»» Desarrollo e implementación de modelos participativos en ciberseguridad Belisario Contreras Bárbara Marchiori de Assis
»» Seguridad digital en el gobierno colombiano, un paso clave hacia la economía digital Daniel Quintero Calle
»» La cooperación efectiva entre el sector privado y público como elemento clave de la ciberseguridad Wilson A. Prieto H
»» Ciberseguridad y ciberdefensa en la Fuerza Aérea Colombiana en el marco de la planeación por capacidades Teniente Coronel John Fredy Hernández Bernal
»» La sinergia entre indicadores de compromiso y la inteligencia de amenazas para un ciberespacio más seguro Édgar Yesid Garay Medina
»» Generación automática de máquinas virtuales para el entrenamiento en entornos de Ciberseguridad Dr. Manuel Sánchez Rubio
»» Retos y oportunidades de los proveedores de servicios de seguridad administrada (MSSP) Daniel Medina Salcedo
»» Entendiendo los sistemas SCADA Manuel Santander Peláez
Índice Temático Preámbulo......................................................................................................................................3 Teniente de Corbeta Jenny Vargas Editorial...........................................................................................................................................4 Mayor General Nicacio de Jesús Martínez Espinel Director Escuela Superior de Guerra Desarrollo e implementación de modelos participativos en ciberseguridad..........................5 Belisario Contreras Bárbara Marchiori de Assis Seguridad Digital en el gobierno colombiano: Un paso clave hacia la economía digital.........9 Daniel Quintero Calle La cooperación efectiva entre el sector privado y público como elemento clave de la ciberseguridad..............................................................................................................................12 Wilson A. Prieto H. Ciberseguridad y ciberdefensa en la Fuerza Aérea Colombiana en el marco de la planeación por capacidades............................................................................................................................15 Teniente Coronel John Fredy Hernández Bernal La sinergia entre indicadores de compromiso y la inteligencia de amenazas para un ciberespacio más seguro.............................................................................................................19 Édgar Yesid Garay Medina Generación automática de máquinas virtuales para el entrenamiento en entornos de Ciberseguridad............................................................................................................................22 Dr. Manuel Sánchez Rubio Retos y oportunidades de los proveedores de servicios de seguridad administrada (MSSP)..27 Daniel Medina Salcedo Entendiendo los sistemas SCADA.............................................................................................32 Manuel Santander Peláez
BOLETÍN CIBERESPACIO
ISSN 2539 - 2727 PRIMERA EDICIÓN DE 2017 - VOL.1. PERIODICIDAD SEMESTRAL BOGOTÁ, D.C. - COLOMBIA Boletín publicado por la Maestría de Ciberseguridad y Ciberdefensa en la Escuela Superior de Guerra “General Rafael Reyes Prieto“ (ESDEGUE). Los artículos de este boletín son ideas propias de los autores y no comprometen a las Fuerzas Militares de Colombia, la Escuela Superior de Guerra o la Maestría en Ciberseguridad y Ciberdefensa.
Mayor General Nicacio de Jesús Martínez Espinel Director Escuela Superior de Guerra Brigadier General José Wilson Alzate Gómez Subdirector Escuela Superior de Guerra Capitán de Navío Diana Milena Ávila Jefe Departamento y Directora Maestría en Ciberseguridad y Ciberdefensa. Steven Jones Chaljub Editor Diseño Lucía Castro Moreno Comunicaciones Estratégicas ESDEGUE. Impresión Imprenta y Publicaciones de las Fuerzas Militares Email: maestriaciber@esdegue.edu.co Teléfono: (571)620 40 66 Ext: 20608 Dirección: Cra 11 N° 102-50 Bogotá D.C, Colombia
PREÁMBULO Teniente de Corbeta Jenny Vargas Armada Nacional de Colombia
Los avances en las Tecnologías de Información y Comunicaciones (TIC’s) generan preocupaciones alrededor de los riesgos de la información asociados con las debilidades en la seguridad de Tecnologías de la Información; amenazas como malware, ataques y compromiso de los sistemas y servicios de red, además de una ciberseguridad inadecuada pueden resultar en la pérdida de confidencialidad, integridad y disponibilidad de los datos. Para garantizar que la privacidad organizacional permanezca cuidadosamente protegida, tanto las instituciones públicas como privadas deben poseer capacidades que les permitan estar un paso adelante de las amenazas y vulnerabilidades que actualmente atentan contra los activos de información, infraestructuras críticas y público en general a través del ciberespacio. Con el CONPES 3854, Colombia establece su estrategia de gestión de riesgos de seguridad digital donde el Estado reconoce que el incremento en la participación de los ciudadanos y las instituciones en el ciberespacio, trae consigo nuevas y más sofisticadas formas para vulnerar su seguridad. Esta situación debe ser atendida, tanto desde la reacción inmediata frente a las amenazas, como reduciendo la probabilidad de que éstas se materialicen. Para ello es indispensable el fortalecimiento de las capacidades para identificar y gestionar el riesgo cibernético, generar asociaciones público-privadas, desarrollar conciencia cibernética y profundizar en la educación.
Durante los últimos años, gran parte de las entidades estatales y privadas han realizado esfuerzos en esta materia; particularmente en el desarrollo de herramientas y en la capacitación de su personal. Sin embargo, aún queda mucho trabajo por hacer, y para ello es necesario seguir fomentando los espacios de socialización y participación sobre seguridad digital y protección de los ciudadanos, como lo es el presente boletín. Esta primera edición del Boletín Ciberespacio ha reunido expertos nacionales e internacionales pertenecientes a la Fuerza Pública, sector público y privado. Gracias a su participación, esta edición desarrollará una aproximación a las siguientes temáticas que, muy seguramente, contribuirán a lograr un ciberespacio seguro para todos los usuarios proveedores de servicios de seguridad administrativa (MMSP), Seguridad Digital en el marco de la economía digital, modelos participativos de ciberseguridad, Sinergias entre indicadores de compromiso e inteligencia de amenazas, Desarrollo de capacidades en las Fuerzas Militares, Máquinas virtuales para el entrenamiento, y sistemas SCADA. Únicamente queda por agradecer a las personas que participaron en el desarrollo de esta primera edición, e invitar al lector a mantener su interés por la seguridad y defensa en el ciberespacio. Y es que, al final, todos tenemos algo de responsabilidad en este nuevo entorno que está influenciando al mundo a una velocidad inimaginable.
3
EDITORIAL 4
Mayor General Nicacio de Jesús Martínez Espinel Director Escuela Superior de Guerra
El ciberespacio ha dejado de ser un concepto futurístico, del cual sólo unos pocos eruditos tenían conocimiento, para convertirse en una de las principales temáticas de la sociedad moderna. Y no es para menos. El rápido avance tecnológico, así como el conocimiento asociado a ésta, han facilitado enormemente nuestras vidas, trayendo oportunidades y posibilidades que antes eran inconcebibles. Sin embargo, durante ese avance, hemos generado un alto nivel de dependencia, al punto de volvernos vulnerables a nuevas amenazas que afectan la seguridad. Una de las mejores formas como los usuarios del ciberespacio pueden proteger sus intereses es adquiriendo conciencia de todo aquello que compone a este entorno y, para ello, se requiere tener acceso a información de calidad. Es por esta razón que la Maestría en Ciberseguridad y Ciberdefensa de la Escuela Superior de Guerra (ESDEGUE), en su compromiso con la seguridad y defensa nacional, ha creado el ‘Boletín Ciberespacio’. El ‘Boletín Ciberespacio’ es un medio de naturaleza académica que permite a estudiantes y expertos nacionales e internacionales, con vocación pública o privada, compartir desde una visión holística sus experiencias y análisis frente a temáticas relacionadas a las Tecnologías de la Información y Comunicaciones (TICS). La permanente convergencia entre los enfoques estratégicos, técnicos y legales que existe al interior del Boletín facilita, sin duda alguna, la toma de decisiones de los lectores interesados. Como Director de la Escuela Superior de Guerra (ESDEGUE) me complace presentar esta nueva publicación que sin duda contribuirá a fortalecer el entendimiento en temas de Ciberseguridad y Ciberdefensa para continuar impulsando desde el Alma Máter de los líderes militares del país, una cultura de seguridad cibernética que permita adquirir las herramientas necesarias para afrontar las posibles amenazas que se presenten en este campo de la llamada guerra no armada y que puedan poner en riesgo la Seguridad y Defensa Nacional. ¡Bienvenidos!
DESARROLLO E IMPLEMENTACIÓN DE MODELOS PARTICIPATIVOS EN CIBERSEGURIDAD1 Belisario Contreras* Bárbara Marchiori de Assis** Institución: Organización de los Estados Americanos (OEA)
En el año 2016 se aprobó la Política Nacional de Seguridad Digital de Colombia mediante el documento 3854 del Consejo Nacional de Política Económica y Social (CONPES). Esta nueva Política de Seguridad Digital presentó el concepto de “múltiples partes interesadas” que, a su vez, consisten en el gobierno nacional y los territoriales, la Fuerza Pública, las organizaciones públicas y privadas, operadores de infraestructuras críticas nacionales, la academia y la sociedad civil2. Esta definición, que podría decir es amplia, busca incluir no sólo los actores que han tenido roles tradicional y directamente relacionados a la ciberseguridad, sino también las partes que se pueden ver afectadas por políticas dirigidas al entorno digital.
de 2012 del Comité Interamericano contra el Terrorismo (CICTE) de la Organización de los Estados Americanos (OEA), los Estados Miembros de la OEA declararon su voluntad de involucrar a todos los actores pertinentes en el desarrollo e implementación de estrategias nacionales de seguridad cibernética3. Igualmente, la Organización para la Cooperación y el Desarrollo Económico (OCDE) se ha manifestado sobre la importancia de contar con un modelo cooperativo para la seguridad digital. En las nuevas directrices publicadas por ésta4, la Organización recomienda que se establezcan las condiciones para que los actores puedan gestionar el riesgo de la seguridad digital, fomentando así la confianza en el entorno digital.
El entendimiento que la ciberseguridad es una responsabilidad compartida entre distintos actores es prácticamente unánime en el escenario internacional. En la Declaración para el “Fortalecimiento de la Seguridad Cibernética en las Américas”
Aunque en algunos casos, especialmente en los niveles de toma de decisión, pudiera parecer que la ciberseguridad es un tema estrictamente técnico, la seguridad siempre incidirá en la calidad de vida de las personas, convirtiéndose así en un tema
1 . Las opiniones de este artículo son propias de los autores y no representan necesariamente a la Secretaría General de la Organización de los Estados Americanos (OEA). 2 . CONPES 3854. “Política Nacional de Seguridad Digital”, p. 29. Disponible en: https://colaboracion.dnp.gov. co/CDT/Conpes/Econ%C3%B3micos/3854.pdf. Recuperado el: 13 de marzo de 2017. 3 . CICTE/OEA. Declaración “Fortalecimiento de la Seguridad Cibernética en las Américas” (2012). Disponible en: http://www.cicte.oas.org/rev/en/Documents/Declarations/DEC%201%20rev%201%20DECLARACION%20CICTE00749S04.pdf. Recuperado el 13 de marzo de 2017. 4 . OCDE. Gestión del Riesgo de Seguridad Digital para la Prosperidad Económica y Social” (2015). Disponible en: http://www.oecd.org/sti/ieconomy/digital-security-risk-management.pdf. Recuperado el 13 de marzo de 2017. 5 . Deibert, R. (2013). Divide and Rule: Republican Security Theory as Civil Society Cyber Strategy. Georgetown Journal of International Affairs, pp. 39-50. * Belisario Contreras, Gerente de Programa de Ciberseguridad de la Secretaría del Comité Interamericano contra el Terrorismo (CICTE) de OEA. Magíster en Estudios Latinoamericanos, con concentración en Seguridad y Gobierno, de la Escuela de Servicio Exterior de la Universidad de Georgetown, EE.UU. ** Bárbara Marchiori de Assis, Oficial de Proyecto del Programa de Ciberseguridad de la Secretaría del CICTE/OEA. Magíster en Administración Pública, con concentración en Ciencia, Tecnología y Políticas de Infraestructura de la Universidad de Cornell, EE.UU.
5
6
político con un propósito específico;5, de ahí la importancia de fomentar el debate e incluir a las múltiples partes interesadas. La nueva Política Nacional de Seguridad Digital (CONPES 3854) estableció como uno de sus principios fundamentales un enfoque incluyente y colaborativo buscando establecer condiciones para el desarrollo de alianzas. Sin embargo, ésta no detalla cómo se realizará dicho proceso, razón por la cual se plantea la siguiente pregunta: ¿cómo
desarrollar e implementar un modelo que de hecho pueda incorporar las ansias de actores con intereses y agendas tan distintas?
