Estrategia Nacional de Ciberseguridad · 2018-11-22 · Estrategia Nacional de Ciberseguridad La...

Estrategia Nacional de Ciberseguridad

La Estrategia Nacional de Ciberseguridad (ENCS) define objetivos y ejes transversales, plasma los principios rectores, identifica a los diferentesactores involucrados y da claridad sobre la articulación de esfuerzos entre individuos, sociedad civil, organizaciones privadas y públicas enmateria de ciberseguridad; además señala el modelo de gobernanza para la implementación, seguimiento y evaluación de la Estrategia.

En México, el Gobierno de la República, en su rol de facilitador, promovió espacios de diálogo, discusión y aprendizaje mediante foros y talleresen un proceso de colaboración denominado “Hacia una Estrategia Nacional de Ciberseguridad” demarzo a octubre de 2017. En estos espacios, los distintos actores de la sociedad compartieron ideas, inquietudes y propuestas en materia deciberseguridad que arrojaron grandes coincidencias sobre las necesidades que debía atender laEstrategia, tales como:

● Que la ENCS articule el desarrollo de las acciones de ciberseguridad que sirvan a individuos, empresas e instituciones públicas del Estadomexicano.

● Colaboración y cooperación entre los diferentes sectores como pieza clave para el desarrollo, seguimiento y evaluación de la Estrategia.

● Conocer la dimensión de los riesgos y amenazas en el ciberespacio, el estado que guarda la ciberseguridad en el país, la construcción de undiagnóstico nacional, así como obtener evidencia para mejorar la toma de decisiones en materia de ciberseguridad.

● Contemplar el escenario global como parte de la problemática y la diplomacia como vía para entablar diálogos y acuerdos que permitan hacerfrente a los riesgos, amenazas y ciberdelitos.

● Desarrollar capital humano especializado en materia de ciberseguridad.

● Promover el uso responsable de las TIC y reforzar una cultura de ciberseguridad que contemple acciones de concientización, educación yformación.

Antecedentes


Marco Jurídico

El objetivo general de la EstrategiaNacional de Ciberseguridad esidentificar y establecer las accionesen materia de ciberseguridadaplicables a los ámbitos social,económico y político que permitan ala población y a las organizacionespúblicas y privadas, el uso yaprovechamiento de las TIC demanera responsable para el desarrollo

sostenible del Estado Mexicano.

I. Sociedad y derechos.Generar las condiciones para que la población realice sus actividades de manera responsable, libre y confiable en elciberespacio, con la finalidad de mejorar su calidad de vida mediante el desarrollo digital en un marco derespeto a los derechos humanos como la libertad de expresión, vida privada y protección de datos personales, entreotros.II. Economía e innovación.Fortalecer los mecanismos en materia de ciberseguridad para proteger la economía de los diferentes sectoresproductivos del país y propiciar el desarrollo e innovación tecnológica, así como el impulso de la industria nacional enmateria de ciberseguridad, a fin de contribuir al desarrollo económico de individuos, organizaciones privadas,instituciones públicas ysociedad en general.III. Instituciones públicasProteger la información y los sistemas informáticos de las instituciones públicas del país para el funcionamiento óptimode éstas y la continuidad en la prestación de servicios y trámites a la población.IV. Seguridad públicaIncrementar las capacidades para la prevención e investigación de conductas delictivas en el ciberespacio que afectana las personas y su patrimonio, con la finalidad de mantener el orden y la paz pública.V. Seguridad nacionalDesarrollar capacidades para prevenir riesgos y amenazas en el ciberespacio que puedan alterar la independencia,integridad y soberanía nacional, afectando el desarrollo y los intereses nacionales.


Objetivos Estratégicos

Para alcanzar los objetivos estratégicos se desarrollarán 8 ejes transversales :

1. Cultura de ciberseguridad.

Es el conjunto de valores, principios y acciones en materia de concientización, educación y formación, que se llevan a cabo por la sociedad, academia, sector privado e instituciones públicas, que inciden en la forma de interactuar en el ciberespacio de forma armónica, confiable y como factor de desarrollo sostenible.

