Descripción
El propósito de esta obra es transmitir a los equipos responsables de la ciberseguridad, estudiantes y profesionales del sector una visión completa de las características y alcance de la ciberseguridad cuando se persigue proteger activos industriales o que prestan servicios esenciales. Lo que habitualmente se denomina ciberseguridad industrial.
El libro se estructura en diez capítulos de fácil lectura y recoge de forma práctica y didáctica los siguientes temas:
- Los activos más comunes que pueden encontrarse en entornos industriales o en infraestructuras críticas y las principales amenazas y grupos APT que pueden provocar un incidente de ciberseguridad.
- Los marcos y estándares disponibles para gobernar y gestionar el ciberriesgo OT (o de operación).
- Las vulnerabilidades de los activos que convergen en un entorno industrial o crítico, así como las recomendaciones técnicas y procedimentales que deberían desplegarse.
- Las medidas y soluciones existentes que posibilitan la detección temprana y la correlación de eventos en entornos industriales.
- Las mejores prácticas para diseñar una estrategia de continuidad de negocio que incluya planes de respuesta y recuperación ante incidentes en infraestructuras críticas.
• Las amenazas que aparecerán en los próximos años y el tipo de contramedidas que deberán ser desplegadas.
Tabla de contenido
AUTORES
PRÓLOGO
PREFACIO
CAPÍTULO 1. AUTOMATIZACIÓN, DIGITALIZACIÓN Y CIBERSEGURIDAD
INDUSTRIAL
1.1 INTRODUCCIÓN
1.2 LA AUTOMATIZACIÓN Y LA DIGITALIZACIÓN DE LOS ENTORNOS
INDUSTRIALES Y DE LAS INFRAESTRUCTURAS CRÍTICAS
1.2.1 Concepto de automatización industrial y sus r(e)voluciones
1.2.2 Automatización y digitalización industrial. Principales activos
1.3 DISPOSITIVOS DE CONTROL, SISTEMAS DE GESTION Y
SEGURIDAD EN ENTORNOS INDUSTRIALES
1.3.1 Nivel 1. El control del proceso. Dispositivos PLC y DCS
1.3.2 Nivel 2. La supervisión del proceso. Sistemas HMI y SCADA
1.3.3 Nivel 3. La gestión en tiempo real de datos del proceso.
Soluciones de historización, MES y Batch
1.3.4 Sistemas Instrumentados de Seguridad (SIS)
1.4 COMUNICACIONES Y PROTOCOLOS INDUSTRIALES
1.4.1 Comunicaciones y medios industriales
1.4.2 Principales protocolos industriales
1.5 INFRAESTRUCTURAS CRÍTICAS Y ACTIVOS ESPECÍFICOS
1.6 EL CONCEPTO DE INDUSTRIA 4.0
1.7 LA CIBERSEGURIDAD INDUSTRIAL
1.7.1 ¿Por qué ciberseguridad industrial?
