Inicio / Blog / Fórmate como profesional en el ámbito de la seguridad industrial

Fórmate como profesional en el ámbito de la seguridad industrial

Publicado el 16/10/2014, por INCIBE
Fórmate como profesional en el ámbito de la seguridad industrial

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) en su informe de 2011,”Protecting Industrial Control Systems. Recommendations for Europe and Member States”, estableció en su recomendación número 4 la necesidad de promocionar la capacitación y la sensibilización en materia de ciberseguridad en sistemas de automatización y control industrial. En particular, esta recomendación destaca la necesidad de que las iniciativas que se lleven a cabo se focalicen en estándares y buenas prácticas de seguridad y aborden, entre otros, temas transversales como tecnologías, soluciones de seguridad, etc. Así mismo, recomienda que los principios rectores sean tres: i) destacar aspectos particulares de distintos sectores; ii) evitar duplicidades con otras iniciativas similares; iii) garantizar la calidad de los colaboradores, e identifica a los organismos públicos como posibles líderes en este ámbito.

Atendiendo a las necesidades identificadas por ENISA, INCIBE ha desarrollado un curso MOOC sobre ciberseguridad en sistemas de control y de automatización industrial. Esta iniciativa es uno de los resultados de las medidas definidas dentro del Plan de Confianza en el Ámbito Digital para España que pretende construir un ecosistema de captación y generación de talento en torno a INCIBE, en colaboración con las universidades y el sector privado y buscando siempre la acción complementaria de las iniciativas que otros agentes están desarrollando para la capacitación de profesionales.

 

Miguel Rego

Miguel Rego, Director General de INCIBE en el vídeo de bienvenida al curso

 

El curso está principalmente orientado a profesionales de Tecnologías de la Información (TI) con conocimientos de nivel medio en gestión de la seguridad de TI, análisis de vulnerabilidades y soluciones de seguridad (seguramente, si estás leyendo esta publicación, te habrás sentido identificado). A lo largo de sus siete unidades didácticas se aborda el estudio de conceptos fundamentales de los sistemas de automatización y control industrial y de infraestructuras, y en particular de las redes eléctricas inteligentes, incluyendo PLCs, RTUs, sistemas SCADA, MES, BATCH entre otros, así como de los aspectos fundamentales de ciberseguridad que les afectan. Se cubren aspectos como vulnerabilidades, amenazas, riesgos, técnicas de ataque, así como las principales buenas prácticas, principios de defensa e iniciativas de seguridad existentes en la actualidad.

Más concretamente, si ya estás interesado, has de saber que encontrarás los siguientes contenidos:

  • Unidad 1: en ella repasaremos la historia de la automatización y el control industrial, presentaremos el marco de referencia ISA-95 y abordaremos los aspectos más relevantes de la protección de los sistemas de automatización y control industrial (IACS).
  • Unidad 2: en esta unidad describiremos los diferentes dispositivos de automatización y control local (p. ej. PLCs, RTUs, I/O, robots) e introduciremos ciertas pautas de programación y configuración de estos dispositivos siempre con la vista en la seguridad (programación en escalera, funcional, etc.).
  • Unidad 3: en la que presentaremos las comunicaciones utilizadas en los IACS revisando los tres tipos fundamentales de comunicaciones industriales (monitorización y control, programación y parametrización, y comunicación entre aplicaciones de supervisión). Así mismo profundizaremos en los medios físicos y tecnologías de nivel de enlace que utilizan los protocolos de automatización y control y en el concepto de periferia distribuida. También detallando las versiones seguras de algunos protocolos destacados, como lo son OPC UA y DNP3.
  • Unidad 4: en esta unidad se describirán en profundidad los sistemas orientados al control por supervisión de procesos y a la gestión de operaciones, incluyendo los sistemas SCADA, los Historizadores y los sistemas Batch, los sistemas MES y los novedosos sistemas de Business Intelligence industrial. Todo ello con la presentación de algunas funcionalidades de seguridad nativas propias de estos sistemas.
  • Unidad 5: en ella se entrará de lleno en la problemática de seguridad de los IACS, identificando amenazas, vulnerabilidades y factores de riesgo. La última parte de la unidad se centrará en el análisis del origen de estos potenciales incidentes y hace un repaso de algunos casos reales destacados.
  • Unidad 6: esta unidad comienza con una aproximación a la protección de los sistemas de control, donde se exponen los principales factores limitantes a la hora de aplicar medidas de seguridad. Además presentaremos las iniciativas internacionales más destacadas que están ayudando a elevar el nivel de seguridad de los IACS y propondremos las técnicas y estrategias de seguridad comúnmente aceptadas para la protección de estos entornos.
  • Unidad 7: consideramos que es la parte más visual y práctica del curso, comenzaremos por una introducción a las redes eléctricas inteligentes (smart grids) y su problemática, mediante un recorrido virtual acompañado por profesionales de primer orden en un entorno de media y baja tensión, donde se presentan los distintos dispositivos necesarios para su gestión y control (incluidos contadores inteligentes, concentradores, remotas, etc.). A continuación presentaremos algunas soluciones comerciales concretas que permiten implementar las técnicas y estrategias de protección e incluiremos una serie de simulaciones de ataques contra estos sistemas y de cómo evitar o mitigar el impacto de los mismos.

 

SCADA    SCADA

Capturas del recorrido virtual a un entorno de media y baja tensión

 

SCADA

 

El curso ha sido desarrollado en colaboración con S21sec, Logitek y Tecnalia, empresas de referencia internacional en el ámbito de seguridad en sistemas de automatización y control y punteras en el ámbito de los propios sistemas de automatización y control y las soluciones de seguridad existentes, así como en la Smart Grid, Además, gracias a la contribución del Centro de Ciberseguridad Industrial, se ha contado con la colaboración de profesionales de la talla de Ayman AL-Issa, Patrick Miller o Rubén Santamarta.

El curso, de carácter gratuito, es completo y único en España y se imparte a través de la filosofía MOOC (Massive Open Online Courses), es decir, en línea, de forma masiva, y abierto a todo el mundo. Bajo este paradigma, compartir información entre la comunidad de alumnos y la colaboración entre todos ellos es clave para la superación del curso. El curso se ofrece a través de la nueva plataforma formativa de INCIBE, plataforma que se basa en este novedoso paradigma formativo, siendo la ciberseguridad industrial el primero de los muchos temas para los que se ofertarán cursos. Si decides inscribirte, has de saber que esta plataforma pone a tu disposición recursos educativos como presentaciones, vídeo tutoriales, documentación descargable, ejercicios de autoevaluación, foros donde plantear dudas y aprender con tus futuros compañeros, espacios donde crear apuntes colaborativos (wikis), y herramientas para la corrección colaborativa (P2P) de ejercicios de evaluación. Además podrás obtener niveles de reputación (karma) dentro de la comunidad en función de tu participación en los espacios de interacción entre alumnos (p. ej. foro y wiki) y una vez superadas las actividades obligatorias del curso, dispondrás de un diploma que certificará la superación del curso.

Creemos que esta es una oportunidad única para ti, por lo que te animamos a que te registres en la plataforma y te inscribas en el curso cuanto antes (el día 27 de octubre se abrirán ya los contenidos y el plazo de inscripción finalizará el 3 de noviembre). Verás además que este curso está disponible tanto en español como en inglés, reforzando así la vocación internacional de las iniciativas formativas de INCIBE. Esperamos que sea de tu agrado y disfrutes tanto como nosotros hemos disfrutado preparándolo.