SERIE ISA99
Agenda
Introduccin Planteamiento del Problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
Contexto de Investigacin?
Actor de empresa (ADE)
Modelo de integracin empresarial
Bajo costo
Grandes empresas y PyMes Interaccin entre Actores
La empresa integrada
Humano
Mquina
El actor de empresa se inspira en el comportamiento humano para definir el funcionamiento de las mquinas en cuanto a estructura y funcionalidad.
Actor de Empresa Complementado con Seguridad
Contexto de Investigacin
Norma Serie ISA99: Seguridad para los sistemas de control y automatizacin industrial
Parte 1: Terminologas, conceptos y modelos Parte 2: Establecimiento de un programa de seguridad para los sistemas de manufactura y control Referencias Normativas: ANSI/ISA-95.00.01-2000, Enterprise-Control System Integration ISA-88.01-1995 (R 2006), Batch Control Part 1: Models and Terminology ISO/IEC 15408-1: Information technology Security techniques Evaluation criteria for IT security - Part 1: Introduction and General Model
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
Problema
Cmo reducir los riesgos y amenazas que se presentan durante el intercambio de informacin dentro del modelo de actor de empresa especialmente en el proceso de produccin? Problemas del ADE Vulnerable en cuanto a estructura funcional. Falta de controles de seguridad que garanticen sus activos. Riesgos: robo, copia, destruccin y uso no autorizado de sus activos lgicos.
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
Motivaciones
Las empresas requieren: Modelo de integracin empresarial seguro
Fcil de implementar
Complejidad ajustable
Costo econmico Asegure los activos lgicos de la empresa Eficiente y confiable
Motivaciones
ADE [HERNANDEZ. S, et. al., 2009] Aplicacin del modelo actor de empresa en la especificacin UML para la implementacin de los bloques funcionales CAM, CAP y PPC del modelo resultante. [LOZADA . M, et. Al.,2010] Formalizacin de un modelo de referencia para integracin empresarial basado en el concepto de actor empresa Anteproyecto Maestra. Universidad del Cauca 2009.
Motivaciones
ISA 99 [GONZALAS. S, et.al., 2009] Gua de adecuacin de Modelos, Actividades y Elementos Claves dentro de la fase PLAN de un Programa de Cyber-Seguridad segn la Norma ISA 99. Trabajo de grado. Universidad Del Cauca
10
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
11
Objetivos
Modelar el rea de produccin de la empresa VOLTEX mediante el actor de empresa complementado con los Aspectos de Seguridad de la Norma Serie ISA99 Identificar los principales aspectos de seguridad de la norma ISA99 aplicables al actor de empresa. Proponer estrategias de mitigacin de riesgo basadas en las vulnerabilidades que afectan ms la seguridad del actor de empresa.
Documentar los procedimientos y procesos del rea de produccin de la empresa VOLTEX resaltando la interaccin de los activos involucrados.
Actor de Empresa Complementado con Seguridad
12
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
13
Debilidades externa
2. Informacin de salida
3. Informacin necesaria para el proceso interno del ADE
14
En la comunicacin Por inyeccin a la base de datos Por repeticin Engao y personificacin Por Virus Disponibilidad Por privilegios
Potencial para la violacin de la seguridad que existe cuando hay una circunstancia , capacidad, accin o evento que podra violar la seguridad y causar daos
Fsica
15
Medio
Bajo
B
C
C
D
D
D
16
Probabilidad
Consecuencia
A = muy probablemente. 1 = impacto severo. B = probablemente s. C = probablemente no. 2 = impacto mayor. 3 = impacto menor.
17
B1
Amenaza por Inyeccin a la base de datos
Amenaza por repeticin A1 Engao y Personificacin B1 Amenaza por virus B3 D4 A1 Amenaza fsica B1
B1
Prdida de la confidencialidad, disponibilidad e integridad de la informacin entrante Prdida parcial o total de la informacin entrante Retraso en la recepcin de la informacin entrante Manipulacin indebida y no autorizada de la informacin entrante Prdida fsica de los canales de transmisin.