1.7.2 Ciberseguridad OT versus Ciberseguridad IT. Hacia la convergencia
1.8 PARA LLEVAR
1.9 LECTURAS RECOMENDADAS
CAPÍTULO 2. IMPACTO DE LAS PRINCIPALES APT´S EN ENTORNOS
INDUSTRIALES E INFRAESTRUCTURAS CRÍTICAS
2.1 INTRODUCCIÓN
2.2 DEFINICIÓN Y CARACTERÍSTICAS DE UNA APT
2.3 FASES DE UNA APT
2.4 CONSECUENCIAS Y TIPOS DE PÉRDIDAS
2.5 GRUPOS APT, MALWARE ESPECÍFICO E INCIDENTES EN
INFRAESTRUCTURAS CRÍTICAS
2.6 ANÁLISIS DEL IMPACTO Y LAS PÉRDIDAS EN DIFERENTES
INCIDENTES DE CIBERSURIDAD OT
2.7 PARA LLEVAR
2.8 LECTURAS RECOMENDADAS
CAPÍTULO 3. GOBERNANZA, MARCOS DE GESTIÓN DEL CIBERRIESGO,
DEFENSA EN PROFUNDIDAD Y ESTÁNDARES OT
3.1 INTRODUCCIÓN
3.2 DETECTANDO GAPS EN EL ENTORNO INDUSTRIAL
3.3 EMPEZANDO POR LA ORGANIZACIÓN
3.4 DEFENSA EN PROFUNDIDAD
3.5 PONIENDO EN MARCHA UN MARCO DE CIBERSEGURIDAD
3.6 GESTIÓN DEL CIBERRIESGO
3.7 MARCOS DE CONTROLES
3.8 REPORTING, MÉTRICAS E INDICADORES
3.9 CUMPLIMIENTO
3.10 PARA LLEVAR
3.11 LECTURAS RECOMENDADAS
CAPÍTULO 4. SEGURIDAD EN REDES INDUSTRIALES
4.1 INTRODUCCIÓN
4.2 CARACTERÍSTICAS DE LAS REDES INDUSTRIALES
4.3 DEBILIDADES, VULNERABILIDADES Y AMENAZAS
4.4 HERRAMIENTAS Y SOFTWARE
4.5 MODELOS DE DEFENSA
4.6 CONTRAMEDIDAS Y EQUIPAMIENTO
4.7 PARA LLEVAR
4.8 LECTURAS RECOMENDADAS
CAPÍTULO 5. SEGURIDAD EN PROTOCOLOS INDUSTRIALES
5.1 INTRODUCCIÓN
5.2 ESCENARIO ACTUAL DE VULNERABILIDADES Y AMENAZAS
EN PROTOCOLOS INDUSTRIALES
5.3 COMO REMEDIAR Y MEJORAR LA SEGURIDAD DE LOS
PROTOCOLOS INSEGUROS
5.4 PROTOCOLOS INDUSTRIALES SEGUROS
5.5 PARA LLEVAR
5.6 LECTURAS RECOMENDADAS
CAPÍTULO 6. SEGURIDAD EN DISPOSITIVOS DE CONTROL Y
SISTEMAS DE GESTIÓN EN TIEMPO REAL. ATAQUES ESPECÍFICOS Y
CONTRAMEDIDAS
6.1 INTRODUCCIÓN
6.2 ATAQUES QUE PERSIGUEN CONTROLAR EL PROCESO
6.3 ATAQUES QUE PERSIGUEN IMPACTOS TRADICIONALES
6.4 ALGUNAS REFLEXIONES
6.5 MITIGACIONES ESPECÍFICAS
6.5.1 Sistemas de inventario de activos OT
6.5.2 Firewalls DPI industriales
6.5.3 Diodo de datos
6.5.4 Sistemas antimalware off-line y congelación de activos
6.5.5 Parcheado virtual de vulnerabilidades
6.5.6 Sistemas de gestión de cambios y control de versiones
6.6 PARA LLEVAR
6.7 LECTURAS RECOMENDADAS
CAPÍTULO 7. SEGURIDAD EN INDUSTRIAL INTERNET OF THINGS
(IIOT)
7.1 INTRODUCCIÓN
7.2 ARQUITECTURA DE UN PROYECTO IOT
7.3 CICLO DE VIDA DE UN PROYECTO IIOT
7.4 PRINCIPALES AMENAZAS Y VULNERABILIDADES EN IIOT
7.4.1 Dispositivos
7.4.2 Protocolos
7.4.3 Aplicaciones, plataformas, datos y procesos
7.5 ANÁLISIS DE SEGURIDAD INICIAL EN ENTORNOS IIOT
7.6 CAPACIDADES DE SEGURIDAD DESEABLES EN UN ENTORNO
IIOT
7.7 GOBERNANZA DE LA SEGURIDAD EN PROYECTOS IIOT
7.8 PARA LLEVAR
7.9 LECTURAS RECOMENDADAS
CAPÍTULO 8. MONITORIZACIÓN Y DETECCIÓN TEMPRANA
DE AMENAZAS Y ANOMALÍAS EN ENTORNOS OT
8.1 INTRODUCCIÓN
8.2 CONSIDERACIONES GENERALES
8.2.1 Monitorización dependiendo del concepto analizado
8.2.2 Monitorización a demanda vs en tiempo real
8.2.3 Detección basada en firmas vs comportamientos
8.3 MONITORIZACIÓN BASADA EN TRÁFICO