Aunque podría afirmarse que hay un consenso internacional acerca del involucramiento de distintos actores en la ciberseguridad, no hay una respuesta única, ni sencilla, de cómo se daría este proceso, incluyendo los roles, poder de decisión y límites de actuación de los distintos actores de un país en la formulación de políticas de ciberseguridad en el ámbito nacional. No obstante, hay algunos ejemplos adoptados en otros países que pueden servir de inspiración a Colombia, y a los demás en la región, para desarrollar una aproximación propia que esté en consonancia con su modelo institucional e idiosincrasia. Este artículo, sin la menor pretensión de exhaustividad y simplemente a título ilustrativo, describe brevemente algunas de las características del modelo adoptado en España, donde se crearon mecanismos para una participación del sector privado en la protección de infraestructuras críticas, así como espacios para discusión involucrando múltiples partes en la construcción de un ciberespacio confiable. También se describe
el modelo holandés, que desde 2011 cuenta con un Consejo de Seguridad Cibernética con representantes de distintos sectores que apoyan al Consejo de Ministros del país en la formulación de políticas de seguridad digital.
El Modelo Español: Fomentando Alianzas Público-Privadas El gobierno de España aprobó su Estrategia Nacional de Ciberseguridad6 en 2013, y estableció el Consejo Nacional de Ciberseguridad, un órgano colegiado que apoya al Consejo de Seguridad Nacional con análisis y estudios, así como en la cooperación y coordinación entre los distintos agentes. Teniendo en cuenta la importancia de la cooperación entre los distintos actores, el Consejo Nacional de Ciberseguridad español es conformado por varios departamentos y agencias de la administración pública española que tienen competencias en materia de ciberseguridad y, cuando se considere necesario, se invitan actores del sector privado y especialistas al Consejo. Con respecto a la protección de infraestructuras críticas, es el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC)7 el responsable de su salvaguarda, incluyendo el aspecto cibernético. No obstante, la Secretaría de Estado de Seguridad, dependiente del Ministerio del Interior, ha suscrito un acuerdo de colaboración con la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, dependiente del Ministerio de Energía, Turismo y Agenda Digital. Así, el Instituto Nacional de Ciberseguridad de España (INCIBE)8 apoya a CNPIC en la
6 . Consejo Nacional de Seguridad. Disponible en: http://www.dsn.gob.es/es/sistema-seguridad-nacional/comit%C3%A9s-especializados/consejo-nacional-ciberseguridad. Recuperado en el 13 de marzo de 2017. 7 . Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Disponible en: http://www.cnpic.es/. Recuperado el 13 de marzo de 2017. 8 . Instituto Nacional de Ciberseguridad (INCIBE). Disponible en: https://www.incibe.es/. Recuperado el 13 de marzo de 2017.
7
protección de las infraestructuras críticas en el ámbito cibernético, al igual que a las Fuerzas y cuerpos de seguridad del Estado en su formación y capacitación en materia de ciberseguridad, y la lucha contra el cibercrimen y ciberdelito.
cuenta con otros CERTs de carácter público y nacional, pero sólo CERTSI es responsable por la prevención, mitigación y respuesta ante incidentes cibernéticos en el ámbito de las empresas, ciudadanos y operadores de infraestructuras críticas.11
Es en el marco de estas interrelaciones que INCIBE, en conjunto con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC),9 ha implementado un Equipo de Respuesta a Emergencias Cibernéticas, conocido como CERT de Seguridad e Industria (CERTSI),10 especializado en la gestión de incidentes relacionados con las infraestructuras críticas nacionales. España
Asimismo, el Consejo de Ministros aprobó el 15 de febrero de 2013 la Agenda Digital de España como la estrategia del Gobierno para desarrollar la economía y sociedad digital en el país. Uno de los seis grandes objetivos de la Agenda consiste en “reforzar la confianza en el Ámbito digital” para garantizar un ciberespacio abierto y seguro; para ello se diseñó el “Plan de Confianza en el Ámbito
9 . Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Disponible en: http://www.cnpic.es/. Recuperado el 13 de marzo de 2017.. Operado técnicamente por INCIBE, y bajo la coordinación del CNPIC e INCIBE, el CERTSI se constituyó en el año 2012 a través de un Acuerdo Marco de Colaboración en materia de Ciberseguridad del 4 de octubre de 2012, entre la Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. Disponible en: https://www.certsi.es/. Recuperado en el 13 de marzo de 2017. 10 Operado técnicamente por INCIBE, y bajo la coordinación del CNPIC e INCIBE, el CERTSI se constituyó en el año 2012 a través de un Acuerdo Marco de Colaboración en materia de Ciberseguridad del 4 de octubre de 2012, entre la Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. Disponible en: https://www.certsi.es/. Recuperado en el 13 de marzo de 2017. 11 . El CERTSI es el CERT dedicado a las empresas y ciudadanos, mientras el Equipo de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CNN) tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para España. Además, hay el Mando Conjunto de Ciberdefensa, que es responsable del planeamiento y la ejecución de las acciones relativas a la ciberdefensa en las redes y sistemas de información y telecomunicaciones del Ministerio de Defensa u otras que pudiera tener encomendadas, así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional.
8
Digital”.12 Es importante señalar que el Plan incluyó la creación del “Foro Nacional para la Confianza Digital” (FNDC), 13 que cuenta con la participación de agentes del sector privado, industria, I+D, consumidores y del sector público. El FNDC ofrece directamente asesoramiento a la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital.
El Modelo Holandés: Distintos actores trabajando en conjunto La primera Estrategia Nacional de Seguridad Cibernética de los Países Bajos fue formulada en el 2011, y tenía como principal objetivo garantizar un dominio digital seguro y resiliente a través de un enfoque holístico basado en alianzas público-privadas. Asimismo, esta estrategia buscó formular un modelo de participación multisectorial, determinando la creación de un Consejo de Seguridad Nacional (Cyber Security Raad). Creado por el Ministerio de Seguridad y Justicia de los Países Bajos en junio del mismo año, el Consejo de Seguridad Cibernético se concibió como un organismo público-privado consultivo (Ver Ilustración N° 1), no vinculante, para el Consejo de Ministros de los Países Bajos. El Consejo de Seguridad Cibernética asesora al Gobierno y al sector privado de las siguientes formas: (i) proporciona recomendaciones, solicitadas o no, en temas de ciberseguridad; (ii) aconseja en la implementación y desarrollo de la Estrategia Nacional de Ciberseguridad;
(iii) contribuye al programa de investigación holandés en temas de ciberseguridad; y (iv) apoya en casos de incidentes cibernéticos de gran escala. Cabe señalar que el Consejo de Seguridad Cibernética se involucró en la revisión y construcción de la estrategia nacional de ciberseguridad de los Países Bajos a partir del año 2014, aunque previo a esto se destacaba la importancia de un modelo de ciberseguridad con múltiples actores. La razón, es que sólo durante la formulación de la segunda estrategia (2014-2016) hubo una preocupación real por aclarar los roles y relaciones entre los diferentes actores14. En cuanto a la pluralidad de involucrados, la estrategia 2014-2016 dicta textualmente lo siguiente: “la gobernanza en el ámbito digital es compleja y no siempre se puede resolver en los foros tradicionales, ya que requiere un enfoque de múltiples actores. Esto se aplica tanto a las normas de seguridad como a la protección de derechos y valores fundamentales”. 15
Conclusión Los modelos adoptados en España y los Países Bajos son solamente algunos ejemplos de cómo se pueden implementar mecanismos de colaboración entre los distintos sectores de manera periódica y por vías institucionales, sea por medio de intercambio de información con CERTs, foros de discusiones o consejos multisectoriales. Probablemente no existe un modelo único, y quizás la combinación de distintos
12 . Plan de confianza en el ámbito digital (2013). Disponible en: http://www.agendadigital.gob.es/planes-actuaciones/Bibliotecaconfianza/Detalle%20del%20Plan/Plan-ADpE-5_Confianza.pdf Recuperado en el 13 de marzo de 2017. 13 . Foro Nacional para la Confianza Digital (FNDC). Disponible en: http://www.agendadigital.gob.es/agenda-digital/FNCD/Paginas/foro-nacional-confianza-digital.aspx. Recuperado en el 13 de marzo de 2017. 14 . Países Bajos (2014). National Cyber Security Strategy 2: from awareness to capability. Disponible en: https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/NCSS2Engelseversie.pdf. Recuperado el 13 de marzo de 2017 15 Países Bajos (2014). National Cyber Security Strategy 2: from awareness to capability. P. 15. Disponible en: https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/NCSS2Engelseversie.pdf. Recuperado el 13 de marzo de 2017.
mecanismos de participación y colaboración sea una alternativa. No obstante, cualquiera que sea el modelo, es importante que se institucionalice el mecanismo, y que se busque implementar una cooperación permanente en el que las partes no sean solamente agentes pasivos del proceso.
Bibliografía -- Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Disponible en: http://www.cnpic.es/. Recuperado en el 13 de marzo de 2017. -- CICTE/OEA. Declaración “Fortalecimiento de la Seguridad Cibernética en las Américas” (2012). Disponible en: http://www.cicte.oas.org/rev/en/Documents/Declarations/DEC%201%20rev%201%20DECLARACION%20 CICTE00749S04.pdf. Recuperado en el 13 de marzo de 2017. -- CONPES 3854. “Política Nacional de Seguridad Digital”, p. 29. Disponible en: https://colaboracion.dnp.gov.co/ CDT/Conpes/Econ%C3%B3micos/3854.pdf. Recuperado en el: 13 de arzo de 2017. -- Consejo Nacional de Seguridad. Disponible en: http:// www.dsn.gob.es/es/sistema-seguridad-nacional/comi-
t%C3%A9s-especializados/consejo-nacional-ciberseguridad. Recuperado en el 13 de marzo de 2017. -- Deibert, R. (2013). Divide and Rule: Republican Security Theory as Civil Society Cyber Strategy. Georgetown Journal of International Affairs, pp. 39-50. -- Foro Nacional para la Confianza Digital (FNDC). Disponible en: http://www.agendadigital.gob.es/agenda-digital/FNCD/Paginas/foro-nacional-confianza-digital.aspx. Recuperado en el 13 de marzo de 2017. -- Instituto Nacional de Ciberseguridad (INCIBE). Disponible en: https://www.incibe.es/. Recuperado en el 13 de marzo de 2017. -- Países Bajos (2014). National Cyber Security Strategy 2: from awareness to capability. Disponible en: https:// www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/NCSS2Engelseversie.pdf. Recuperado en el 13 de marzo de 2017. -- Plan de confianza en el ámbito digital (2013). Disponible en: http://www.agendadigital.gob.es/planes-actuaciones/Bibliotecaconfianza/Detalle%20del%20Plan/ Plan-ADpE-5_Confianza.pdf. Recuperado en el 13 de marzo de 2017. -- OCDE. Gestión del Riesgo de Seguridad Digital para la Prosperidad Económica y Social” (2015). Disponible en: http://www.oecd.org/sti/ieconomy/digital-security-risk-management.pdf. Recuperado en el 13 de marzo de 2017.
SEGURIDAD DIGITAL EN EL GOBIERNO COLOMBIANO, UN PASO CLAVE HACIA LA ECONOMÍA DIGITAL Autor: Daniel Quintero Calle Institución: Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia (MINTIC).
Actualmente las economías del mundo se encuentran en un proceso de dinamización acelerada gracias a las Tecnologías de la Información y Comunicaciones (TICs), lo cual ha obligado a los diferentes Gobiernos a direccionar sus políticas públicas para responder a los retos y oportunidades del mercado digital. Colombia no es ajena a esta realidad. Hoy las instituciones del país se han reinventado para atender estas exigencias a través de diferentes estrategias y planes, dentro de los que se encuentra el ‘Plan Vive Digital’ liderado desde el año 2010 por el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC).
En su primera versión (2010-2014) -tal como lo menciona la Comisión de Regulación de Comunicaciones, CRC, (2016) en uno de sus documentos de consulta-, el Plan estuvo enfocado en dar un salto tecnológico centrado en “la reducción de la pobreza a través del uso de las TIC, bajo la premisa de que a mayor uso de Internet se genera más empleo”. Esta premisa evolucionó hacia el ‘Plan Vive Digital para la Gente’ (2014-2018), con el que se busca “reducir la pobreza, generar empleo y desarrollar soluciones para los problemas de los colombianos, a través del uso estratégico de la tecnología” (MinTIC, 2014).
9
10
Los enfoques de estos planes y sus logros aportan directamente, según la Organización para la Cooperación y el Desarrollo Económicos (OCDE), los “Pilares fundamentales de las estrategias nacionales de economía digital” (OCDE 2015): 1. Expandir las infraestructuras de telecomunicaciones (por ejemplo, acceso a banda ancha y servicios de telecomunicaciones) y mantener el carácter abierto de Internet. 2. Promover el sector de TIC y, en particular, su internacionalización. 3. Potenciar los servicios de administración electrónica, facilitando el acceso a los datos y a la información del sector público (datos públicos abiertos). 4. Reforzar la confianza (identidad digital, privacidad y seguridad). El desarrollo próspero de la economía digital requiere de un entorno ciberespacial seguro que brinde confianza necesaria al usuario para consumir. Y es que, las transacciones que se generan en el ciberespacio tienen riesgos que no pueden ser ignorados, muchos de los cuales terminan afectando negativamente al patrimonio de las personas. Es por esta razón, entre otras existentes, que el Gobierno colombiano evolucionó su política de ciberseguridad y ciberdefensa.
