La amenaza cibernética contra infraestructuras críticas: Un

enfoque práctico para abordar este riesgo desde la perspectiva

del Operador Nacional de Energía de Colombia

Septiembre de 2018

Sandra María Ríos Gonzalez - Erika Torres Carrasquilla

XM S.A. E.S.P.

1. Gestión Integral de riesgos XM

2. Riesgo cibernético – contexto y evaluación

3. Gestión del riesgo cibernético en sistemas SCADA

4. Claves para gestionar el riesgo cibernético

Agenda

2

Metodología para Gestión integral de

riesgos en XM

Comunicación

Identificación de riesgos

Definición del contexto

Evaluación de riesgos

Monitoreo y revisión

Marcos:ISO 31000

COSO ERMMejores

Prácticas Análisis de riesgos

Tratamiento

1. Auditorías

2. Ethical Hacking

3. Incidentes

4.Tendencias

5. Entorno

1.Caracterización y valoración del riesgo

2. Medidas de administración

3.Coberturas

4.Informes y reportes

Metodología Gestión Integral de Riesgos

Principales insumos Principales productos

Gobierno de Riesgos

Mapa de Riesgos

REC

RDM

RDS

RCB

RPT

RJR

RFR

REORFT

RTH

RFN

RMN

RPA

Riesgos del entorno:RJR: Riesgo Jurídico y RegulatorioRPT: Riesgo Político

RCB: Riesgo CibernéticoRDS: Deficiencias del Sistema EléctricoRDM: Deficiencias del Mercado EléctricoRFN: Fenómenos Naturales o Fuerza Mayor

Riesgos estratégicos:REC: Riesgo en la definición y ejecución de la estrategiaRMN: Afectación del modelo de negocio por cambios en el entorno

Riesgos operacionales:RFR: FraudeREO: Errores y omisionesRFT: Fallas en la tecnologíaRTH: Deficiencias en la gestión del Talento HumanoRPA: Incumplimiento de proveedores críticos y aliados

¿Estamos preparados?

Video

“Trabajamos en ciberseguridad para proteger la productividad de los

negocios”

¿Estamos expuestos al riesgo cibernético?

8

¿Cuál es su exposición real al riesgo cibernético? ¿Qué tan atractivo puede

resultar su empresa a un atacante?

¿Cómo evaluamos y cuantificamos los riesgos cibernéticos? ¿Tenemos un enfoque basado en datos o dependemos de una evaluación subjetiva de las amenazas?

¿Qué gestión del riesgo cibernético realizan nuestros proveedores críticos? ¿Podemos

estar expuestos a través de ellos?

¿Debe existir un gobierno de ciberseguridad o es el mismo gobierno de riesgos?

¿Cómo participa el equipo de riesgos en la evaluación y gestión detallada de los riesgos cibernéticos?

Tendencia y evolución global del riesgo

Tendencia y evolución global del riesgo

Principales ataques

Notpetya

2015

o Ucrania

2016

o Ucrania

2010 2017

o Nivel mundial

2018

o Nivel mundial

Plantas nucleares Sector eléctrico Sector eléctrico Vulnerabilidades de día cero

Software especializado (Sistema Scada)

Afectación de infraestructura crítica

Ciberinteligencia, ciberespionaje, centrales de inteligencia

Web oscura / profunda, filtraciones de centrales de inteligencia

Cibercrimen, ciberterrorismo, malware como servicio

Stuxnet Black energy Black energy

Crashoverride

Hidden Cobra

Wannacry

TrisisCiber actividad

maliciosa de Rusia

Hidden Cobra

Marcos gubernamentales

Agosto 2016: adoptó la Directiva de Seguridad

de las Redes y Sistemas de Información (NIS)

Noviembre 2016: incorporó elementos de la Directiva NIS en su nueva ley nacional de seguridad cibernética

Abril 2016: adoptó los lineamientos de la

OCDE a través de la Política Nacional de

Seguridad Digital

Estados Unidos: en marzo de 2014, el Instituto Nacional de Estándares yTecnología publicó un marco para mejorar la seguridad cibernética deinfraestructura crítica, con actualizaciones en 2017 (NIST).