8.3.1 Adquisición de tráfico y consideraciones
8.3.2 Características del tráfico industrial
8.4 MONITORIZACIÓN DE ACTIVOS
8.4.1 Gestión de inventario
8.4.2 Gestión de vulnerabilidades
8.4.3 Monitorización basada en eventos y los logs
8.4.4 Fuentes de logs a considerar
8.4.5 Herramientas de gestión de logs
8.5 DETECCIÓN Y ALERTA TEMPRANA
8.5.1 Inteligencia de amenazas
8.5.2 Sistemas de detección de intrusiones (IDS) en archivos
8.5.3 Sistemas de detección de intrusiones (IDS) en red. Los NIDS
8.5.4 Sistemas de detección de intrusiones (IDS) en equipos. Los HIDS
8.5.5 La detección de anomalías
8.6 GESTIÓN DE EVENTOS Y ALERTAS
8.6.1 Generación de casos de uso
8.6.2 Agrupación de eventos y fuentes para generar alertas
8.7 CONSIDERACIONES EN EL ÁMBITO INDUSTRIAL
8.7.1 Monitorización activa vs pasiva
8.7.2 Enfoque para integración en las organizaciones industriales
8.7.3 Enfoque del inventario
8.7.4 Generación de casos en entorno Industrial
8.7.5 ¿IDS vs IPS?
8.7.6 Uso de Cyberkill Chain y TTP’s
8.7.7 Uso de herramientas de information sharing
8.8 PARA LLEVAR
8.9 LECTURAS RECOMENDADAS
CAPÍTULO 9. PLAN DE RESPUESTA ANTE INCIDENTES Y CONTINUIDAD
DE NEGOCIO EN INFRAESTRUCTURAS CRÍTICAS
9.1 INTRODUCCIÓN
9.2 TIPOLOGÍA DE INCIDENTES
9.3 CICLO DE VIDA DEL INCIDENTE
9.3.1 El pre-incidente
9.3.2 El incidente
9.3.3 El post-incidente
9.4 INCIDENTES EN LA CADENA DE SUMINISTRO.
¿CÓMO IMPACTAN?
9.5 DE LA GESTIÓN DE INCIDENTES A LA GESTIÓN DE LA CRISIS
9.6 PLAN DE CONTINUIDAD DE NEGOCIO
9.7 PARA LLEVAR
9.8 LECTURAS RECOMENDADAS
CAPÍTULO 10. ESCENARIOS PARA LO IMPREDECIBLE
¿QUÉ PODEMOS ESPERAR?
10.1 INTRODUCCIÓN
10.2 TENDENCIAS TECNOLÓGICAS EN LA INDUSTRIA
10.3 EVOLUCIÓN DE LAS AMENAZAS
10.4 TECNOLOGÍAS EMERGENTES DE PROTECCIÓN
10.5 EL CAMINO HACIA LA CIBER-RESILIENCIA
10.6 AFRONTANDO LO IMPREDECIBLE
10.7 PARA LLEVAR
10.8 LECTURAS RECOMENDADAS
MARTA BELTRÁN PARDO
Ingeniera Electrónica (Universidad Complutense de Madrid, 2001), Licenciada en Ciencias Físicas, rama de Física Industrial y Automática (UNED, 2003) y Doctora en Informática (Universidad Rey Juan Carlos, 2005). Actualmente es Profesora Titular de Universidad en la Universidad Rey Juan Carlos de Madrid, donde desde hace casi veinte años trabaja en sistemas distribuidos y en ciberseguridad y privacidad, tanto en docencia como en I+D+i. En estas disciplinas ha publicado más de 30 trabajos de investigación en revistas y congresos de reconocido prestigio. Es una de las pocas investigadoras españolas que ha publicado trabajos en conferencias técnicas hacker internacionales como las BlackHat o las Defcon, o en conferencias técnicas militares como las ICC (actuales CYCON). Además, es cofundadora del Cybersecurity Cluster de la Universidad Rey Juan Carlos, directora del MOOC de Ciberseguridad en las plataformas URJCx y MiriadaX, coordinadora del Grado en Ingeniería de la Ciberseguridad y directora del Máster en Ciberseguridad y Privacidad.