Hacia la Seguridad Digital en Colombia Uno de los primeros esfuerzos del Gobierno colombiano para hacerle frente a las amenazas del ciberespacio fue el Documento CONPES 3701 de 2011, con el que se establecieron los lineamientos para la ciberseguridad y ciberdefensa. Esta política se centró en contrarrestar las amenazas ci-
bernéticas y en la creación de entidades especializadas en esta materia. En 2016 se expidió el Documento CONPES 3854, la más reciente Política Nacional de Seguridad Digital, que tiene como objetivo “fortalecer las capacidades de las múltiples partes interesadas, para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital” (DNP, 2016). Con el fin de alcanzar los propósitos trazados, esta política establece los principales ejes de trabajo en materia de seguridad digital en Colombia para el periodo 2016- 2019. Así mismo, plantea un marco institucional basado en gestión de riesgos de seguridad digital y busca fortalecer las capacidades de las entidades creadas con el Documento CONPES 3701 de 2011. Los principios fundamentales del Documento CONPES 3854 se enmarcan en salvaguardar los Derechos Humanos y los valores fundamentales de los ciudadanos en Colombia, adoptando un enfoque incluyente y colaborativo que involucra activamente a las múltiples partes interesadas, asegurando una responsabilidad compartida para la gestión de riesgos. Esta norma sitúa a Colombia como el primer país de Latinoamérica en incorporar plenamente las recomendaciones y las mejores prácticas internacionales en gestión de riesgos de seguridad digital, emitidas recientemente por la OCDE, lo que la convierte en una política con potencial de ser referente regional e, incluso, para países de otras latitudes.
Logros alcanzados La introducción del servicio de internet, así como otras infraestructuras de
telecomunicaciones, es uno de los principales retos que deben ser satisfechos para tener una economía digital próspera. Gracias a una inversión de más de $363.000 millones de pesos, 1.075 municipios del país, incluyendo algunos en zonas apartadas, se encuentran conectados a través de fibra óptica o medios alternativos (ej. Puntos y Kioscos Vive Digital). La meta es tener 27 millones de conexiones en el año 2018. Las inversiones en infraestructura de telecomunicaciones han generado un retorno considerable. De acuerdo con el Observatorio TI (2016), iniciativa del MinTIC y la Federación Colombiana de la Industria de Software y TI (Fedesoft), el aporte de la industria TI al PIB alcanzó el 1,19 % en 2015. En los últimos seis (6) años este aporte ha tenido un crecimiento medio del 13,4 %, el cual está muy por encima del promedio de otros sectores. Los avances en seguridad digital también han sido importantes. Se creó la Dirección de Seguridad de la Presidencia de la República, dependencia encargada de liderar y coordinar el CONPES 3854/16, lo que representa una visión estratégica e integral. Adicionalmente, MinTIC, la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID) firmaron un convenio de cooperación para adelantar el primer Estudio sobre el impacto económico de los incidentes, amenazas y ataques cibernéticos en Colombia. Se espera que este estudio permita conocer los principales blancos u objetivos a la seguridad, los costos económicos de éstos, y posibles líneas de acción.
El Camino que falta por recorrer Los avances han sido significativos, pero aún falta camino por recorrer para lograr una economía digital prolifera en el marco de
un entorno digital completamente seguro. Por ejemplo, es necesario potencializar la apropiación de los usuarios en general, ya que todos tienen responsabilidades frente al uso responsable del ciberespacio, sin mencionar que su participación activa permite tener una aproximación preventiva a posibles amenazas. Así mismo, es importante seguir mejorando la infraestructura y calidad del servicio prestado, de forma que el tren de la economía digital no se detenga al interior de Colombia.
Referencias -- CRC. (2016). Hacia una medición de la Economía Digital en Colombia. Recuperado de https://www.crcom. gov.co/recursos_user/2016/Informes/Cartilla_Economia_Digital_V4.pdf -- Ministerio de Tecnología de la Información y las Comunicaciones. (2014). Recuperado de http://www.mintic. gov.co/portal/vivedigital/612/w3-article-19654.html -- Organización para la Cooperación y el Desarrollo Económicos. (2015). Perspectivas de la OCDE sobre la economía digital 2015. https://www.oecd.org/sti/ieconomy/ DigitalEconomyOutlook2015_SP_WEB.pdf -- Misterio de Tecnologías de la Información y las Comunicaciones (7 de diciembre de 2016). La industria TI, dinamizadora de la Economía Digital. Ministerio TIC. Recuperado de http://www.mintic.gov.co/portal/604/ w3-article-27245.html -- Departamento Nacional de Planeación (11 de abril de 2016). Política nacional de seguridad digital [Documento CONPES 2854]. Recuperado de https://colaboracion. dnp.gov.co/CDT/Documento CONPES/Econ%C3%B3micos/3854.pdf -- Garthner (2017). Gartner Says 8.4 Billion Connected “Things” Will Be in Use in 2017, Up 31 Percent From 2016. Recuperado de https://www.gartner.com/newsroom/ id/3598917 -- Garthner (2017). Gartner Says Worldwide Public Cloud Services Market to Grow 18 Percent in 2017. Recuperado de https://www.gartner.com/newsroom/id/3616417
11
12
La cooperación efectiva entre el sector privado y público como elemento clave de la ciberseguridad Wilson A. Prieto H. Institución: COLCERT
Recientemente el Instituto de Tecnología de Massachusetts (MIT) realizó, en colaboración con los servicios de seguridad de Hewlett Packard Enterprise (HPE) y FireEye Inc [1] una encuesta sobre los riesgos, retos, amenazas e impactos en la ciberseguridad. El estudio, basado en una muestra con la participación de 225 ejecutivos de negocios y de IT, reveló que una de las mayores preocupaciones de los gobiernos y empresas es la falta de preparación para la detección efectiva de las amenazas cibernéticas. Como lo señala Crowd Research Partners en el documento Cybersecurity Trends Report “La detección
es el medio más eficaz para prevenir todo tipo de riesgos y amenazas en el ciberespacio. No es posible prevenir todos los ataques, sin embargo la detección y el análisis en tiempo real se convierte en el único recurso”. Los gobiernos tienen la responsabilidad de dirigir programas o estrategias de ciberseguridad que permitan la protección del ciberespacio. No obstante, dicha responsabilidad debe ser compartida con las entidades del sector privado. Es por eso que el desarrollo de políticas y la elaboración de una estrategia nacional, deben basarse en las opiniones e interés de todos los sectores involucrados en el entorno digital y deben propender por desarrollar acuerdos de cooperación entre entidades locales e internacionales buscando entre otros aspectos: (i) un exhaustivo intercambio de información que puede generar nuevas regulaciones entre las partes interesadas, (ii) el desarrollo de
un trabajo colaborativo y la transferencia de conocimiento para nuevos profesionales especializados en ciberseguridad, y (iii) el intercambio de información sobre amenazas cibernéticas y vulnerabilidades, además de la coordinación para su eventual prevención, respuesta y mitigación de los incidentes cibernéticos.
1. La cooperación en el ámbito internacional La mayoría de las estrategias de ciberseguridad actuales tienen dos objetivos interrelacionados: el fortalecimiento de la seguridad cibernética para la economía de Internet a fin de fomentar la prosperidad económica y social y la protección de las sociedades contra las ciberamenazas. Desde la perspectiva de la ciberseguridad, el principal desafío es la consecución de estos dos objetivos y la formulación de nuevas políticas que definan el marco en el cual los sectores público y privado puedan ejercer una cooperación efectiva [3]. Tal como lo afirma Gordon Crovitz en Ciberseguridad 2.0, lo que se requiere en el entorno digital es “…Más información compartida entre la industria y las agencias gubernamentales para frustrar la creciente sofisticación de los ataques cibernéticos “ (Era de la Información)” [4]. Hasta la fecha, este tipo de intercambio de información ha estado limitado por la desconfianza, los vacíos tecnológicos y limitaciones legales. En este sentido,
resulta evidente que un mayor intercambio de información sobre inteligencia de amenazas y alertas facilitará, en manos de profesionales especializados, el equilibrio y control del ciberespacio en la medida que se proporciona a las empresas y Estados un conocimiento indispensable para el desarrollo de capacidades de gestión y respuesta a incidentes. Muchas estrategias nacionales hacen evidente que el diálogo con las partes interesadas no gubernamentales es fundamental para el desarrollo y ejecución de las políticas de seguridad cibernética. No obstante, el nivel de detalle con respecto a cuándo y cómo los gobiernos participan varía ostensiblemente. A pesar de ello, las partes no-estatales coinciden en que la colaboración y cooperación entre múltiples actores es la forma más directa para contar con políticas eficaces de ciberseguridad que respeten la naturaleza global, abierta e interoperable de Internet. También coinciden en que las opciones de política deben ser lo suficientemente adaptativas a la naturaleza dinámica del ciberespacio y que se necesita una formulación de políticas sólidas de seguridad cibernética aplicables a la economía digital. En el documento titulado “Análisis comparativo de las diversas estrategias nacionales de seguridad cibernética” [5] publicado en la Revista Internacional de Ciencias de la Computación y la Seguridad de la Información, se destacan comparativamente las mejores prácticas de seguridad cibernética, una de las cuales se refiere claramente a la cooperación y colaboración para la seguridad cibernética en los ámbitos interestatal, intraestatal e internacional.
La interestatal e internacional se refiere a la colaboración público-privada en la que el sector privado posee la mayor parte de la infraestructura de Internet pero requiere cooperar efectivamente con el sector público para defender el ciberespacio; por su parte, la intraestatal hace referencia a la necesidad de la asociación gubernamental con proveedores de servicios de Internet y telecomunicaciones para una mejor seguridad del ciberespacio nacional a partir de preparadores cibernéticos internos y externos. Dado que es imposible garantizar la seguridad del ciberespacio nacional en un entorno cibernético global inseguro, casi todas las estrategias pusieron de relieve la necesidad de una colaboración internacional en el ámbito de la seguridad cibernética, especialmente con los países vecinos y regionales.
2. Casos de éxito de cooperación y colaboración efectiva con el sector privado en Colombia y homólogos internacionales A través del documento CONPES 3701 de 2011 “Lineamientos de política para ciberseguridad y ciberdefensa” [6] Colombia empezó a fortalecer las capacidades estatales para enfrentar las amenazas que atentan contra la defensa y seguridad nacional en el ámbito cibernético. Para estos efectos, el CONPES creó tres instancias encargadas de fortalecer la institucionalidad (colCERT, CCP y CCOC)1, que siguen liderando las actividades en materia de ciberseguridad y ciberdefensa. En el año 2014, a través de la misión de asistencia técnica en seguridad
1 . colCERT (Grupo de Respuesta a Emergencias Cibernéticas de Colombia), CCP (Centro Cibernético Policial), CCOC (Comando Conjunto Cibernético)
13
14
cibernética, [7] se evaluó el estado de la ciberseguridad del país y se sentaron los pilares para la actualización de la política nacional de seguridad digital mediante el documento CONPES 385 de 2016. [8] Esta nueva visión de la seguridad digital estableció dimensiones estratégicas claras que permiten generar mecanismos permanentes de cooperación y asistencia en el entorno cibernético tanto en el ámbito nacional como internacional. Ese mismo año se firmó el acuerdo de cooperación entre el Ministerio de Defensa Nacional - colCERT, y ‘.CO INTERNET S.A.S’, empresa contratada por el Ministerio de las Tecnologías de la Información y las Comunicaciones para la administración del dominio ‘.CO’, el cual permitió establecer, entre los múltiples compromisos, la colaboración en la difusión de avisos y alertas de ciberseguridad, así como la participación conjunta en iniciativas encaminadas a apoyar y contribuir a la sensibilización y concientización en temas relacionados a la seguridad de los usuarios de la Internet. Gracias a este convenio de cooperación, colCERT recibe alertas con información maliciosa asociada al dominio .CO y colaboración para el desarrollo de diferentes plataformas de análisis de amenazas en tiempo real, con lo cual se fortalecen las capacidades operativas en gestión y respuesta a incidentes cibernéticos de organismos públicos como la Fiscalía General de la Nación, el Centro Cibernético Policial y la Superintendencia de Industria y Comercio. Desde la perspectiva del director de Seguridad de la Información (CISO) de ‘.CO INTERNET’, “La cooperación efectiva
nos ha permitido, no solo compartir los contactos con organizaciones y comunidades de expertos en seguridad digital a nivel regional y global, sino también desarrollar
proyectos conjuntos que brinden información valiosa, así como indicadores y métricas de compromiso y riesgo cibernético para el país; nuestro acuerdo de cooperación, sin duda, es el activo más valioso con el que hoy contamos para generar compromisos de fortalecimiento de capacidades interinstitucionales y transferencia mutua de conocimiento en asuntos de seguridad digital”. Por último, es importante mencionar las alianzas estratégicas y el excelente trabajo colaborativo entre colCERT y otros CERT internacionales con información sobre ciberamenazas, análisis dinámico de malware y botnets de infraestructuras de nuestro país.
