presentación de powerpointit management - gestión de la ciberseguridad en el port de barcelona...

IT Management - Gestión de la ciberseguridad en el Port de Barcelona

IT Management

Gestión de la ciberseguridad en

el Port de Barcelona

Departamento Análisis Penteo | Noviembre 2017

1


Introducción

El Port de Barcelona es una infraestructura clave

en el territorio nacional que genera un valor

añadido bruto (VAB) de 2.300 M€ (un 1,4% de

todo el VAB de Cataluña) y un total de 32.000

puestos de trabajo. Por sus instalaciones pasan

un total de 2,24 millones de contenedores TEU y

3,96 millones de pasajeros, entre cruceros y

ferris. El territorio se estructura en 4 áreas

divididas por su funcionalidad: puerto de la

energía, puerto ciudad, puerto logístico y

puerto comercial, ocupando una extensión de

1.082 ha. e incluyendo hasta un total de 35

terminales destinadas a diversos fines.

En los últimos años, y fruto de su Plan

Estratégico, el Port ha experimentado un

crecimiento en su territorio creando nuevos

muelles, diques o mejorando los accesos,

especialmente el ferroviario, al conectar varias

redes de transporte terrestres y marítimas, y

reforzando el concepto de Puerto en Red. Estos

esfuerzos han supuesto un crecimiento del

14,5% en el tráfico de contenedores y del

6,7% en movimiento de pasajeros respecto al

último año, números que le posicionan entre

los 10 primeros puertos más importantes de

Europa. Entre enero y septiembre de 2017 el

crecimiento del Port se ha acelerado. Así,

durante los nueve primeros meses de este año el

tráfico de contenedores del enclave se ha

incrementado un 31%, mientras que el

movimiento de pasajeros también sigue

aumentando, en este caso a un ritmo del 3%.

El Port de Barcelona es pionero en la aplicación

de soluciones tecnológicas. En la actualidad,

disponen de multitud de servicios inteligentes: la

gestión del alumbrado, la automatización de las

entradas y salidas, la monitorización del tráfico

interno de los vehículos, varios proyectos de

sensorización en el territorio, etc. que le han

convertido en un lugar inteligente, o lo que

todos conocemos como un “Smart Port”.

Desde hace años, el 90% de las gestiones en el

Port se pueden realizar de forma telemática,

evolucionando al concepto de “Puerto sin

papeles”. Tienen disponibles una amplia gama

de aplicaciones como Port Dashboard, Port Link,

o OpenData, o iniciativas como, Port Challenge o

Port Innova, que permiten el desarrollo de

proyectos innovadores para la modernización

del puerto.

IT Management: En los Penteo IT Management se analizan experiencias de éxito de clientes destacados

en su sector, con el objetivo de proporcionar al mercado una visión independiente sobre el valor que

pueden aportar diferentes soluciones, servicios o metodologías. Se exponen valoraciones provenientes de la

evaluación de los datos proporcionados por el proveedor, la experiencia del cliente y el análisis de las

alternativas existentes realizado por los profesionales de Penteo.

“El compromiso adquirido con la tecnología

e innovación nos ha permitido convertirnos

en un Smart Port”. Catalina Grimalt,

Subdirectora General de Organización y

Recursos Internos.

2

Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017


Descripción de la necesidad

Como hemos visto, El Port de Barcelona

dispone de un entorno tecnológico cada vez

más amplio y complejo, tanto por los nuevos

servicios que ya están en producción como por

aquellos proyectos que están en fase de

desarrollo y estarán disponibles en el corto plazo.

