La seguridad cibernética de la infraestructura crítica, es una preocupación internacional y se han tomado varias iniciativas para evaluar los riesgos de las instalaciones actuales y se han hecho propuestas sobre cómo evitarlas.

Se definen dieciséis sectores críticos de infraestructura, cuyos activos, ya sean físicos o virtuales, se consideran vitales para el país, ya que su discapacidad o destrucción tendrá un impacto debilitante en la economía, la salud o la seguridad del país.

  • Instalaciones comerciales
  • Química
  • Comunicaciones
  • Fabricación Crítica
  • Represas
  • Base de defensa Industrial
  • Servicios de Emergencia
  • Energía
  • Servicios Financieros
  • Comida y Agricultura
  • Instalaciones Gubernamentales
  • Salud Publica
  • Tecnología de la información
  • Reactores nucleares, materiales y escombros
  • Sistemas de transporte
  • Sistemas de agua y alcantarillado

Desde entonces, varias agencias gubernamentales y entidades privadas han tomado iniciativas para regular la protección de la infraestructura crítica en sus áreas. La protección de la infraestructura crítica tenía como objetivo inicial proteger los activos físicos contra actos de sabotaje o terroristas de origen nacional o extranjero.

La amenaza de ataques cibernéticos se ha convertido en una preocupación a nivel gubernamental para proteger la infraestructura crítica. El Gobierno de los Estados Unidos emitió el 12 de febrero de 2013 la “Orden ejecutiva 11363: Mejora de la ciberseguridad de la infraestructura crítica”. Esta orden instruyó al Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE. UU. Para emitir una regulación de Ciberseguridad para el área de Infraestructura Crítica del país, el Marco de Ciberseguridad (CSF), que tiene los siguientes objetivos:

  • Proporcionar una prioridad, flexibilidad, repetibilidad, Enfoque rentable y basado en el rendimiento, que incluye medidas y controles de seguridad de la información, para ayudar a los propietarios y operadores de infraestructuras críticas a identificar, evaluar y gestionar los riesgos cibernéticos.
  • Identificar las normas y pautas de seguridad intersectoriales aplicables a las infraestructuras críticas
  • Identificar áreas de mejora que deben abordarse mediante colaboración futura con sectores específicos y organizaciones de desarrollo de estándares.
  • Brindar orientación neutral en tecnología y permitir que las industrias de infraestructura crítica se beneficien de un mercado competitivo para productos y servicios que cumplan con estándares, metodologías, procedimientos y procesos de riesgo cibernético diseñados para abordar las amenazas cibernéticas.
  • Pautas básicas para medir el desempeño de una entidad en la implementación del Marco de Ciberseguridad.
  • Incluir metodologías para identificar y mitigar los impactos del Marco de Ciberseguridad y las medidas o controles de seguridad de la información asociados sobre la confidencialidad del negocio, y para proteger la privacidad individual y las libertades civiles.
  • Proceso de revisión y comentarios
  • Consulta con el Secretario, la Agencia de Seguridad Nacional, las Agencias del Sector Específico y otras agencias interesadas, incluidos OMB, propietarios y operadores de infraestructura crítica y otras partes interesadas a través del proceso de asesoramiento establecido en la sección 6 de esta solicitud.
  • Proporcionar información sobre amenazas y vulnerabilidades y experiencia técnica para informar el desarrollo del Marco de seguridad cibernética.
  • Proporcionar objetivos de rendimiento para el Marco de seguridad cibernética

En 2014, el NIST emitió la versión 1.0 del Marco de seguridad cibernética, que se ha convertido en un estándar mundial “de facto” y originó documentos regionales basados ​​en él.

Los  principales etandares seguidos por CelPlan son:

  • Organización Internacional de Normalización (ISO) 15408: un estándar que desarrolla lo que se denomina “Criterios comunes” que permite que varios productos de software y hardware se integren y prueben de forma segura.
  • IETF-RFC 2196 – Memorando publicado por el Grupo de trabajo de ingeniería de Internet para el desarrollo de políticas y procedimientos de seguridad cotidianos para sistemas de información conectados a Internet.
  • Instituto Nacional de Estándares Americanos (ANSI) / Sociedad Internacional de Automatización (ISA) 62443 – Una serie de estándares, informes técnicos y información relacionada que define los procedimientos para implementar Sistemas de Automatización de Control y Protección Electrónica (IACS). Esta directriz se aplica a usuarios finales (es decir, propietarios de activos), integradores de sistemas, profesionales de seguridad y fabricantes de sistemas de control responsables de fabricar, implementar o administrar IACS.

CelPlan cuenta con la siguiente herramienta de evaluación de seguridad cibernética:

  • Herramienta de evaluación de seguridad cibernética (CSET) – Desarrollado por el Departamento de Seguridad Nacional (DHS) y el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC), proporciona un enfoque sistemático, disciplinado y repetible para evaluar la postura de seguridad de una organización. Es una herramienta de software que guía a los propietarios y operadores de activos a través de un proceso paso a paso para evaluar su sistema de control industrial (ICS) y las prácticas de seguridad de la red de tecnología de la información (IT). Los usuarios pueden evaluar su propia postura de seguridad cibernética utilizando muchos estándares reconocidos del gobierno y la industria. El desarrolló la aplicación CSET.

Este proceso de evaluación puede ser utilizado efectivamente por organizaciones de todas las industrias para evaluar las redes de TI o ICS (TO). El proceso sigue los pasos ilustrados en la figura a continuación.

Para aprovechar al máximo una evaluación CSET, se recomienda seleccionar un equipo multifuncional de muchas áreas de la organización. Para preparar adecuadamente una autoevaluación de CSET, este equipo debe revisar las políticas y procedimientos, diagramas de topología de red, listas de inventario de activos y componentes críticos, evaluaciones de riesgos anteriores, políticas de TI e ICS, y prácticas de red y funciones organizacionales. y responsabilidades El equipo también debe comprender su flujo de datos operativos.

  • Herramientas de seguridad para sistemas de control industrial (ICS): herramientas para detectar:
    • Ciberataques externos
    • Amenazas internas
    • Error humano y negligencia

Para que esto se haga, las herramientas deben:

  • Mapa de activos OT
  • Reconocer activos: fabricantes, modelos, versiones de software y otra información.
  • Buscar deficiencias de seguridad de activos en bases de datos
  • Mapear intercambios de información entre activos y validarlos

Evaluar periódicamente los cambios en las configuraciones e interconexiones y alarmas si ocurren
CelPlan trabaja con las herramientas de Indegy y Claroty.

  • Herramientas de seguridad de TI: estas herramientas deben realizar las siguientes tareas:
    • Auditar los derechos de acceso a la red
    • Monitorear, responder y reportar amenazas  en tiempo real.
    • Gestionar eventos e informes de problemas
    • Abordar vulnerabilidades

CelPlan funciona con SolarWinds y Carbon Black Tools.

Leer más: Comprenda las amenazas de ciberseguridad que representan los sistemas OT y TI en las empresas de servicios públicos