3. Conclusión El Gobierno y el sector privado tienen diferentes objetivos en el ámbito cibernético, por lo que es vital que todas las partes interesadas comprendan sus funciones y responsabilidades. Típicamente, los Estados tienen la responsabilidad y los recursos para llevar a cabo la coordinación general y el liderazgo en ciberseguridad. Por su parte, la industria tiene la experiencia y la motivación para mejorar los procesos y herramientas de seguridad. Por tanto, los gobiernos desempeñan normalmente el papel de coordinación mientras que la industria implementa las defensas cibernéticas, de manera que para que se conciban esfuerzos conjuntos es indispensable generar por parte del gobierno acercamientos y firma de convenios de cooperación que permitan defender la soberanía de una nación en el ciberespacio.
4. Bibliografía -- [1] Cybersecurity Challenges, Risks, Trends, and Impacts: Survey Executive Summary. (2017, March 8)., p. 1 - 8. Retrieved from https://hpe-enterpriseforward.com/ wp-content/uploads/2016/03/HPE-FireEye-SurveyEx-Summary-8-5x11-ONLINE-FINAL-3.pdf.
-- [2] Crowd research partners; new study reveals cybersecurity challenges, budget, and solutions trends in 2017. (2017). Journal of Engineering, , 860. Retrieved from https://search.proquest.com/docview/1871295550?accountid=143348 -- [3] Cybersecurity policy making at a turning point. (2017, March 8). Analysing a new generation of national cybersecurity strategies for the Internet economy , p. 13. Retrieved from https://www.oecd.org/sti/ieconomy/ cybersecurity%20policy%20making.pdf. %2020142018%20Tomo%201%20internet.pdf -- [4] Cooperation is best for cybersecurity. (2012, Mar 02). Wall Street Journal Retrieved from https:// search.proquest.com/docview/925689613?accountid=143348 -- [5] Shafqat, Narmeen (2017, March 9). Comparative Analysis of Various National Cyber Security Strategies. International Journal of Computer Science and Information Security, p. 1 - 8. Retrieved from https://s3-eu-west-1.amazonaws.com/pfigshare-u-fi-
les/3697513/17Paper31121548IJCSISCameraReadypp.129136.pdf. -- [6] Consejo Nacional de Política Económica y Social República de Colombia, Departamento Nacional de Planeación (2017, March 8). LINEAMIENTOS DE POLÍTICA PARA CIBERSEGURIDAD Y CIBERDEFENSA. CONPES 3701, p. 1 - 43. Retrieved from https://www.mintic.gov. co/portal/604/articles-3510_documento.pdf. -- [7] Organización de los Estados Americanos, (2017, March 8). Misión de Asistencia Técnica en Seguridad Cibernética . Conclusiones y Recomendaciones, p. 1 17. Retrieved from http://www.oas.org/documents/spa/ press/Recomendaciones_COLOMBIA_SPA.pdf. -- [8] Consejo Nacional de Política Económica y Social República de Colombia, Departamento Nacional de Planeación (2017, March 8). POLÍTICA NACIONAL DE SEGURIDAD DIGITAL. CONPES 3854, p. 1 - 91. Retrieved from https://colaboracion.dnp.gov.co/CDT/Conpes/ Econ%C3%B3micos/3854.pdf.
CIBERSEGURIDAD Y CIBERDEFENSA EN LA FUERZA AÉREA COLOMBIANA EN EL MARCO DE LA PLANEACIÓN POR CAPACIDADES Autor: Teniente Coronel John Fredy Hernández Bernal Institución: Fuerza Aérea Colombiana
A partir del año 2010, bajo la orientación del señor Ministro de Defensa Juan Carlos Pinzón Bueno, las Fuerzas Militares de Colombia y Policía Nacional asumieron la iniciativa denominada “Transformación y Futuro de la Fuerza Pública 2030”. Para afrontar efectivamente las amenazas y oportunidades previstas a la seguridad y defensa del Estado, esta estrategia se constituyó sobre tres pilares fundamentales: planeación por capacidades, sostenibilidad y el manejo eficiente del gasto público, y el fortalecimiento del capital humano (Mindefensa, 2014). La transformación y modernización, soportados en gran medida en el desarrollo tecnológico, innovación e investigación, dan gran relevancia a las amenazas emergentes en el ciberespacio. Lo hace no
sólo como un nuevo escenario de conflicto, sino también como el espacio para nuevas formas de criminalidad y delincuencia (CONPES, 2016). De allí surgen dos grandes interrogantes: ¿cómo definir el tamaño y calidad de la Fuerza para que sea idónea en este contexto? ¿cómo realizar un adecuado balance de fuerzas y potencialidades de combate ante la proliferación de actores noestatales? (CEE de la ANEPE, 2015). El planeamiento por capacidades busca dar respuesta a esos interrogantes determinando los medios necesarios para enfrentar las amenazas, al igual que estableciendo las condiciones que permitan alcanzar el estado deseado en infraestructura, personal, medios y sistemas de apoyo. El lograr esto en un marco de integración y complementariedad entre las
15
16
Fuerzas tiene como consecuencia directa la mejora en las condiciones de seguridad y reputación del país, a la par que se contribuye al desarrollo económico y social de la nación (CICR, 2013).
la Defensa (SIGID), lo cual les permitió superar de forma ordenada las brechas en las capacidades previstas como necesarias (Ministerio de Defensa República de Argentina, 2009).
Es así como la planeación por capacidades ha sido avalada internacional y nacionalmente, dado su impacto positivo en el diseño de unas Fuerzas acordes a los niveles y naturaleza de las potenciales amenazas.
Chile, por otro lado, estableció un sistema taxonómico que les hizo más eficientes en el desarrollo de sus capacidades, el cual está constituido de dos categorías principales ‘generales’ y ‘militares’. La primera permiten a las Fuerzas Armadas cumplir con la demanda de defensa, cooperación internacional y atención de desastres, mientras la segunda abarca todos los recursos indispensables para lograr efectos militares a nivel estratégico, operacional y táctico (Ministerio de Defensa de Chile, 2014).
Análisis Internacional de la Planeación por Capacidades Si bien las Fuerzas Armadas de los Estados Unidos desde 1990 vieron la necesidad de explorar nuevas metodologías como la planeación por capacidades, que les permitiera estar acorde a la exigencia y evolución de actuales o potenciales amenazas, es quizás el modelo español, puesto en marcha desde 2005, el que más se ajusta al diseño de nuestras Fuerzas Armadas. La razón, las limitaciones presupuestales existentes; éstas les obligaron a establecer soluciones de seguridad y defensa integrales que fuesen viables económica, social y políticamente, así como acordes al desarrollo y necesidades de la Nación. (García Sieira, 2006). En el contexto latinoamericano tanto Argentina como Chile han dado importantes avances en la implementación de este modelo de planeación, los cuales les han permitido convertirse en referentes regionales para la implementación de este modelo. Las Fuerzas Militares Argentinas adaptaron en el año 2009 un modelo de desarrollo de capacidades basado en la planificación de largo plazo de la Defensa Nacional. Estos integraron una administración eficiente de los recursos a través de la consolidación de un Sistema Integral de Gestión de Inversiones para
Alcance del modelo de Planeación por Capacidades Dado que los modelos tradicionales de planeación de Defensa se han centrado principalmente en la adquisición de unos mejores sistemas de armas en relación directa con las del adversario, estos se quedan cortos frente a los diferentes fenómenos de nuestro contexto (ej. globalización, crisis económicas, nuevas amenazas, entre otros). La metodología trata de subsanar esta deficiencia a través del estudio, análisis, preparación y desarrollo de un conjunto de factores interrelacionados: Doctrina, Organización, Material, Personal e Infraestructura (DOMPI). Estos factores según Arteaga (2013), también conocidos como componentes de capacidad, fomentan la integración y complementariedad con otras Fuerzas, a la vez que adapta una visión integral que involucra los siguientes preceptos: 1. Ante una crisis o conflicto el componente militar se integra con los demás componentes del Estado.
2. Las Fuerzas Armadas deben poder actuar de forma coordinada, asegurando su adaptabilidad y operatividad frente a cualquier amenaza. 3. Una respuesta rápida asegura la reducción de los niveles de impacto negativo. 4. La generación de una capacidad disuasiva creíble, permite al actor político conducir una negociación favorable. La planeación por capacidades se desarrolla desde el nivel político estratégico, con el análisis de los fines del Estado, hasta llegar a los niveles operacional y táctico. En los diferentes niveles se busca satisfacer el paradigma de Likke,1 el cual asegura que para argumentar la necesidad nacional es indispensable tener un equilibrio entre fines, medios y modos (CEE de la ANEPE, 2014). Así, el modelo busca, en la medida de las posibilidades, que la planeación sea políticamente responsable y sustentable (Garza, 2008), financieramente sostenible, jurídicamente aceptable, y que no se generen redundancias innecesarias en roles, misiones o tareas. Para lograr la implementación del modelo de Planeación por capacidades, y en reconocimiento a lo anterior, las Fuerzas Militares de Colombia han identificado el contexto estratégico nacional e internacional, definido las áreas misionales para delimitar campos de acción, analizado los diferentes componentes de sus capacidades, y establecido los diferentes conceptos y enunciados requeridos por la metodología. Dentro de estos elementos, y debido a su rápida evolución, se le dio especial preponderancia a la ciberseguridad y ciberdefensa.
Ciberseguridad y Ciberdefensa en la Fuerza Aérea Colombiana Para la Fuerza Aérea Colombiana el desarrollo de capacidades de ciberdefensa y ciberseguridad es una prioridad dado el alto componente tecnológico que encierran los medios sobre los que recae el poder aéreo nacional, y la importancia del mismo en la defensa estratégica de un país. No en vano la Agencia Europea de Seguridad Aérea asegura que la aeronáutica es uno de los objetivos más susceptibles de ciberataques a nivel mundial. Existen diferentes ejemplos que soportan la afirmación anterior, dentro de los que se destacan la operación ‘Orchard’ y la Guerra de Kosovo. Durante la operación ‘Orchard’, las Fuerzas Militares de Israel pudieron realizar limpiamente y sin contratiempos un bombardeo en territorio sirio sin ser detectados luego de haber vulnerado los sistemas de defensa antiaérea. En la Guerra de Kosovo una de las partes en conflicto logró, aunque sin generar estrago alguno, penetrar los ordenadores del portaaviones Norteamericano NIMITZ2, desencadenando una serie de alarmas al interior de la coalición. Así, y en concordancia con el documento “Transformación y Futuro de la Fuerza Pública”, los retos identificados por la FAC en materia cibernética son los siguientes: Contar con una organización que garantice una ventaja estratégica; administrar eficientemente los recursos; integrar las capacidades desarrolladas facilitando las operaciones conjuntas, coordinadas, combinadas e interagenciales; disuadir una agresión externa y proteger la integridad territorial, en el aire, espacio y ciberespacio (FAC, 2013); y proyectar la Fuerza necesaria
1 . Arthur F Likke. Coronel del US Army. Profesor del Army Ward College. 2 . http://www.ieee.es/Galerias/fichero/docs_opinion/2015/DIEEEO09-2015_AmenazaCiberataques_Fco. Uruena.pdf
17
para actuar en escenarios internacionales a manera de coalición o autónomamente.
18
Para satisfacer efectivamente los retos listados, la FAC ha establecido unas condiciones mínimas a mantener, como son el aprovechamiento de las condiciones y recursos de las capacidades actuales, el respeto por la naturaleza y especialización de las Fuerzas, fomentar la conjuntés y el trabajo con la Policía Nacional, mantener conceptos de Fuerza modulares y flexibles, y basar las relaciones exteriores en la diplomacia y cooperación internacional. Se espera que estas condiciones faciliten la identificación, desarrollo y mantenimiento de las capacidades cibernéticas de la Fuerza.
Lecciones »» La creciente evolución y dependencia tecnológica conlleva a la aparición de nuevas amenazas a la seguridad y defensa nacional, siendo responsabilidad de las Fuerzas Militares transformarse y modernizarse. Sólo de esta forma podrán garantizar la paz, tranquilidad, y desarrollo económico y social de la Nación.
»» Así como los atacantes se unen a través del ciberespacio para generar nuevas formas de amenaza, es imprescindible para las Fuerzas Militares que las capacidades desarrolladas incluyan mecanismos de cooperación e integración que faciliten la interoperabilidad y conjuntés.
