OEA Secretaría de Seguridad Multidimensional Secretaría del CICTE Desastres y protección de infraestructuras críticas

Puntos por tratar Programa de seguridad cibernética Estudio y conclusiones Iniciativas Programa de amenazas emergentes Programa de seguridad marítima Seguridad del turismo Posibles iniciativas futuras Colaboración y alianzas En términos generales, nuestros programas no están dirigidos a la protección de estructuras críticas por si mismas en casos de desastre. Sin embargo, contamos con varias iniciativas encaminadas a fortalecer y proteger la infraestructura crítica, incluidos los programas de seguridad cibernética, marítima y del turismo. www.oas.org/cyber/

Hemos realizado dos estudios focalizados en seguridad cibernética, en los que se incluyeron secciones sobre infraestructura crítica. Hoy día la mayoría de éstas dependen de la Internet y de otras redes conectadas para su funcionamiento. Las redes de generación y distribución de energía, transporte, purificación de agua y muchas otras dependen también de la Internet para vigilar y controlar sus operaciones. ¿Que encontramos en nuestros estudios? www.oas.org/cyber/

Algunos resultados Mayor número de ataques a infraestructuras críticas Ataques honeypot desenfrenados Se ha demostrado que los atacantes están dentro de las infraestructuras En un desastre podrían aprovechar su posición para crear un caos Desde 2012 hasta la fecha, ha habido un gran número de amenazas y ataques cibernéticos, cuyos blancos han sido específicamente las infraestructuras críticas. Un honeypot es una red vulnerable que simula la red de una infraestructura crítica lanzado para servir como blanco de ataques y así estudiar su forma de operación. En un ejemplo, se lanzó un honeypot que simulaba una planta de purificación de aguas. En un plazo de 24 horas recibió más de 20 ciberataques específicos de todo el mundo, muchos de los cuales resultaron ser muy avanzados. Resulta obvio que es importante proteger estas infraestructuras pues ante una emergencia nacional los atacantes pueden aprovechar sus conocimientos para infligir un daño catastrófico. ¿Que hemos hecho para protegerlas? www.oas.org/cyber/

Iniciativas: ejercicios de gestión de crisis Ejercicios dirigidos específicamente a la infraestructura crítica y casos de "desastres cibernéticos" Abarcan los sectores financiero, transporte, prensa, energía, etc. Llevados a cabo en Argentina, Colombia, Guatemala, Panamá, Paraguay, Perú, Trinidad y Tobago, Uruguay y Washington, D. C. Los primeros fueron ejercicios de gestión de crisis cibernéticas, con énfasis en infraestructuras críticas. Su objetivo fue poner a prueba las comunicaciones y la colaboración en caso de una emergencia o "desastre" cibernético nacional. Los equipos tienen que colaborar para identificar los ataques contra las infraestructuras críticas, manejar las amenazas y mitigar las consecuencias. En todos los casos, los países han elaborado recomendaciones para mejorar la coordinación ante una emergencia cibernética y así aumentar la capacidad de resistencia de las infraestructuras críticas. www.oas.org/cyber/

Iniciativas: talleres de seguridad cibernética para infraestructuras críticas Llevados a cabo en Colombia (2012), Argentina (2013), México (2014) Objetivo 1: lograr que los administradores de infraestructuras críticas comprendieran mejor las amenazas y las estrategias de mitigación. Objetivo 2: enseñar a técnicos e ingenieros de seguridad técnicas para la protección de redes críticas en caso de un desastre nacional. Asimismo hemos llevado a cabo sesiones de capacitación especializadas en seguridad cibernética y protección de infraestructuras críticas. A éstas se han invitado tanto a directivos como a técnicos para debatir temas tales como las actuales amenazas y medidas para minimizar los riesgos. Por ejemplo, en México trabajamos con Pemex y la Comisión Federal de Electricidad con la finalidad de que se cercioren de que están preparados, en los planos físico y digital, para ataques bien organizados a sus sistemas. También, hemos entablado una relación de colaboración con el Organismo Internacional de Energía Atómica con la finalidad de promover la capacidad de resistencia de infraestructuras nucleares, incluidos sus reactores de prueba, generadores de potencia instalaciones de investigación, todos los cuales albergan materiales nucleares. www.oas.org/cyber/

