de Auditoria Informática
Análisis y Gestión de Riesgos en un Sistema Informático.
Administración lógica y física de la seguridad en una red computacional Docente: Hector Salazar Robinson
1. 2 Oferta académica Introducción 3 Objetivos  Comprender el concepto de Seguridad de la Información como un proceso relacionado con la gestión del.
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Operadores Logísticos
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
Políticas de defensa en profundidad: - Defensa perimetral
SGSI: Sistemas de Gestión de la Seguridad de la Información
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
.¿Qué es la seguridad? se entiende como seguridad la característica de cualquier sistema informático o no, que indica que está libre de todo peligro,
Daniela Ovando Santander Auditoria de Sistemas
Auditoria Computacional
VIRUS Características principales
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
UNIVERSIDAD MANUELA BELTRAN Facultad de Ingeniería
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
FIREWALLS, Los cortafuegos
APLICACIONES EN LINEA.
WORK FLOW Arvey Rodríguez Hamilton Torres Juan Carlos Quintero Miguel Ángel Sandoval.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
VI. EVALUACIÓN DE LOS RECURSOS
Antivirus en la Nubes Es un SOFTWARE de tipo Antivirus, que este mismo no consume muchos recursos y no pide mucho hardware para ejecutarlo. Además su.
Este sistema tecnológico utiliza la Nube para liberar al usuario de toda la carga de procesamiento y almacenamiento. Todo se hace desde y en la Nube.
Ingeniería del Software
Antivirus Cloud Computing. Definición Antivirus Cloud Computing es un software de protección, que no consume muchos recursos y no necesita de un hardware.
INDUSTRIAS DEL PETROLEO, PETROQUÍMICAS Y DEL GAS NATURAL ASEGURAMIENTO DE LA PRODUCCIÓN Y ADMINISTRACIÓN DE LA CONFIABILIDAD ISO/CD Date: 2005 –
TRANSPORTE ONE TRANSPORTE TERRESTRE. Transporte Terrestre CLASE 10 Sistemas, ha desarrollado bajo la plataforma.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Características de los Centros de Cómputo
ISO
Transcripción de la presentación:

Gestión de Infraestructuras Críticas y Ciberseguridad Basilio Navarro Sánchez Compañía Logística de Hidrocarburos CLH, S.A. Director General de Tecnología e Innovación

Índice El modelo logístico de CLH. El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

Índice El modelo logístico de CLH. El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

I.a) El modelo de negocio de CLH. El modelo de negocio de CLH se fundamenta en la gestión integrada de una red logística de distribución de hidrocarburos compuesta por oleoductos, buques e instalaciones de almacenamiento, conectados con refinerías y puertos de importación. Integración de los sistemas de control de instalaciones, oleoductos y sistemas de gestión. Acceso directo de los clientes a los sistemas de información de la Compañía en tiempo real. Automatización de procesos. Flujos de información basados en un modelo de datos corporativos únicos. Estandarización y normalización de instalaciones y equipos. Las claves del éxito del modelo de negocio de CLH se encuentran en el desarrollo de un amplio plan de automatización e integración de distintos sistemas informáticos.

I.b) Infraestructura y medios logísticos.

I.c) Sistema Integrado de Operación. Clientes Pedidos Aplicaciones que permiten a los clientes: La carga automática de pedidos. El seguimiento en tiempo real. Disponibilidad inmediata en cualquier punto. Centro de Control de Oleoductos único. Optimización de movimientos de productos. Oleoductos multiproducto. Integración de los sistemas de almacenamiento, transporte y gestión CLH Clientes Salida de Productos Reducido coste para los operadores. Proceso de carga eficiente. Garantía de calidad, cantidad y fiscal. Información Online

I.d) Automatización Instalaciones de almacenamiento. SISTEMAS OPERADORES SISTEMAS CENTRALES CLH

I.d) Automatización Red de Oleoductos.

Índice El modelo logístico de CLH. El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

II.a) Protección de Infraestructuras críticas. (1/2) Corresponde a los Operadores de Infraestructuras Críticas, conforme al Reglamento de Protección de las Infraestructuras Críticas (RD. 704/2011) elaborar: Plan de Seguridad del Operador (PSO) Que deberá establecer una metodología de análisis de riesgo que garantice la continuidad de los servicios y en la que se recojan los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas. Plan de Protección Específico (PPE) Por cada una de las infraestructuras consideradas como críticas. Estos incluirán todas aquellas medidas que los operadores críticos consideren necesarias en función de los análisis de riesgos necesarios realizados, …, incluyendo los sistemas de información.

