Modulo 7: Planes de Apoyo Operativo.

Colaboración Público-Privada
Curso Superior Universitario de Protección de Infraestructuras Críticas y Estratégicas
Juan Delfín Peláez Alvarez
10 Marzo 2017
 Empresas, en especial Profesionales
Ciudadanos de sectores
estratégicos

Red académica y de
investigación española Operadores de FCSE
(RedIRIS) infraestructuras críticas

Secretaría Secretaría de Estado

de Estado de Telecomunicaciones
de Seguridad y para la Sociedad de la Información

CNPIC + INCIBE = CERTSI

2
Servicios CERTSI www.certsi.es

ALERTA INCIDENTES PUBLICACIONES PUBLICACIONES PUBLICACIONES PUBLICACIONES

Avisos de Respuesta Blog Bitácora de Guías y Estudios ENSI
seguridad SCI a Incidentes Incidentes
Vulnerabilidades
Ciberseguridad

OPERADORES

Information gathering
Análisis de tráfico y
Notificaciones y CyberEx ICARO
Respuesta Contenidos sensorización
24 x 7 análisis ad-hoc Especializados PIC Detector de incidentes

3
Incidentes gestionados desde CERTSI

49.976
2015 45.689 4.153 134

Incidentes
gestionados
Ciudadanos Red Académica Infraestructuras
y empresas (RedIRIS) críticas

110.293 4.485 479

2016
115.257 (31 Diciembre 2016)

31% Gestionados manualmente

¿Qué pasa en España? Datos de 2016
79.252 webs con actividad maliciosa
99.204 equipos o recursos comprometidos
en 2016
33.036 notificaciones enviadas por el ISP a
usuarios finales. 50% de desinfección.
Nivel de Alerta en Madrid

En febrero en Madrid se produjeron

8.289 Incidentes de Ciberseguridad
diariamente (*).

Tipos/Objetivos de estos Ataques:

Conficker: Realizar Spam.

Nivdort: Espiar (Keylogger). Para p.e, recoger
información de tarjetas de crédito.
Genieo: iOS Adware
ZeroAccess: Capacidad de procesamiento.
Minería de Bitcoins.
Mirai: Equipos IoT. Realizar ataques de
denegación de servicio DDoS.
Necurs: Fraude. Distribución de Ransowmare.

(*) Datos de febrero 2017

Incidentes 2016

Los accesos no autorizados a cuentas privilegiadas o usuarios de alto nivel, como personal directivo de la
empresa, son el tipo de incidentes más común.
Los casos de fraude, donde se realiza un secuestro de información, para pedir un rescate, va en aumento.
Incidentes 2016 - Fraude

El 67% de los
ramsomware
afectaron a empresas

Más de 2.000
casos de
Ransomware

8
RANSOMWARE - ENDESA

820 casos resueltos

del Ransomware de
la Campaña
Endesa
9
 Incidentes continuos

Bitácora de Incidentes Ciberseguridad

El Banco Central de Bangladesh

sufre el robo de 100 millones de
dólares Publicados los datos de 154
millones de votantes
americanos
Primer corte de suministro
32 millones de 68 millones de
eléctrico de la historia debido a Eléctrica de Michigan contraseñas de cuentas de Dropbox
un ciberataque afectada por un ransomware Twitter a la venta publicadas
12 millones de
dólares robados a
banco ecuatoriano Robados 60 millones de
dólares en bitcoins

Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
2016

Publicados los datos de 50

millones de ciudadanos
turcos

En los últimos 2 años se han producido más de

200 hechos relevantes
10
Incidentes continuos

Bitácora de Incidentes Ciberseguridad

2016 comenzó con Robo a Bancos

11
Incidentes continuos

Bitácora de Incidentes Ciberseguridad

También ha sido noticia el Robo de Información Personal

• Robo a AAPP
• Sistemas Electorales
• Finalidad Política

12
Incidentes continuos

Bitácora de Incidentes Ciberseguridad

También ha sido noticia el Robo de Información Personal

• Robo a Empresas
• Usuarios/Contraseñas
• Fraudes/Accesos no
autorizados

13
Incidentes continuos

Bitácora de Incidentes Ciberseguridad

A nivel internacional, importantes afectados por Ransomwares

• Infraestructuras críticas
• Alto impacto económico
• Alto impacto en la
Disponibilidad

14
Colaboración Público - Privada

15
Colaboración Público - Privada

16
Colaboración Público - Privada

17
CiberEjercicios

Especialización Sector Financiero

18 Equipos confirmados
3 Fases implementadas
13 Bancos
 Fase I: Ataque continuado
2 Sociedades valores
 Fase II: Roleplay
2 Medios de pago
 Fase III: Simulación de incidente
1 Aseguradoras

Valoración en base a 98 controles

 CiberEjercicios
INGENIERÍA SOCIAL: PHISHING GESTIÓN DE CRISIS
Ataques mediante correos fraudulentos Resolución ejecutiva de una ciber-crisis
por parte de un comité multidisciplinar
Uso de herramientas de bloqueo de Se involucran áreas no técnicas
correos falsos y de prevención de y se contienen los riesgos
fugas de información
Oportunidad de mejora en los
El factor el humano sigue el protocolos de colaboración
principal vector de entrada público – privados y su difusión

