Ingenierías USBMed
Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA
Ricardo Alonso Torres Valero
Universidad Pedagógica y Tecnológica de Colombia
Artículo

Palabras clave

Ciberseguridad, Metodología, Riesgo, SCADA, Vulnerabilidad.

Cómo citar

Torres Valero, R. (2020). Propuesta metodológica para la auditoría de ciberseguridad aplicada a un sistema SCADA. Ingenierías USBMed, 11(2), 62-70. https://doi.org/10.21500/20275846.4307
Artículo

Resumen

La información que posee una empresa se considera en la actualidad uno de los factores más importantes, corresponde a la columna dorsal de su competitividad por lo que el uso de sistemas de automatización que permitan la Supervisión, Control y Adquisición de Datos (SCADA, del inglés Supervisory Control And Data Acquisition) son necesarios. Las organizaciones emplean este tipo de sistemas para mejorar no solo la eficiencia y eficacia en los procesos, sino que adicionalmente para cuidar su seguridad industrial, denotando que con la competitividad acrecentada también se presentan de manera consecuente riesgos que ponen en peligro el actuar de la organización. Dada esta situación, el presente documento pretende de manera generalizada exponer una metodología para guiar el proceso de inspección, con el objetivo de mitigar el riesgo en el área operativa de la organización, reconociendo que su área administrativa cuenta en la actualidad con un significativo número de programas y metodologías que la han establecido como segura, en ese contexto el avance investigativo condujo a proponer una metodología de carácter cuantitativo y cualitativo, a partir de técnicas de revisión bibliográfica, evocando principalmente la ocupación de ecuaciones de búsqueda.

Artículo

Citas

[1] G. Tiburski, G. T. Moreira y M. Misagui, “Supervisory Systems integration SCaDA and ERP for production control in real time,” Revista Espacios, vol. 38, nº 4, p. 5, 2017.
[2] B. Sánchez Torres, J. A. Rodríguez Rodríguez, D. W. Rico Bautista y C. D. Guerrero, “Smart Campus: Trends in cybersecurity and future development,” Revista Facultad de Ingeniería, vol. 27, nº 47, pp. 93-101, 2018.
[3] B. Gorenc y F. Sands, “Hacker Machine Interface: The State of SCADA HMI Vulnerabilities,” TrendLabs Research Paper, 2017. [En línea]. Available: https://documents.trendmicro.com/assets/wp/wp-hacker-machine-interface.pdf.
[4] M. Sánchez Rubio, J. M. Gómez-Casero Marichal y C. Cilleruelo Rodríguez, “Inseguridad en infraestructuras críticas,” de Jornadas Nacionales de Investigaciíon en Ciberseguridad (1a. 2015. León), León, 2015.
[5] S. Pagnotta, “Ataques a infraestructuras críticas, ¿modalidad inminente en 2017?,” 2017. [En línea]. Available: www.welivesecurity.com/la-es/2017/01/04/ataques-a-infraestructuras-criticas-2017.
[6] J. S. Suroso y M. A. Fakhrozi, “Assessment Of Information System Risk Management with Octave Allegro At Education Institution,” Procedia Computer Science, vol. 135, p. 202–213, 2018.
[7] F. Y. Holguín García y L. M. Lema Moreta, “Maturity Model for the Risk Analysis of Information Assets based on Methodologies MAGERIT, OCTAVE y MEHARI; focused on Shipping Companies.,” de 2018 7th International Conference On Software Process Improvement (CIMPS), Guadalajara, Jalisco, Mexico, 2018.
[8] Consejo Superior de Administración Electrónica, “MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,” 2012. [En línea]. Available: administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XV8RLuj0nIV.
[9] T. Alves, R. Das, A. Werth y T. Morris, “Virtualization of SCADA testbeds for cybersecurity research: A modular approach,” Computers & Security, vol. 77, p. 531–546, 2018.
[10] S. Samtani, S. Yu, H. Zhu, M. Patton, J. Matherly y H. Chen, “Identifying SCADA Systems and Their Vulnerabilities on the Internet of Things: A Text-Mining Approach,” IEEE Intelligent Systems, vol. 33, nº 2, pp. 63-73, 2018.
[11] F. Sevillano y M. Beltrán, “Metodología para el Análisis, Auditoría de Seguridad y Evaluación del Riesgo Operativo de Redes Industriales y Sistemas SCADA (MAASERISv2.1),” de Jornadas Nacionales de Investigaciíon en Ciberseguridad (1a. 2015. León), León, 2015.
[12] J. E. Arias Torres, Riesgos a los sistemas SCADA, en empresas colombianas, Universidad Piloto de Colombia, Bogotá, 2014.
[13] J. Anabalon y E. Donders, “Seguridad en Sistemas SCADA un Acercamiento Práctico a Través de EH e ISO 27001:2005,” MonkeysLab Research, 2014.
[14] R. Hernández Sampieri, C. Fernández Collado y M. d. P. Baptista Lucio, Metodología de la Investigación, vol. 6, Mexico: McGRAW-HILL, 2014
[15] S. Bergner y U. Lechner, “Cybersecurity Ontology for Critical Infrastructures,” KEOD, pp. 80-85, 2017.
[16] K. Stouffer, V. Pillitteri, M. Abrams y A. Hahn, Guide to Industrial Control Systems (ICS) Security, NIST.SP.800-82r2, 2015.
[17] S. Samtani, S. Yu, H. Zhu, M. Patton y H. Chen, “Identifying SCADA vulnerabilities using passive and active vulnerability assessment techniques,” de 2016 IEEE Conference on Intelligence and Security Informatics (ISI), Tucson, 2016.
[18] B. Ghena, W. Beyer, A. Hillaker, J. Pevarnek y A. Halderman, Green Lights Forever: Analyzing the Security of Traffic Infrastructure, WOOT, 2014.
Creative Commons License
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0.

