Metodología para la Ejecución de Evaluación de Ciber-Vulnerabilidades en los Sistemas ICS- SCADA de los Agentes del Sistema Interconectado Nacional
Palabras clave:
Ciber-vulnerabilidades, infraestructura critica, OSSTMM, NIST, ICS-SCADAResumen
Se realiza un análisis comparativo de las metodologías NIST SP 800-115 y OSSTMM, buscando establecer una metodología adecuada para la ejecución de evaluación de ciber vulnerabilidades en un sistema ICS-SCADA de una infraestructura critica. Se eligió la metodología OSSTMM por cumplir criterios que ofrecen una evaluación completa de ciber vulnerabilidades y gracias a su métrica permite definir en qué nivel seguridad tiene. Al aplicarla se le da cumplimento a la normatividad establ ecida por el gobierno nacional. Ante la protección de los ciber-activos críticos de los agentes del sistema interconectado nacional. Para llegar al resultado se definieron los criterios bajo los cuales se evaluarían las dos metodologías, luego se analizaron las fases de ejecución de cada una para así compararlas con base los criterios establecidos anteriormente.
Citas
C. Management, C. I. Owners, C. I. Partner, and C. Incident, “Common Cyber Security Language,” Estados Unidos, 2013.
S. Samtani, S. Yu, H. Zhu, M. Patton, and H. Chen, “Identifying SCADA Vulnerabilities Using Passive and Active Vulnerability Assessment Techniques,” pp. 25–30, 2016.
T. Sommestad, M. Ekstedt, and H. Holm, “The Cyber Security Modeling Language : A Tool for Assessing the Vulnerability of Enterprise System Architectures,” vol. 7, no. 3, pp. 363–373, 2013.
R. Al-dalky, O. Abduljaleel, K. Salah, H. Otrok, and M. Al-qutayri, “A Modbus Traffic Generator for Evaluating the Security of SCADA Systems,” pp. 809– 814, 2014.
Roberto Lopez Santoyo, “Propuesta de implementación de una metodología de auditoría de seguridad informática,” Universidad Autonoma de Madrid, 2015.
MINTIC, Guía Metodológica de Pruebas de Efectividad, no. 1. Colombia, 2016.
M. D. R. Exteriores and M. D. D. Nacional, Conpes. Colombia, 2011.
W. Ñustes, and S. Rivera, “Colombia territorio de inversión en fuentes no convencionales de energía renovable para la generación eléctrica,”Revista Ingeniería, Investigación y Desarrollo, vol 17 no. 1 pp. 37-48, Enero 2017. DOI: https://doi.org/10.19053/1900771X.v17.n1.2017.5954.
A. Introduction, CIP-010-2 — Cyber Security — Configuration Change Management and Vulnerability Assessments. EEUU, 2106.
Consejo Nacional de Operacion CNO, “acuerdo788,” Bogota D.C, 05-Sep-2015.
AEI Seguridad, Protección de infraestructuras críticas guía para la elaboración de planes de seguridad del..., no. June. 2012, 2017.
K. Scarfone and A. Orebaugh, Technical Guide to Information Security Testing and Assessment Recommendations of the National Institute of Standards and Technology. EEUU, 2008.
ISECOM, The Open Source Security Testing Methodology Manual. EEUU, 2010.
G. Fonseca, E. Avendaño, and A. Araque, “Supervisión de ph redox y turbidez en una plata de tratamiento de agua utilizando wsn (Wireless sensor networks) con tecnología zigbee,” Revista Ingeniería, Investigación y Desarrollo, vol. 14 no. 1, pp. 17-21, Enero 2014. DOI:https://doi.org/10.19053/1900771X.4046.