2. Desarrollo de capacidades.

Es el conjunto de acciones encaminadas a la generación y fortalecimiento de las capacidades organizacionales, de capital humano y recursos tecnológicos en materia de ciberseguridad, que permitan a la sociedad, academia, sector privado e instituciones públicas contar con los recursos para la gestión de riesgos y amenazas en el ciberespacio, así como el incremento de la resiliencia nacional.

3. Coordinación y colaboración.Es el conjunto de acciones orientadas a coordinar y establecer los canales de colaboración entre las distintas instituciones públicas, academia, sociedad civil y organizaciones privadas en materia de ciberseguridad, en losdiferentes ejes transversales, con la finalidad de consolidar el ecosistema de ciberseguridad y obtener la capacidad resiliente necesaria para establecer los mecanismos preventivos, proactivos y reactivos que brinden confianza ytranquilidad a la población en el uso y aprovechamiento de TIC.

Ejes Transversales

4. Investigación, desarrollo e innovación TIC.

Es el conjunto de acciones orientadas a establecer los mecanismos para fomentar la investigación, desarrollo e innovación en el uso y aprovechamiento de las tecnologías en materia de ciberseguridad con la finalidad de favorecer el desarrollo de capital humano e innovación tecnológica en la materia e impulsar el mercado nacional de ciberseguridad que favorezca el desarrollo de capacidades y la madurez del ecosistema nacional.

5. Estándares y criterios técnicos.

Es el conjunto de acciones enfocadas al desarrollo, adopción y fortalecimiento de los estándares, criterios técnicos y de normalización en materia de ciberseguridad, que permitan la homologación y aplicación de las mejores prácticas y procesos en el uso y adopción de las TIC en un entorno de ciberseguridad.

6. Infraestructuras críticas.

Conjunto de acciones encaminadas a establecer las acciones y mecanismos necesarios para minimizar la probabilidad de riesgos y vulnerabilidades inherentes en el uso de las TIC para la gestión de infraestructuras críticas, así como para fortalecer la capacidad de resiliencia para mantener la estabilidad y continuidad de los servicios en caso de sufrir un incidente de ciberseguridad.

7. Marco jurídico y autorregulación.

Impulsar y establecer acciones y mecanismos necesarios para la adecuación del marco jurídico nacional vinculado a laciberseguridad y de autorregulación; por parte de los concesionarios, permisionarios, distribuidores de servicios deTIC, incluida la modificación a efecto de brindar certeza jurídica al actuar de los intermediarios de Internet, y lasociedad en general, que permita el uso y aprovechamiento de las TIC y sana convivencia en el ciberespacio.

8. Medición y seguimiento.

Es el conjunto de políticas y acciones encaminadas al fomento y desarrollo de mecanismos homologados de mediciónque permitan dar seguimiento a los resultados obtenidos de la implementación de la Estrategia Nacional deCiberseguridad y su impacto en el desarrollo social y económico del país, con la finalidad de identificar las áreas deoportunidad para su mejora continua.

El Gobierno de la República, en el marco de la Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico(CIDGE)25, en el mes de octubre de 2017, mediante acuerdo adoptado por unanimidad en la Comisión, acordó lacreación de la Subcomisión de Ciberseguridad, la cual está presidida por la Secretaría de Gobernación a través de laCNS (Policía Federal /División Científica).Entre los integrantes de esta subcomisión se encuentran diversas dependencias y entidades de la AdministraciónPública Federal, lo anterior con la finalidad de que la Estrategia Nacional de Ciberseguridad cuente con un desarrollointegral, holístico y transversal desde el Ejecutivo Federal y permita la vinculación con diferentes partes interesadas,es decir: sociedad civil, sector privado, comunidades técnica y académica e instituciones públicas de los distintospoderes y de los diferentes órdenes de gobierno, incluida cualquier institución pública con autonomía.

Entre otras tareas, la Subcomisión de Ciberseguridad se encargará de:● Aprobar y dar a conocer la Estrategia;

● Dar seguimiento y coordinar la implementación de la ENCS en colaboración con las diferentes dependencias yentidades de la APF;

● Impulsar los esquemas de colaboración y cooperación interinstitucional en materiade ciberseguridad; y

● Fomentar la colaboración y cooperación con los diferentes actores interesados: sociedad civil, sector privado,comunidades técnicas y académicas.