FERNANDO SEVILLANO JAÉN
Licenciado en Ciencias Económicas y Empresariales (Universidad Complutense de Madrid, 1995), Máster en Gestión e Investigación de la Comunicación Empresarial (Universidad Rey Juan Carlos, 2009) y Doctor en Informática (Universidad Rey Juan Carlos, 2010). Con 25 años de experiencia, su carrera profesional se ha desarrollado siempre en el sector privado y en compañías del sector de las Tecnologías de la Información y las Comunicaciones, colaborando además estrechamente en tareas de docencia e investigación con diferentes universidades y escuelas de negocio. Esto le ha permitido apostar por un doble perfil de tecnología y negocio. En los últimos diez años se ha centrado en el área de la ciberseguridad,
en particular, en entornos industriales y de infraestructuras críticas. Actualmente es Head of Cyber Risk Consulting en Willis Towers Watson, donde lidera el diseño y desarrollo de servicios en el área de la gestión del ciber-riesgo.
ANTONIO RODRIGUEZ USALLAN
Ingeniero Superior Industrial, especialidad Mecánica, (Universidad Politécnica de Madrid, 1982). Con 36 años de experiencia, su carrera profesional se ha desarrollado siempre en el sector privado y en compañías multinacionales de distintos sectores industriales (automoción, electrónica, química, entre otros), colaborando además estrechamente con asociaciones profesionales, ISA (International Society of Automation), siendo presidente de su filial en España y CCI (Centro de Ciberseguridad Industrial) como Experto, donde es profesor de la Escuela de Ciberseguridad y participa en la publicación de documentos del Centro. Desde hace más de 30 años está relacionado con las tecnologías de automatización y control de procesos, participando en proyectos a nivel ibérico y europeo y en los últimos 8 años trabajando en ciberseguridad en entornos industriales. En septiembre de 2020, decidió ejercer su derecho a jubilarse laboralmente, pero no profesionalmente. Actualmente continúa colaborando como asesor en proyectos de ciberseguridad
industrial.
AGUSTÍN VALENCIA GIL-ORTEGA
Ingeniero Industrial (Universidad Pontificia Comillas ICAI, 2001), Director de Seguridad (Universidad a Distancia de Madrid, 2018) y Master en Seguridad Informática (Universidad Politécnica de Cataluña – Universidad Internacional de Valencia, 2019). Con 20 años de experiencia en el mundo de la energía, especialmente en ciclos combinados y sector nuclear. Ha desempeñado puestos en sectores de ingeniería, de operación y mantenimiento y desde 2012 como responsable de ciberseguridad de la Central Nuclear de Cofrentes junto con la gestión de proyectos de Instrumentación y sistemas de control. Desde 2018 Responsable de Ciberseguridad OT dependiendo del CISO global de Iberdrola, donde coordina iniciativas con los negocios, buscando benchmarking interno entre negocios y con IT, así como buscando el estado del arte en ciberseguridad industrial. También forma parte de varios grupos de trabajo internacionales, como algunos de los pertenecientes a ISA- 99 (desarrolladores de la ISA 62443), el grupo de Ciberresilience in Electricity (World Economic Forum) o el Stakeholders Cybersecurity Certification Group (European Commission, DG-CNECT).
DORTA ECHAVE GARCÍA
Técnico Superior en Sistemas Informáticos y Telecomunicaciones y “Especialista en Diseño y Seguridad en Redes” por la Universidad Pública del País Vasco. Ha dirigido su carrera profesional entorno a las infraestructuras de comunicaciones alcanzando certificaciones como CCNA, ITIL, SIEMENS CPINSecurity, Nozomi Networks Certified Engineer, y formación específica en productos y soluciones de seguridad. Posee más de 12 años de experiencia en el ámbito de la Ciberseguridad Industrial, habiendo participado, tanto a nivel nacional como internacional, en el desarrollo, ejecución y supervisión de proyectos; despliegue de soluciones técnicas; diseño de redes; asesoramiento; consultoría y soporte para empresas del sector de la Automoción, Aeronáutica, Generación Eléctrica, Industria Manufacturera e Ingenierías. Actualmente trabaja como Arquitecto en Ciberseguridad Industrial para Secure&IT, empresa que desde junio de 2019 forma parte del grupo cooperativo LKS NEXT perteneciente a Corporación Mondragón. Comparte su actividad profesional con distintas labores docentes en universidades, centros de formación profesional y organismos especializados como Centro de CiberseguridadIndustrial; habiendo participado igualmente como ponente en destacados eventos de referencia. Es autor y fundador del blog https://enredandoconredes.com pionero en la difusión de artículos relacionados con la Ciberseguridad Industrial donde publica periódicamente artículos de investigación.