Marcos adoptados por el sector eléctricocolombiano

Corporación norteamericana de confiabilidad eléctrica: requisitos técnicos para la gestión de la ciberseguridad, a través de la administración y aseguramiento de los activos cibernéticos.

Consejo Nacional de Operación del sistema eléctrico colombiano: guía de Ciberseguridad para realizar la gestión, aplicable al operador del Sistema y los agentes generadores,

transmisores y distribuidores.

* CCOC (Comando Conjunto cibernético de

las Fuerzas Militares).* COLCERT (Grupo de

respuesta a emergencias

cibernéticas en Colombia).

* CSIRT (Equipo de Respuesta ante

Incidentes de Seguridad).

Iniciativas a nivel país

2011-2015 2014-2018

o Estrategia Nacional de Ciberseguridad: Creación de equipos de respuesta a incidentes de seguridad cibernética (CSIRTs*) para sectores críticos.

o Fortalecimiento de las capacidades en ciberdefensa.

2016-2019

o Política nacional de seguridad digital.

o Marco institucional.

o Gestión de riesgo cibernético.

o Fortalecer la defensa y seguridad nacional.

o Desarrollar la cooperación, colaboración y asistencia.

o Acuerdo de obligatorio cumplimiento sector eléctrico.

o Basada en el estándar Nerc Cip v4.

o Establecen responsables de ciberseguridad por compañía

o Identificación de ciberactivos.

o Gestión seguridad ciberactivos.

o Seguridad Física ciberactivos.

o Plan de recuperación

o Lineamientos de política para ciberseguridad y ciberdefensa.

o Fortalecimiento en protección estatal en el ciberespacio mediante equipos especializados en ciberseguridad en: Ejercito, Policía y Sectores Críticos. (CCOC y COLCERT)

Iniciativas a nivel país

Infraestructura crítica cibernética nacional:

Es aquella soportada por las TIC y por las tecnologías deoperación, cuyo funcionamiento es indispensable para laprestación de servicios esenciales para los ciudadanos ypara el Estado.

Su afectación, suspensión o destrucción puede generarconsecuencias negativas en el bienestar económico de losciudadanos, o en el eficaz funcionamiento de lasorganizaciones e instituciones, así como de la administraciónpública.

Implementar planes de protección de la infraestructura crítica cibernética.

Objetivos

Estratégicos o XM, desde su constitución, ha visto la gestión

integral del riesgo como elemento clave para el logro de sus objetivos.

o Incremento en el nivel de madurez en gestión de riesgo cibernético

o Monitoreo continuo del riesgo

¿Cuál es la estrategia de la compañía?

¿Ciber como riesgo u oportunidad?

Estrategia

Identificación y valoración del

riesgo

Equipo interdisciplinario

• Junta Directiva

• Comité de Gerencia: Comité de Seguridad

Seguridad de la InformaciónRiesgos

Ciberseguridad Seguridad Física

Procesos de Negocio

Preguntas para tratar de determinar la máxima perdida/reclamación/impacto posible:

Evaluación de escenarios

¿Qué pasa si XM no puede prestar el servicio a cargo de su proceso de negocio en un periodo de tiempo?

¿Qué afectaciones podría ocasionar? ¿Quiénes podrían reclamar o demandar a XM por esta situación?

Si por un ciberataque a XM, se generara una demanda no atendida o un apagón, ¿qué implicaría esto para XM?

¿De qué cuantía podrían ser aproximadamente esas demandas o reclamaciones?

Evaluación de escenarios

Escenario 1 8 horas 12 horas 24 horas

10% interrupción $ $ $

50% interrupción $ $ $

100% interrupción $ $ $

Escenario 2 8 horas 12 horas 24 horas

10% interrupción $ $ $

50% interrupción $ $ $

100% interrupción $ $ $

Escenario 3 8 horas 12 horas 24 horas

10% interrupción $ $ $

50% interrupción $ $ $

100% interrupción $ $ $

Ficha de riesgos: Ejemplo

Información hipotética

Prevenir

Proteger

Valor del Riesgo

Co

nte

xto

Meto

do

lóg

ico

: an

áli

sis

y e

valu

ació

n

Ataque cibernético que afecte la integridad, confidencialidad o disponibilidad de los servicios prestados por XM