Este crecimiento tecnológico implica también

una mayor importancia en el ámbito de la

ciberseguridad, para poder garantizar el

correcto funcionamiento de los nuevos servicios

digitalizados. Hace unos años, la ciberseguridad

en el puerto era un elemento que se trataba de

una manera descentralizada para cada activo o

proceso, sin tener una visión completa. Sin

embargo, este crecimiento y la conectividad del

entorno ha derivado en la necesidad de cambio

en este concepto, tomándolo ahora como un

ámbito global e integral que cubra todas las

áreas y activos del puerto en conjunto. La

transformación digital en cualquier organización

implica un mayor riesgo frente a amenazas como

consecuencia de un entorno cada vez más

expuesto al exterior, acentuándose en el caso

del puerto por todo el territorio y servicios que

gestiona. La ciberseguridad, por tanto, ha pasado

a ser un pilar fundamental de este crecimiento

para el puerto en todos los aspectos, a nivel

lógico, físico, legal y organizativo.

Existe, por tanto, la necesidad de protección

frente a estas amenazas que puedan repercutir

negativamente en las operaciones de los

sistemas informáticos, así como en la

confidencialidad por el robo o la integridad

de información sensible, lo que implicaría

también un efecto negativo en su reputación.

Este hecho, unido a la necesidad de una gestión

y una organización de la ciberseguridad desde

un punto de vista integral hacían necesaria la

implantación de una Oficina Técnica de

Seguridad TIC (OTS) y la gestión del servicio

relacionado.

.

Para conseguir una solución óptima a este

desafío, en el puerto necesitaban un proveedor

que cumpliera con los siguientes objetivos:

Ayudar a definir la estrategia y

organización de la seguridad TIC.

Definir y actualizar las políticas y

normativas en materia de ciberseguridad.

Perfeccionar las medidas de seguridad

ya existentes en el puerto para mitigar el

riesgo de amenazas externas, e

incrementar el nivel de seguridad de los

servicios, procesos, aplicaciones y

entornos IT.

Proporcionar el soporte necesario en las

auditorías externas y la gestión de

comunicación entre el puerto y los

diversos organismos a los que tiene que

reportar.

Proporcionar soporte en materia de

seguridad en los nuevos proyectos de

desarrollo y mantenimiento que surgen

por la evolución de los sistemas de

información y que dan servicio a todo el

entorno del puerto.

Sensibilizar y concienciar al personal de

la importancia de la ciberseguridad.

Resolver las incidencias de un servicio

continuado garantizando los niveles de

servicio ANS acordados.

Dar soporte al desarrollo de planes y

medidas de contingencia para una

rápida recuperación en caso de ataques

que afecten a sus sistemas críticos.

La adjudicación de este proyecto se realizó a

través un concurso público en el que

participaron diversas organizaciones de notable

relevancia en el ámbito de la ciberseguridad.

Ackcent fue el ganador de esta licitación,

dando respuesta a todos los objetivos

anteriormente mencionados y mostrando un

valor añadido y diferencial respecto a otros

proveedores como:

Eliminar el coste añadido derivado a la

Criterios de selección

“La ciberseguridad en las

organizaciones ha evolucionado de un

enfoque descentralizado para cada

activo a una visión global e integral”.

Javier Sala, Director en Penteo

El Port necesitaba un proveedor con una

propuesta sólida y completa para cualquier

ámbito y servicio de ciberseguridad.

3



externalización de trabajadores en sus

oficinas.

Ser un proveedor especialista cuya única

línea de negocio es la ciberseguridad, ya

que se valoraba positivamente el

conocimiento y experiencia técnica al ser

una práctica en continua evolución.

Ser flexible y adaptarse a las

necesidades y proyectos bajo demanda

que pudieran surgir a lo largo de toda la

colaboración.

Emplear multitud y variedad de recursos

para la sensibilización de los usuarios

para todo tipo de usuarios, desde una capa

más directiva a una más operacional.

Ackcent es una compañía especialista en

ciberseguridad que ya fue identificada y

posicionada en el Universo Penteo de

Proveedores de Servicios de Ciberseguridad,

con un gran crecimiento estos últimos años. En

este informe, en el que se entrevistó a multitud

de empresas entre las que estaban también

varios de sus clientes, fueron valorados con una

satisfacción general muy alta. Las principales

fortalezas que también identificaron sus clientes

fueron:

La flexibilidad para adaptarse a los

proyectos y necesidades del cliente.

