Plataformas Tecnológicas de Seguridad: I+D+i en Seguridad ...€¦ · SEG2: Presentación PESI...

SEG2: Presentación PESI I+D+i en Security (Gas Natur al, 12-Junio 2014)

Plataformas Tecnológicas de Seguridad : I+D+i en Seguridad e Infraestructuras

Críticas (Security y PIC)

VI Encuentro de Seguridad integral - Se g2(Gas Natural, 12 Junio 2014)

Javier LARRAÑETAPESI Secretario General

ETPIS Executive Board Officer

Indice

• ETPIS y PESI: Plataformas Tecnológicas de Seguridad Industrial (de Seguridad integral !?)

• Ambitos de Seguridad y PIC (Security e Infraestructuras Críticas)

– Marco de la seguridad corporativa en la Ley PIC– Ambitos Safety+Security en PIC– Oferta tecnológica en PIC:

• Seguridad integral (Ley PIC: PSO y PPE)• Seguridad física y estructural• Sistemas y productos de seguridad « certificados »• Seguridad de la Información• Ciberseguridad industrial

• Oportunidades de Financiación (Estatal, UE, Internacional)


ETPIS y PESI: Plataformas Tecnológicas de Seguridad Industrial (integral?)

(Javier Larrañeta, TECNALIA) SEG2: Presentación PESI I+D+i en Security (Gas Natur al, 12-Junio 2014)

Visión ETPIS 2020 / PESI

Las 4 áreas de despliegue de PESI:

• Seguridad procesos e instalaciones

• Seguridad y salud en el trabajo

• Seguridad ambiental

• Seguridad corporativa de la Empresa

« Innovación y desarrollo tecnológico (I+D+i) con visión global e

integradora de la Seguridad Industrial»

(Safety + Security)


ETPIS/PESI: Estructuración de la SRA desde los GGTT

• 6 Ejes Temáticos (Grupos de Trabajo)– Tecnologías avanzadas para la reducción del riesgo– Metodologías para la evaluación y gestión del riesgo– Seguridad estructural– Factores humanos y organizacionales– Riesgos emergentes y Nanoseguridad– Tecnologías para la Seguridad corporativa (ciber-seguridad,

infraestructuras críticas industriales y continuidad del servicio)

• 2 Ejes transversales (Hubs)– Educación y formación– Seguridad del Transporte (mercancías peligrosas)

• Nueva estrategia frente al Programa Marco Europeo HORIZON-2020: iniciativa europea SafeFuture de ETPIS


Ambitos de Seguridad y PICSecurity e Infraestructuras Críticas


Seguridad Integral: nuevo paradigma !?

• Contexto mundial: Seguridad y Defensa– Nuevas amenazas con nuevos medios (ciber)

• Estrategias a nivel Nacional (USA, UE…) en Seguridad y protección de Infraestructuras Críticas (PIC):

– Convergencia desde la visión de Seguridad Nacional (y Defensa):• Análisis de riesgos, planes de seguridad lógica y f ísica• Tecnologías militares y de los Servicios Secretos p ara la Seguridad Corp.

– Protección de infraestructuras críticas de gestión “privada” (grandes instalaciones industriales/ energía/ transporte/ te lecomunicaciones…)

• Novedad: los Consejos de Administración perciben el valor de la security• Entornos industriales complejos (más que la Sede co rporativo y Servicios)• Ciberseguridad (SI y sistemas SCADA)• Continuidad del negocio y Resiliencia empresarial

• Nuevo driver: Disaster Resilience , muy relacionado con el cambio climático y el incremento de los desastres naturales


Marco de la seguridad corporativa en la Ley PIC

Implantación de la Ley PIC:

• Sectores e Infraestructuras Críticas:• Operadores privados

• Administraciones Públicas

• Estudios Sectoriales

• PSO Plan Seguridad del Operador

• PPE Plan Protección Específica

• Seguridad corporativa de la Empresa• adaptación de medios y planes de Seg.