SUSANA SÁNCHEZ MELLA
Licenciada en Ingeniería Industrial Superior (Universidad Carlos III de Madrid, 2001). Con 20 años de experiencia, su carrera profesional se ha desarrollado en el sector de las infraestructuras críticas muy ligado a proyectos de automatización industrial, donde ha desempeñado diferentes roles cubriendo todo el espectro del ciclo de vida de un proyecto de automatización. Con proyectos de diferente envergadura, naturaleza y criticidad. En los últimos 7 años, se ha centrado en el área de la ciberseguridad, en particular, en entornos industriales en sectores muy dispares como utilities, Oil&Gas, manufactureras, etc. Actualmente es Manager de Ciberseguridad Industrial en Accenture Security, donde colidera la práctica de ciberseguridad industrial para Iberia.
ELENA MATILLA RODRÍGUEZ
Ingeniera Técnica de Telecomunicaciones, especialidad Telemática por la Universidad Pontificia de Valencia, 2000), Master en seguridad informática por la Universidad Oberta de Catalunya, 2007 y en posesión de múltiples certificaciones de ciberseguridad: CISA, CISM, CRISC y CGEIT de ISACA, ISO 27001, ISO 22301. Con más de 20 años de experiencia ha desarrollado toda su carrera profesional en el mundo de la ciberseguridad, en las áreas de gobierno y gestión de ciberseguridad, siendo una gran especialista en estrategia de seguridad, gestión de riesgos, cumplimiento, normativa, reporting, concienciación y gestión de incidentes, crisis y continuidad. Desde el año 2005 trabaja en Red Eléctrica de España, donde
desempeña las funciones de Chief Information Security Officer (CISO). Con anterioridad a su incorporación en Red Eléctrica, trabajó como consultora senior en la empresa Ingeniería de Sistemas para la Defensa de España (ISDEFE) liderando proyectos de ciberseguridad para el Ministerio de Defensa Español y las Fuerzas y Cuerpos de Seguridad del Estado y anteriormente, como Jefa de Proyectos de seguridad de la información en el grupo de telecomunicaciones europeo France Telecom. Dispone de una amplísima visión multi sectorial habiendo trabajado en los sectores de Telecomunicaciones, Defensa y Energía. Además, es ponente habitual en foros y cursos específicos de ciberseguridad.
ERIK DE PABLO MARTÍNEZ
Licenciado en Física por la Universidad Autónoma de Madrid y PDD por el IESE. Ha desarrollado su carrera profesional en el Grupo Repsol, inicialmente en tareas de innovación tecnológica en procesos industriales, incluyendo la introducción de los primeros sistemas de Inteligencia Artificial aplicada al control industrial en tiempo real. Posteriormente desempeñó la Dirección de Sistemas en Argentina y la Dirección de Explotación de Sistemas de todo el Grupo. Durante 10 años ha sido Director de Auditoría de Sistemas para el Grupo Repsol. Ha desempeñado durante 6 años la labor de Director de Investigación en la asociación de auditoría de sistemas ISACA, hasta noviembre de 2020. Actualmente es socio director de la empresa de auditoría de sistemas RUTILUS. Posee las Certificaciones Internacionales CISA y CRISC. Su interés se centra en los nuevos riesgos tecnológicos derivados de la ciberseguridad, infraestructuras críticas, cloud, detección del fraude, blockchain, Big Data, Inteligencia Artificial, IoT, etc