El equipo de trabajo, no solo por su

capacidad y expertise a nivel técnico, sino

también a nivel personal, debido a la cercanía

y el trato con ellos.

esta fase era detectar e identificar posibles

amenazas externas, así como vulnerabilidades

existentes en las instalaciones y sistemas

informáticos para mitigar los riesgos y el

impacto ante posibles ataques.

El marco de trabajo utilizado fue el estándar

para la seguridad de la información ISO/IEC

27001 y tenía el objetivo de establecer,

implantar, mantener y mejorar un Sistema de

Gestión de la Seguridad de la Información. La

auditoría inicial analizó la ciberseguridad en el

puerto en todos los ámbitos siguientes:

Como resultado del assesment y la consultoría

realizada, se obtuvo el Plan de Ciberseguridad

recogiendo aproximadamente 50 iniciativas

relacionadas con el proceso de implantación

de la OTS y de mejora continua del servicio.

Se han priorizado por la complejidad de su

implementación y el impacto que tendrán en

materia de seguridad en el puerto, y aunque el

plan era al comienzo muy ambicioso, el

cumplimiento de las iniciativas avanza

notablemente.

El resultado final ha sido la creación de una

Oficina Técnica de Seguridad TIC (OTS),

encargada de la gestión y gobierno de todos

los ámbitos en materia de ciberseguridad y

cumplimiento normativo. El servicio incluye 3

niveles de servicio acordados, N1: operación y

monitorización, N2: ingenieros y consultores de

ciberseguridad y N3: apoyo especializado. Este

servicio incorpora procesos de mejora continua

(CSI) basado en la metodología PDCA (Plan, Do,

Check, Act).

Solución y proyecto detallado

La colaboración tiene una duración de 2 años

con la posibilidad de 2 prórrogas adicionales

de un año cada una. La fecha de comienzo fue

el pasado mes de junio de 2016 y se compone

de dos fases principales:

FASE 1 - Assesment inicial y puesta en marcha

de la OTS

Esta primera fase engloba todas las auditorías

iniciales y hacking ético que han permitido

conocer de una forma precisa el estado actual

de las infraestructuras, servicios y sistemas

informáticos del Port de Barcelona. Se buscaba

definir también una serie de iniciativas y políticas

para el control y la gestión de la ciberseguridad

de una manera integral, englobando todo el

conjunto de activos del puerto. Otro objetivo de

El objetivo de la primera fase fue conocer el

estado de la ciberseguridad en el puerto y

definir un roadmap de iniciativas para su

evolución

4



FASE 2 - Explotación y transformación de la

OTS

Una vez definidos los requisitos necesarios para

la creación de la Oficina Técnica de Seguridad

TIC, el objetivo de esta fase era su explotación y

evolución. El modelo de servicio propuesto por

Ackcent se dividió en servicios recurrentes y

proyectos bajo demanda.

Entre los servicios recurrentes destacan la

aplicación diaria de las actividades en materia de

ciberseguridad, como pueden ser la gestión de

alertas e incidentes, la identificación y corrección

de vulnerabilidades o la gestión de eventos y

logs de seguridad (SIEM), así como

ciberseguridad en IoT debido a la monitorización

de la actividad en todo el territorio del puerto.

Todas estas actividades se coordinan desde el

SOC 24x7 de Ackcent que incluye la

monitorización 24x7, la gestión y correlación de

logs para detectar intentos de intrusión,

comportamientos anómalos o incidentes de

seguridad que pudieran afectar al Port, además

del seguimiento mediante informes y cuadros de

mando personalizados para el servicio.

Además de la inteligencia desarrollada a partir de

la modelización de patrones y personalización de

alertas específicas para los sistemas de

información del Port, una ventaja es el acceso a

una plataforma con una base de datos de

incidencias proveniente de más de 1.200 redes

y más de 100 PB de datos recogidos de todo

tipo de sistemas y aplicaciones que se actualiza

en tiempo real, y que permite extraer

inteligencia adicional al tener una gran

visibilidad global.

