El documento discute la evolución hacia un enfoque de convergencia en la seguridad, donde los análisis de riesgos consideran tanto las amenazas físicas como lógicas. Argumenta que este enfoque es obligatorio para los operadores de infraestructuras críticas y presenta iniciativas relacionadas con la protección de infraestructuras críticas a nivel europeo y español.
II Encuentro de la Seguridad Integral, Seg2 2010 - Eulen Seguridad
1. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Protección de
Infraestructuras Críticas
Un impulso a la convergencia
de la seguridad
Ricardo Cañizares Sales
Director de Consultoría
23 de junio de 2.010
2. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Índice
• Evolución
• Antecedentes
• Protección de Infraestructuras Criticas
• Conclusiones
13. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Antecedentes
• Protección de Riesgos Laborales
• Seguridad Medioambiental
• Seguridad Alimentaria
• Protección Contraincendios
• Seguridad Privada
• La Seguridad de la Información
• …….
14. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• Octubre 1992
– LORTAD
– Agencia de Protección de Datos
• Junio 1999
– Reglamento de Seguridad
14
15. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• Diciembre 1999
– LOPD
• Diciembre 2007
– Reglamento de Desarrollo de la LOPD
Madurez y consolidación
15
16. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• Normas
– 1995
• BS-7779
– 1998
• BS-7779-1
• BS-7779-2 (certificable)
– 2000
• ISO/IEC 17799 (BS-7779-1)
16
17. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• Normas
– 2002
• UNE-ISO/IEC 17799
– 2004
• UNE-71502 (certificable)
– 2005
• ISO/IEC 27001 (certificable)
17
18. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• Normas
– 2007
• ISO/IEC 27001 (certificable)
• ISO/IEC 27002
• AENOR abandona la UNE-71502
Aumentan las implantaciones de SGSI
18
19. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• 2004
– Centro Criptológico Nacional
• 2005
– INTECO
19
20. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• 2007
– CCN-CERT
– ENISE
20
21. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Seguridad de la Información
• 2007
– Esquema de evaluación y certificación
• 2010
– Esquema Nacional de Seguridad
21
22. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Criticas
Protección
Infraestructuras
23. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Infraestructuras Criticas
• 2004
– Unión Europea
– Programa Europeo
de Protección de
Infraestructuras
Críticas (PECIP)
24. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Infraestructuras Criticas
• 2007
– Acuerdo Consejo de Ministros
– Centro Nacional para la Protección de
Infraestructuras Críticas (CNPIC)
– Primer Plan Nacional de Protección de las
Infraestructuras Críticas
25. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Infraestructuras Criticas
• 2008
– Directiva 2008/114 del Consejo de la Unión Europea
– Establece que la responsabilidad principal y última
de proteger las infraestructuras críticas europeas
corresponde a los Estados miembros y a los
operadores de las mismas y determina el desarrollo
de una serie de obligaciones y de actuaciones por
aquéllos, que deben incorporarse a las legislaciones
nacionales.
26. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Infraestructuras Criticas
• 2010
– Borrador de Real Decreto por el que se
establecen medidas para la protección de las
infraestructuras críticas
27. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Borrador de Real Decreto
• Infraestructuras estratégicas (IE):
– Las instalaciones, redes, sistemas y equipos físicos y
de tecnología de la información sobre las que
descansa el funcionamiento de los servicios públicos
esenciales.
• Infraestructuras críticas (IC):
– Las infraestructuras estratégicas cuyo funcionamiento
es indispensable y no permite soluciones alternativas,
por lo que su interrupción o destrucción tendría un
grave impacto sobre los servicios públicos
esenciales.
28. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Borrador de Real Decreto
• En consecuencia, y dada la complejidad de la materia,
su incidencia sobre la seguridad de las personas y sobre
el funcionamiento de las estructuras básicas nacionales
e internacionales, y en cumplimiento de lo estipulado por
la Directiva 2008/114/CE, se hace preciso elaborar una
norma cuyo objeto es, por un lado, regular la protección
de las infraestructuras críticas contra ataques
deliberados de todo tipo (tanto de carácter físico como
cibernético)
29. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Borrador de Real Decreto
• Los Planes Estratégicos Sectoriales estarán basados en
un análisis general de riesgos donde se contemplen las
vulnerabilidades y amenazas potenciales, tanto de
carácter físico como lógico, que afecten al sector o
subsector en cuestión en el ámbito de la protección de
las infraestructuras estratégicas.
• El Plan de Seguridad del Operador deberá
fundamentarse en un análisis de riesgos apropiado en el
que se contemplen, de una manera global, tanto las
amenazas físicas como lógicas.
30. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Borrador de Real Decreto
• ¿Desde que punto de vista se plantea la
seguridad de las IC?
CONVERGENCIA
31. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Sectores Estratégicos
• Administración Pública
• Espacio
• Industria Nuclear
• Industria Química
• Instalaciones de Investigación
• Energía
• Salud
• Tecnologías de la Información y las Comunicaciones
• Transporte
• Alimentación
• Sistema Financiero y Tributario
32. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Otras Iniciativas
• ISO
– Comité TC 223
– Societal Security
• AENOR
– Subcomité CTN 196/SC1
– Continuidad de infraestructuras y servicios
críticos
34. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Conclusiones
• El modelo tradicional de la seguridad está
superado.
• Los análisis de riesgos deben contemplar de
una forma global, tanto las amenazas físicas
como lógicas.
• El modelo de convergencia es una obligación
para los operadores de infraestructuras críticas.
36. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Modelo de Madurez
• Avanzar en la madurez de la Seguridad
Corporativa
• Dentro de un proceso de mejora continua
36
37. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Modelo de Madurez
– Modelo de Madurez de Capacidades
CMM (Capability Maturity Model)
37
38. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Modelo de Madurez
• CMMI
– Integración de Modelos de Madurez de
Capacidades
• ISO/IEC 21827 SSE-CMM.
– System Security Engineering Capability
Maturity Model
• People CMM
– People Capability Maturity Model
• …..
38
39. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Modelo de Madurez
0 No-existente
1 Inicial/Ad Hoc
2 Repetible pero intuitivo
3 Proceso definido
4 Administrado y Medible
5 Optimizado
39
40. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Modelo de Madurez
• Los incidentes de seguridad ocasionan
respuestas con acusaciones personales, debido
a que las responsabilidades no son claras.
• Los servicios prestados por terceros pueden no
cumplir con los requerimientos específicos de
seguridad de la empresa
• Los informes de seguridad no contienen un
enfoque claro de negocio
45. GRUPO EULEN GRUPO EULEN GRUPO EULEN
Eulen Seguridad
• Comprometida con la
excelencia en la
prestación de servicios
• Comprometida con la
honestidad y ética
profesional
• Comprometida con la
Seguridad de nuestra
Sociedad
45
46. GRUPO EULEN GRUPO EULEN GRUPO EULEN
más de 35 años innovando
para proteger
su patrimonio
46