• Sistemas y productos homologados (CNPIC)


Sistemas y Servicios tecnológicos (innovación e I+D) en la Seguridad integral y la PIC

• Organización y responsabilidades en ámbitos de la Seguridad– Inteligencia del Negocio (VT/IC, conflictos y radic alización)– Seguridad de Operación (Ingeniería / procesos): Seg uridad industrial y

medio-ambiental – Seguridad Ocupacional (PRL)– Seguridad de las Instalaciones (S. Física)– Seguridad de la Información (Ciberseguridad)– SEGURIDAD INTEGRAL

• Evolución hacia el nuevo marco (PIC y H-2020/Security):– Convergencia safety-security (desde diferentes visi ones: seguridad

industrial y PRL, seguridad lógica y seguridad físi ca)– DRS (Disaster Resilience, incluyendo adaptación al c ambio climático /

desastres naturales)– Protección de infraestructuras (industriales/ trans porte/…) críticas – Ciberseguridad (SI y sistemas SCADA)– Continuidad del negocio y Resiliencia empresarial


Nuevo modelo Safety+Security para la continuidad del negocio

Efectos no deseados :Internos (trabajadores, activos, imagen…)Exterior (población, naturaleza, otras infraestructuras,…)Discontinuidad del Servicio/Negocio

Modelo de empresaSegura y Fiable

Fuentes y origen de:accidentes,incidentes

inseguridad

Naturaleza. Infraestructuras

Sociedad y poblaciónOrganización social y política:

Homeland security. Protección Civil

Cadena de valor industrial, comercio y logística

Bienes y ServiciosExternos

Efectos cascada

Internos


Infraestructuras críticas: nuevo enfoque sistémico integrado Safety+Security para la continuidad del negocio

Dirección Estratégica y Comunicación/ RSC

Cuadro de mando: continuidad negocio

Calidad (Servicio/Producto) y Seguridad Integral

Organización y Personas (KM; cadena de valor: Prove edores y Subcont.

Seg.Ind.-Emerg|G.Producción|Med-Amb|PRL|Logística|Finanzas|RRHH|Security

Maquinaria| Materiales| Residuos| Vehículos| Conocimiento| Sist.Información

Dispositivos electrónicos (sensórica) y Sistª Informáticos

Red de comunicaciones (transmisión datos: cable, inalámbricas…)

Infraestructura física (edificios, instalaciones, terrenos…)

Nuevo concepto Seguridad integral:modelo de

organización y sistemas

integrados

Assets(activos físicos)

Mundo exterior (físico y lógico)

Modelo extendido

Ciber-seguridad


Seguridad y Protección Infraestructuras

Seguridad Física (Protección activos)

Seguridad LógicaFiabilidad y Seguridad

Operación y Mantenimiento (RAMS)

SeguridadMedioambiental

(cambio climático)

Prevención de Riesgos Laborales

Organización y Seguridad(Continuidad de negocio)

Personas y Cultura de Seguridad


H-2020 - SEC-2014 (Marzo-2014): estructura/Misiones

AMBITOS DE TRABAJO EN H-2020 SECURE SOCIETIES:

• DISASTER RESILIENCE : safeguarding and securing society, including adapting to climate change

– Crisis Management & Climate Change– Critical Infrastructures Protection– Ethical /Societal Dimension– Communication technologies and interoperability

• FIGHT AGAINST CRIME AND TERRORISM

• BORDER SECURITY

• CYBERSECURITY, PRIVACY AND TRUST


Critical Infrastructure Protection

POSIBLES OBJETIVOS:

• Critical Infrastructure “smart grid” protection and resilience under “smart meters” threats (actual: INGRID e iniciativa NL)

• Demonstration activity on tools for adapting building and infrastructure standards and design methodologies in vulnerable locations in the case of natural catastrophes

• Critical Infrastructure resilience indicator - analysis and development of methods for assessing resilience

• Protecting potentially hazardous and sensitive sites/areas considering multi-sectorial dependencies

• Cybercrime on Industrial Control Systems (SCADA protection)


I+D+i: Sistemas y Servicios en Security y PICSISTEMAS/SERVICIOS

(PROVEEDOR o CLIENTE)Innovación DT I+D

Normalización (estándares !?)

Certificación Infraestructuras (Inspecciones: elementos)

Consultoría (Planes de Seguridad Integral: PSO y PPE)

Servicios de Seguridad

Sistemas de Seguridad (ingeniería e infraestructuras)

Integración de Sistemas y Ciber-seguridad corporativa (Ciber Ind.)

