Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
7th CANSO
Latin America & Caribbean Conference
Ing. José Manuel Peña Alcázar.Director Servicios Aeronáuticos. ECASA S.A
18-20 de Octubre 2015. Punta Cana. República Dominicana
(AIDC) a la República
18-20 Octubre 2015. Punta Cana. República Dominicana
Situación Mundial
4,1%
Situación en Cuba
La tendencia de incremento del tráfico aéreo impone la necesidad de compartir e intercambiar cada vez más información a través de las Redes de Datos y con empleo de modernos sistemas automatizados.
• Adopción rápida y masiva de tecnologías informáticas y de telecomunicaciones.
• Miles de vulnerabilidades en la tecnología (crecimiento de las vulnerabilidades).
• Ausencia de conocimientos sobre seguridad.
• Debilidades en las herramientas legales.
18-20 Octubre 2015. Punta Cana. República Dominicana
Factores de Riesgo
18-20 Octubre 2015. Punta Cana. República Dominicana
Evolución y Complejidad del Malware
Automatización de los ataques
Riesgos Habituales
Desastres naturales
Introducidos por el trabajador
Nuestro Sistema de Gestión de Seguridad Informática
• Definida por la norma ISO 27001 referida al establecimiento, implementación, operación, seguimiento, revisión y mantenimiento de un SGSI
• Valorando su eficacia atendiendo a 4 aspectos fundamentales en la seguridad de la información:
• Disponibilidad
• Integridad
• Confidencialidad
• No repudio
• Orientado por gestión de riesgos y disminución de vulnerabilidades a través del modelo PDCA
18-20 Octubre 2015. Punta Cana. República Dominicana
Modelo Gestión de la Seguridad Informática PHVA (PDCA)
18-20 Octubre 2015. Punta Cana. República Dominicana
PLANIFICAR : Crear políticas de seguridad, análisis de riesgos, controles y aplicabilidadHACER : Implementar el sistema de gestión de seguridad, implementar el plan de riesgos e implementar los controles .VERIFICAR: Monitorear las actividades y auditorías internas.ACTUAR : Ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y correctivas .
18-20 Octubre 2015. Punta Cana. República Dominicana
¿Cómo manejar los riesgos?
Definición y diseño de una Estrategia de Seguridad ¿Que debemos proteger y como?
• Mecanismos de protección• Prioridad en investigación y
desarrollo
• Auditorias de seguridad.• Operación centralizada de
monitoreo y análisis.• Gestión de experiencias.
• Planes de contingencia.• Cooperación multisectorial.• Entrenamiento y conciencia
situacional.
18-20 Octubre 2015. Punta Cana. República Dominicana
• Factor humano: Principal fuente de amenaza existente, abarca actosmalintencionados, incumplimiento de las medidas de seguridad como consecuenciade actos negligentes o falta de controles adecuados.
• Hardware: Fallas físicas de los elementos que conforman al sistemade cómputo. Defectos de fabricación o mal diseño, un mal usoo descuido en el mantenimiento.
• Software: Incluyen fallas de un sistema operativo, software mal desarrollado, mal diseñado o mal implantado, además de que existe software de uso.
Clasificación de los riesgos
18-20 Octubre 2015. Punta Cana. República Dominicana
• Desastres naturales: Son eventos que tienen su origen en las fuerzas de la naturaleza. Estos desastres no solo afectan a la información contenida en los sistemas, sino también representan una amenaza a la integridad del sistema completo
• Red de datos: Cuando la red de comunicación no está disponible para su uso Provocado por un ataque deliberado por parte de un intruso o un error físico o lógico del sistema mismo afectando la disponibilidad.
