Hacia una Política de Protección de la Infraestructura Crítica de Información (CIIP)

Pablo Bello ArellanoSubsecretario de Telecomunicaciones

14 de Julio de 2009

Las Telecomunicaciones en Chile y su Estadística

Impacto en el PIB

Fuente: Datos Banco Central y elaboración propia; Marzo 2009

PIB TOTAL v/s PIB COMUNICACIONES

0,0

2,0

4,0

6,0

8,0

10,0

12,0

14,0

16,0

18,0

I.04

II.04

III.04

IV.04I.0

5II.0

5III.

05IV.05

I.06

II.06

III.06

IV.06I.0

7II.0

7III.

07IV.07

I.08

II.08

III.08

IV.08

%

Comunicaciones PIB Total a precios de mercado

Aporte directo del sector de comunicaciones al PIB (2008) = 2,64%

Inversiones en el Sector

El año 2008 fue récord de inversión con US$1.290,2 millones

Fuente: Elaboración propia; Febrero 2009

Usuarios por servicios de Telecomunicaciones

3,5

14,8

1,7 1,5

0

2

4

6

8

10

12

14

16Millon

es

Fuente: Elaboración propia; Diciembre 2008

Qué se entiende por Política de Protección de Infraestructura Crítica de Información

¿Qué se entiende por Infraestructura Crítica de Información?

• Constituyen redes y sistemas de información que en caso deinterrupción, destrucción, corte o fallo, generaría serios impactosen:

– la salud, seguridad y bienestar de los ciudadanos, 

– el normal funcionamiento del gobierno o 

– la economía de un país.

Metodología Básica para Implementar CIIP

• Análisis de impacto, en razón del alcance (geográfico) y lagravedad del daño (público, económico, medioambiental,político, etc.)

• Identificación, selección y priorización de medidas deprevención, protección y recuperación

• Identificación de potenciales infraestructura crítica(elementos de red y sistemas de información en razón de sufunción dentro de la topología de red)

• Análisis del riesgo de falla en base a escenarios de amenaza yvulnerabilidad de cada elemento de red.

Actores involucrados

• Una política de protección de infraestructura crítica debe involucrar los siguientes actores :

– Estado

– Los propietarios de redes y operadores de servicios de Telecomunicaciones y sistemas de información

– Usuarios (utilizan y explotan las redes y sistemas para prestarservicios o realizar alguna actividad económica)

Interdependencia entre Infraestructuras (Físicas y Virtuales)

Fuente:ITU, 2008, Report on Best Practices for a National Approach to Cybersecurity

• La ICI puede separarse en capas, según las definiciones de criticidad establecidas por cada país.

• A su vez, cada infraestructura está compuesta por elementos o capas, de tipo física, constituida por las redes de telecomunicaciones, y virtual, formada por los sistemas informáticos y datos.

• Las políticas que se deben implementar de infraestructura crítica deben ser transversales a todas las capas, pero deben estar definidas en función del riesgo e impacto asociada a las fallas.

• Las telecomunicaciones pueden separarse en tres redes, la de acceso, la detransporte nacional y la internacional.

• Las fallas de cada de ellas tiene niveles de impactos distintos, siendo lainternacional y nacional la que pueden afectar de modo más masivo.

Configuración en Capa Física (Red de Telecomunicaciones)

Red de Transporte Internacional

Red de Transporte Nacional y Conmutación Larga Distancia

Red de acceso y servicios

•Cada red posee topologías distintivas con diferentes niveles deriesgo asociadas a ellas.

Configuración en Capa Física (Red de Telecomunicaciones)

•Cada red posee sus propias singularidades, asociadas a sutopología y alcance, que permiten identificar políticas deprotección ad‐hoc para cada una.

Configuración en Capa Física(Red de Telecomunicaciones)

Tipo de Red Topología Típica

Red de Transporte Internacional

Anillo y Bus

Red de Transporte Nacional Bus

Red de Acceso y de servicios

Bus, anillo y mixto

Incidentes que pueden afectar la ICI

Incidentes típicos que pueden afectar a la infraestructura crítica de información:

• Desastres naturales

• Terrorismo

• Actividad maliciosa‐ Botnets

‐Malware

‐ Spams

• Actividades ilícitas‐ Phishing

‐ Robo de identidad

• Acciones negligentes

Experiencia Internacional

Unión Europea

• Cuenta con un Programa Europeo de protección deInfraestructura Crítica desde el 2007.

• Creó la Agencia Europea de Seguridad de las Redes y laInformación (ENISA) formada de manera permanente porrepresentantes de gobierno y de las empresas decomunicaciones.

•Después del 11 de septiembre de 2001, Estados Unidos modificótoda su estructura organizacional de seguridad y protección de lainfraestructura crítica.

•Fusionó cerca de 23 organizaciones federales y una gran cantidadde programas de seguridad en el Department of HomelandSecurity (DHS), que coordina todas las agencias de protección y susprogramas.

Estados Unidos

Corea del Sur

•En 2001 se crea el Comité de Protección de las CII bajo el controldel Primer Ministro.

•Posee una diversidad de agencias especializadas, incluyendo losasuntos relacionados con el Cibercrimen.

