Seguritecnia 387

Actualidad 23 SEGURITECNIA Junio 2012 en las que, por primera vez, la Empresa y la Administración han llevado a cabo un ciberejercicio en línea con los funda- mentos que resaltó Fernández. En este sentido, para el buen funciona- miento del sistema nacional de PIC, el mi- nistro considera claves cuatro elementos: El primero, la importancia de “conocer el riesgo”, para lo que piensa que “es vi- tal que nuestras técnicas y metodologías de análisis preventivo, además de nues- tra preparación reactiva también sean permanentemente actualizadas”. Una se- gunda prioridad, que es la “imperiosa necesidad de cooperación” entre la Ad- ministración y el sector privado, puesto que, “al margen del liderazgo del Minis- terio del Interior, no tendremos éxito si no adoptamos un enfoque integral de la Seguridad de las infraestructuras”. Como tercer punto, destacó la coordinación y el intercambio de información entre todos los agentes implicados, ya que “no basta con tener buenas capacidades de seguri- dad y defensa, sino que éstas tienen que estar bien interconectadas y gestiona- das”. Por último, el ministro apuntó como eje complementario la “adecuada regula- ción” con que debe contar “un buen sis- tema de protección de infraestructuras” y que, en el caso de las críticas, ya se apoya en la Ley 8/2011 – Ley PIC – , que permitirá avanzar en la puesta en marcha de los doce Planes Estratégicos Sectoriales, en los que se trabaja. Verdadero trabajo en equipo Tras casi cuatro meses de preparación, el equipo de Óscar Pastor, gerente de Se- guridad en la Dirección de Defensa y Se- guridad de Isdefe, con el apoyo del de- partamento de Sistemas de Información de la compañía y del CNPIC, plantearon un escenario a 20 operadores de infra- estructuras críticas de las industrias del transporte, la energía y el sector nuclear de nuestro país para familiarizarse, en- trenarse y afrontar la gestión de un in- cidente de seguridad, así como el análi- sis y la gestión de riesgos TIC del mismo, e implantar y monitorizar medidas para controlar y evitar este tipo de amena- zas. Todos ellos han hecho posible esta iniciativa pionera en España, y poco im- plantada en el exterior, excepto en Ho- landa, Suecia y Reino Unido. Por problemas técnicos ajenos a la or- ganización, dos de los equipos no pu- dieron participar, aunque los otros 18 (con un total de participantes cercano al centenar) realizaron el ejercicio. En la práctica tenían que enfrentarse a la ges- tión de una ofensiva simulada de se- guridad a una supuesta infraestructura energética – de nombre ficticio ‘Oscorp Industries’ – , desde sus propias instala- ciones y por medio de acceso remoto al entorno virtual que se había generado en el CPD de Isdefe. En todo momento, conectados por vi- deoconferencia y con una ‘wiki’ compar- tida entre los participantes y el ‘centro de control’ del ejercicio – sala en la que estaba el equipo de Isdefe y de CNPIC, así como Seguritecnia y Red Seguridad – , los admi- nistradores de Seguridad de la Informa- ción, junto con los responsables de Seguri- dad de las IC, cumplieron las fases del inci- dente, contando con la herramienta OSSIM ( Open Source Security Information Manage- ment ) para la gestión de logs de todos los sistemas e indagando cómo se estaba de- sarrollando el incidente. A través de cuatro ataques de inyección SQL ( Structured Query Language , tipo de ataque a una aplicación que aprovecha fallos de seguridad en las bases de datos), los agresores consiguen entrar en las tres redes de la compañía ficticia (la red ex- terna de Internet, los sistemas corpora- tivos y la red SCADA). Por medio del pri- mer asalto al servidor web, se aprovecha una vulnerabilidad en los sistemas opera- tivos de los puestos de usuarios – del tipo ‘Aurora’ – . Mediante otra embestida, se ex- traen los emails de los empleados y se en- vía un correo electrónico a los mismos, con un enlace a una página maliciosa de En la imagen superior, la ‘sala de control’ en uno de los ejercicios. A la iz- quierda, la maqueta de la planta de suministro de gas que fue atacada durante el simulacro.