Referencias -- Alda Mejias, S., & Saint-Pierre, H. L. (2012). Gobernabili-
dad y Democracia Defensa y Transiciones de Brasil y España. Santiago de Chile: RIL editores. -- Arteaga, F. (Octubre de 2013). Real Instituto Elcano. Obtenido de http://www.realinstitutoelcano.org/wps/wcm/ connect/9a77b280416456539ce0dd58f644a475/ Elcano-Policy-Paper-la-defensa-que-viene.pdf?MOD=AJPERES&CACHEID=9a77b280416456539ce0dd58f644a475 -- CEE de la ANEPE. (2014). Métodos para definir escena-
rios complejos de crisis Internacionales. Cuaderno de trabajo N° 10/2014 ISSN 0719-4110. -- CEE de la ANEPE. (2015). Planificación y Diseño de la Fuerza MIlitar por Capacidades: La importancia de una correcta comprensión y aplicación. Cuaderno de trabajo N°17/2015 ISSN 0719-4110. Obtenido de http://www.asociacioncolegiosdefensaiberoamericanos.org/acdibero/ asset/065695cb-03ca-47f2-a7e4-69b61197de0b/ Cuaderno+de+Trabajo+N%C2%BA17.pdf -- CICR. (31 de Octubre de 2013). Comité Internacional de la Cruz Roja. Obtenido de https://www.icrc.org/spa/ resources/documents/statement/2013/united-nations-peacekeeping-2013-10-31.htm -- CONPES. (11 de Abril de 2016). Departamento Nacional de Planeación. Obtenido de https://colaboracion.dnp.gov. co/CDT/Conpes/Econ%C3%B3micos/3854.pdf
-- FAC. (10 de Enero de 2013). Manual de Doctrina Básica Aérea y Espacial MADBA FAC 0-E. Bogota, D.C., Colombia.
»» La metodología de planeación por capacidades permite establecer las condiciones óptimas de una Fuerza Militar. Éstas deben responder, integral y polivalentemente, a las necesidades estratégicas, operacionales y tácticas impuestas por el contexto estratégico previsto.
-- FAC. (2014). Transformación y Futuro de la Fuerza Pública 2030 Fuerza Aérea Colombiana. Bogotá: www.fac.mil.co.
»» El modelo DOMPI asegura una eficaz construcción y desarrollo de capacidades, permitiendo alcanzar un nivel de madurez óptimo que, basado en la constante evolución, permita a la FAC alcanzar un estado deseado desmitificando el hecho de que una capacidad sólo se genera con la adquisición de nuevas armas.
-- Mindefensa. (2014). Trasnformación y futuro de la Fuerza Pública. Bogotá: Imprenta Nacional de Colombia.
-- García Sieira, J. M. (2006). Planeamiento por capacidades. Revista Española de Defensa. -- Garza, E. G. (2008). De las teorias del desarrollo al desarrollo sustentable. Ingenierías, 21-35. Obtenido de http://ovacen.com/desarrollo-sustentable-concepto-ejemplos-de-proyectos/ -- Gobierno de España. (30 de Abril de 2012). Boletín Oficial del Estado. Obtenido de http://www.boe.es/boe/ dias/2012/04/30/pdfs/BOE-A-2012-5730.pdf
-- Ministerio de Defensa de Chile. (2014). Doctrina para la accion conjunta de las Fuerzas Armadas. Santiago de Chile, Chile. -- Ministerio de Defensa República de Argentina. (2009). Manual para la identificación, formulación y evaluación de proyectos de inversión de la Defensa.
LA SINERGIA ENTRE INDICADORES DE COMPROMISO Y LA INTELIGENCIA DE AMENAZAS PARA UN CIBERESPACIO MÁS SEGURO Autor: Édgar Yesid Garay Medina Institución: Fondo de Garantías de Instituciones Financieras (FOGAFIN)
La presencia de cualquier organización en la Internet crea la posibilidad de materializaciones de riesgos de seguridad de la información y ciberseguridad, perjudicando el funcionamiento de los procesos del negocio. Debido a que esta situación es de conocimiento amplio en el actual mundo digital, se hace necesario implementar controles que dificulten el aprovechamiento de vulnerabilidades. Las herramientas que permiten detectar y manejar ataques cibernéticos tienen una vida útil corta debido a la evolución de las amenazas; los nuevos mecanismos o métodos les permiten pasar desapercibido, lo que obliga a los encargados de la seguridad tener una postura dinámica y flexible para tener una respuesta que sea continua y consistente. Las soluciones que se desarrollan tienden a implementar arquitecturas de ciberseguridad que buscan disuadir, detectar y defender a la organización, las cuales son acompañadas con estrategias proactivas que cuentan con un componente amplio de inteligencia. Y no es para menos, gran parte de los daños pueden ser mitigados si se anticipan y detectan a tiempo los ataques y vulnerabilidades (Andreeski et al., 2014). Por lo general, la inteligencia de amenazas se desarrolla en los siguientes pasos: requisitos, recopilación, análisis/producción, difusión, y evaluación (Ltd, 2015): »» Requisitos: Permite identificar los requerimientos por parte de los tomadores
de decisiones. Es decir, responde a la pregunta de qué se quiere conocer (ej. vulnerabilidades públicamente conocidas y ampliamente explotadas). »» Recolección: Se recopila los datos concernientes al requerimiento. Los datos pueden provenir de diferentes fuentes que incluyen tecnología e incluso intervención humana. Previo al desarrollo de esta etapa se debe tener completa claridad de las fuentes y recursos disponibles. »» Análisis: Transforma los datos obtenidos en información útil para el cliente. En este paso puede ocurrir que se generen nuevas oportunidades inteligencia. El análisis se considera el producto final. »» Difusión: Transmisión de resultados de la inteligencia a los clientes. »» Evaluación: En esta etapa se realiza una evaluación del producto obtenido buscando asegurar que cumple con los requisitos solicitados desde un inicio, permitiendo desarrollar nuevos requisitos de mayor profundidad. La evaluación puede causar el reinicio del ciclo completo de inteligencia, particularmente si no se satisfizo la necesidad del cliente. La ciberinteligencia puede dividirse en cuatro grandes categorías: »» La inteligencia estratégica de amenazas. Corresponde a la información consumida o usada en niveles altos de dirección;
19
20
es decir por todos aquellos responsables en la toma de decisiones. No debe ser técnico y debe contemplar impactos financieros ocasionados por la actividad cibernética. Para ello, se recomienda tener presente los beneficios y riesgos económicos para la organización. »» La inteligencia de amenaza operacional. Esta corresponde al manejo de información relacionada con ataques definidos que van en contra de la organización, y es gestionada en primera instancia por los administradores de seguridad o los encargados de respuesta a incidentes. El desarrollo de capacidades, así como la buena gestión, permiten responder preguntas puntuales sobre la fuente de daño.
experiencias propias. Para ello son útiles los Indicadores de Compromiso y Ataque, siendo estos últimos particularmente importantes debido a su inclinación hacia la prevención, detección y mitigación. Los Indicadores de Compromiso (IoC) hacen posible encontrar anomalías, ataques o vulnerabilidades expuestas o identificadas, creando una caracterización técnica del elemento que ocasiona dicha señal de alerta para luego ser compartida como una amenaza. Una vez difundidos estos datos, luego de su procesamiento en inteligencia, las entidades pueden cambiar sus tácticas de manera más efectiva. Dentro de las tecnologías de indicadores de compromiso, se mencionan las siguientes: »» OpenIOC (Mandiant).
»» La inteligencia de amenaza táctica. Esta hace referencia a tácticas, técnicas y procedimientos (TTPs); en otras palabras, responden a cómo los actores realizan los ataques. La inteligencia de amenaza táctica es aplicada por los entes encargados de defender y responder a posibles fuentes de daño. Este tipo de inteligencia se deberá centrar, inicialmente, en la investigación para el desarrollo de proyectos definidos (Ltd, 2015). »» La inteligencia de amenaza técnica. Es la información obtenida mediante medios técnicos. Este tipo de información tiene una vida corta debido a la dinámica del ciberespacio (ej. Direcciones IP, Huellas digitales), lo cual obliga a implementar mecanismos automáticos para la recolección.
»» The Vocabulary for Event Recording and Incident Sharing (Veris). »» Cyber Observable eXpression CybOX™. »» El Formato de Intercambio de Objeto de Incidente (IODEF) »» Trusted Automated Exchange Indicator Information (TAXII)
Of
»» STIX (Structured Threat Information eXpression). »» Traffic Light Protocol (TLP). »» Open Threat Exchange. »» Collective Intelligence Framework,
La ciberinteligencia debe ser complementada con herramientas que brinden seguridad in situ, pero que a la vez tengan la forma de alimentar el ciclo. En otras palabras, la inteligencia no sólo debe provenir de análisis de terceros, sino de
La simbiosis entre inteligencia y IoC no sólo permite descubrir la existencia de amenazas, sino que facilita la comprensión de éstas, permitiendo generar mecanismos idóneos de mitigación y gestión de futuras
mutaciones. En general se busca poder reconocer la mayor cantidad de riesgos, lo cual constituye, sin duda alguna, un reto para cualquier sector. Este reto no puede ser superado de manera individual; es simplemente demasiado grande para una única organización. Es por ello que es necesario que los diferentes actores interesados asuman un enfoque colaborativo. El desarrollo de relaciones de colaboración entre quienes presentaron algún evento o incidente cibernético evolucionan debido a que las alianzas son dinámicas; pueden comenzar por la filantropía para, posteriormente, llegar a eventos transaccionales e incluso integrativos (Romero et al., 2005). De estos actores, sin duda alguna, los proveedores de telecomunicaciones y los Centros de Operaciones de Seguridad (SOC) tienen un papel fundamental. Los proveedores de telecomunicaciones, al desarrollar capacidades técnicas que permitan identificar el flujo del tráfico, hacen parte de una solución dentro de los esquemas que buscan proteger la red (Andreeski et al., 2014). Por otro lado, los SOC, por sus siglas en inglés, como proveedores de servicios de detección y reacción ante incidentes de seguridad, tienen un gran flujo de datos que es indispensable para toda la comunidad (Wong & González, 2008). Un elemento importante para el funcionamiento de una red de colaboración es el abandono de la búsqueda de poder por el conocimiento (Trejo Medina, 2013). De igual manera, la confianza es un aspecto que demanda mayor atención ya que sin ésta ninguna relación sería fructífera, particularmente en el ámbito de la inteligencia. A pesar que es necesario generar compromisos colectivos, no se debe crear una dependencia total; es conveniente formar
aspectos autónomos donde todos sepan lo que deben hacer sin la existencia de una cabeza o líder ya que debe ser claro que los beneficios son para todos.(Torres, 2014)
Bibliografía -- Andreeski, C., Baraković Husić, J., Baraković, S., Baykal, N., Ben-Israel, G. M., Bogdanoski, M., . . . Vaseashta, A. (2014). NATO Science for Peace and Security Series - D: Information and Communication Security : Cyber Security and Resiliency Policy Framework. In. Burke, NL: IOS Press. -- Galindo López, C. M. (2014). La Firma Electrónica
Avanzada y su Certificación. Revista de la segunda Cohorte del doctorado en seguridad estratégica, 110. -- Ltd, M. I. (2015). Threat Intelligence: Collecting, Analysing, Evaluating In: Centre for the Protection of National Infraestructure. -- Romero, C., Berger, G., Ickis, J. C., Lozano, G., Roitter, M., Pires, J. T., . . . https://publications.iadb.org/handle/11319/313#sthash.Jjz7JiSQ.dpuf, -. S. m. a. (2005). Alianzas Sociales en América Latina: Enseñanzas Extraídas de Colaboraciones Entre el Sector Privado y Organizaciones de la Sociedad Civil. In. Washington, US: Inter-American Development Bank. -- Torres, C. E. T. (2014). Inteligencia colectiva: enfoque para el análisis de redes/Swarm intelligence: approach to the analysis of networks/Inteligência colectiva: abordagem para a análise de redes. Estudios Gerenciales, 30(132), 259-266. -- Trejo Medina, D. (2013). Inteligencia Colectiva. In: DanTM. -- Villalón, A. (2016). Amenazas Persistentes Avanzadas. In: Nau Llibres. -- Wong, V. M. M., & González, R. M. (2008). Modelo de
implementación y operación de un Security Operation Center a partir de sus procesos específicos y basando en ITIL.
21
22
GENERACIÓN AUTOMÁTICA DE MÁQUINAS VIRTUALES PARA EL ENTRENAMIENTO EN ENTORNOS DE CIBERSEGURIDAD Autor: Dr. Manuel Sánchez Rubio Institución: Universidad Internacional de la Rioja, España.
En la actualidad la seguridad de la información y ciberseguridad ha pasado a ser una de las principales preocupaciones de empresas e instituciones. El componente práctico es extremadamente importante y es el que prepara a los alumnos para enfrentarse a situaciones reales que se encontrarán en sus puestos de trabajo. En el ámbito docente el principal problema es el coste en tiempo que implica el desarrollo del modelo y las capacidades correspondientes y como consecuencia, la escasa variedad de escenarios que se pueden plantear. Para lo anterior, los sistemas virtualizados nos permiten crear entornos verosímiles en los que los alumnos pueden interactuar con las herramientas y enfrentarse a situaciones similares a las que pueden darse en un entorno real. Ello es posible de ser desarrollado a través de modelos de gamificación o competiciones Capture The Flag (CTF), donde los alumnos deben superar una serie de pruebas de manera colectiva. En este tipo de eventos, se suele entregar una serie de servidores vulnerables a cada equipo. Cada uno de ellos debe encontrar y solucionar dichas vulnerabilidades, defendiéndose de los demás equipos, a la vez que explotan los fallos en los sistemas de sus adversarios. Atacar el problema desde la automatización del proceso de creación de las máquinas y servicios que se despliegan en ellos, así
como preparar la infraestructura necesaria para realizar un evento de tipo CTF o un ciberejercicio es una tarea compleja y multidisciplinar, siendo así la temática principal a ser abordada por el presente artículo.