Protección de Infraestructuras Criticas de Información

Relación y cobertura entre CIP, CIIP y seguridad cibernética.

La Protección de Infraestructura de Información Crítica (CIIP) es un tema complejo pero importante

para las naciones. Las naciones en general dependen críticamente de los servicios de las

Infraestructura Crítica (CI) tales como suministro de energía, telecomunicaciones, sistemas

financieros, agua potable y servicios gubernamentales. Las Infraestructuras Críticas (CI) se definen

como: "Las infraestructuras que son esenciales para el mantenimiento de las funciones vitales de la

sociedad, la salud, seguridad, y el bienestar económico o social de las personas, cuya interrupción o

destrucción tendría consecuencias graves"


PERSPECTIVA NACIONAL.

No existe una estrategia CIIP única que se adapte a cada nación. La naturaleza del proceso para CIIP depende del perfil de riesgo de una nación, las necesidades y la capacidad de mitigar el riesgo. La capacidad, pero también las responsabilidades para mitigar el riesgo dependen de las capacidades de las partes interesadas involucradas en CIIP y las capacidades que tiene una nación a su disposición para hacer que las partes interesadas de la CII trabajen de manera colaborativa hacia los niveles deseados de CIIP.


INFRAESTRUCTURA CRÍTICA DE INFORMACIÓN (CII): "Esas infraestructuras de información y comunicación interconectadas son esenciales para el mantenimiento de las funciones vitales de la sociedad (salud, seguridad, bienestar económico o social de las personas) cuya interrupción o destrucción tendría consecuencias graves".

PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN (CIIP) se deriva de la definición de CII, y es definida como: “Toda actividad destinada a garantizar la funcionalidad, continuidad e integridad de la CII con el fin de disuadir, mitigar y neutralizar una amenaza, riesgo o vulnerabilidad o minimizar el impacto de un incidente".


❑ Ministerios responsables de las TIC´s, por ejemplo: Comunicaciones, Medios, Departamentos TIC ❑ Ministerios responsables de CI específicos, por ejemplo: Departamentos de Economía, Energía, Salud ❑ Reguladores para dominios específicos de CI ❑ Procuradurías de justicia y otros organismos públicos ❑ Operadores y utilidades CI y CII ❑ Políticos y Parlamento ❑ Fabricantes, integradores de sistemas y empresas de mantenimiento de terceros ❑ Organizaciones intersectoriales ❑ Equipos de respuesta a incidentes de seguridad informática (CSIRT) ❑ Centro Nacional de Seguridad Cibernética ❑ Académicos e Investigación y Desarrollo (‘Triple Helix’).


Principales Funciones de la Administración de Infraestructuras Criticas

INTERCAMBIO DE INFORMACIÓN¿Cómo desarrollar un entendimiento especializado?

ASOCIACIONES PÚBLICO - PRIVADAS¿Cómo involucrar a todas las organizaciones?

¿Cómo manejar la

crisis si las cosas

van mal?

¿Cómo mitigar el

riesgo?

¿Cómo están

conectadas?

¿Cuáles con las

partes críticas de la

infraestructura?

IDENTIFICACIÓ

N DEPENDENCIAS

GESTIÓN DE

CRISIS

GESTIÓN DE

RIESGOS


Dimensiones de la administración de CIP

Involucramiento sector privado, las mejores practicas involucran al sector público y privado.

Cooperación Obligatoria o voluntaria, la cooperación voluntaria se traduce en la generación de guías; el enfoqueobligatorio es basado en la legislación.

Madurez de CIP, la implementación de buenas prácticas requiere un nivel de madurez en la CIP.