INGENIERÍA SOCIAL: USB INVESTIGACIÓN INCIDENTES

Ataques por distribución de dispositivos Resolución técnica de un incidente de
de almacenamiento extraíbles ciberseguridad
Bloqueo de puertos USB en los Capacidades técnicas para análisis
equipos de empleados forenses y recolección de evidencias
No existen protocolos de actuación Algunas contenciones de equipos
frente a la aparición de dispositivos se realizan sin tener en cuenta el
de almacenamiento sospechosos impacto en negocio

MEDIDAS ORGANIZATIVAS MEDIDAS TÉCNICAS

Normas, políticas y procedimientos de Sistemas y mecanismos de defensa y
ciberseguridad establecidos prevención implantados
Elevado nivel de madurez en las medidas Despliegue de numerosas medidas de
organizativas en materia de seguridad protección contra ciber-ataques

Es necesario mejorar la formación y la Espacio de mejora en las medidas de control

concienciación de los empleados de la de acceso a la red interna y de detección
entidad ataques avanzados APT
Compartición de ciberamenazas
Compartir los IOC del malware conocido para facilitar la detección

 Anonimización de la información compartida

 Nodos de entrada para alimentación
 Nodos de salida para obtención de información
 Análisis de la información por parte de CERTSI
Prevención y alerta Temprana: Alertas y Avisos
Objetivo: suministrar alertas de ciberseguridad en tiempo real
El servicio se presta mediante diferentes canales, principalmente web y boletines de correo electrónico:

 Vulnerabilidades y avisos de ciberseguridad en SCI.

 Scadas, PLCs, smartmeters, etc.

 Comunicaciones y redes.

 0-days.

 Plataformas y fabricantes.

 Bitácora de Ciberseguridad y Blog.

 Ciberataques a IICC.

 Malware específico.

 Fugas de información, etc.

Esquema Nacional de Seguridad Industrial
Indicadores para la Mejora de la Ciberresiliencia Métricas
Metas Dominios funcionales
Mantener un estado de POLÍTICA DE CIBERSEGURIDAD (PC)
preparación informado, con
L3 el fin de evitar
ANTICIPAR GESTIÓN DE RIESGOS (GR)
compromisos de funciones
misión / empresa de los FORMACIÓN EN CIBERSEGURIDAD
ciberataques (FO)

Continuar las funciones GESTIÓN DE VULNERABILIDADES

críticas a pesar de la ejecución (GV)
RESISTIR
L3con éxito de un ciberataque. SUPERVISIÓN CONTINUA (SC)

Restaurar las funciones críticas GESTIÓN DE INCIDENTES (GI)

RECUPERAR en la mayor medida posible con

posterioridad a la ejecución GESTIÓN DE CONTINUIDAD DEL
con éxito de un ciberataque. SERVICIO (CS)

Cambiar misiones, funciones y

L3 GESTIÓN DE LA CONFIGURACIÓN Y
capacidades cibernéticas de
DE LOS CAMBIOS (CC)
EVOLUCIONAR apoyo, a fin de minimizar los
impactos negativos de los
ciberataques. COMUNICACIÓN (CM)

Fuente: Consulta ciberresiliencia 2016 - INCIBE

23
Esquema Nacional de Seguridad Industrial
Análisis de Riesgos Ligero de Seguridad
Esquema Nacional de Seguridad Industrial
Sector Energía y Resultado Resultado
Operadores Respuestas Tasa de Resultado Sector Sector Sector TIC
Nuclear entorno OT entorno IT (0-
Consultados analizadas Participación Financiero (0-5) Transporte (0-5) (0 – 5)
(0 – 5) (0 – 5) 5)
31 21 68% 2,52 2,92
Esquema Nacional de Ciberseguridad Industrial
Construcción de Capacidades de Ciberseguridad de la Cadena de Valor
 Mejora de las capacidades de la cadena de suministro de las IICC.
 Ayudar a disponer de un método para conocer el grado de madurez y robustez de los controles
y medidas de protección implementados.
 Incentivar la inversión de los proveedores a fin de mejorar su posicionamiento en el mercado.
 Repercusión del modelo en todo el sector.
 Mejorar la capacidad de internacionalización de los proveedores.

 Especialmente diseñado para los sistemas de control

industrial.
 Enfocada a comprender los obstáculos a la vez que mejoran las
habilidades para obtener resultados.
 Alineamiento NIST, ENISA, CPNI y otros modelos de
referencia.
 RNLI
RED NACIONAL DE LABORATORIOS INDUSTRIALES

Disponer de una Red de Laboratorios con

capacidad para TESTEO, EXPERIMENTACIÓN
e INVESTIGACIÓN

Objetivos

Potenciar la oferta y la demanda de la ciberseguridad en los entornos industriales a nivel

nacional
Poner a disposición de toda la comunidad relacionada con la seguridad industrial información
sobre infraestructuras nacionales
Fomentar la colaboración y cooperación entre los actores involucrados en la seguridad de
estos entornos.

Facilitar el intercambio de conocimiento dentro de la comunidad

WEB: https://rnli.incibe.es/
27
Consejos de Ciberseguridad

28
Gracias por su atención