Estado del Arte 1. Ciberejercicios Basándonos en las definiciones ofrecidas en los glosarios de organismos oficiales como el Cooperative Cyber Defence Centre of Excellence (CCDCOE) o National Initiative for Cybersecurity Careers and Studies (NICCS) podríamos concretar que un ciberejercicio consiste en un evento que tiene como finalidad la evaluación y mejora de las capacidades de defensa en el ámbito de las tecnologías de la información de un determinado colectivo (ya sea militar o civil) a través de la recreación en un entorno controlado de una situación de confrontación dentro del ámbito de las redes de información. Según las taxonomías sobre ciberejercicios realizadas en INCIBE, Razvan, Adrien, & Panagiotis y Jason Kick, el número de ciberejercicios que se realizan cada año ha sufrido un crecimiento significativo tal como podemos ver en la Figura N° 1. Una vez analizadas las principales características se sigue la taxonomía
Figura 1. Número de Ciberejercicios por Año.
con los ciberejercicios, centrándose en la búsqueda de la habilidad técnica pura de los participantes. Un ejemplo de este tipo de conferencias sería DEFCON. 3. Virtualización
Fuente: INCIBE. (2015). Taxonomía de ciberejercicios. descrita, que podemos ver resumida en la Figura N° 2. 2. Competiciones ‘Capture The Flag’ y su Aplicabilidad Docente Este tipo de eventos se caracterizan por ser eminentemente técnicos y por carecer en la gran mayoría de ocasiones de un guión o historia que rodee a las pruebas, a diferencia de lo que ocurre
La virtualización aporta la ventaja de aislar el sistema huésped (la máquina virtual) respecto al sistema anfitrión, flexibilidad para definir características hardware del sistema (CPU, RAM, etc.) y la capacidad de volver hacia atrás mediante sistemas de snapshots, por ejemplo si infectamos un sistema, para analizar el comportamiento de una muestra de malware podemos devolver el sistema al estado inicial.
Identificación de requisitos Con el fin de identificar claramente los requisitos de la solución software que se va a ofrecer, previamente debemos tener claros los casos de usos a los que se desea
Figura 2. Número de Ciberejercicios por Año.
Fuente: INCIBE. (2015). Taxonomía de ciberejercicios.
23
aplicar. Para ello vamos a diferenciar tres casos de uso diferentes a los que se desea aplicar las ventajas de estas herramientas.
24
escenario diseñado a lo largo de dichas copias. 3. Competiciones CTF
1. Laboratorios docentes Se tratan de escenarios de pequeña escala desarrollados normalmente por una única persona. Suelen contener un número moderado de máquinas virtuales (4 a 10 aproximadamente) y no suelen aparecer máquinas con roles repetidos. Cada máquina asume un rol claramente diferenciado (máquina atacante, máquina víctima, etc.) a través de los servicios que contiene. 2. Ciberejercicios En este caso estamos ante escenarios de un tamaño considerable (de 100 a 1.000 máquinas virtuales) en los que prima la capacidad de control que se tenga sobre el despliegue. Parte del escenario suele consistir en copias exactas entregadas a los diferentes equipos participantes, siendo por tanto crítica la reproducibilidad fiel del
Este caso de uso es el más variable de los tres, ya que las competiciones CTF pueden variar de escala en gran medida de un evento a otro. Las herramientas de gestión de configuración solo pueden aportar una mejora en los CTF de tipo Ataque/Defensa ya que en los de tipo Jeopardy, muchos de los retos no requieren la utilización de servidores. Este tipo de CTF puede ser visto como un ciberejercicio a pequeña escala. Una vez descritos los diferentes casos de uso, los requisitos que podemos extraer de ellos son los siguientes: »» Flexibilidad gestionada: la plataforma creada debe ser capaz de responder ante diferentes retos pero manteniendo el control sobre las opciones que ofrece. »» Escalabilidad: la solución debe ser compatible con la creación de escenarios de diferentes tamaños. Debe ser útil para
Figura 3. Ciclo de Ejecución de Puppet.
Fuente: www.puppet.com
Figura 4. Arquitectura de Chef
25
Fuente: https://learn.chef.io la generación de laboratorios en talleres o asignaturas relacionados con la temática de la ciberseguridad (4-10 máquinas virtuales). »» Minimizar huella herramienta: Debe evitarse que el sistema de configuración que se emplee revele información acerca de la infraestructura de red o servicios subyacente. »» Reproducibilidad: La evaluación del desempeño de los usuarios (sean alumnos o personal del Sector Defensa) debe ser realizada ante copias exactas de entornos, de forma que se pueda garantizar la equidad. »» Portabilidad: Los escenarios que se diseñen, deben poder ser desplegados en diferentes ocasiones y en ubicaciones variadas.
Desarrollo del software A continuación se detallará el proceso de desarrollo de la solución software al problema presentado.
1. Análisis de herramientas Devops A continuación vamos a destacar las principales características de las herramientas de gestión de configuración Puppet, Chef y Ansible, así como el generador de máquinas virtuales Packer. También comentaremos sus principales ventajas de cara a la generación de los escenarios que se plantean dentro del entorno de ciber-ejercicios / CTF, con el objetivo de seleccionar una de ellas. decantarnos por una de ellas. Las tres herramientas comparten gran parte de sus características, así como su misión. Por tanto estamos ante herramientas que permiten describir en una plantilla (llamada manifest, cookbook o playbooks dependiendo de la herramienta) el estado en que queremos dejar una máquina a la hora de desplegarla. Además de la sintaxis y la semántica que aporta dicha descripción la herramienta es capaz de aplicar dichos cambios sobre una gran variedad de arquitecturas y sistemas operativos. A
Figura 5. Diagrama del Escenario de Evaluación
26
mayoría de ocasiones las máquinas ya poseen un sistema de sesión remota (SSH en general). En el caso de Chef (ver Figura N° 4) y Puppet, la arquitectura se compone por un servidor maestro que orquesta el despliegue de la configuración hacia todos los servidores que estén registrados contra él. Este servidor es el que almacena las recetas y mantiene el control sobre el inventario de máquinas que gestiona.
Evaluación
Fuente: INCIBE. (2016). Retos Individuales Cybercamp 2015 la hora de aplicar dicha configuración se garantiza la independencia, asegurando que independientemente de cuando se lance la configuración el resultado será el mismo. 2. Comparativa de herramientas de gestión de configuración Por un lado Chef y Puppet necesitan que se instale un agente cliente software dentro del sistema huésped. Los agentes tienen un importante cometido y de ellos depende el correcto funcionamiento de la arquitectura de despliegue. Es por este motivo que tanto la instalación como la gestión de las versiones instaladas de estos agentes deben formar parte del plan de acción a la hora de implantar el uso de estas herramientas. Ver ciclo de ejecución de Puppet en Figura N° 3. Por el contrario, Ansible no opera mediante un agente software. En su lugar Ansible se aprovecha del hecho de que en la gran
Como fase final del proyecto vamos a diseñar y crear un escenario con las herramientas que hemos analizado, de forma que nos sirva para evaluar el nivel de cumplimiento con los objetivos planteados. El objetivo de este escenario es plasmar el resultado de generar diferentes máquinas virtuales. En la Figura. 5 podemos ver un diagrama del escenario propuesto. Dentro de este escenario simularemos un ataque desde la “VM Atacante” a la “VM Víctima” empleando la vulnerabilidad Shellshock. Después veremos cómo podemos mitigar dicho ataque, generando un nuevo escenario que contenga reglas de filtrado en el cortafuegos que reduzcan el impacto de la vulnerabilidad, así como la detección de dicho ataque desde la “VM IDS”. El escenario va a ser desplegado usando la plataforma de virtualización VirtualBox, utilizando el modo NAT para conectar las máquinas que lancemos. Al utilizar este modo de conexión no necesitamos realizar una configuración extra de las interfaces de red de las máquinas incluidas en el escenario. En caso de desplegar el escenario en un laboratorio que ya posea un rango de direcciones IP asignados.
A continuación describimos el proceso de generación de cada una de las máquinas: »» VM Víctima: emplearemos la plantilla de Packer y el manifest descritos en el apartado dedicado a servicios vulnerables de la sección anterior. »» VM IDS: utilizaremos el método descrito en la sección anterior, siendo la plantilla de Packer idéntica a la de la máquina víctima, salvo por la versión de Ubuntu utilizada (14.04.03) y que vamos a permitir actualizar al sistema. »» VM Atacante: en este caso al emplear una máquina Kali que no necesita ninguna configuración posterior, podemos emplear directamente una imagen ya preparada descargada de Internet o utilizar una plantilla básica de Packer que se limite a instalar el sistema sin realizar ningún tipo de provisionamiento.
Referencias -- CCDCOE. (2012). Cyber Defence Exercise Locked Shields 2012 - After Action Report. Tallin. CCDCOE. (2013). Cyber Defence Exercise Locked Shields 2013 After Action Report. Tallin -- DEFCON. (2016). DEFCON; Hacking Conference - CTF History. Disponible en https://www.defcon.org/html/ links/dc-ctfhistory.html -- HashiCorp. (2015). Packer by HashiCorp. Disponible en https://www.packer.io/ -- HashiCorp. (2015). QEMU Builder - Packer by HashiCorp. Disponible en https://www.packer.io/docs/builders/qemu.html -- INCIBE. (2016). Retos Individuales Cybercamp 2015. Disponible en https://cybercamp.es/retos/CTF_individual -- Jason Kick. (2014). Cyber exercise playbook. Disponible en: https://www.mitre.org/sites/default/files/publications/pr_14-3929cyber-exercise-playbook.pdf. -- National Initiative for Cybersecurity Careers and Studies (NICCS). (2016). Cyber Glossary. Disponible en https://niccs.uscert.gov/glossary -- NCIBE. (2015). Taxonomía de ciberejercicios. Disponible en https://www.incibe.es/extfrontinteco/img/File/ intecocert/EstudiosInformes/incibe_taxonomia_ciberejercicios.pdf -- Razvan, G., Adrien, O., & Panagiotis, T. (2015). The 2015 report on national and international cyber security exercises: Survey, analysis and recommendations. -- Wiki-like CTF write-ups repository. (2016). Disponible en https://github.com/ctfs
RETOS Y OPORTUNIDADES DE LOS PROVEEDORES DE SERVICIOS DE SEGURIDAD ADMINISTRADA (MSSP) Autor: Daniel Medina Salcedo Institución: Olimpia IT.
El aumento de los incidentes cibernéticos, la proliferación regulaciones frente a la protección de datos (ej. PCI-DDS, SOX, FISMA, entre otros), y los esfuerzos de los Estados por crear políticas y programas en materia ciberespacial, han incrementado las necesidades en administración de la seguridad de la información y ciberseguridad. Ello ha catalizado la aparición de nuevas oportunidades y amenazas para las empresas privadas e instituciones gubernamentales, generando así un mercado de servicios profesionales especializados que es
tomado por proveedores de diferentes naturalezas – estos son conocidos formalmente como Proveedores de Servicios de Seguridad Administrada (Managed Security Services Providers – MSSP). Las estrategias de seguridad de la información de las organizaciones no se han limitado a un simple monitoreo, administración y reacción ante incidentes cibernéticos; éstas están en un constante proceso de evolución. En la actualidad se habla del concepto de estrategias en
27
28
seguridad integral o convergente, el cual se caracteriza por tener una vista holística que involucra la protección de personas, activos físicos e información, y riesgos laborales. Este nuevo concepto implica la integración de diferentes ramas de la seguridad (ej. física, privada, informática, de la información, e industrial), generando así una visión completa de los riesgos que obliga a repensar las maneras como se planea y ejecuta estratégicamente.
protección contra ataques de Denegación de Servicio Distribuido (DDoS); administración segura de pasarela de mensajes, navegación a internet, eventos e información de seguridad (SIEM); escaneo de vulnerabilidades en la red, servidores, bases de datos y aplicaciones; servicios de notificación de riesgos y vulnerabilidades de seguridad; análisis de logs; y generación de reportes asociados a la administración o monitoreo de dispositivos y gestión de incidentes.
Este artículo analiza el modelo de tercerización de la seguridad informática y de la información con el objetivo de identificar oportunidades de convergencia entre los planos físicos y lógicos que sean susceptibles de ser aplicadas a través de la regulación a los proveedores de seguridad.