ASOCIACIÓN PÚBLICO PRIVADA

(PUBLIC - PRIVATE PARTNERSHIP)

APP

MADUREZ CIP MEJORES PRÁCTICAS DE

ACUERDO NIVEL DE MADUREZ

MLEGISLACIÓN MANDATED

L


Buenas prácticas

INDICA UN BAJO REQUERIMIENTO DE ESTRUCTURAS DE ASOCIACIÓN PÚBLICO –PRIVADA (APP)

INDICA UN ALTO REQUERIMIENTO DE ESTRUCTURAS DE ASOCIACIÓN PÚBLICO –PRIVADA (APP)

INDICA QUE LA BUENA PRÁCTICA ES MÁS ADECUADA PARA ESTRUCTURAS VOLUNTARIAS.

INDICA QUE LA BUENA PRÁCTICA ES MÁS ADECUADA PARA ESTRUCTURAS OBLIGADAS.

INDICA QUE LA BUENA PRÁCTICA ES MÁS ADECUADA PARA PAISES EN DESARROLLO O NIVEL INICIAL DE IMPLEMENTACIÓN DE CIP.

INDICA QUE LA BUENA PRÁCTICA ES MÁS ADECUADA PARA PAISES DESARROLLADOS CON EXPERIENCIA EN CIP.

INDICA QUE LA EXISTENCIA DEL APP NO ES IMPORTANTE PARA LA APLICACIÓN DE LA BUENA PRÁCTICA.

INDICA QUE LA BUENA PRÁCTICA ES IGUALMENTE ADECUADA PARA LAS ESTRUCTURAS OBLIGATORIAS Y VOLUNTARIAS.

INDICA QUE LA BUENA PRÁCTICA ES IGUALMENTE ADECUADA PARA INICIADORES Y EXPERIMENTADOS DEL CIP.

M

APP

L

APP

L

M

APP

L

M

I.- Identificación de CIP

El reto es la identificación del bien, grupo de bienes y procesos que forman parte de CI.

Top-Down: establece los sectores y subsectores, conocidos como productos y servicios.

Bottom-Up : El enfoque BU evalúa todos los activos


ECI (European Critical Infraestructure Sectors)

Pasos para identificar CI

1) Criterio de sectorización, ejemplo: la transmisión de las líneas de gaseoducto deben asegurar una capacidad depor lo menos x millones de m3 por hora al punto de distribución.

2) Activos críticos, identificación de aquellos activos/servicios que ante una disrupción tienen un impactosignificante a dos o mas localidades

3) Dependencia de activos, aquellos activos/servicios que afectan otros activos/servicios

4) Corte transversal, permite identificar la afectación de un activo/servicio en todas las funciones de la sociedad


Buenas prácticas para identificar CI

• Enfoque basado en operador, Cada Secretario de estado define sus operadores(proveedores) críticos, mantiene contacto con las asociaciones, empresas y organismosreguladores del sector. Ej: Francia tiene 12 sectores críticos, 21 subsectores, 220operadores y 1000 activos críticos.

• Enfoque Orientado a Servicios, el enfoque servicios sustantivos a la sociedad socialcategoriza cada subsector en niveles de criticidad, el cual es determinado por el impactode falla, por la afectación a otros subsectores, a la población y a la economía. Ej: LaOficina de protección Civil de Suiza junto con las Dependencias Federales hacen uninventarios de tres factores críticos:

– Requerimiento cuantificable del activo (Megawatts)

– La funcionalidad del activo en la cadena de valor del proceso

– Análisis nacional de peligroM

APP

L

M

APP

L



1) Enfoque Hibrido basado en operador-servicios, Reino Unido cuenta con el programa de mayorcobertura en los sectores sociales para CIP, tiene 9 sectores críticos y 20 servicios críticos subordinados.Cada Dependencia efectúa selección de activos y operadores (proveedores); el Centro Nacional deProtección de Infraestructuras CPNI efectúa una evaluación, basado en la combinación de insumos delos Operadores, de las funciones responsabilidad de los Ministros de cada Dependencia y de los activos,categorizando en su impacto CAT0 a CAT05. CAT03 y superior son activos críticos y estos se combinancon la probabilidad de ataque.

M

APP

L



• Enfoque Bottom-Up, enfoque de frontera, La identificación parte de un enfoque regional (Municipio,Estado, Federación). Ej: Canadá no aplica un enfoque nacional, es el país que tiene la frontera más grandedel mundo (USA) donde vive el 90% de la población dentro de un rango de 160kms con respecto a lafrontera, por lo que aplica un enfoque regional con Operadores (proveedores) del sector privado.

