iSecurify

Internet, Security & Forensics

  • Inicio
  • Blog
  • Sobre mi
  • Categorías
    • Ciberseguridad Industrial
    • Privacidad y Protección de Datos Personales
    • Hacking Ético
    • Análisis Forense Digital
    • Auditoría de Sistemas
  • Eventos
  • Colaboradores
  • Contacto

Principios de seguridad. Visión desde IT y desde OT

21 February, 2017 by Joan Figueras Leave a Comment

En el ámbito de la Seguridad de la Información se definen fundamentalmente tres principios básicos: Confidencialidad, Integridad y Disponibilidad. Aunque es cierto que también podemos considerar otras propiedades como “no repudio”, “autenticación”, “trazabilidad”, etc., vamos a centrarnos en estos tres principios fundamentales, conocidos en inglés como “CIA triad” (tríada CIA, por Confidentiality, Integrity, Availability).

  • La Confidencialidad permite limitar el acceso a los datos de modo que sólo las personas (o recursos) autorizados puedan acceder a la información.
  • La Integridad garantiza que la información sea correcta, sin errores y que no pueda ser modificada sin permiso.
  • La Disponibilidad asegura que la información está accesible en un momento preciso y para las personas que la necesitan.

En los sistemas IT corporativos -los que se ocupan de los sistemas y el software de “negocio” (ERP, Base de datos de clientes, CRM, …)- la puesta en práctica de los principios de la tríada CIA viene cumpliéndose en ese mismo orden de importancia: Confidencialidad, Integridad, Disponibilidad. Cuando hablamos de protección de la información, es habitual -por ejemplo- que una de las primeras medidas a implementar sea el cifrado de datos (medida directamente relacionada con la Confidencialidad).

Ahora bien, cuando nos adentramos en el área de seguridad de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) la perspectiva puede ser diferente. Los sistemas ICS están formados por dispositivos y redes que controlan los procesos industriales, y entiéndase aquí el término “industrial” en su sentido más amplio. En concreto, para el caso que nos ocupa, podemos pensar en cualquier Infraestructura Crítica como Energía o Transportes, o en los dispositivos relacionados con “Internet of Things” (IoT) o en todo lo relativo a Smart Cities, por ejemplo.

[Read more…]

Filed Under: Ciberseguridad Industrial Tagged With: Ciberseguridad, ICS

ICS Cyber Security: Security Concerns

21 February, 2017 by Joan Figueras Leave a Comment

Industrial Control Systems (ICS) security represents a significant challenge in today’s world. Some months ago I gave a presentation on ICS Cybersecurity in the ISACA’s EuroCACS/ISRM Conference in Copenhaguen, and now, I’m going to explain in this post some concepts we were discussing there about security concerns.

Industrial infrastructure has a very long life cycle (over 20 or 25 years) and for this reason, most of the implemented security measures in control systems are outdated and rely upon a sort of “security through obscurity” (if an attacker doesn’t know what to attack, we are secure) but of course this is wrong, -it has been proven that this is a wrong approach!

However, the fact that industrial systems adopt IP protocols certainly introduces a new security risk, but we must not forget that other risks already existed before and they had nothing to do with the Internet.

Let’s look at some of these security concerns:

1) Weak communication protocols
We’re working with communication protocols designed in the 70’s and in the 80’s: (DNP3, Modbus, ProfiNet, etc.) and most of them do not incorporate either authentication or encryption. Without authentication anyone who can access the network could send control signals to a specific device, and -as you know- a “bad guy” can gain access to the network in many different ways. And without encryption, the data transmitted over the network can easily be obtained using a network sniffer (i.e., Wireshark).

[Read more…]

Filed Under: Ciberseguridad Industrial Tagged With: Cybersecurity, ICS

  • Ciberseguridad Industrial
  • Privacidad y Protección de Datos
  • Hacking Ético
  • Auditoría de Sistemas
  • Análisis Forense Digital

Sígueme en:

Buscador

Etiquetas:

Blockchain CAINE Ciberseguridad Cybersecurity Directiva NIS Eventos Forense I40 ICS Malware Smart Car

Mis tuits:

Tweets by JoanFiguerasT

Blogs de interés:

  • – Gobierno de la ciberseguridad
  • – Enredando con Redes
  • – Perito IT
  • – Security by Default
  • – SCADAHacker
iSecurify | Internet, Security & Forensics

Servicios profesionales de ciberseguridad y protección de la información.

Peritaje informático y tecnológico.

  • Sobre mi
  • Blog
  • Eventos
  • Colaboradores
  • Contacto
  • Sitemap
  • Categorías
  • Ciberseguridad Industrial
  • Hacking Ético
  • Auditoría de Sistemas
  • Análisis Forense Digital
  • Privacidad y Protección de Datos

Joan Figueras Tugas

Certificado CISA, CISM (ISACA)
Perito Judicial #110 (ACPJT)

Copyright © 2019 · Genesis Sample Theme on Genesis Framework · WordPress · Log in