SGPIC - Sistemas de Gestión de

Protección de Infraestructuras críticas

CARLOS VILLAMIZAR R.

Director Desarrollo de Negocios LATAM

CISA, CISM, CGEIT, CRISC, CFC, ISO27001 LA, ISO 22301 LI

3. Capacidad de seguridad cibernética

4. Elementos del SGPIC

2. Definiciones

1. Introducción

5. Preguntas

Pág .2

AGENDA

3. Capacidad de seguridad cibernética

4. Elementos del SGPIC

2. Definiciones

1. Introducción

5. Preguntas

Pág .3

AGENDA

Ficción ?

Introducción

Pág .4

O realidad ?

Qué fue primero el huevo o la gallina ?

21/09/2016

Introducción

Pág .5

Ley 8/2011: Protección de Infraestructuras

Críticas

Homeland Security: Control Systems Security

Program National CyberSecurity Division “Defense in depth”

2004: PEPIC – Programa Europeo de Protección de Infraestructuras Críticas

Directiva 2008/114

Lineamientos de Política para Ciberseguridad,

Ciberdefensa y Seguridad Digital

CONPES 3701 – 2011 CONPES 3854 - 2016

Pag. 6

Introducción

3. Capacidad de seguridad cibernética

4. Elementos del SGPIC

2. Definiciones

1. Introducción

5. Preguntas

Pág .7

AGENDA

Infraestructura crítica cibernética nacional: aquella soportada por las TIC

y por tecnologías de operación, cuyo funcionamiento es indispensable para

la prestación de servicios esenciales para los ciudadanos y para el Estado.

Su afectación, suspensión o destrucción puede generar consecuencias

negativas en el bienestar económico de los ciudadanos, o en el eficaz

funcionamiento de las organizaciones e instituciones, así como de la

administración pública.

CONPES 3854

Definiciones

Pag. 8

Quienes son infraestructuras críticas?

Qué servicios críticos brindan ?

Qué amenazas afectan la seguridad / disponibilidad de tales

servicios críticos ?

Cómo garantizar a la comunidad que no se verá afectada por la

suspensión de servicios críticos?

Definiciones

Pag. 9

Concepto de SGPIC

Es la suma de Sistema de Gestión + Protección de Infraestructura Crítica

¿Por qué crear un Sistema de Gestión para la Protección de

Infraestructuras Críticas ?

R/ La idea parte de la necesidad de gestionar adecuadamente la seguridad y

continuidad de los servicios esenciales.

SG PIC SGPIC

Definiciones

Pag. 10

Modelo para la definición, implementación,

mantenimiento y mejora continua de un sistema de

gestión para la protección de infraestructuras críticas

Definiciones

Concepto de SGPIC

Pag. 11

3. Capacidad de seguridad cibernética

4. Elementos del SGPIC

2. Definiciones

1. Introducción

5. Preguntas

Pág .12

AGENDA

El modelo de madurez de la capacidad de seguridad cibernética es una medida que permite

calificar su madurez desde inicial (1) hasta dinámico (5).

La calificación anterior muestra el estatus de la posición actual y propuesta con relación

a las mejores prácticas, estándares y directrices de la industria.

1- Nada existe / naturaleza embrionaria.

2- Elementos casuales, desorganizadas, mal definidas.

3- Elementos establecidos y funcionando, mala asignación de recursos.

4- Se logra el resultado esperado de circunstancias particulares

5- Se logra adaptar la estrategia en función de circunstancias

imperantes (toma de decisiones rápida, reasignación de

recursos y atención constante a los cambios del entorno.

Estatus actual

Promedio

Meta

Capacidad de Seguridad Cibernética

Inicial Formativo Establecido Estratégico Dinámico

1 2 3 4 5

Pag. 13

Informe Ciberseguridad 2016 - Colombia

Pag. 14

3. Capacidad de seguridad cibernética

4. Elementos del SGPIC

2. Definiciones

1. Introducción

5. Preguntas

Pág .15

AGENDA

Planificar

•Entendimiento de la entidad (legal, tecnológico, etc.)

•Requerimientos de las partes interesadas

•Alcance del SGPIC

Contexto Organizacional

• Liderazgo y Compromiso

•Políticas PIC

•Roles y responsabilidades Liderazgo

•Estrategia de PIC

•Objetivos de PIC

• Inventario de activos críticos

•Análisis de Riesgos

•Análisis de impacto al negocio

Planeación

•Recursos (dinero, personas, herramientas)

•Marcos de referencia (NIST, ISA99, NERC CIP, otros)

•Competencias

•Concienciación

•Documentación

Soporte

Pag. 16

Pag. 17

Planificar

Activos Críticos

Evaluación de Riesgos

Matriz de Riesgos BIA´s

Pag. 18

Planificar

Operar

Infraestructuras críticas

Gestión de Continuidad del Negocio

Gestión de Riesgos

Gestión de incidencias, incidentes o problemas

Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION

DATOS

APLICACIÓN

SERVIDORES

RED

PERIMETRO

SEGURIDAD FÍSICA

PROCEDIMIENTOS

DATOS

APLICACIÓN

SERVIDORES

RED

PERIMETRO

SEGURIDAD FÍSICA

PROCEDIMIENTOS

Defensa en Profundidad

Pag. 20

Verificar

Monitoreo

• Métricas

• Indicadores

Auditoría

• Interna

• Tercera parte

Revisión por la Dirección

• Informe gerencial

Pag. 21

Mejora Continua

No conformidades y Acciones correctivas

Mejora continua

Pag. 22

Mejorar requiere tiempo y dedicación

Certificación

Pag. 23

En Junio de 2016 se lanzó en España el Sello de

Ciberseguridad de la AEI (Cluster de Innovación

en Ciberseguridad ) quien ha desarrollado un

esquema de certificación completo dirigido

a infraestructuras críticas, su cadena de

proveedores y en general a toda entidad

pública o privada que quiera demostrar que

cumple con unos requisitos específicos de

Ciberseguridad, que incluyen:

•Protocolos de comunicaciones

•Protección de datos

•Infraestructura

•Recursos Humanos

•Proveedores

•Servicios

Mayor información: www.aeiciberseguridad.es

3. Capacidad de seguridad cibernética

4. Elementos del SGPIC

2. Definiciones

1. Introducción

5. Preguntas

Pág .24

AGENDA

Más información

CARLOS VILLAMIZAR R.

Director Desarrollo de Negocios LATAM

cvillamizar@globalsuite.es

www.globalsuite.es