En la actualidad los proveedores de seguridad administrada se pueden dividir en cinco (5) categorías o tipos: puro de seguridad gestionada, telecomunicaciones, especializado en regulación o sector, integrador de tecnología, y global (Ver Imagen N° 1).
Proveedores de Servicios de Seguridad Administrada - MSSP Los Proveedores de Servicios de Seguridad Administrada – MSSP siglas de la traducción al inglés – son, según la consultora Gartner (2014), empresas que participan en la “administración o monitoreo remoto de las funciones de la Seguridad de IT usando recursos compartidos desde Centros de Operaciones de Seguridad (Security Operations Centers)”. Para su correcto desempeño estos, al igual que sucede con las empresas de seguridad privada en el entorno físico, deben contar con personal especializado, procesos establecidos para el monitoreo, administración de plataformas informáticas y capacidades de gestión de incidentes cibernéticos. Los servicios ofrecidos por los MSSP son diversos y están en función de sus tipos, pero, de manera general, es posible listarlos: monitoreo o administración de firewall, sistemas de prevención de intrusos (IPS);
Los proveedores de categoría ‘global’ son, debido a su tamaño y capacidades, en donde se concentra gran parte del mercado. Estos pueden ser clasificados, de acuerdo al cuadrante mágico de Gartner, como: retadores o aspirantes (challengers), líderes (leaders), jugadores de nichos (niche players), y visionarios (visionaries) (Ver Imagen N° 2).
Retos y Oportunidades de los MSSPs »» Retos 1. Avance indiscriminado del cibercrimen. Existe una sensación constante de inseguridad en el ciberespacio producida por las frecuentes noticias y estudios que revelan un incremento en la recurrencia e impacto en las vulneraciones a los usuarios. Y no es para menos, el constante avance del cibercrimen parece superar en ocasiones las capacidades de seguridad y defensa cibernética, lo cual es, sin duda alguna, un reto para los MSSP.
Imagen 1. Categorías o Tipos de MSSP
CATEGORÍAS O TIPOS Puro de seguridad gestionada
Telecomunicaciones
Especializado en regulación o sector
Integrador de Tecnología
Global
DESCRIPCIÓN Empresas medianas y pequeñas, con un nivel de madure alto en gestión de incidentes, inteligencia y defensa activa. Como tendencia este grupo de compañías busca ser parte de los ecosistemas locales, regionales y globales de Equipos de Emergencias y Reacción a Incidentes (CSIRT). Empresas prestadoras de telecomunicaciones, quienes han visto la posibilidad de prestar servicios de valor añadido a sus clientes, incluyendo en su portafolio seguridad gestionada en sus propios centros de cómputo o en los canales de internet y comunicaciones ofrecidos. Empresas medianas y pequeñas con cobertura municipal, nacional o de pocos países y quienes han desarrollado capacidades y conocimientos especializados en la protección de sectores como la banca, energía, petróleo y gas, servicios públicos, entre otros. Empresas grandes con cobertura municipal, nacional o de pocos países y quienes participan principalmente en la contratación estatal y, aunque no cuentan con grandes capacidades técnicas, sí ostentan capacidades logísticas y financieras. Éstas desarrollan el negocio a través de unidades pequeñas de gestión que subcontratan servicios a empresas especializadas, permitiendo ampliar su oferta sin invertir cantidades considerables. Empresas de nivel global con cobertura en Europa, las Américas y Asia/Pacifico. Éstas cuentan con varios centros de operaciones alrededor del mundo con la habilidad de producir sus propias tecnologías de monitoreo y protección. Fuente: Elaboración propia.
El incremento en el número de ataques puede generar, potencialmente, que los proveedores de seguridad incumplan sus obligaciones contractuales, lo cual repercute negativamente en su imagen y finanzas. De allí que sea indispensable que los MSSP tengan un robusto marco legal, y procedimientos adecuados para contener los riesgos y contingencias que se presenten en la prestación del servicio. 2. Ausencia de Personal calificado. Los servicios de seguridad de la información y ciberseguridad son prestados por personal altamente calificado; sin embargo, y paradójicamente, en la actualidad la demanda de talento humano supera la oferta disponible.
Esta situación ha causado un incremento considerable en los salarios y rotación de personal, trayendo consecuencias negativas en todos los aspectos para los MSSP. Por esta razón, se deben fortalecer los procesos de funcionamiento, gestión de conocimiento, planes de formación y desarrollo del personal. 3. Riesgo por infidelidad de funcionarios. Los funcionarios que participan en el diagnóstico de vulnerabilidades, arquitectura de las soluciones y administración de las plataformas de seguridad perimetral, son personas que tienen un gran conocimiento de la operación. Ellos, en caso de hacer un mal manejo de sus privilegios, pueden
29
Imagen 2. Clasificación de MSSP de Categoría Global
30
Fuente: Para mayor información sobre el detalle de la evaluación puede profundizar en http://www.gartner.com generar fugas de información que afectan directamente a los MSSP y sus clientes. En este escenario las experiencias de las compañías privadas de seguridad física en los procesos de selección, retención y evaluación de sus funcionarios de guardia o supervisores, son un gran punto de referencia para los MSSP. »» Oportunidades 1. Seguridad convergente. La unión de capacidades de proveedores de seguridad física y MSSP genera una visión holística sobre los riesgos de una organización y potencializa el retorno de la inversión en seguridad de las empresas. Esto ocurre, de manera más recurrente en las áreas comunes para ambos, por ejemplo, la electrónica.
2. Disminución de fraude de los clientes. La diferenciación en la industria de MSSP viene tomando un camino muy ceñido al nivel de conocimiento que estos tienen frente a quienes constituyen el mercado. Cuando un proveedor logra traducir el riesgo, nivel de exposición y alternativas costo-efectivas de disminución de fraude de su cliente, está alcanzando una categoría de aliado estratégico que potencializa la relación de cooperación. 3. Regulaciones y control a la industria de MSSPs. Los proveedores de seguridad física de casi todos los países tienen un marco regulatorio que establece sus responsabilidades, procesos mínimos y requisitos de funcionamiento. Estas regulaciones son muy positivas, entre otras, por motivos
de Derechos Humanos, procedimientos y limitaciones de actuación. Actualmente no existe una regulación o normativa que establezca las condiciones mínimas para ser un MSSP. Esta situación puede llevar a prestación de servicios en condiciones no óptimas y la extralimitación en sus responsabilidades en el ciberespacio. Por el contrario, tener un marco similar mejoraría las condiciones del mercado, así como la actualidad de los servicios prestados, lo cual repercute directamente en la seguridad de los clientes.
Conclusiones »» La seguridad convergente es un concepto de integración de más de una de las disciplinas de la seguridad de las empresas tales como: la seguridad Física, seguridad informática y de la información, y seguridad industrial. »» La seguridad gestionada o seguridad administrada es un concepto de la informática que se refiere al proceso de administrar la seguridad informática por parte de una unidad de negocio o empresa especializada. »» Los proveedores de servicios de seguridad administrada ofrecen la administración o monitoreo remoto de las funciones de la Seguridad de IT usando recursos compartidos desde Centros de Operaciones de Seguridad (Security Operations Centers). »» Los procesos de selección de personal, retención de personal, gestión de incidentes entre otros, tienen una gran similitud conceptual entre los proveedores de Seguridad Privada y los MSSP.
»» Hoy en día el mundo físico y el mundo cibernético convergen en casi todas nuestras actividades cotidianas, así mismo la convergencia de la seguridad hace sentido empresarial y diferencia a los MSSPs y empresas de Seguridad Privada. »» En un enfoque prospectivo, en un futuro cercano los MSSP deberán ser regulados con similar enfoque que los proveedores de Seguridad Privada, permitiendo al estado coordinar, asegurar y definir requisitos mínimos de prestación del servicio por parte de los MSSP.
Bibliografía -- Security Operations Center Building, Operating and Maintainin your SOC, Joseph Muniz, Gary McIntyre, Nadhem AlFardan, ISBN-13: 978-0134052014, ISBN10: 0134052013 -- Designing and Building Security Operations Center 1st Edition, David Nathans, ISBN-13: 978-0128008997, ISBN-10: 0128008997 -- Magic Quadrant for Global MSSPs, Kelly M. Kavanagh, 26 de Febre
31
ENTENDIENDO LOS SISTEMAS SCADA Autor: Manuel Santander Peláez Institución: Escuela Superior de Guerra (ESDEGUE).
32
Los Sistemas de Control Industrial (ICS), dentro de los cuales se encuentran los Supervisory Control and Data Acquisition (SCADA), son considerados por muchos como la piedra angular que soporta la mayoría de los procesos industriales, particularmente debido a la evolución que ha tenido este sector hacia las Tecnologías de la Información y Comunicaciones (TICS). Sin embargo, así como estos han traído bondades que facilitan las diferentes operaciones, también en la era de la información ha traído retos que deben ser atendidos proactiva y reactivamente. El presente artículo tiene como finalidad dar una visión general de los Sistemas SCADA, de sus riesgos más latentes, y de posibles alternativas para remediarlos o mitigarlos. Se concluye que los sistemas ICS no consideran la ciberseguridad desde la perspectiva del diseño. Adicionalmente, los SCADA se preocupan profundamente por su disponibilidad e integridad; las brechas de confidencialidad no son tan importantes como en la tecnología de la información ya que no causan por sí mismas el impacto. La arquitectura de seguridad cibernética para los sistemas ICS, incluyendo SCADA, es una necesidad para garantizar la disponibilidad y la integridad.
Visión general de los sistemas SCADA La industria eléctrica provee el servicio de energía eléctrica a toda la población y a diferentes industrias. Es un sector de infraestructura crítica en casi todos los países y se convierte en uno de los motores
fundamentales del funcionamiento de la sociedad y la economía. Los siguientes negocios operan en dicha industria: »» Generación: Su propósito es la producción de energía eléctrica a partir de fuentes primarias. A continuación, se detallan los principales tipos de centrales eléctricas o centrales de generación: Central hidroeléctrica (ej. Embalse, borde de agua, minicentral), Central Térmica (ej. carbón, gas, fuel oil,), Energía Renovable, entre otros. Corresponde a una persona física o jurídica que produce electricidad, que tiene al menos una planta o unidad generadora conectada al Sistema Interconectado Nacional (SIN). »» Transmisión: Su objetivo es transportar energía eléctrica a través del SIN entre los sitios de generación y las subestaciones de distribución, para lo cual se utilizan subestaciones de alto voltaje (230KV o superior) y líneas de transmisión. Este negocio también es responsable de la operación, mantenimiento y expansión de los sistemas de transmisión, ya sean nacionales o regionales. El SIN tiene 723 subestaciones de transmisión y distribución, de las cuales 233 operan a niveles de alta tensión y cuenta con más de 24.000 kilómetros de líneas de transmisión. »» Distribución: Su objetivo es llevar la energía eléctrica de las subestaciones de transmisión a los diferentes centros de consumo, como la vivienda, el comercio y las industrias. Las redes de distribución, que se componen principalmente de postes y
transformadores de distribución, se utilizan para suministrar electricidad. Este negocio asegura un servicio confiable y de calidad a la población y a las industrias. También se encarga de la operación, mantenimiento y expansión de los sistemas de distribución. »» Comercialización: Responsable de la compra y venta de electricidad del mercado mayorista y su venta a otras operaciones en ese mercado a los usuarios finales (Comando Conjunto Cibernético de Colombia, 2016). La industria de la electricidad necesita una tecnología principal para asegurar la coordinación de todos los componentes de la tecnología de operación (OT) desde un único centro y se llama sistemas de supervisión y adquisición de datos (SCADA). Estos sistemas se utilizan para controlar los activos dispersos en los que la adquisición centralizada de datos es tan importante como el control (Stouffer, et al., 2015). Son capaces de controlar varias variables en este negocio como garantizar una cantidad específica de electricidad generada, asegurar una cantidad específica de flujo eléctrico en las líneas de transmisión, decidir qué usuario
es capaz de utilizar el servicio eléctrico y quién no puede, entre muchos otros. Integran sistemas de adquisición de datos con sistemas de transmisión de datos y software de Human to Machine (HMI) para proporcionar un sistema de supervisión y control centralizado para numerosas entradas y salidas de proceso. Están diseñados para recopilar información de campo, transferirla a un centro informático central y mostrar la información al operador gráfica o textualmente, permitiendo así al operador monitorear o controlar un sistema completo desde una ubicación central en tiempo casi real. Basado en la sofisticación y configuración del sistema individual, el control de cualquier sistema, operación o tarea individual puede ser automático, o puede ser realizado por comandos del operador. La Figura 1 muestra los componentes y la configuración general de un sistema SCADA (Stouffer, et al., 2015). El centro de control está compuesto por un servidor de control, enrutadores de comunicaciones, una HMI, algunas estaciones de trabajo de ingeniería y el historiador de datos, todos conectados por una LAN. El centro de control realiza las siguientes funciones:
33
34
»» Recoge y registra la información recogida por todos los elementos de la estación, muestra información al HMI y puede generar acciones a los dispositivos OT basándose en los eventos detectados. »» Realiza alarmas centralizadas, análisis de tendencias y reportes. Los sitios de campo realizan el control local de los dispositivos OT presentes en las plantas de generación, subestaciones de transmisión y subestaciones de distribución. Los protocolos de comunicación utilizados para operar las estaciones que funcionan a través de comunicaciones en serie y en red son tanto estándar como propietarios. De acuerdo con los tres propósitos del análisis del impacto de los negocios, declarados por Paul Hopkin (Hopkin, 2014), los riesgos del centro de control pueden afectar a los siguientes objetos: »» Financiero: La compañía de electricidad podría no ser capaz de generar electricidad y pagar compensaciones onerosas debido al incumplimiento del contrato »» Personas: Las partes interesadas podrían morir debido a acciones como la apertura de una represa hidroeléctrica y la correspondiente inundación masiva. »» Reputación: La industria podría buscar otro proveedor de electricidad debido a una reputación degradada de la compañía de electricidad debido a ataques de ciberseguridad.