18
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
19
Probabilidad
A
B C D
%
100 1
70 40 10 2 3 4
Consecuencia
Impacto severo
Impacto mayor Impacto menor Sin Impacto
%
100
66.7 33.4 0.1
Muy Probablemente
Probablemente Probablemente no Oportunidad remota.
20
Probabilidades de riesgo
Consecuencias de riesgo
21
PROBABILIDAD
OPORTUNIDAD REMOTA MUY PROBABLEMENTE OPORTUNIDAD REMOTA OPORTUNIDAD REMOTA 10% 4
CONSECUENCIA
SIN IMPACTO SIN IMPACTO IMPACTO MAYOR IMPACTO SEVERO IMPACTO MENOR IMPACTO SEVERO 0.1% 0.1% 66.7% 100.0% 33.4%
PROBABILIDAD Y CONSECUENCIA
0.01% 0.10% 6.67% 10.00% 10.02% OPORTUNIDAD REMOTA Y SIN IMPACTO MUY PROBABLEMENTE Y SIN IMPACTO OPORTUNIDAD REMOTA E IMPACTO MAYOR OPORTUNIDAD REMOTA E IMPACTO SEVERO PROBABLEMENTE NO E IMPACTO MENOR MUY PROBABLEMENTE E IMPACTO SEVERO D4 A4 D2 D1 C3 A1
16
100% 1
100.0% 100.00%
(Probabilidad) % x (Consecuencia) %
Actor de Empresa Complementado con Seguridad
22
PROBABILIDAD
OPORTUNIDAD REMOTA 10% 30% 70% 4 4 4
CONSECUENCIA
SIN IMPACTO SIN IMPACTO SIN IMPACTO 0.1% 0.1% 0.1%
D4 C4 B4 A4
2 3
100% 4
SIN IMPACTO
0.1%
Cuando el nivel de impacto de un riesgo es aproximadamente cero se puede aceptar sin importar su probabilidad de ataque, ya que a pesar de que un riesgo de stos ataque varias veces al sistema, no le causara un dao significativo
Actor de Empresa Complementado con Seguridad
23
24
25
RIESGO
ASPECTOS DE SEGURIDAD
B1 B1 A1
Prdida parcial o total de la confidencialidad e integridad de la informacin de entrada, Copia no autorizada de la informacin entrante. Acceso a la informacin de entrada y falsificacin de la misma
Reducir el riesgo Eliminar o redisear los controles innecesarios o inefectivos Reducir el riesgo
C2 C3 C2
C3
D1 D1
26
Aspecto de seguridad
27
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
28
29
ADMINISTRACIN
CONFIDENCIALIDADA
INTEGRIDAD
P R I O R I D A D
INTEGRIDAD
CONFIDENCIALIDADA
DISPONIBILIDAD
30
Esquemas de Seguridad
REDUCIR RIESGO
RIESGO
ACEPTAR EL RIESGO
SI NO
C2
ACTUALIZAR Y REFORZORA CONTRAMEDIDAS: - IDENTIFICACIN Y AUTENTIFICACIN - ACL EXTENDIDA - PUERTAS DE SEGURIDAD (FIREWALLS) - DETECCIN DE INTRUSIONES EN TIEMPO REAL (IDS) - COPIAS DE SEGURIDAD RIESGO
NO SI
D4
ACEPTAR EL RIESGO
31
AMENAZAS
RIESGO
Prdida parcial o total de la confidencialidad e integridad de la informacin de entrada. Copia no autorizada de la informacin entrante. Acceso a la informacin de entrada y falsificacin de la misma
B1
B1
- IDENTIFICACIN Y AUTENTIFICACIN - ACL EXTENTIDA - DETECCIN DE INTRUSIONES EN TIEMPO REAL (IDS) - RESPUESTA EN CASO DE FALLO - ANTIVIRUS
D4
D4
B1
D4
A1
D4
Engao y Personificacin
Prdida de la confidencialidad e integridad de la informacin entrante Prdida parcial o total de la informacin entrante
B1
D4
B3
D4
32
33
No
Si No
Si
Activacin de fireware
Se detectaron intentos de ataques al sistema?
Si
No Si No
Activacin de antivirus/antispyware
Se detect cdigo malicioso?
Activacin de IDS
Se detect intruso?