Progresivamente se van aportando al servicio

mayor eficacia y mejores tiempos de respuesta

gracias al proceso de automatización de la

actividad del SOC y su playbook, llegando a

definir procesos, respuesta a incidentes y

tareas automatizadas que no requieren de

intervención humana (SOC automation).

Por otra parte, están los proyectos bajo

demanda, que engloban aspectos relacionados

con la formación y sensibilización de los

usuarios ante la transformación digital, así

como el cumplimiento de requerimientos

técnicos puntuales que pueden ir surgiendo a lo

largo del proceso de ejecución de los proyectos.

Además, existen tareas relacionadas con

consultoría y arquitectura de la seguridad, o

con el cumplimiento de normativas tales

como ENS (Esquema Nacional de Seguridad) o

LPIC (Ley de Protección de Infraestructuras

Críticas), o el soporte necesario a la gestión de

la comunicación a los diversos organismos a los

que el puerto tiene que reportar. El alto nivel

técnico, la experiencia internacional del equipo

de Ackcent¹, y la adaptabilidad con el puerto les

ha proporcionado la capacidad de cubrir

satisfactoriamente la totalidad de los

proyectos que han ido surgiendo hasta la

fecha.

5


¹Expertos en ciberseguridad de Ackcent formaron parte del Grupo Informal de Protección de Infraestructuras Críticas (GIPIC), creado por el Centro Nacional de Protección de

Infraestructuras Críticas (CNPIC) del Ministerio del Interior.


Retos a tener en cuenta

Tiene una especial relevancia el trabajo

realizado en materia de Awareness respecto a

la formación y sensibilización de los usuarios.

Tradicionalmente, las amenazas relacionadas con

la ciberseguridad no reciben toda la atención e

importancia que requieren hasta que un ataque

provoca un impacto elevado. Existen estudios

que afirman que más del 80% de los ataques

en ciberseguridad vienen motivados por

factores humanos, por lo que la sensibilización

cobra especial relevancia dentro del desarrollo

tecnológico de cualquier infraestructura.

Mediante un simulacro de phising, Ackcent

consiguió captar la atención de los

empleados, que a raíz de esta amenaza se

mostraron muy comprometidos a incrementar

sus conocimientos y prácticas en temas de

seguridad. Además, a través de dinámicas,

talleres y actividades formativas, se ha logrado

que hasta 200 empleados de todos los niveles

jerárquicos del puerto (desde una capa más

directiva hasta una capa más operacional)

participen de una forma voluntaria en

actividades de formación en ciberseguridad.

El modelo de relación está basado en

recomendaciones ITILv3, y cuenta con tres

niveles diferenciados (operativo, táctico y

estratégico) con el objetivo de llevar un control

y supervisión del servicio. En este modelo de

gobierno cada nivel cuenta con objetivos, plazos

y documentación específica para permitir un

seguimiento alineado entre el servicio y las

necesidades de negocio de la el puerto.

En este tipo de proyectos tan complejos surgen

múltiples retos y barreras tanto desde el punto

de vista técnico, organizativo como de

implantación y posterior gestión del servicio.

Conocimiento del cliente, así como de

sus necesidades y líneas de negocio. Un

puerto es una infraestructura muy

específica, con unos estándares,

normativas y protocolos de actuación

diferentes a los de cualquier organización

privada, y por tanto, hay que conocerlos y

adaptar muy bien los proyectos y

servicios.

En consecuencia al punto anterior, es muy

importante la identificación de los

procesos críticos que garanticen un

funcionamiento óptimo de todos los

servicios de la OTS sin que ninguno de

ellos quede paralizado.