Amenazas emergentes/seguridad marítima Ejercicios de simulación de gestión de crisis destinados a promover la planificación contra desastres naturales y de origen humano Basados en un incidente biológico en un aeropuerto. Tres etapas. Las secciones informativas incluyen recomendaciones para fortalecer la protección de infraestructuras críticas y su resistencia. Entidades aliadas: OPS, Interpol, ONU, DHHS, FEMA, CDC (EE.UU.). Ejercicios de simulación para puertos: hablar de vulnerabilidades, responsabilidades, coordinación: ¿Quien estará a cargo de qué y hasta cuándo? Planes de contingencia, gestión de consecuencias en seis etapas: prevención, preparación, mitigación, respuesta, recuperación y resistencia (Israel) www.oas.org/cyber/

Turismo El turismo como infraestructura crítica: casi el 65 % del PIB en el Caribe; 163 millones de turistas en las Américas en 2012; más de $200 mil millones; principal pilar de la economía de muchos Estados Miembros. Requiere que las infraestructuras de distribución de agua y alimentos, transporte, comunicaciones, salud y otras funcionen conforme a normas aceptables. Declaración de San Salvador para un Desarrollo Turístico Sostenible en las Américas (2011): enfoque multidimensional para reducir riesgos vinculados con desastres naturales y de origen humano www.oas.org/cyber/

Seguridad en el turismo: programación Capacidades para realizar pruebas de simulación de gestión de crisis en respuesta a desastres naturales o de origen humano que afecten a la industria del turismo e infraestructuras conexas Aspectos importantes para enfrentar estos desastres: comunicaciones en crisis Colaboración estrecha con otros organismos tales como la OPS, la Agencia Caribeña para la Gestión de Actividades Relacionadas con Emergencias (CDEMA) y entidades del sector privado www.oas.org/cyber/

Posibles iniciativas futuras Elaboración de planes para la gestión de la recuperación en casos de desastres: énfasis en un enfoque pluripartidista, en el que se incluya a operadores de infraestructuras críticas y entidades encargadas de dar respuesta ante desastres naturales y de origen humano. Asistencia técnica para la elaboración de inventarios de infraestructuras críticas con miras a evaluar vulnerabilidades, interdependencias y deficiencias, y preparar e implementar programas de seguridad y resistencia basados en riesgos. Elaboración de legislación específica para la protección de infraestructuras críticas. Ejercicios de simulación de gestión de crisis en Bahamas. Elaboración de un nuevo plan de trabajo para cooperar con Israel. 2) Esto facilitaría la colaboración entre los gobiernos estatales de los Estados Miembros y el sector privado Esta información servirá como base para elaborar una lista de amenazas y dar forma a los planes de respuesta ante amenazas desde una perspectiva de gestión de riesgos de seguridad cibernética 3) Esto implicaría disposiciones específicas para facilitar el intercambio de información sobre amenazas cibernéticas en tiempo real entre diferentes sectores críticos, el desplazamiento de la tecnología pertinente para la protección de infraestructuras críticas, la elaboración obligatoria de informes sobre incidentes y la implementación de normas internacionales y mejores prácticas propias de la industria. www.oas.org/cyber/

www.oas.org/cyber/

www.oas.org/cyber/

Organización de los Estados Americanos ¡Gracias! Pablo Martínez Coordinador de Programas Comité Interamericano Contra el Terrorismo Secretaría de Seguridad Multidimensional Organización de los Estados Americanos 1889 F St., NW—8th Floor Washington, D. C. T: (202) 370-4972 F: (202) 458-3857 PMartinez@oas.org Decir: Mi nombre es Pablo Martínez y acabo de hacer esta presentación. www.oas.org/cyber/ www.oas.org/cyber/