Si
Enviar activacin de respuesta a fallos
No
Inicio
34
35
Etiqueta de seguridad
Limites sobre la interface de usuario Antivirus / heurstica y Antiespas (antispyware) Registradores de teclas (Keyloggers ) Respuesta en caso de fallo Copias de Seguridad (Backup)
36
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
37
Gerencia
VOLTEX
Cliente
Control de calidad
Ventas y Mercadeo
38
Recubrimiento
Adherencia
No Si
No
No Si
Almacenar
39
40
Funciones Directas
Funciones Indirectas
41
Flujo Fsico
Actor de empresa TRANSPORTE
Flujo informacional
42
43
Tareas fsicas que realizar Seales de entrada de materias primas Seales de entrada de insumos Seales de salida de productos Seales de salida de residuos
44
Preparacin
Orden de produccin desde gerencia. Almacn, Obtencin de pintura base, Obtencin de color, Envasado y Transporte. De informacin
Seales de activacin
Tareas de informacin que realizar Tareas fsicas que realizar Seales de entrada de materias primas Seales de entrada de insumos Seales de salida de productos Seales de salida de residuos
Orden de produccin. Recibir orden de produccin. Seleccionar de caractersticas de producto Preparar produccin. Seleccionar de materias primas e insumos. Registrar la informacin de la etapa Preparacin. No hay. No hay. No hay. No hay. No hay.
45
Orden de Produccin
Activar CSEI
Preparacin
Activar CSMPC
Activar CSSI
46
En espera de Operacin
3
Orden de Produccin
Ajuste de maquinas a condiciones iniciales Ejecutar operacin Maquinas a condiciones de reposos Registro de datos de operacin Activar CSMPC
Activar CSMPC
Fin de operacin
3
Salida de producto
6 4
Activar CSSI
Activar CSSI
47
Activar CSEI
Activar CSMPC
En espera de insumos
Activar CSSI
48
En espera de insumos
Activar CSSI
49
Activar CSSI
50
Activar CSSI
51
Agenda
Introduccin Planteamiento del problema Escenario de Motivacin Objetivos Vulnerabilidades, amenazas y riesgos Aspectos de seguridad aplicables Controles de seguridad Modelamiento de la empresa VOLTEX con el ADE complementado Conclusiones
Actor de Empresa Complementado con Seguridad
52
Conclusiones
El actor de empresa complementado se convierte en un modelo de integracin muy confiable puesto que aseguran tanto los activos de la empresa como el actor de empresa, logrando as brindar confiabilidad; lo cual es una ventaja competitiva al momento de la seleccin de un modelo de integracin.
El complemento de seguridad se desarroll utilizando la estructura funcional del actor de empresa, lo cual le brinda una estructura funcional dinmica a travs de esquemas de seguridad, con lo que garantiza que el actor de empresa est a la vanguardia?de futuras amenazas que pretendan aprovechar sus vulnerabilidades ya fortalecidas.
53
Conclusiones
La integracin del actor de empresa con otras series de la ISA, en este caso con la norma ISA88, facilitan mucho un modelamiento, puesto que una vez realizado el anlisis del proceso con los modelos fsico, de proceso y de control procedimental de la norma ISA88, hace mucho mas fcil y sencillo el desarrollo de los instructivos de cada uno de los actores de empresa. Con la aplicacin del actor de empresa complementado al rea de produccin de la empresa VOLTEX se mostr que es una excelente opcin de integracin, no slo para empresas grandes sino tambin para Pymes en las cuales la relacin costo-beneficio obstaculizara la aplicacin de otros modelos de integracin.
Una vez implementado el actor de empresa complementado en el rea de produccin de la empresa VOLTEX se logr organizar esta rea de manera ms tcnica y segura tanto sus procedimientos como sus activos en el proceso de produccin mejorando el desempeo de la misma.
Actor de Empresa Complementado con Seguridad
54
GRACIAS
MODELADO DEL REA DE PRODUCCIN DE LA EMPESA VOLTEX CON EL ADE COMPLEMENTADO
Camilo D Figueroa M - cfigmart@unicauca.edu.co Tutor: PhD. Juan Martn Velasco - jmvelasc@unicauca.edu.co Ingera en Automtica Industrial Universidad del Cauca