Complejidad del entorno del Port de

Barcelona, por el volumen elevado de

personal, actividades organizativas y

logísticas, número de proveedores e

interlocutores, e información sensible del

cliente a la hora de garantizar la

ciberseguridad de forma integral a todos

los activos que lo conforman.

• Un puerto inteligente tiene los

mismos desafíos tecnológicos de

una pequeña ciudad inteligente:

gestión de los servicios y territorio

como logística, energía, etc; gestión

de las personas: trabajadores,

ciudadanos, turistas; gestión con

diversos organismos públicos

(aduanas, Policía Portuaria, etc.),

gestión con las organizaciones

privadas que disponen de

concesiones en el puerto, etc.

• Además, el Smart Port se

encuentra en continuo crecimiento

tecnológico, por lo que el desarrollo

de todos estos proyectos implica el

aumento de posibles amenazas

externas y puntos de vulnerabilidad,

por lo que la ciberseguridad del

entorno tiene que crecer al mismo

nivel que la innovación tecnológica

del mismo.

La diversidad de proveedores, ya que el

6


Hasta 200 empleados del puerto han

participado de forma voluntaria en todas las

actividades de formación propuestas


puerto es un organismo público con la

obligación de no concentrar los proyectos

con un mismo proveedor, por lo que la

variedad es, normalmente, superior a la de

una organización privada.

Coordinación de múltiples agentes

externos como CCN-CERT y CNPIC, ya

que en caso de haber una incidencia están

obligados legalmente a reportar toda la

información relacionada a los ataques a

estos organismos.

Tras un año desde el inicio de la colaboración y

con la OTS ya desplegada, se pueden identificar

diversos factores clave que han ayudado a la

correcta implantación y posterior explotación de

los servicios acordados. Entre ellos destacan:

La experiencia previa del proveedor en

la implantación de servicios para la

definición de un Plan de Ciberseguridad

integral.

La adquisición de una herramienta

innovadora SIEM (Security Information

and Event Management) por parte de

Ackcent que usa para dar servicio en el

Port de Barcelona con el fin de tener la

visión en tiempo real de toda la actividad

de los sistemas del puerto y permitir una

correcta detección, priorización y gestión

de los incidentes.

La satisfacción del cliente con una

relación muy cercana desde el proceso

comercial que ha permitido alinear

correctamente las necesidades del puerto

con la propuesta presentada.

La implicación de todos los actores

implicados en el puerto, desde las áreas

de management hasta los proveedores

externos que trabajan en el puerto.

Sensibilización y formación de usuarios

como elemento esencial de la estrategia

global de ciberseguridad.

La creación de la Oficina Técnica de Seguridad

TIC (OTS) ha contribuido a una serie de mejoras

y beneficios relacionados con la seguridad y la

gestión de los servicios del Port de Barcelona.

El establecimiento de un Plan de

Ciberseguridad alineado con la estrategia

global del Port para los próximos 5 años,

incorporando una serie de nuevas

Beneficios obtenidos

7


Factores clave de éxito

“El Port como operador crítico requiere

ir más allá en ciberseguridad con

planes de protección específicos para

la continuidad de las actividades

portuarias”. Mingo Olmos, Chief

Sales Officer de Ackcent


normativas y políticas de seguridad que

mitigan el riesgo de amenazas externas y

mejoran la seguridad de los

procedimientos y entornos IT.

La mejora de la seguridad en los

sistemas y aplicaciones informáticas

gracias al ejercicio del assesment inicial y

los planes de remediación.

Soporte en materia de ciberseguridad

para los nuevos desarrollos o evolución

de la infraestructura y aplicaciones de

los diversos proveedores en el área IT, y así

evitar errores que puedan abrir brechas de

ciberseguridad.

Mayor grado de sensibilización de los

trabajadores en materia de

ciberseguridad gracias a un gran trabajo

de formación, simulacros y dinámicas en

los que se han visto involucrados un alto

porcentaje de empleados de la compañía.