Se requiere de acuerdos de compartición de activos entre las diferentes regiones

M

APP

L


Cat. 5 Se trata de una infraestructura cuya pérdida podría tener un impacto catastrófico en el Reino Unido.Estos activos tendrán una importancia nacional única, cuya pérdida tendría efectos nacionales a largoplazo y podría tener repercusiones en varios sectores.

Cat. 4 Las infraestructuras de mayor importancia para los sectores deberían incluirse en esta categoría. Elimpacto de la pérdida de estos activos en los servicios esenciales sería grave y podría afectar laprestación de servicios esenciales en todo el Reino Unido o para millones de ciudadanos.

Cat. 3 Las infraestructuras de gran importancia para los sectores y la prestación de servicios esenciales,cuya pérdida podría afectar a una gran región geográfica o a cientos de miles de personas.

Cat. 2 Infraestructuras cuyas pérdidas tendrían un impacto significativo en la prestación de servicios esencialesque conducirían a pérdidas o interrupciones del servicio a decenas de miles de personas o que afectaran condadosenteros o equivalentes.

Cat. 1 Infraestructuras cuya pérdida podría causar interrupciones moderadas en la prestación de servicios,probablemente en una base localizada y afectando a miles de ciudadanos.

Cat. 0 Infraestructura cuyo impacto de pérdida sería menor (a escala nacional).

Escala de criticidad


Identificación de Infraestructuras Críticas de Información

1. Los servicios críticos de infraestructura TIC utilizados por CI (por ejemplo, telecomunicaciones móviles, acceso a internet).

2. Las tecnologías criticas de información, comunicación y sistemas de control que se utilizan en y entre los procesos de CI de los sectores de CI.


II.- Dependencias

Las funciones criticas de la sociedad están altamente interconectadas y mutuamente dependientes eninterconexiones complejas. Durante la identificación de CI, algunas infraestructuras son identificadas comocriticas y no por su nivel de afectación ante una disrupción, sino por los efectos en cascada en otrasinfraestructuras. La afectación de un activo en un país puede ocasionar mayor gravedad a otro país.

4 noviembre 2006

Apagón 12 países

15 millones de afectados


Dependencias

La identificación de las dependencias y los riesgos de los efectos en cadena, requiere de un análisis de granescala que identifique incidentes de disrupción en las CI.

¿Cuáles son las disrupciones que más disrupciones en cascada afectan:


Buenas prácticas identificar Dependencias

Talleres intersectoriales, los representantes de los diferentes sectores determinan las amenazas y afectacionesque pudieran tener ante una disrupción de un activo. Los aspectos a considerar:

Los efectos de la disrupción de CI: directo/indirecto, suministro de la cadena de producción,acceso/escasez/integridad, tiempo de la disrupción, características del sector y factores humanos.

Dependencias, identificar las medidas para tener redundancia y recuperación

Medidas para reducir vulnerabilidades

M

APP

L



Análisis Cualitativo, el método consiste en tres pasos: seleccionar y describir las funciones criticas de la sociedad;identificar y evaluar las dependencias de cada función critica de la sociedad; y analizar las dependencias de lasfunciones en un nivel de agregación nacional.

M

APP

L



Análisis Cuantitativo, requiere mapear las dependencias de CI en un modelo matemático, para medir el riesgoen las funciones sociales, en una evaluación de infraestructura, el servicio y las amenazas externas.

M

APP

L


▪ Criterio de víctimas (número potencial de muertes o lesiones);

▪ Criterio de los efectos económicos (importancia de la posible pérdida económica y/o degradación de los

servicios, efectos ambientales potenciales);

▪ Criterios de los efectos públicos (impacto en la confianza publica, nivel de sufrimiento físico de la población,

nivel de alteración de la vida cotidiana);

▪ Criterios de dependencia (por ejemplo, potencial de efectos en cascada sobre otros sectores, por ejemplo,

debilitamiento menor, moderado, significativo);

▪ Ámbito del criterio de impacto (área afectada; por ejemplo, local, gran área o múltiples sectores (parcial).