Auditorías

Desarrollo de Productos y Sistemas de Seguridad

Formación y concienciación


Retos tecnológicos iniciales en Security (industria l) /PESI

• Prioridades I+D:

– Modelo de convergencia de la Seguridad corporativa (security) en ámbitos industriales (Secu.Safety )

– Ingeniería intrínseca de la Seguridad (Secu.Safety b y design) : nuevas metodologías y técnicas

– Simulación de Escenarios de Seguridad con enfoque multi-riesgo multi-factor: riesgos naturales e industriales (tecnológicos), polígonos industriales y zonas próximas con población, amenazas de seguridad, protección civil y gestión de emergencias

– Integración de Sistemas e Interoperabilidad : alarmas de seguridad industrial (sistemas de producción y control de procesos) y gestión de seguridad corporativa (Centros de Control, Plan de seguridad...)

– Seguridad de Sistemas en Internet (Ciber-seguridad )– Entornos inteligentes y Equipos de Protección (EPIs ) para el personal de planta y

los equipos de primera intervención (tanto de Protección Civil y Emergencias como los equipos internos de la industria)

– Seguridad del Transporte de mercancías peligrosas : productos, infraestructuras y redes de transporte, vehículos, interacción cargas, rutas y puntos sensibles (polígonos industriales, parques empresariales, infraestructuras Criticas, áreas urbanas, zonas protegidas o de especial interés medio-ambiental y naturaleza, etc.)

– Smart grids (electricidad): estandarización en Security– Seguridad de la cadena Alimentaria (Food Security, Supply chain & Distribution S.)– Personnel Security (Operadores de IC)


PESI-GT Security: iniciativas relevantes en Segurid ad

• Puesta en marcha de dos subgrupos:– Seguridad integral– Ciberseguridad (sistemas SCADA)

• Proyectos de Innovación en los Servicios de Seguridad(Agentes públicos, Empresas de Seguridad y Dep. Seguridad de Empresas)– INNOSEC (Coordinador: TECNALIA)– INSEC (Socio: Everis)

• Laboratorios INGRID de TECNALIA : Ciberseguridad de Smart Grids (en colaboración IBERDROLA y fabricantes españoles de SmartMeters y sistemas de energía)

• Creación del CCI (Centro de Ciberseguridad Industrial)• Proyecto PSOPHIA (DGHOME): Factor Humano en la Seguridad

de los Operadores de Infraestructuras Críticas

• Liderazgo del GT-Security en ETPIS (2014)


GT Security: subgrupo Seguridad Integral (CALS / IS F)

Objetivos :

• Concepto de Seguridad Integral , como el sistema inmunológico de la Organización

• Estrategias de Ciberseguridad . Cloud y Gestión de la Cadena de Suministros.

• Horizonte de Amenazas . • Profundización en los conceptos GRC (Governance, Risk, and

Compliance ). • Soporte con herramientas SW para GRC. Establecimiento de

Funcionalidades principales, tales como la gestión integrada del riesgo, gestión de cumplimiento, gestión de incidencias, gestión de Continuidad de Negocio, etc.

• Securización de Dispositivos de Consumo • Establecimiento de Buenas Prácticas• Definición de Planes de Formación y Concienciación


GT Security: Ciber-Seguridad (C.C.I.)

Objetivos :

• Establecer una conciencia de la situación (situational awareness) de la Ciberseguridad Industrial

• Fomentar la concienciación y formación en Ciberseguridad Industrial• Fomentar, desarrollar y respaldar la creación de Estrategias, Buenas

Prácticas, Planes y Guías Nacionales y Europeas de Ciberseguridad Ind.• Fomentar la colaboración público privada , nacional e internacional• Mejorar las capacidades en Ciberseguridad Industrial de Gobiernos,

Entidades Públicas, Fabricantes, Empresas, Universidades y Centros de Investigación.