Gestión completa e ininterrumpida de la

seguridad del Port de Barcelona a través

del Centro de Operaciones de Seguridad

(SOC) 24x7 de Ackcent, no solo para dar

soporte a la detección y tratamiento de

incidentes de una manera reactiva, sino

también proactiva, mediante el análisis y

monitorización continua de sus activos

para la anticipación a posibles incidentes.

Gestión de las políticas y normativas de

seguridad definidas, además de la

coordinación con los diversos agentes

externos con los que tiene que

relacionarse el puerto en aspectos de

ciberseguridad.

La ciberseguridad en las organizaciones

se ha de desplegar desde un punto de

vista integral. Sería un error pensar en un

entorno descentralizado en el que se

securice cada activo (sistema, aplicación,

entorno, etc.) por separado.

Conclusiones

Es conveniente establecer una Oficina

Técnica de Seguridad (OTS) que nos

ayude a definir una estrategia, una

organización y un gobierno de la

seguridad. El dimensionamiento de la

OTS dependerá del tamaño de nuestra

organización, pero tiene que ser liderada,

al menos, por una persona para que se

cumpla con sus objetivos.

Es necesario realizar con frecuencia

assesments y auditorías que nos

indiquen los niveles de seguridad en

nuestra organización y nos hagan

conscientes sobre los riesgos que

estamos tomando.

Una elevada proporción de los ataques

provienen de brechas causadas por los

empleados, por lo que hay que

concienciar a la compañía sobre los

riesgos que implican ciertos

comportamientos de nuestro día a día.

La sensibilización requiere una buena

estrategia de comunicación (por

ejemplo, un simulacro de phising) para

captar la atención e interés de los

usuarios.

El papel que juega la ciberseguridad en

la transformación digital es esencial, ya

que el crecimiento tecnológico tiene

que ir alineado con el crecimiento en

seguridad, y así garantizar el correcto

funcionamiento de los nuevos servicios y

activos digitalizados que incorporemos

en nuestra organización.

La ciberseguridad es una práctica en

continuo cambio porque todos los días

aparecen nuevos ataques diferentes a los

anteriores, nuevos retos, nuevas

soluciones e incluso nuevos

requerimientos legales. Por ello el

modelo propuesto en este proyecto de

dividir el servicio en servicios

recurrentes y proyectos bajo demanda

se considera como una buena práctica.

8


“La creación de la OTS nos ha

ayudado a pasar de simplemente

reaccionar ante los incidentes de

seguridad a prevenirlos”. Cristian

Medrano, Responsable OTS en El

Port de Barcelona


Tu asesor TIC de confianza

que te proporciona el conocimiento y el apoyo

experto e independiente

Propiedad Penteo.

Esta publicación no puede ser reproducida sin permiso expreso de Penteo. La información que contiene este

informe se ha obtenido de fuentes consideradas fiables. Penteo no se responsabiliza de posibles errores, omisiones

o inexactitudes que pueda contener este informe, así como del uso que pueda hacerse de las recomendaciones u

opiniones que contiene. El contenido del informe está sujeto a cambios sin preaviso.

Penteo es el analista TIC independiente que lidera la mayor Comunidad de Conocimiento TIC de España, y

ofrece un servicio especialmente diseñado para Directivos con influencia o responsabilidad en las

decisiones TIC-Negocio, ayudándoles a garantizar el acierto de sus decisiones, compartiendo

conocimiento, asesorándoles y facilitándoles hacer networking. Y para proveedores TI, Penteo aporta

información del mercado sobre tendencias y posicionamientos, y proporciona apoyo experto con el que

maximizar el éxito en sus estrategias.

Desde hace más de 20 años damos servicio a más de 200 compañías e instituciones de primer nivel del

mercado español. Un servicio con el que minimizar riesgo, tiempo y coste, y extraer de las TICS y las

Tecnologías Digitales el máximo valor para el negocio.

Sobre Penteo

Nuestro valor diferencial

9


presentación de powerpointit management - gestión de la ciberseguridad en el port de barcelona...

Documents