Requerimientos para un CSIRT del sector eléctrico Colombiano Rubén Darío Villa Trujillo rvilla@xm.com.co XM S.A E.S.P
1 2 3 4 5 Contexto Ejemplos de CSIRT Política de seguridad digital y CNO CSIRT sectorial 4 3 2 1 5
Contexto - Definiciones CSIRT significa Computer Security Incident Response Team (equipo de respuesta a incidentes de seguridad informática). Se usan diferentes abreviaturas para el mismo tipo de equipos: CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informáticas / Centro de coordinación) IRT (Incident Response Team, equipo de respuesta a incidentes) CIRT (Computer Incident Response Team, equipo de respuesta a incidentes informáticos) SERT (Security Emergency Response Team, equipo de respuesta a emergencias de seguridad) FIRST: Forum de Respuesta a Incidentes y Equipos de Seguridad Informática. FIRST, agrupa y certifica a diversos centros de respuesta a nivel internacional.
Contexto - First https://www.first.org/members/map
Ejemplos - CERTSI El CERT de Seguridad e Industria (CERTSI), es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior (ESPAÑA) US-CERT se esfuerza por lograr una Internet más segura y sólida para todos los estadounidenses respondiendo a incidentes importantes, analizando amenazas e intercambiando información crítica de ciberseguridad con socios de confianza de todo el mundo
Ejemplos COLCERT- CSIRTPONAL
CSIRT sector eléctrico Nationalgrid Cyber Response Team NGRID CSIRT Reino Unido, Operador del sistema EEUU enlace principal entre el gobierno federal y en el sector de la energía eléctrica Japan Electricity Information Sharing and analysis Center (JE-ISAC) Austria Polonia
Política seguridad Digital Documento Conpes 3854 Politica Nacional de Seguridad Digital Plan Nacional de Desarrollo 2014 - 2018
Comisión de ciberseguridad-CNO Acuerdo 788 guía de ciberseguridad (2015) Identificación de ciberactivos Gestión seguridad ciberactivos Seguridad Física ciberactivos Plan de recuperación Basado en Nerc Cip v4 No se tenia contemplado el Csirt Nuevo acuerdo basado en Nerc Cip v6 Relevante el Csirt
CSIRT Sector Eléctrico
CSIRT Sector Eléctrico Fase 1: Gobierno y responsabilidades Vigilancia (ciberinteligencia, análisis del entorno, cooperación ccoc, colcert, otros cert) Análisis de riesgos del sector Inventario de activos y centralización de información Monitoreo de equipos de perímetro de redes industriales(scada) Gestión y coordinación de incidentes Reporte de incidentes a compañía Reporte y generación de informes de gestión Conciencia y capacitación
CSIRT Sector Eléctrico Fase 2: Ampliación de alcance y nuevos servicios Ciberinteligencia Monitoreo de otros activos críticos Servicios de respuesta ante incidentes Servicios forense Servicios análisis de vulnerabilidades. Simulacros, juegos de ciber, capacitación Honeypot
CSIRT Antecedentes Correos electrónicos maliciosos dirigidos al sector Minería y malware Ataques a paginas del sector Otros ataques o comportamientos anómalos en las redes.
CSIRT Sector Eléctrico Fase 0 Fase 0: Modelo de intercambio de eventos e incidentes de seguridad sobre las compañías del sector eléctrico pertenecientes al CNO Correo electrónico cifrado con intercambio de llaves gpg o pgp No repudio y cifrado de información Responsables de ciberseguridad las compañías Que se reporta: Eventos que pueden afectar la operación del sector eléctrico y el mercado de energía Eventos relacionados con ciber activos críticos Alertar que a criterio de los responsables de seguridad de quien reporta puede afectar el sector
CSIRT Sector Eléctrico Fase 0 Representantes ciberseguridad sector Reporte Incidente Analiza Clasifica Anonimiza Reporte Comisión Ciberseguridad y comité tecnológico
CSIRT Niveles de criticidad
CSIRT Actividades Actividades Fecha Presentación comité tecnológico Mayo Manuales de configuración y operación Realizar pruebas entre los integrantes de la comisión Definición de documento responsabilices Junio Comunicación oficial C.N.O a agentes Julio Implementar representantes de ciberseguridad del sector Julio -Agosto
PREGUNTAS Y COMENTARIOS
GRACIAS