Riesgos existentes que pertenecen al sistema La Figura 1 del centro de control describe todos los recursos que se pueden encontrar
Tabla 1: Mapa entre el Atributo y la Amenaza de Seguridad de la Información Asociada Attribute
Threat Unauthorized acces
Confidentiality Network recognition Cyber asset configuration Modification Integrity
Unauthorized modification of the industrial process state
Availability
Denial of service
Traceability
Loss of logs
Non-repudiation
Inpossibility of identification of an attacker
en un sistema SCADA y se tomaron como entrada principal para el análisis de riesgo. La Tabla 1 muestra el mapa de los atributos de seguridad de la información que forman parte del análisis y las correspondientes amenazas asociadas (May & Rohde, 2005) (Lathrop et al., 2006). Después de un análisis detallado, se ha recogido una lista de vulnerabilidades que se materializan en un sistema SCADA. Se utilizó la categoría de riesgo de Hopkin y luego se evaluó el riesgo con una calificación de magnitud y probabilidad. La Tabla 2 muestra los resultados obtenidos para los riesgos de confidencialidad e integridad. La Tabla 3 muestra los resultados obtenidos para los riesgos de disponibilidad, trazabilidad y no repudio.
Tabla 2. Riesgos de Confidencialidad e Integridad Threat
Vulnerability Malware APT
Man in the middle attack Social engineering Unauthorized Physical access access control malfunction Incomplete security patches Vulnerable ports enabled Defaul configurarion Network Privilege recognition escalation Physical access control malfunction Cyber asset Physical configurarion access control modification malfunction Inc omplete security patches Cyber asset configurarion modification
Vulnerable ports enabled Dentidy theft Physical access control malfunction Incomplete security patches
Unauthorized modification of Vulnerable the industrial process state ports enabled Identidy theft Malicious protocol request
Impact object
Risk category
Magnitude
Likelihood
Financial, reputation Financial, reputation Financial, reputation
Hazard
High
High
Hazard
Moderate
Medium
Hazard
Moderate
Very high
Financial, reputation
Control
Moderate
Low
Financial, reputation Financial, reputation
Control
Moderate
Very high
Hazard
Moderate
Medium
Reputation
Control
High
Very high
Reputation
Hazard
Moderate
Very high
Reputation
Control
Moderate
Low
Control
Moderate
Low
Control
Moderate
Very high
Hazard
Moderate
Medium
Hazard
Moderate
Medium
Control
Moderate
Low
Control
Moderate
Very high
Hazard
Moderate
Medium
Hazard
High
Very high
Hazard
High
Very high
Financial, people, reputation Financial, people, reputation Financial, people, reputation Financial, people, reputation Financial, people, reputation Financial, people, reputation Financial, people, reputation Financial, people, reputation Financial, people, reputation
35
Tabla 3. Riesgos de Disponibilidad, Trazabilidad y No Repudio Threat
36 Denial of service
Loss of logs
Impossibility of identification of an attacker
Vulnerability
Impact object
Risk category
Magnitude
Likelihood
Physical access control malfunction
Financial, people, reputation
Control
Moderate
Low
Incomplete security patches
Financial, people, reputation
Operational
Moderate
Very high
Defaul configurarion
Financial
Control
High
Very high
Physical access control malfunction
Financial
Control
Moderate
Low
Incomplete security patches
Financial
Control
Moderate
Very high
Identidy theft
Financial
Hazard
High
Very high
Disability of non-repudation controls
Reputation
Hazard
High
High
Brechas existentes en la reducción del riesgo Después del análisis de riesgos se encontraron las siguientes deficiencias: »» Ausencia de monitoreo de seguridad cibernética: dispositivos como firewalls e IPS se usan comúnmente en entornos de TI para monitorear posibles ataques a activos de seguridad de la información. Sin embargo, el uso de dispositivos IPS y firewall en entornos OT no es común debido a problemas de latencia. Un retraso de 10 ms no es un problema en una transmisión entre dispositivos de TI, pero en una SCADA de energía podría ser la diferencia entre un aumento controlado de electricidad en una línea de transmisión o un apagón masivo con daños a dispositivos activos como interruptores o transformadores.
»» Configuración predeterminada para dispositivos de centro de control: el software Early SCADA no consideró el concepto de endurecimiento del sistema operativo o requisitos de seguridad de la información, ya que la disponibilidad y la transmisión rápida son la principal prioridad de cada proceso industrial. Se diseñó teniendo en cuenta todos los privilegios de administrador y muchos servicios inseguros del sistema operativo activos. Como resultado, no se puede realizar ningún endurecimiento a los servidores SCADA porque el proceso industrial simplemente no funcionaría. »» Identidad no unificada para todos los dispositivos: Dado que los nombres de usuario son locales, el equipo de operación tendrá varios usuarios diferentes para cada servidor o equipo ubicado en el centro
de control. Esto podría ser utilizado para el robo de identidad o simplemente camuflar cualquier operación maliciosa.
consecuencias financieras son demasiado altas. Los siguientes impactos podrían materializarse (Zhao & Zhang, 2013).
»» No se aplica el control de tráfico válido dentro del centro de control y desde / hacia los sitios de campo: El sistema SCADA analizado no implementa actualmente ninguna aplicación de tráfico hacia o desde sitios de campo. El tráfico puede fluir libremente y no hay seguimiento en qué dispositivos se conectan a la red ni el tráfico que comprueba qué comandos se envían a los sitios de campo.
»» Apertura de compuertas en represas hidroeléctricas: Esta acción desencadena un aumento en el caudal permitido por el río utilizado para expulsar el caudal de agua utilizado en el proceso de generación. Esto puede causar inundaciones y avalanchas en extensiones de varios kilómetros, generando pérdidas de vidas humanas, cultivos y desequilibrios en los ecosistemas naturales.
Impacto de estos riesgos y por qué es necesaria la remediación o mitigación
»» Daños a los generadores de las principales centrales hidroeléctricas: Si un atacante decide llevar a cabo una acción similar a la llevada a cabo en las centrales nucleares de Irán, es posible dañar los generadores de las plantas más grandes, lo que provocaría una demanda insatisfecha de electricidad en el país, causando racionamiento prolongado
Los módulos SCADA dentro del centro de control son capaces de realizar cualquier tipo de acciones a las estaciones eléctricas. Muchos de esos impactos son conocidos como riesgos no asegurables, ya que las
Figura 3. Arquitectura de referencia Purdue
37
Figura 4. Mapa de Soluciones para Sistemas de Control Industrial
38
durante meses. Esto tendría un impacto en la competitividad del país a través de paros de producción, pérdida de vidas humanas, daños a las rutas terrestres, destrucción de cultivos agrícolas, entre otros. Si alguno de los riesgos enumerados en el apartado 2 se materializa, la empresa deja de existir fácilmente porque no tiene forma de cubrir los daños causados a terceros. El valor estimado de los controles enumerados en el plan de tratamiento es de US $ 20 millones. El impacto financiero estimado para el peor de los casos es de US $ 15.000 millones.
Enfoque de remediación o mitigación Los sistemas SCADA son parte de un sistema ICS. Cuando se asegura, se debe usar una arquitectura adecuada para hacer cumplir un funcionamiento fiable del proceso industrial y minimizar el riesgo de seguridad de la información de todos los recursos del sistema.
Para este escenario, la arquitectura más adecuada es la Purdue Enterprise Reference Architecture (PERA) (Henrie, 2013), que proporciona un modelo que separa cada capa del proceso industrial y hace cumplir los controles de seguridad de la información que minimizan los riesgos. Los niveles descritos por la arquitectura son: »» Nivel 0 (proceso físico): Define los procesos físicos reales que se están ejecutando en la estación de campo. »» Nivel 1 (Control Básico): Detecta y manipula los procesos físicos utilizando sensores de proceso, analizadores, actuadores e instrumentación relacionada. »» Nivel 2 (Supervisión de Área): Supervisa, monitorea y controla los procesos físicos. »» Nivel 3 (Fabricación, Operaciones y Control del Sitio): Aquí es donde vive el sistema SCADA. Gestiona el flujo de trabajo de producción para producir los productos deseados. Todos los controles
de supervisión de la zona se gestionan para hacer cumplir una función fiable para los servicios de generación, transmisión y distribución de electricidad. »» Nivel 4 y 5 (Zona Empresarial): Administra las actividades relacionadas con el negocio de la operación industrial. Aquí es donde se encuentran todos los sistemas de TI como ERP, CRM, facturación y servicios como acceso a Internet y correo electrónico. La Figura 3 describe el diagrama para PERA. La Figura 4 describe los controles de seguridad de información adecuados para los sistemas SCADA y compatibles con entornos OT.
Conclusión »» Los sistemas ICS no consideraron la ciberseguridad desde la perspectiva del diseño. Los protocolos están fechados desde los primeros días de las comunicaciones donde los medios de comunicación en serie eran el único bus de comunicación utilizado. Se adoptaron sin modificaciones al TCP / IP y la evolución del mercado ha tardado en adoptar los cambios necesarios para controlar los riesgos de los entornos de AT debido a las restricciones de negocio presentes y al reto de la sustitución tardía de los dispositivos activos presentes en el sitio debido a los altos costos involucrados. »» Los sistemas SCADA se preocupan profundamente por su disponibilidad e integridad. Las brechas de confidencialidad no son tan importantes como en la tecnología de la información ya que no causan por sí mismas el impacto. »» La arquitectura de seguridad cibernética para los sistemas ICS, incluyendo SCADA, es una necesidad para garantizar la disponibilidad y la integridad
Referencias -- Ciprian, B. (2011). SCADA SECURITY IN THE CONTEXT OF CORPORATE NETWORK INTEGRATION. Universitatii Maritime Constanta.Analele, 12(15), 159-164. Retrieved from https://search-proquest-com.ufairfax.idm.oclc.org/docview/912813776?accountid=158316 -- May, R. P., & Rohde, K. (2005). Cyber assessment methods. Intech, 52(11), 28-31. Retrieved from https://search-proquest-com.ufairfax.idm.oclc.org/docview/208809843?accountid=158316 -- Henrie, M. (2013). Cyber security risk management in the SCADA critical infrastructure environment. Engineering Management Journal, 25(2), 38-45. Retrieved from https://search-proquest-com.ufairfax.idm.oclc.org/docview/1434438191?accountid=158316 -- Hadziosmanovic, D., Bolzoni, D., & Hartel, P. H. (2012).
A log mining approach for process monitoring in SCADA.
International Journal of Information Security, 11(4), 231251. doi: http://dx.doi.org.ufairfax.idm.oclc.org/10.1007/ s10207-012-0163-8 -- Lathrop, S. D., Gates, C. L., Massie, D. D., & Hill, J. M.
D. (2006). Risk assessment of a power plant: Evaluating the security of a supervisory control and data acquisition system. ASHRAE Transactions, 112, 671-679. Retrieved
from https://search-proquest-com.ufairfax.idm.oclc. org/docview/192545036?accountid=158316
-- Zhao, X. L., & Zhang, J. H. (2013). Power system risk assessment software design under impact of disaster conditions. Applied Mechanics and Materials, 441, 204. doi:http://dx.doi.org.ufairfax.idm.oclc.org/10.4028/www. scientific.net/AMM.441.204
-- Stouffer, K., Stouffer, K., Pillitteri, V., Lightman, S., Abrams, M., & Hahn, A. (2015). Guide to industrial control systems (ICS) security. Gaithersburg, MD: U.S. Dept. of Commerce, National Institute of Standards and Technology. http://dx.doi.org/10.6028/SINT.SP.800-82r2 -- Comando Conjunto Cibernético de Colombia. (2016).
Sectores estratégicos de la República de Colombia desde la óptica cibernética (1st ed.). Bogotá D.C., CO: Comando General Fuerzas Militares.
-- Technical Support Working Group. (2005). Securing your SCADA and Industrial Control Systems (1st ed.). Washington, DC: U.S. Department of Homeland Security. -- Hopkin, Paul (2014). Fundamentals of Risk Manage-
ment: Understanding, Evaluating and Implementing Effective Risk Management. Kogan Page. Kindle Edition.
39