Causas/Consecuencias

Situación deseada

Situación actual

Riesgo

Vulnerabilidades que hacen

posible un ataque cibernético

exitoso

Disminución de vulnerabilidades

que limiten el éxito de un

ataque cibernético

• Condiciones de seguridad y continuidad en contratos con proveedores críticos

• Pólizas de Cyber Risk y de Responsabilidad Civil

• Comunicación con autoridades (Plan de comunicación en crisis)

• Plan de Continuidad del Negocio

• Pla de Respuesta

• Vulnerabilidades • Ejecución de archivos no

confiables o con contenido malicioso

• Ataques robustos o elaborados • Falla crítica de los controles• Ingeniería social

• Afectación de la información

• Reclamaciones / Demandas

• Cuestionamientos • Sanciones

• Implementación acuerdos CNO 788 y CNO 1004

• CONPES 3854 – Política Nacional de Seguridad Digital

• Acuerdo de supervisión con Comando Conjunto Cibernético (CCOC)

• Programa Integral de Ciberseguridad.

Medidas de administración actuales

• Controles de seguridad informática

• Pruebas de Hacking Ético y auditorías periódicas

• Políticas de seguridad de la información

• Planes de capacitación y sensibilización en seguridad de la información

$ X

MUSD

Medidas de administración

potenciales

Tratamiento del riesgo:

• Programa Integral de ciberseguridad.

• Póliza de seguro.

Programa Integral de CiberseguridadContexto y Enfoque

Tecnología

Incidentes y

Continuidado Gestión de riesgo

cibernéticoo Capacidad organización

para respuesta ante ciber ataque

o Pruebas de seguridad y vulnerabilidad

o Gestión de incidentes de seguridad

Cultura y Gobiernoo Programas de

entrenamiento y concientización adaptados a las responsabilidades de cada rol.

o Gobierno de Ciberseguridad

Ciberseguridad Activao Fortalecer capacidades

de detección, respuesta y recuperación

o Centro de Operaciones de Seguridad (SOC)

o Controles Tecnológicos

Personas

Procesos

Gestión del riesgo cibernético en sistemas SCADA

La “caja negra” no es una opción

• ¿Por qué la “caja negra” no es una opción?

• ¿Por qué están en riesgos los sistemas industriales (SCADA)?

• ¿Cómo gestionar el riesgo cibernético en OT?

• ¿Cómo aprender de la experiencia de ciberseguridad en IT?

• Transición hacia una ciberseguridad activa: Estar alerta y saber qué sucede en nuestra infraestructura

• Cooperación y ciberinteligencia

• Aspectos clave en la gestión del riesgo cibernético

Gestión del riesgo cibernético en sistemas SCADA

25

• Seguridad por oscuridad

• Evolución de los negocios

• Información para la decisión

• Necesidades de tecnologías

• Sinergias - Convergencia IT-OT

¿Por qué la “caja negra” ya no es una opción?

26

¿Por qué están en riesgos los sistemas industriales (SCADA)?

27

ASPECTO IT (Tecnologías de Información) OT (Tecnologías de Operación)

Objetivo – Propósito Confidencialidad, Integridad y Disponibilidad

Disponibilidad, integridad y confidencialidad

Ciclo de vida 2/3 años. Muchos proveedores 10/20 años con reducido numero de proveedores (específicos y sectoriales)

Gestión del riesgo Practica habitual que conduce a inversión en ciberseguridad

Practica realizada bajo demanda. A necesidad o por regulación.

Desarrollo de SGSI Usual. Se integra a la operación del negocio

No usual. No integrado.

Gestión de vulnerabilidades (antimalware –patch)

Habitual, políticas definidas y automatizadas

Poco habitual por la criticidad de los sistemas, complejo de desplegar y actualizar. Sin políticas específicas.

Cumplimiento de normativas Normativas genéricas Normativas especificas y sectoriales

Testing y auditorías Se utilizan metodologías y estándares. Evoluciona.

