Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA

Torres Valero, Ricardo Alonso; Medina Becerra, Fabian Andrés; Mendoza Moreno, Miguel Ángel

doi:10.21500/20275846.4307

Titulo:

Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
.

Sumario:

La información que posee una empresa se considera en la actualidad uno de los factores más importantes, corresponde a la columna dorsal de su competitividad por lo que el uso de sistemas de automatización que permitan la Supervisión, Control y Adquisición de Datos (SCADA, del inglés Supervisory Control And Data Acquisition) son necesarios. Las organizaciones emplean este tipo de sistemas para mejorar no solo la eficiencia y eficacia en los procesos, sino que adicionalmente para cuidar su seguridad industrial, denotando que con la competitividad acrecentada también se presentan de manera consecuente riesgos que ponen en peligro el actuar de la organización. Dada esta situación, el presente documento pretende de manera generalizada exponer un... Ver más

Guardado en:

Revista:

Ingenierías USBMed

EISSN:

2027-5846

Autores:

Torres Valero, Ricardo Alonso

Medina Becerra, Fabian Andrés

Mendoza Moreno, Miguel Ángel

Editor:

UNIVERSIDAD DE SAN BUENAVENTURA

DOI:

10.21500/20275846.4307

Volumen:

Año de publicación:

2020-10-07

Pagina inicial:

Pagina final:

Pais:

Palabras claves:

Licencia:

Ingenierías USBMed - 2020

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.