R (riesgo) = D (daño) x P (probabilidad) II.a) Protección de Infraestructuras críticas. (2/2) Características de las ICs. Tienen un alto grado de dependencia entre sí. Su funcionalidad no sólo se circunscribe a un país, muchas veces son transnacionales. Afectan a muy diversos sectores sociales. Según la percepción clásica del riesgo, entendiendo riesgo como vulnerabilidad, este se podría definir por la ecuación matemática: R (riesgo) = D (daño) x P (probabilidad) El daño que produce el fallo de una IC es normalmente muy elevado en términos económicos y puede serlo también en términos humanos, por lo que se hace imprescindible reducir su probabilidad de suceso. Hay que considerarlas con un enfoque integral. Su protección incluye necesariamente la participación de los propietarios o gestores de la infraestructura, pero también de las Fuerzas y Cuerpos de Seguridad, especialmente para hacer frente a los riesgos Intencionados y a la seguridad informática. Por su parte, las empresas que gestionan ICs tienen que alinear los objetivos y recursos de Seguridad con los del negocio.

II.b) Criticidad de las instalaciones de CLH. La criticidad de las infraestructuras logísticas de CLH se ha analizado con base en las incidencia sobre el servicio prestado a los ciudadanos por la carencia de combustibles. En este sentido, se han analizado todos los medios logísticos de la Compañía, estudiando la repercusión de su “falta” en la zona de influencia así como en el conjunto de la Compañía. Como criterios generales podemos decir que: Las instalaciones de almacenamiento no son críticas, dada la amplia cobertura que CLH tiene en todo el territorio nacional y la facilidad logística para cargar camiones-cisternas en cualquiera de ellas. La red de oleoductos es fácilmente reparable, por lo que su incidencia en el servicio es escasa. Determinadas estaciones de bombeo de la red de oleoductos pueden ser elementos críticos o esenciales. Determinados aeropuertos pueden ser elementos críticos o esenciales.

II.c) Seguridad y flexibilidad del sistema logístico de CLH R. ALGECIRAS R. CORUÑA R. PUERTOLLANO R. HUELVA R. CARTAGENA R. CASTELLÓN R. SOMORROSTRO R. TARRAGONA 11% 55% 34% Respuesta de la logística de CLH para hacer frente al accidente de la refinería de Puertollano (Agosto 2003) 13

Índice El modelo logístico de CLH. El modelo de negocio de CLH. Infraestructura y medios logísticos. Sistema Integrado de Operación. Automatización de Instalaciones y Oleoductos. CLH como Operador de Infraestructuras Críticas. Protección de Infraestructuras Críticas. Criticidad de las instalaciones de CLH. Seguridad y flexibilidad del sistema logístico de CLH. Planes de contingencia y continuidad del negocio. Riesgos de los sistemas de control. Política de seguridad de los sistemas. Seguridad lógica en CLH. Casuísticas de fallo en equipos y sistemas.

Tecnología Procedimientos Personas III.a) Riesgos de los sistemas de control. Consideramos que los aspectos fundamentales en los que se basa la seguridad de los sistemas informáticos y de control son tres: Tecnología Debe ayudarnos a resolver las amenazas cada vez más complejas y difíciles de detectar. Procedimientos Imprescindible desarrollar procedimientos, medidas organizativas y medidas técnicas; y chequearlos periódicamente. Personas Aumentar la formación del personal para evitar actitudes peligrosas por desconocimiento de buenas prácticas, falta de concienciación, etc.

III.b) Política de seguridad de los sistemas. Necesidad de encontrar un equilibrio entre Operatividad y Seguridad. Actualizaciones de software (base o de aplicación) deben realizarse con criterios funcionales, operativos y de oportunidad. El criterio actual es mantenerse en “la penúltima versión” lo que nos asegura correcto funcionamiento y estabilidad. En los sistemas industriales no se realiza ningún cambio en los sistemas de base o antivirus hasta que el fabricante del sistema industrial certifica su funcionamiento. Generalmente no se compra hardware ni software, contratamos servicios. No podemos ser expertos en todos los temas. Nos rodeamos de los mejores en cada materia y seguimos sus recomendaciones. Se dispone de un Sistema de Gestión de la Seguridad de la Información certificado según la norma ISO 27001. Se dispone de un Análisis de Riesgos.