•Posee una estructura legal y normativa muy amplia, que incluyela protección de los datos privados, la firma digital, el e‐Commerce, el cyber crimen, entre otros.

OECD

• En el marco del proceso de incorporación de Chile a la OECD, se nos recomendórespecto de la infraestructura crítica, que los países miembros deben:

– Adoptar al más alto nivel de gobierno una política de protección de ICI asícomo un sistema de alerta nacional.

– Establecer una estrategia de manejo de riesgos a nivel nacional yestablecer una estructura organizacional adecuada.

– Trabajar en una cooperación estrecha con el sector privado.

– Fortalecer la cooperación internacional para garantizar la protección de lasICI frente a eventos que van más allá de las capacidades de paísesindividuales.

Situación Actual en Chile

• Hasta la fecha, la Subsecretaría ha concentrado sus esfuerzosen contar con una política de protección en la capa física de lainfraestructura de comunicaciones del país.

• Se ha implementado protocolos de trabajo para lograrrespuesta temprana ante emergencias, en coordinación con laIndustria y la ONEMI.

• Asimismo, se ha avanzado en identificar los puntos críticos delsistema, mediante la georeferenciación de la infraestructuracrítica del sistema de telecomunicaciones (mapa de laconectividad).

Subsecretaría de Telecomunicaciones

Ciberseguridad: CL‐CERT

•Unidad dependiente de la Universidad de Chile.

•Su trabajo tiene una orientación académica, sin una normativanacional que sustente su trabajo.

•Realiza investigación acerca la intensidad de los ataquesproducidos en Internet.

•Cuenta con convenios internacionales que permiten analizar lasalertas presentadas en los CERT (Computer Emergency ResponseTeam) de otros países, principalmente USA.

El CSIRT del Ministerio del Interior

• El CSIRT (Computer Security Incident Response Team) depende de la Unidad deInformática del Ministerio del Interior

• Ofrece a las entidades del Estado, los siguientes servicios:

– Monitoreo de actividades y detección de anomalías en sistemas informáticos .

– Apoyo en respuesta a incidentes computacionales.

– Asesoría en la generación e implementación de políticas y sistemas de seguridadinformáticas.

– Boletines de alertas adecuadamente traducidos y adaptados a las necesidadesnacionales.

• Los servicios prestados se encuentran sujetos al establecimiento de unconvenio de trabajo y la provisión de los recursos técnicos necesarios.

Próximos Pasos

Implementación CIIP

• Se está trabajando en el establecimiento de una política CIIPnacional, ajustada a los lineamientos de la OECD, cuyo objetoes mejorar la seguridad de las redes y sistemas deinformación de nuestro país.

• Debemos contar con una capacidad de las redes y sistemas deinformación para resistir con un determinado nivel deconfiabilidad técnica‐económica, aquellos accidentes,acciones ilegales o malintencionadas que pongan en riesgo ladisponibilidad, autenticidad e integridad de los servicios quedichas redes y sistemas ofrecen.

Agenda de Trabajo

• Desde julio del año 2008 Subtel ha coordinado una mesa de trabajo transversalcon otras reparticiones de Gobierno, con el objeto de adoptar una política deprotección de las ICI.

• En ella participan:

– Subsecretaría de Telecomunicaciones

– Ministerio del Interior, División Informática

– Agencia Nacional de Inteligencia (ANI)

– ONEMI

– Ministerio de Defensa (en proceso de incorporación)

– Ministerio de Economía, Estrategia Digital

– NIC Chile

– Industria de Telecomunicaciones

Agenda de Trabajo

Las principales tareas para la implementación de CIIP:

– Realizar el diagnóstico de las redes y sistemas de información

– Identificar y coordinar a los diversos organismos relacionados con laprotección de las ICI, con el objeto de establecer una estructuraorganizacional adecuada.

– Identificar vacíos legales y proponer cambios a la ley vigente.

– Identificar redes y sistemas críticos de información.

– Evaluar los riesgos a los que se someten las redes y sistemas críticos.

– Desarrollar programas de protección contra los impactos y políticas paramitigar los riesgos.

Agenda de Trabajo

• En octubre próximo, Chile presentará a la OECD los avances en el área deprotección a la infraestructura crítica.

• Para esa fecha, se espera contar:

– Con una definición de la Institucionalidad adecuada

– Con un diseño de la Política para la protección de ICI

Conclusiones

Conclusiones

• Entendemos que la infraestructura de comunicaciones es transversal atodos los sectores de la economía, de allí la importancia de avanzar enpolíticas para su protección.

• Una política debe fundarse en identificar y evaluar los riesgos asociados,como también los impactos económicos –no sólo privados, sino tambiénsociales‐ que conlleva la falla de una infraestructura de comunicaciones.

• Debe procurarse la cooperación del sector privado y el Estado con el objetode avanzar en la implementación coordinada de políticas de protección(por ejemplo, desincentivo a la concentración geográfica de sitios críticos,protección de los cables submarinos, entre otros).

• Coordinación y cooperación con organismos internacionales, encargadosde la protección de la ICI, resultan necesarios ante amenazas globales.

Hacia una Política de Protección de la Infraestructura Crítica de Información (CIIP)

Pablo Bello ArellanoSubsecretario de Telecomunicaciones

14 de Julio de 2009