info:eu-repo/semantics/openAccess

http://purl.org/coar/access_right/c_abf2

id	metarevistapublica_unisanbuenaventura_ingenieriasusbmed_57_article_4307
record_format	ojs
spelling	Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA Methodological proposal for the cybersecurity audit applied to a SCADA system La información que posee una empresa se considera en la actualidad uno de los factores más importantes, corresponde a la columna dorsal de su competitividad por lo que el uso de sistemas de automatización que permitan la Supervisión, Control y Adquisición de Datos (SCADA, del inglés Supervisory Control And Data Acquisition) son necesarios. Las organizaciones emplean este tipo de sistemas para mejorar no solo la eficiencia y eficacia en los procesos, sino que adicionalmente para cuidar su seguridad industrial, denotando que con la competitividad acrecentada también se presentan de manera consecuente riesgos que ponen en peligro el actuar de la organización. Dada esta situación, el presente documento pretende de manera generalizada exponer una metodología para guiar el proceso de inspección, con el objetivo de mitigar el riesgo en el área operativa de la organización, reconociendo que su área administrativa cuenta en la actualidad con un significativo número de programas y metodologías que la han establecido como segura, en ese contexto el avance investigativo condujo a proponer una metodología de carácter cuantitativo y cualitativo, a partir de técnicas de revisión bibliográfica, evocando principalmente la ocupación de ecuaciones de búsqueda. The information of a company is currently considered as an important factor, corresponds to the backbone of its competitiveness, so the use of automation systems that allow the Supervisory Control And Data Acquisition (SCADA) are required. Organizations use this type of systems to improve not only the efficiency and effectiveness of the processes, but also to take care of their industrial safety, indicating that with the increased competitiveness there are also consequently risks that jeopardize the actions of the organization. Given this situation, the present document intends to present a methodology to guide the inspection process, in order to mitigating the risk in the operational area of the organization, recognizing that its administrative area currently has a significant number of programs and methodologies that have established it as safe; in that context the research progress led to propose a quantitative and descriptive methodology, based on literature review techniques, mainly evoking the occupation of search equations. Torres Valero, Ricardo Alonso Medina Becerra, Fabian Andrés Mendoza Moreno, Miguel Ángel Cybersecurity, Methodology, Risk, SCADA, Vulnerability. Ciberseguridad Metodología Riesgo SCADA Vulnerabilidad 11 2 Núm. 2 , Año 2020 : Ingenierías USBMed Artículo de revista Journal article 2020-10-07T00:41:14Z 2020-10-07T00:41:14Z 2020-10-07 application/pdf Universidad San Buenaventura - USB (Colombia) Ingenierías USBMed 2027-5846 https://revistas.usb.edu.co/index.php/IngUSBmed/article/view/4307 10.21500/20275846.4307 https://doi.org/10.21500/20275846.4307 spa https://creativecommons.org/licenses/by-nc-nd/4.0 Ingenierías USBMed - 2020 Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0. 62 70 G. Tiburski, G. T. Moreira y M. Misagui, “Supervisory Systems integration SCaDA and ERP for production control in real time,” Revista Espacios, vol. 38, nº 4, p. 5, 2017. [2] B. Sánchez Torres, J. A. Rodríguez Rodríguez, D. W. Rico Bautista y C. D. Guerrero, “Smart Campus: Trends in cybersecurity and future development,” Revista Facultad de Ingeniería, vol. 27, nº 47, pp. 93-101, 2018. [3] B. Gorenc y F. Sands, “Hacker Machine Interface: The State of SCADA HMI Vulnerabilities,” TrendLabs Research Paper, 2017. [En línea]. Available: https://documents.trendmicro.com/assets/wp/wp-hacker-machine-interface.pdf. [4] M. Sánchez Rubio, J. M. Gómez-Casero Marichal y C. Cilleruelo Rodríguez, “Inseguridad en infraestructuras críticas,” de Jornadas Nacionales de Investigaciíon en Ciberseguridad (1a. 2015. León), León, 2015. [5] S. Pagnotta, “Ataques a infraestructuras críticas, ¿modalidad inminente en 2017?,” 2017. [En línea]. Available: www.welivesecurity.com/la-es/2017/01/04/ataques-a-infraestructuras-criticas-2017. [6] J. S. Suroso y M. A. Fakhrozi, “Assessment Of Information System Risk Management with Octave Allegro At Education Institution,” Procedia Computer Science, vol. 135, p. 202–213, 2018. [7] F. Y. Holguín García y L. M. Lema Moreta, “Maturity Model for the Risk Analysis of Information Assets based on Methodologies MAGERIT, OCTAVE y MEHARI; focused on Shipping Companies.,” de 2018 7th International Conference On Software Process Improvement (CIMPS), Guadalajara, Jalisco, Mexico, 2018. [8] Consejo Superior de Administración Electrónica, “MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,” 2012. [En línea]. Available: administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XV8RLuj0nIV. [9] T. Alves, R. Das, A. Werth y T. Morris, “Virtualization of SCADA testbeds for cybersecurity research: A modular approach,” Computers & Security, vol. 77, p. 531–546, 