III.c) Seguridad lógica en CLH. (1/5) Medidas de control y protección de acceso físico y lógico a la información. Protección Perimetral : - FW - IDS / IPS - Antivirus Protección de la red de control: Preparación de planes de contingencia.

III.c) Seguridad lógica en CLH. (2/5) Medidas de control y protección de acceso físico y lógico a la información. El acceso lógico a los sistemas de control ha de cumplir las siguientes condiciones: Las claves de acceso son personales y robustas. No se comparten usuarios. Existe una política de cambios de contraseñas. Se eliminan las cuentas o permisos de usuarios no necesarios. Todos los cambios de puesto son gestionados inmediatamente, modificando o eliminando los permisos de acceso. Se controlan y monitorizan los intentos fallidos de contraseñas y de acceso a los equipos. El acceso físico: Impedir los accesos físicos no autorizados a las áreas donde estén alojados los sistemas de control. Impedir cualquier daño o interferencia en la operativa de la instalación.

III.c) Seguridad lógica en CLH. (3/5) Protección Perimetral (Red, Sistemas e Información). Es fundamental un diseño seguro de red mediante: Implantación de arquitecturas y tecnologías de seguridad que protejan a la organización: Cortafuegos (FW): Aislando zonas de confianza de zonas de riesgo (especialmente internet), con reglas que, al menos, filtren por origen/destino. Estableciendo filtrado de protocolos de control de transmisión (TCP), evitando cualquier comunicación del sistema de control con equipos o usuarios no autorizados expresamente. IDSs/IPSs: Que permitan la detección y prevención de intrusiones en los sistemas. Aislamiento de dispositivos sensibles buscando disminuir en lo posible la superficie de ataque, aislándolos de todo lo que no este destinado al control. Eliminación de puertos USB en servidores.

Protección de la red de control. III.c) Seguridad lógica en CLH. (4/5) Protección de la red de control. Segregación: De diferentes redes, normalmente mediante FW configurados para denegar el tráfico que no está explícitamente autorizado. Evitando cualquier comunicación del sistema de control con equipos o usuarios no autorizados expresamente. El sistema SCADA se segrega mediante el uso de FW y una DMZ de aislamiento para intercambio de información con los sistemas centrales. Monitorización: Uso de herramientas SIEM para monitorización y correlación de eventos que generen alertas cuando se detectan situaciones anómalas. Contratación de servicios de SOC, en especial en lo que se refiere a los accesos remotos y de terceras partes a zonas sensibles. Bastionado de equipos: Antivirus y listas blancas a fin de proteger los sistemas de control de virus y troyanos. Diseño, implantación y auditoria periódica de las configuraciones y estado de bastionado de los equipos.

III.c) Seguridad lógica en CLH. (5/5) Seguridad aplicaciones. Ciclo de vida de desarrollo e implantación de sistemas: Inclusión de los requisitos de seguridad en las fases más tempranas de desarrollo (adquisición o contratación). Normas e instrucciones técnicas de actualización que garanticen que esta tarea no afectará a la fiabilidad, disponibilidad, el rendimiento o la seguridad operacional. Rigurosidad y control de los cambios (HW y SW) de los sistemas de producción. Formación en seguridad de los equipos de desarrollo y producción. Todos los participantes deben de entender y asimilar los conceptos de seguridad a fin de aplicarlos en sus tareas. Segregación de las tareas de desarrollo y las de producción en equipos diferentes. Gestión especial de los accesos remotos de terceros con privilegios especiales de administración y mantenimiento.

III.d) Casuísticas de fallo en equipos y sistemas. En CLH somos conscientes de que un fallo en los equipos y Sistemas de Información puede afectar seriamente a la actividad. Por dicha razón tenemos estudiadas todas las casuísticas de fallo y establecido los planes de contingencia correspondientes. Entre los que podemos distinguir: Desastre en el CPD Fallos en elementos de infraestructura básica. Fallos en servidores. Fallos en comunicaciones. Fallos en Instalaciones. Plan de Contingencias de la red de oleoductos.

MUCHAS GRACIAS POR SU ATENCIÓN Basilio Navarro Sánchez Compañía Logística de Hidrocarburos CLH, S.A. Director General de Tecnología e Innovación bnavarros@clh.es ww.clh.es

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.