Esta revista provee acceso libre inmediato a su contenido bajo el principio de hacer disponible gratuitamente las investigaciones al publico y apoyando un mayor intercambio de conocimiento global. 

Por tanto se acoge a la Licencia Creative Commons 4.0 Atribuciones Reconocimiento – NoComercial – CompartirIgual (by-nc-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas, la distribución de las cuales se debe hacer con una licencia igual a la que regula la obra original.

http://creativecommons.org/licenses/by-nc-sa/4.0/ 

 

Costos de procesamiento y presentación de los artículos

El procesamiento y publicación en Ingenierías USBMed no tiene costo.

Política de acceso abierto

Ingenierías USBMed proporciona un acceso abierto inmediato a su contenido, basado en el principio de ofrecer al público un acceso libre a las investigaciones ayudando a un mayor intercambio global de conocimiento. Por tanto la Revista se acoge a la Licencia Creative Commons 4.0

Resultado de imagen para Licencia Creative Commons 4.0

Atribuciones Reconocimiento – NoComercial – Compartir Igual (by-nc-sa): Esta licencia permite a otros distribuir, remezclar, retocar, y crear a partir de tu obra de modo no comercial, siempre y cuando te den crédito y licencien sus nuevas creaciones bajo las mismas condiciones.

Derechos de Autor (Copyrigt)

La totalidad de los contenidos de Ingenierías USBMed, e-ISSN 2027-5846 están registrados y protegidos por las leyes de protección de la propiedad intelectual. Los derechos de propiedad intelectual de cada artículo son cedidos por sus autores a Ingenierías USBMed. Al someter el manuscrito, y únicamente en caso de ser aceptado para publicación, los autores aceptan que el copyright de su artículo queda transferido a Ingenierías USBMed. No obstante, se consideran todas las solicitudes de autorización por parte de los autores con fines de reproducción de sus artículos. Igualmente, Ingenierías USBMed otorga permiso de acceso para usuarios y bibliotecas. Ingenierías USBMed apoya el libre acceso a la literatura científica dicho copyright pide el respeto de los derechos morales, principalmente el reconocimiento de su autoría y el respeto a la integridad de la obra, evitando dentro de lo posible alteraciones, traducciones o falsificaciones. Al ser Ingenierías USBMed una publicación electrónica de carácter científico que publica trabajos de investigación científica y tecnológica, artículos de reflexión o artículos de revisión, el objetivo prioritario tanto de los los autores como de Ingenierías USBMed es lograr la mayor difusión de los artículos, para lo cual los autores ceden a Ingenierías USBMed sus derechos, únicamente a cambio del reconocimiento intelectual, moral y laboral, al considerarse que es una materia no de ocio o entretenimiento, sino de fuerte interés social, por su carácter científico.

Política Ética

Los autores deben actuar de forma ética en los procesos requeridos para la publicación de sus artículos en Ingenierías USBMed. Para esto, los autores y miembros de la revista se deben acoger a la politica de Ética editorial de la Editorial Bonaventuriana, disponible en el siguiente link: Manual editorial

Responsabilidad de contenidos

El contenido de los artículos publicados por Ingenierías USBMed es de exclusiva responsabilidad del (os) autor(es) y no necesariamente refleja el pensamiento del comité editorial y científico de la revista Ingenierías USBMed. Los textos pueden reproducirse total o parcialmente citando la fuente.