• Posicionar a nuestro país en el ámbito internacional de la Ciberseg. Ind.• Fomentar la inclusión de los paradigmas de “Security & Privacy by Design ”

en los SCI, Redes, Arquitecturas, Servicios y Proyectos asociados• Fomentar actividades para la mejora de la comunicación y mutuo

conocimiento entre el personal de SCI y TIC• Fomentar la Investigación en Ciberseguridad Industrial• Fomentar y apoyar la implementación de las Smart Grid como una

oportunidad para la Investigación, desarrollo e implementación de la Ciberseguridad Industrial


ETPIS SafeFuture & H-2020 PPP FoFrelación con Security


SafeFutureSafety as a trade-mark of the technology “made in EU”

Safe innovation for sustainable future

Safe Infrastructures:

•Safe Life extension of process plants, power plants, transport & utility infra-structure networks, … •Intensification ofNatCat (NaTech)•Design and monitoringfor long term operation•Reliability & Resilience

Safe Energy:

•New safety challenges in renewable energies (wind, H2, solar, bio-fuels, fuel cells, photovoltaic,…)•Safe energy production and storage •Smart grids

Safe Products/Production :

•Green jobs•Value chain and interdependencies•Nanosafety•PPEs & Smart Working Environments

Example: Multi-Risk / Risk-Risk tradeoffs – safety for sustainable integration, interaction and risk governance:

• “Agreed Approach to Risk-Risk Tradeoff management” (the Multi-Risk initiative); difficulties in putting together different risk mitigation policies and ensuring their compatibility

Way to achieving (by 2020) a new safety paradigm for European industry. Safety as a key factor for successful business and aninherent element of business performance. Industrial safety performance progressively and measurably improved in terms of reduction of reportable accidents at work, occupational diseases, environmental incidents and accident-related production losses. “Incident elimination” and “learning from failures” cultures embedded in design, maintenance, operation at all levels in enterprises. Structured self-regulated safety programs in all major industry sectors in all European countries. Measurable performance targets for accident elimination and accident free mind set workplaces as the norm in Europe.

Resiliencia: Protección y

Ciber-seguridad


Safe-Infrastructures: vision

• SafeFuture / Safe-Infrastructures vision: Safety-Reliability-Resiliance– Research towards new concepts and products,

with Safety & Reliability as essential elements in Industrial plants and Utilities networks

– Industrial infrastructures: similar technology & organizational challenges related to ageing >>>common research objetives for safety & reliability

– (Industrial) Control Information Systems: also ageing + cyber-security threats !!


Ageing-based Risk Management

Ageing & Risk management: key elements for a SHM


Inspections: new techniques and means

Traditional methods combined with new means (UAVs…) and multiscale observation (optics, Satellite, meteo-ra dar…)


Impact

Easier and cheaper inspection

of buried or non-accessible structures

Hostile environments

Ageing structures & corrosion

Continuous monitoring

of critical areas.


Safety and Health at Work: towards Smart Working En vironments (SWE)

Key element of Safe-Production (high relationship with PPP FoF)

Sensors, Control & Information Systems, Interoperability: Security threats


LEVEL 3LAN (i-PPE / i-PPE )

InterWorker

LEVEL 2 BAN (i-PPE / i-PPE)

IntraWorker

LEVEL 1BAN (End user / i- PPE)

LEVEL 4LAN

(i- PPE / SWE)

PPE & Smart Environments at

work (SWE)


Safety and Reliability : other challenges

• Systems and life-time modelling integration:– SHM structural health monitoring– Sensoring & Inspection systems– Design & engineering methods (inherent safety)– RAMS (Reliability-Availability-Maintenance-Safety)– Modelling (life-time)– Resiliance and Business continuity models– Security and protection issues– Better integration towards advanced DSS

• Be aware that Information Systems also ageing– Software maintenance (upgrading: risky processes)– Cyber-security


Instrumentación y Monitorización

• Monitorización de procesos /maquinaria

– Monitorización y control de variables (sensores, instrumentación, sistemas)

– Control remoto: sistemas y comunicaciones (GPRS, WiFi, etc.)

– Transición desde sistemas propietarios hacia aplicaciones en tecnología Web y en la “nube”

• Nuevos problemas de Seguridad:– Sistemas embebidos (componentes)– Sistemas abiertos– Ciberseguridad


I+D en Seguridad (operación y mantenimiento)

• RAMS (fiabilidad, disponibilidad, mantenimiento y seguridad) como modelo de referencia

– Análisis, Evaluación y Gestión de Riesgos (etapas del ciclo de vida)

– Modelo predictivo del mantenimiento (basado en situación: diagnosis, prognosis)

– Aprendizaje del comportamiento (inteligencia artificial)

– Sistemas integrados de monitorización– Ciclo de vida y gestión del envejecimiento– TOTAL DEPENDENCIA: SISTEMAS DE

INFORMACIÓN Y LA CLOUD !!

