- Universidad Piloto de Colombia
- Trabajos de grado - Posgrado
- Facultad de Ingenierías
- Especialización en Seguridad Informática
- View Item
Análisis de riesgos y elaboración de controles para un prototipo de control y automatización industrial en la empresa intecmo sas

View/ Open
Date
2018Author
Camperos Quiñones, Juan Pablo
Herrera Quila, Marcela Fernanda
xmlui.dri2xhtml.METS-1.0.item-advisor
Herrera Hernández, Ricardo / Asesor
Metadata
Show full item recordAbstract
Con la realización del presente proyecto se tiene como finalidad desarrollar un
estudio tipo explicativo en la que se identifiquen las amenazas y riesgos a los que
pueden estar expuestas las TIC de un sistema de control de procesos tipo SCADA
(Supervisión, Control y Adquisición de Datos) de una planta de procesos químicos
industrial, procesos que en términos funcionales son considerados críticos para la
operación del negocio propio de una compañía, razón por la cual se deben
implementar las medidas para salvaguardar la información y el flujo de datos, de
esta forma evitar que personas mal intencionadas puedan acceder a ellos con fines
fraudulentos o intereses de terceros, ocasionando inconvenientes para el buen
funcionamiento de la planta.
El análisis de riesgos se realizó considerando que los sistemas de control industrial
tipo SCADA se caracterizan y diferencian de otros sistemas TIC en: 1) la utilidad,
ya que son sistemas que desde el punto de vista funcional están diseñados para
trabajar de manera continua, la disponibilidad del servicio prestado es la prioridad
absoluta, lo cual hace que tengan un enfoque diferente respecto a la pirámide CIA
(Confidentiality, Integrity, Availability, en español Confidencialidad, Integridad,
Disponibilidad) ; 2) diseño inicial, los SCADA en su inicio fueron diseñados para
trabajar en entornos aislados y eran empleados en plantas con procesos complejos
y de gran escala, hoy en día la masificación de la tecnología y la economía de escala
los ha puesto al alcance de empresas de diferentes tamaños y han hecho que se
encuentren conectados con redes corporativas; 3) Su rápida evolución específica
en los últimos años y la necesidad de mantener un servicio continuo han causado
que las actualizaciones de sistemas y aplicaciones generalmente no se han
realizado con la frecuencia adecuada. El aumento de la cobertura de los SCADA en
diferentes industrias sumado a su funcionalidad de controlar algún tipo de proceso
o al menos recabar algún tipo de información del proceso en tiempo real los ha
convertido en foco de atención y objetivo de posibles ataques cibernéticos con
motivaciones variadas, conformando amenazas que no fueron concebidas en sus
orígenes dado que fueron concebidos para trabajar en entornos aislados.Una vez
identificadas las amenazas se empleará un análisis de riesgos basado en el estudio
de árboles de ataque y elaboración de una matriz de riesgos, a partir de los cuales
se extraerá información para priorizar y plantear contramedidas.
Como caso de análisis se ha empleado la Planta Piloto de Absorción del Laboratorio
de Ingeniería Química de la Universidad Nacional de Colombia sede Bogotá, la cual
ha sido tratada y mencionada en este proyecto como si fuera una planta industrial,
dado que su diseño, arquitectura, equipos y características son completamente
equiparables a los de una planta industrial de su tipo, la única diferencia radica en
su escala de producción. The purpose of this project is to develop an explanatory research that identifies the
threats and risks to which the control system (SCADA) of an industrial chemical
process plant may be exposed, processes that in functional terms are considered
critical for the operation of a company's own business, which is why measures must
be implemented to safeguard the information and the flow of data, in order to prevent
ill-intentioned persons from accessing them for fraudulent purposes or third-party
interests , causing inconveniences for the proper functioning of the plant.
The risk analysis was carried out considering that SCADA-type industrial control
systems are characterized and differentiated from other ICT systems in: 1) utility,
since they are systems that are functionally designed to work in a continuous
manner; availability of the service provided is the absolute priority, which makes
them have a different approach to the CIA pyramid (Confidentiality, Integrity,
Availability, in Spanish Confidentiality, Integrity, Availability); 2) initial design, the
SCADA at the beginning were designed to work in isolated environments and were
used in plants with complex and large scale processes, nowadays the massification
of technology and economy of scale has made them available to companies of
different sizes and have made them are connected with corporate networks; 3) Its
rapid specific evolution in recent years and the need to maintain a continuous service
have meant that system and application updates have not generally been carried out
with the proper frequency. The increase of the coverage of the SCADA in different
industries added to its functionality to control some type of process or at least to
gather some type of information of the process in real time has turned them into
focus of attention and objective of possible cybernetic attacks with varied
motivations, conforming threats that were not conceived in their origins since they
were conceived to work in isolated environments. Once the threats have been
identified, a risk analysis based on the study of attack trees and the preparation of a
risk matrix will be used. It will extract information to prioritize and propose
countermeasures.
As a case of analysis, the Absorption Pilot Plant of the Chemical Engineering
Laboratory of the Universidad Nacional de Colombia - Bogotá has been used, which
has been treated and mentioned in this project as if it were an industrial plant, given
that its design, architecture, equipment and characteristics are completely
comparable to those of an industrial plant of its type, the only difference lies in its
scale of production.
Collections
Related items
Showing items related by title, author, creator and subject.
-
Diseño e implementación en Avianca de los controles 5 (administración de cuentas) y 6 (gestión de control de acceso) de la guía de controles cis - center for internet security (r) y diseño de la metodología para la integración de aplicaciones en la herramienta de gestión de identidades
Moreno Moreno, Adriana; Forero Vega, Felipe (2022-03-04)Avianca Group International Limited – Avianca AGIL, es el nuevo holding que consolida las sociedades operadoras de la antigua Avianca Holding – AVH, la cual fue liquidada el 30 de noviembre del 2021 producto de las estrategias ... -
Diseño y aplicación de manuales de control y prevención de riesgo financiero, control interno : sistema de administración de riesgo de lavado de activos y de la financiación del terrorismo (Sarlaft) Gobierno Corporativo
Corredor Guerrero, Karla Milena; García Tibaduiza, Leidy Carolina; Pedreros Delgado, Yeimy Alejandra (2008-07-26)El siguiente trabajo comprende del desarrollo de la monografía presentada como requisito para aprobar el curso especial de grado y de esta forma optar por el titulo de profesionales en contaduría publica. El objetivo de ... -
IA Control: Control de asistencia en videoconferencias
Bocanegra Barreiro, Lina María; Ospina Beltran, Anngie Gimena (2022)Las videoconferencias son una herramienta de comunicación simultanea bidireccional de audio y video que han sido implementadas para desarrollar reuniones con grupos de personas situadas en lugares alejados; debido a la ...