2018. [10] S. Samtani, S. Yu, H. Zhu, M. Patton, J. Matherly y H. Chen, “Identifying SCADA Systems and Their Vulnerabilities on the Internet of Things: A Text-Mining Approach,” IEEE Intelligent Systems, vol. 33, nº 2, pp. 63-73, 2018. [11] F. Sevillano y M. Beltrán, “Metodología para el Análisis, Auditoría de Seguridad y Evaluación del Riesgo Operativo de Redes Industriales y Sistemas SCADA (MAASERISv2.1),” de Jornadas Nacionales de Investigaciíon en Ciberseguridad (1a. 2015. León), León, 2015. [12] J. E. Arias Torres, Riesgos a los sistemas SCADA, en empresas colombianas, Universidad Piloto de Colombia, Bogotá, 2014. [13] J. Anabalon y E. Donders, “Seguridad en Sistemas SCADA un Acercamiento Práctico a Través de EH e ISO 27001:2005,” MonkeysLab Research, 2014. [14] R. Hernández Sampieri, C. Fernández Collado y M. d. P. Baptista Lucio, Metodología de la Investigación, vol. 6, Mexico: McGRAW-HILL, 2014 [15] S. Bergner y U. Lechner, “Cybersecurity Ontology for Critical Infrastructures,” KEOD, pp. 80-85, 2017. [16] K. Stouffer, V. Pillitteri, M. Abrams y A. Hahn, Guide to Industrial Control Systems (ICS) Security, NIST.SP.800-82r2, 2015. [17] S. Samtani, S. Yu, H. Zhu, M. Patton y H. Chen, “Identifying SCADA vulnerabilities using passive and active vulnerability assessment techniques,” de 2016 IEEE Conference on Intelligence and Security Informatics (ISI), Tucson, 2016. [18] B. Ghena, W. Beyer, A. Hillaker, J. Pevarnek y A. Halderman, Green Lights Forever: Analyzing the Security of Traffic Infrastructure, WOOT, 2014. https://revistas.usb.edu.co/index.php/IngUSBmed/article/download/4307/3735 info:eu-repo/semantics/article http://purl.org/coar/resource_type/c_6501 info:eu-repo/semantics/publishedVersion http://purl.org/coar/version/c_970fb48d4fbd8a85 info:eu-repo/semantics/openAccess http://purl.org/coar/access_right/c_abf2 Text Publication
institution	UNIVERSIDAD DE SAN BUENAVENTURA
thumbnail	https://nuevo.metarevistas.org/UNIVERSIDADDESANBUENAVENTURA_COLOMBIA/logo.png
country_str	Colombia
collection	Ingenierías USBMed
title	Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
spellingShingle	Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA Torres Valero, Ricardo Alonso Medina Becerra, Fabian Andrés Mendoza Moreno, Miguel Ángel Cybersecurity, Methodology, Risk, SCADA, Vulnerability. Ciberseguridad Metodología Riesgo SCADA Vulnerabilidad
title_short	Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
title_full	Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
title_fullStr	Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
title_full_unstemmed	Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
title_sort	propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema scada
title_eng	Methodological proposal for the cybersecurity audit applied to a SCADA system
description	La información que posee una empresa se considera en la actualidad uno de los factores más importantes, corresponde a la columna dorsal de su competitividad por lo que el uso de sistemas de automatización que permitan la Supervisión, Control y Adquisición de Datos (SCADA, del inglés Supervisory Control And Data Acquisition) son necesarios. Las organizaciones emplean este tipo de sistemas para mejorar no solo la eficiencia y eficacia en los procesos, sino que adicionalmente para cuidar su seguridad industrial, denotando que con la competitividad acrecentada también se presentan de manera consecuente riesgos que ponen en peligro el actuar de la organización. Dada esta situación, el presente documento pretende de manera generalizada exponer una metodología para guiar el proceso de inspección, con el objetivo de mitigar el riesgo en el área operativa de la organización, reconociendo que su área administrativa cuenta en la actualidad con un significativo número de programas y metodologías que la han establecido como segura, en ese contexto el avance investigativo condujo a proponer una metodología de carácter cuantitativo y cualitativo, a partir de técnicas de revisión bibliográfica, evocando principalmente la ocupación de ecuaciones de búsqueda.
description_eng	The information of a company is currently considered as an important factor, corresponds to the backbone of its competitiveness, so the use of automation systems that allow the Supervisory Control And Data Acquisition (SCADA) are required. Organizations use this type of systems to improve not only the efficiency and effectiveness of the processes, but also to take care of their industrial safety, indicating that with the increased competitiveness there are also consequently risks that jeopardize the actions of the organization. Given this situation, the present document intends to present a methodology to guide the inspection process, in order to mitigating the risk in the operational area of the organization, recognizing that its administrative area currently has a significant number of programs and methodologies that have established it as safe; in that context the research progress led to propose a quantitative and descriptive methodology, based on literature review techniques, mainly evoking the occupation of search equations.
author	Torres Valero, Ricardo Alonso Medina Becerra, Fabian Andrés Mendoza Moreno, Miguel Ángel