Pruebas especificas

Gestión de Incidentes y análisis forense

Proceso desplegado. En ocasiones de carácter obligatorio

Poco habitual. No realiza análisis forense

Fuente: http://www.ciberseguridadlogitek.com/seguridad-it-versus-ciberseguridad-industrial/

• Implementar medidas de seguridad para reducir el riesgo

• Administrar la seguridad para una protección integral: Personas + Procesos + Tecnología

• Evaluar la seguridad para medir el riesgo

• Aprender de la experiencia en IT

• Sinergias en gestión de conocimiento

¿Cómo gestionar el riesgo cibernético en OT?

28

Protección

continua

Riesgo

reducidoPlanificación

de la respuesta

Estrategia de defensa contra amenazas potenciales

Referentes para asegurar las operaciones y proteger la información

o XM cuenta con un SGSI certificado, lo que permea la cultura organizacional con el fin deproteger la información de los agentes del mercado eléctrico.

o Adoptamos buenas prácticas del NIST y el estándar NERC-CIP.

Necesidad de pasar a una Defensa activa en Ciberseguridad

Fuente: Gartner Research

Transición hacia una ciberseguridad activa

o Apoyo de la alta administracióno Grupos interdisciplinarios de

trabajoo Grupos de interés y grupos del

sectoro Cultura y capacitacióno Conciencia situacional

o Gobierno de Ciber

o Plan de continuidad de negocio

o Análisis de permanente de riesgos

o Pruebas de seguridad y vulnerabilidad / auditorias

o Gestión de incidentes de Seguridad

o Ajuste en diseño y definición de procesos

Programa Integral de

Ciberseguridad

o Seguridad desde el diseñoo Integración de seguridad OT y TI o Convenio con el Comando Conjunto

Cibernéticoo Pruebas de intrusión y vulnerabilidadeso Ciberseguridad Activa

Meta: Ciberseguridad activa Fortalecer capacidades de detección, respuesta y recuperación

Centro de Operaciones de Seguridad (SOC)

Personas

ProcesosTecnología

Transición hacia una ciberseguridad activa

¿Contamos con los conocimientos y hábitos necesarios para proteger adecuadamente la información de la organización y del sector?

Programa de concienciación, entrenamiento y capacitación

Encuesta web

Pruebas Ing. Social

Entrevistas grupales –Áreas de negocio

Fortaleciendo la cultura organizacional

Ciberseguridad activa

o Activos (identificación, interrelaciones y necesidades)

o Sondas y colectores (protocolos industriales)

o Monitoreo permanente

o Correlación y análisis

o Gestión de incidentes y tiquetes

o Inteligencia y gestión del conocimiento

o Seguridad por Diseño

Monitoreo 7x24

o Integración sistemas gestión

o Documentación

o Evidencias

o Mejora continua

Procesos y procedimientos

Implementación SOC IT/OTS

eg

uri

dad

acti

va -

7x2

4

“Mantenerse seguro significa mantenerse activo” Siemens

Cooperación y ciberinteligencia

o Con agencias públicas y privadas, nacionales einternacionales en temas de ciberseguridad

o Con los CERT y CSIRT existentes que apoyen la gestión deciberseguridad del sector

o Con otros sectores estratégicos para mejoras las practicas delsector

o Fomentar el desarrollo de Investigación, desarrollo einnovación (I+D+I) en ciberseguridad con la academia

o Fomentar la cooperación con organismos de desarrollo deestándares que fortalezcan la ciberseguridad del sector

Claves para gestionar el riesgo cibernético XM

Lecciones y aprendizajes

Claves para gestionar el riesgo cibernético

Cuantificar la exposición al riesgo.

El apoyo y convencimiento de la Alta Administración es fundamental.

El programa de ciberseguridad debe estar totalmente conectado con la estrategia de la compañía.

Claridad en roles y responsabilidades. El líder no debería ser tecnología, requiere transversalidad y enfoque en procesos de negocio.

Consolidar un equipo. Disponer de personas con dedicación exclusiva y permanentemente capacitadas.

No solo inversiones en tecnología, las personas suelen ser la parte mas vulnerable. Cultura permanente.

Auditorías con enfoque ciber en puesta en producción de grandes proyectos.

Enfoque proactivo. Redes con terceros.

Claves para gestionar el riesgo cibernético

39

“Sólo existen dos tipos de empresas:aquellas que han sido hackeadas, y otrasque lo serán en el futuro”.

Robert Mueller, Director FBI, 2012