Nacional o único sector (completo), internacional o múltiples sectores (completo), tamaño de la población

afectada y/o densidad de la población en el área afectada);

▪ Impacto en el servicio (por ejemplo, tiempos de recuperación en número de días).

▪ Uno puede referirse a [RECIPE2011], [EC2008], [Mattioli2015] y [Qatar2014] para lectura adicional.

Buenas prácticas Corte transversal


III.- Asociaciones Público-Privadas APPs

El 80% de la CI depende del sector privado.

Se requiere colaboración del Gobierno y la IP para establecer programas de resiliencia y continuidad deservicios CI.

Beneficios de PPP:

• Una buena colaboración PPP da la capacidad a los operadores de CI atender las consecuencias dedesastres.

• Desarrollar programas de resiliencia en la cadena de suministro y la administración de infraestructuracrítica


IV.- Compartir Información

Compartir información ayuda a entender las amenazas, factores de riesgo y medidas necesarias a ejecutar

Niveles de compartición de información:

- CI Organizaciones en un sector crítico

- CI Organizaciones de diferentes sectores

- Dependencias de Gobierno y operadores de CI de un sector o de varios sectores

- Organizaciones que dan suministro y soporte a CI y operadores de CI de todos los sectores


Compartir Información

Construcción de comunidades confiables para compartir información, Ej; Reino Unido Centre for the Protection ofNational infraestructure (CPNI)

M

APP

L


V.- Gestión de Riesgos en CIP

La gestión de riesgos puede ser efectuada en diferentes niveles: a una activo, una compañía, un consorcio, un sectorde la sociedad, varios sectores, infraestructura nacional o transnacional.


Hay un gran número de países que han desarrollado directrices y herramientas de gestión de riesgos (por ejemplo, [VanMill2006],[Habegger, 2008]). Aunque difieren considerablemente, tienen algunos elementos en común que contribuyen a su éxito:

1. Determinación del contexto del análisis;2. Identificación del riesgo potencial;3. Evaluación de amenazas, vulnerabilidades (a veces integradas en la determinación de amenazas) e impactos;4. Determinación de los factores de riesgo (y análisis de los mismos).

Con el fin de identificar y dar sentido al riesgo, se necesita información sobre amenazas, efectos del impacto y una comprensión comúnde las definiciones y métricas. Cabe señalar que los operadores privados de la CII pueden haber aplicado ya metodologías propias degestión de riesgos que pueden causar fricción si el gobierno ordena otro método de gestión de riesgos para CII.


Gestión de Riesgos en CIP

La practicas más reconocidas para gestión de riesgos en CIP son:

- Fortalecimiento de la gestión de riesgos de los operadores de CI a través de iniciativasprivadas y facilitación de guías y herramientas.

- Fortalecer la gestión de riesgos en compañías de CI y sectores de CI.

- Evaluación nacional de riesgos de CI

M

APP

L

M

APP

L

M

APP

L


La evaluación sistemática de las amenazas implica, que todas las amenazas se evalúen en base a su impacto y probabilidad de ocurrencia usando el mismo conjunto de métricas. Además, no sólo se pueden evaluar los riesgos actuales, los maliciosos y no maliciosos, incluido el cambio en las amenazas y los efectos debidos, por ejemplo, al cambio climático y los desarrollos geopolíticos.


VI.- Gestión de crisis (CM) en CIP

- Marco Legal para la atención de crisis, que obliga a los operadores a preparar,responder y servicio de restaurar

- Participación de expertos en CIP como soporte a la función de Administración deCrisis (CM)

- Ejercicios de simulacros que involucran a los sectores CI público y privado

M

APP

L

M

APP

L

M

APP

L


¡GRACIAS!Dirección General de Tecnologías de Información y Comunicaciones

Ing. Jorge Alberto Márquez [email protected]

mailto:[email protected]

Estrategia Nacional de Ciberseguridad · 2018-11-22 · Estrategia Nacional de Ciberseguridad La...

Documents

Transcript of Estrategia Nacional de Ciberseguridad · 2018-11-22 · Estrategia Nacional de Ciberseguridad La...