author_facet	Torres Valero, Ricardo Alonso Medina Becerra, Fabian Andrés Mendoza Moreno, Miguel Ángel
topic	Cybersecurity, Methodology, Risk, SCADA, Vulnerability. Ciberseguridad Metodología Riesgo SCADA Vulnerabilidad
topic_facet	Cybersecurity, Methodology, Risk, SCADA, Vulnerability. Ciberseguridad Metodología Riesgo SCADA Vulnerabilidad
topicspa_str_mv	Ciberseguridad Metodología Riesgo SCADA Vulnerabilidad
citationvolume	11
citationissue	2
citationedition	Núm. 2 , Año 2020 : Ingenierías USBMed
publisher	Universidad San Buenaventura - USB (Colombia)
ispartofjournal	Ingenierías USBMed
source	https://revistas.usb.edu.co/index.php/IngUSBmed/article/view/4307
language	spa
format	Article
rights	https://creativecommons.org/licenses/by-nc-nd/4.0 Ingenierías USBMed - 2020 Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0. info:eu-repo/semantics/openAccess http://purl.org/coar/access_right/c_abf2
references	G. Tiburski, G. T. Moreira y M. Misagui, “Supervisory Systems integration SCaDA and ERP for production control in real time,” Revista Espacios, vol. 38, nº 4, p. 5, 2017. [2] B. Sánchez Torres, J. A. Rodríguez Rodríguez, D. W. Rico Bautista y C. D. Guerrero, “Smart Campus: Trends in cybersecurity and future development,” Revista Facultad de Ingeniería, vol. 27, nº 47, pp. 93-101, 2018. [3] B. Gorenc y F. Sands, “Hacker Machine Interface: The State of SCADA HMI Vulnerabilities,” TrendLabs Research Paper, 2017. [En línea]. Available: https://documents.trendmicro.com/assets/wp/wp-hacker-machine-interface.pdf. [4] M. Sánchez Rubio, J. M. Gómez-Casero Marichal y C. Cilleruelo Rodríguez, “Inseguridad en infraestructuras críticas,” de Jornadas Nacionales de Investigaciíon en Ciberseguridad (1a. 2015. León), León, 2015. [5] S. Pagnotta, “Ataques a infraestructuras críticas, ¿modalidad inminente en 2017?,” 2017. [En línea]. Available: www.welivesecurity.com/la-es/2017/01/04/ataques-a-infraestructuras-criticas-2017. [6] J. S. Suroso y M. A. Fakhrozi, “Assessment Of Information System Risk Management with Octave Allegro At Education Institution,” Procedia Computer Science, vol. 135, p. 202–213, 2018. [7] F. Y. Holguín García y L. M. Lema Moreta, “Maturity Model for the Risk Analysis of Information Assets based on Methodologies MAGERIT, OCTAVE y MEHARI; focused on Shipping Companies.,” de 2018 7th International Conference On Software Process Improvement (CIMPS), Guadalajara, Jalisco, Mexico, 2018. [8] Consejo Superior de Administración Electrónica, “MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,” 2012. [En línea]. Available: administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XV8RLuj0nIV. [9] T. Alves, R. Das, A. Werth y T. Morris, “Virtualization of SCADA testbeds for cybersecurity research: A modular approach,” Computers & Security, vol. 77, p. 531–546, 2018. [10] S. Samtani, S. Yu, H. Zhu, M. Patton, J. Matherly y H. Chen, “Identifying SCADA Systems and Their Vulnerabilities on the Internet of Things: A Text-Mining Approach,” IEEE Intelligent Systems, vol. 33, nº 2, pp. 63-73, 2018. [11] F. Sevillano y M. Beltrán, “Metodología para el Análisis, Auditoría de Seguridad y Evaluación del Riesgo Operativo de Redes Industriales y Sistemas SCADA (MAASERISv2.1),” de Jornadas Nacionales de Investigaciíon en Ciberseguridad (1a. 2015. León), León, 2015. [12] J. E. Arias Torres, Riesgos a los sistemas SCADA, en empresas colombianas, Universidad Piloto de Colombia, Bogotá, 2014. [13] J. Anabalon y E. Donders, “Seguridad en Sistemas SCADA un Acercamiento Práctico a Través de EH e ISO 27001:2005,” MonkeysLab Research, 2014. [14] R. Hernández Sampieri, C. Fernández Collado y M. d. P. Baptista Lucio, Metodología de la Investigación, vol. 6, Mexico: McGRAW-HILL, 2014 [15] S. Bergner y U. Lechner, “Cybersecurity Ontology for Critical Infrastructures,” KEOD, pp. 80-85, 2017. [16] K. Stouffer, V. Pillitteri, M. Abrams y A. Hahn, Guide to Industrial Control Systems (ICS) Security, NIST.SP.800-82r2, 2015. [17] S. Samtani, S. Yu, H. Zhu, M. Patton y H. Chen, “Identifying SCADA vulnerabilities using passive and active vulnerability assessment techniques,” de 2016 IEEE Conference on Intelligence and Security Informatics (ISI), Tucson, 2016. [18] B. Ghena, W. Beyer, A. Hillaker, J. Pevarnek y A. Halderman, Green Lights Forever: Analyzing the Security of Traffic Infrastructure, WOOT, 2014.
type_driver	info:eu-repo/semantics/article
type_coar	http://purl.org/coar/resource_type/c_6501
type_version	info:eu-repo/semantics/publishedVersion
type_coarversion	http://purl.org/coar/version/c_970fb48d4fbd8a85
type_content	Text
publishDate	2020-10-07
date_accessioned	2020-10-07T00:41:14Z
date_available	2020-10-07T00:41:14Z
url	https://revistas.usb.edu.co/index.php/IngUSBmed/article/view/4307
url_doi	https://doi.org/10.21500/20275846.4307
eissn	2027-5846
doi	10.21500/20275846.4307
citationstartpage	62
citationendpage	70
url2_str_mv	https://revistas.usb.edu.co/index.php/IngUSBmed/article/download/4307/3735
_version_	1811200774866206720

Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA .

Código QR

Estadísticas y Métricas Alternativas

Títulos similares

Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
.