Clasificación de los riesgos
18-20 Octubre 2015. Punta Cana. República Dominicana
Políticas de ECASA para Reducción de Riesgos “Factor Humano” :
• Sistemas de Identificación:• Acceso Lógico (contraseña), Acceso a PC (Setup, Boot ,Sistema Operativos,
Servicios FTP, Web, Mail) • Acceso Físico (tarjeta magnética) , Accesos a aéreas limitadas restringidas o
estratégicas• Autorización: Cada usuario solo puede acceder a lo indispensable para cumplir su
labor, tanto de forma física como lógica; capacitación del personal• Auditoria y Registro: Sistemas Antivirus, Políticas de Trazas, Reglas de Dominio• Sistema de Control de Intrusos (SACI)
18-20 Octubre 2015. Punta Cana. República Dominicana
Políticas de ECASA para Reducción de Riesgos “Hardware” :
• Mantenimiento: Minuciosa planificación de mantenimientos de PC y equipos activos de la red. Tanto físico como lógico.
• Configuraciones: Servidores críticos duplicados con fuente de alimentación redundante, doble procesador, discos duros en configuración raid 5
• Alimentación y Aterramiento: Sistemas autosustentables protegidos contra variación de voltajes.
• Climatización: Sistemas Redundante con temperatura controlada• Sistema Automatizado de Detección de Incendios (SADI)• Control Automático de Hardware: Control de variación de Hardware
(Everest Corporativo, OCS Inventory)
18-20 Octubre 2015. Punta Cana. República Dominicana
Políticas de ECASA para Reducción de Riesgos “Software” :
• Política de Actualización de software ante vulnerabilidades corregidas• Salvas de seguridad redundantes y físicamente independientes• Estado de cuarentena a aplicaciones potencialmente útiles• Sistema de detección de vulnerabilidades y puertos utilizados• Separación lógica y/o de sistemas críticos en redes independientes• Potenciación de una soberanía tecnológica • Implementación de políticas de seguridad desde procesos tempranos de
desarrollo
18-20 Octubre 2015. Punta Cana. República Dominicana
Políticas de ECASA para Reducción de Riesgos “Desastres” :
• Valoración de ubicación de los Nodos• Políticas y medios de evacuación que contemplan los recursos valiosos • Sistema Automatizado de Detección de Incendios (SADI)• Sistemas de Aterramientos• Distribución de cargas eléctricas
18-20 Octubre 2015. Punta Cana. República Dominicana
Políticas de ECASA para Reducción de Riesgos “Red de datos” :
• Pared de fuego y otros medios de protección tipo Hardware/Software• Filtrado y Análisis de Trazas para detectar intrusos o fallos en Sistemas• Criptografía en las comunicaciones a través de protocolo seguros• Separación de las redes aeronáuticas de las redes de gestión empresarial• Segmentación interna de las redes por capas• Sistemas de detección de intrusos o fallos en la red
18-20 Octubre 2015. Punta Cana. República Dominicana
• Soberanía tecnológica sobre algunos de los productos fundamentales de la gestión de tránsito aéreo.
• Optimizar características de operación de la red, mediante separación física de redes aeronáuticas y de gestión.
• Desarrollo de productos comercializables bajo estándares internacionales.
• Mejorar los procesos auditables en el SGSI
• Intensificar la capacitación en el empleo de las TIC.
• RADCON-M.
• AEROMET II.
• LITAREC.
• VCCS.
• AMHS.
ECASA. Retos y Futuro
18-20 Octubre 2015. Punta Cana. República Dominicana
Conclusiones
• La seguridad en las TIC es un elemento que se debe analizar de forma proactiva y dinámica y es de hecho una parte integrante del proceso de negocio de la organización.
• La profundidad con que se realiza el análisis de riesgos es fundamental para lograr altos niveles de seguridad.
• Los usuarios del sistema de aviación civil no esperan otra cosa que no sea altos estándares de seguridad y eficiencia en las operaciones. Los proveedores de servicio apoyándonos en las TIC somos responsables de lograr este objetivo; todos somos responsables de la seguridad
18-20 Octubre 2015. Punta Cana. República Dominicana
Conclusiones
Las medidas técnicas y organizativas adoptadas por los servicios de navegación aérea de Cuba han permitido minimizar la existencia de riesgos y amenazas informáticas
La actualización y modernización constante de los equipos y sistemas han permitido minimizar los riesgos informáticos para el control de transito aéreo