Behaviour modelisation (Markov nets, Altarica,etc…)

FMECA (Failure Mode, Effects and Criticality Analysis)

FTA (Fault Tree Analysis) and ETA (Event Tree Analysis)


Safe-Energy

• En fase inicial del desarrollo del Roadmap (ETPIS)

• Recopilación de retos tecnológicos de las energías renovables (España: Jornada Inter-Plataformas PESI con PPTT Energéticas, aee, Madrid 3 de julio 2012)

• Smart Grids y Ciberseguridad :

• OPORTUNIDAD: apuesta de las Eléctricas españolas en Smart Grids… pero precisa mayor involucración!!


Seguridad en la estrategia SafeFuture de ETPIS

• Safety and Health at work (processes, advanced PPE)– Smart Working Environments– Civil Protection & Emergencies

• Ageing of Infrastructures and extend life-time :– Sensoring, inspection technologies, structural HMS– New materials (replacement, reinforce, upgrade, smart…) – Engineering techniques, maintenance, repairment

• Safety and reliability : – Inherent safety and risk-based design– Modelling systems, DSS…

• Resiliance (requirements and future purposes):– Disasters (natural, accidents, evacuation, cascade effects)

• Protection (critical infrastructures)– Security issues (inc CyberSec in SCADA)


Seguridad de la Información (Information Security)

• Estrategia de Seguridad (Information Security)– Visión de la IS e Inteligencia– Organización, Personal y procedimientos

• Seguridad de los Sistemas de información (ciclo de vida) :– Metodologías Planificación y herramientas (MAGERIT, PILAR….)

• Análisis de riesgos en IS (ciberamenazas, malware, hacking ético…)• Tecnologías y sistemas de Protección (salvaguardas)

– Criptografía, Esteganografía, – Seguridad Documentación, control Soportes informáticos, – Seguridad de: Redes, Telefonía, VPN, RFID, Disp. Móviles,…– Identificación y Autenticación electrónica , sist. Biométricos

• Herramientas de Seguridad de la Información– Análisis, Logs, Monitorización tráfico, contraseñas, Cifrado…

• Planes de Contingencia– Gestión incidentes, Forénsica– Continuidad del negocio /Resiliencia


Seguridad Sistemas de Control Industrial / SCADA


INGRID by TECNALIA: singular international laboratory with highexperimental capacity in highvoltageand power

INGRID is a singular international laboratory with a high experimental capacity in high-voltage and power, which includes the testing of equipment and components related to smart grids and electric systems for renewable and intelligent management of electricalenergy (electric vehicles, smart building, demand management...).

Ingrid is an alive and adaptable infrastructure which, in close contact with industry and the scientific communityworldwide, supports applied research and technological development of companies, making up a node for internationalcollaboration.

INGRID involved 7 main platforms:

Platform for electrical equipment testingPlatform for high power electronic equipment and energy conversionPlatform of electric systems for renewable energiesPlatform for energy storagePlatform for energy distributionmanagement and microgridsPlatform for electrical vehicle-network connectionPlatform for Smart Grids communications


INGRID - Platform for distributed management and mic rogrids

This platform will enable the development and demonstration of smart grids technologies and equipment involving the implementation and testing of algorithms for the interconnection to different renewable energy sources and the distributed generation as well as the improvement of the energy supply quality in the distribution network. This platform will comprise of a specific area for the development and testing of combined heat power generation, allowing the trial and tests for CHP individual equipment certification (home equipment mainly) and their network integration as generation elements.


Muchas gracias por su atención:

Preguntas y comentarios ?

J. Javier Larrañeta, Secretario [email protected]

[email protected]

Plataformas Tecnológicas de Seguridad: I+D+i en Seguridad ...€¦ · SEG2: Presentación PESI...

Documents

Transcript of Plataformas Tecnológicas de Seguridad: I+D+i en Seguridad ...€¦ · SEG2: Presentación PESI...