Segurança HolísticaO todo será maior que a soma das partes, quando cada umsabe, que é o que é, porque todos nós somosFerna...
Índice• Introdução– 11 de Setembro de 2001– Segurança V. Holísmo V. Ubuntu– Tripés de Segurança– A Segurança está onde?• I...
11 de Setembro de 2001Evento de impacto mundial que chamou aatenção dos especialistas de segurança para alacuna existente ...
11 de Setembro de 2001Relatório GAO-02-687T (2002)“Os ataques terroristas de 11 de Setembro aumentaram aspreocupações acer...
Segurança V. Holísmo V. Ubuntu• SEGURANÇA: sentimento, vulnerável, relacionado com perceçãode se estar protegido contra pe...
Tripés de SegurançaINTEGRIDADECONFIDENCIALIDADEDISPONIBILIDADEOutra perspetiva, como se viu atrás: PROTEÇÃO, DETEÇÃO e REA...
Na prática a Segurança está onde?• presença ou ausência de energia?• firewall, vpn e ids?• sistemas operativos, bases de d...
Índice• Introdução• Inteligência– Falar com o Povo– Adivinhar perigos– Agentes– Ciclo de Informações• Redução de Riscos• F...
InteligênciaEnquadrar o termo:Política, Estratégica ... Pensar antesde fazer, informar-se antes de decidir,analisar antes ...
Inteligência“O teu espírito só poderia melhorar se tivesses diante de ti homenslivres cujas resistências vencerias pela ún...
Inteligência«Tal há-de ser quem quer, co dom de Marte,Imitar os Ilustres e igualá-los:Voar co pensamento a toda parte,Adiv...
Inteligência«Os agentes vivos são aqueles que voltam cominformações. Escolhem-se homens espertos,talentosos, inteligentes ...
InteligênciaDIREÇÃO EPLANEAMENTOPESQUISA ERECOLHAPROCESSAMENTO EANÁLISEDISSEMINAÇÃOE EXPLORAÇÃO
Índice• Introdução• Inteligência• Redução de Riscos– Vulnerabilidade e Nível de Risco– Evolução Tecnológica V. Envolviment...
Redução de RiscosEvolução Tecnológica V. Envolvimento RHEnvolvimento de RHEvolução TecnológicaEx-PolíciasVigilantes treina...
Redução de RiscosEvolução Tecnológica V. Evolução de RiscoElementos em RiscoEvolução TecnológicaPessoas e ValoresEdifícios...
Redução de RiscosVulnerabilidadeQualquer fraqueza intrínseca, induzida ou provocada no bem aproteger, que possa ser explor...
Redução de RiscosMANUTENÇÃOMONITORIZAÇÃOAUDITORIAPROJETOINSTALAÇÃOCLIENTETECNOLOGIAE OUTROSRECURSOSINTEGRAÇÃOROI EVALORHOL...
Índice• Introdução• Inteligência• Redução de Riscos• Filmes antigos e realidades novas– Relações entre as áreas da Defesa ...
Ataques a SCADA (Supervisory Control And Data Acquisition)HACKERS (1995)DIE HARD 4 (2007)WARGAMES (1983)
Explosão de Pipeline na Sibéria.O evento resultante ésupostamente a maior explosãonão nuclear na história (1982)Interrupçã...
Stuxnet (2005-2012)Ataques a SCADA (Supervisory Control And Data Acquisition)
Duqu (2011) – novo worm, aparentemente, uma evolução do StuxnetFlame (2012) – novo worm, outra evolução, aparentemente ain...
Ataques a SCADA (Supervisory Control And Data Acquisition)Iranian Hackers targeting US oil, gas, and electric companiesMay...
Ataques a SCADA (Supervisory Control And Data Acquisition)
Membro do ChaosComputer Club quedescobriu a clonagemde cartões telefónicos.Aos 26 anos de idade foiencontrado enforcadonum...
Testosterona V. ProfissionalismoThe problem is a lot more complex then just peoplewith green hair and body piercing, that ...
Índice• Introdução• Inteligência• Redução de Riscos• Filmes antigos e realidades novas• Casos Práticos– Infraestruturas Cr...
Consultoria de SegurançaAnálise Estratégica de Infraestrutura CríticaPorto Marítimo no Hinterland do Zambeze
Consultoria de SegurançaAlgumas das Disciplinas em AnáliseCaracterização da História e GeoestratégiaCaracterização do regi...
Consultoria de SegurançaPlano EstratégicoPara quê? Qual o objetivoContra quem? Qual o adversárioContra o quê? Caracterizaç...
Consultoria de SegurançaControlos de segurança a implementar no âmbito do ISPS(SOLAS – Safety Of Life At Sea)Acesso públic...
Consultoria de SegurançaControlos de segurança complementares a implementar• Segurança da Informação segundo a norma ISO 2...
PREVENÇÃO & SEGURANÇASegurança Física3 Centros de Monitorização61 Câmaras (CCTV)826 Detetores de Incêndio (SDI)Extinção Au...
Poço e Galeria deDrenagem (P0)Vídeo VigilânciaSegurançaFísica
Turbinas (P4)Extinção Automáticade Incêndio (CO2)Outros:Aspiração c/LaserAspiração p/ÓticoSegurançaFísica
Poço da Turbina (P5)SDI / Vídeo VigilânciaSegurançaFísica
Central HidroelétricaSala de Máquinas (P6). CCTV. SDI. 3x SDI p/AspiraçãoSegurançaFísica
Sala de Comando(P7)SegurançaFísica
Compartimentaçãode Incêndio (P9-0)SegurançaFísica
Captação de ÁguaVídeo VigilânciaSegurançaFísica
Vedação da barragem (montante)SegurançaFísicaVedação acesso ao túnel (jusante)Portão de Acesso à Central Hidroelétrica
Controlo de AcessosSala de Comando(Perímetro)SegurançaFísica
Tratamento de ÁguaVídeo VigilânciaSegurançaFísica
Bombagem de ÁguaVídeo VigilânciaSegurançaFísica
Sala de TelecomandoSede a 13Km da barragem. SCADASupervisory Control AndData Acquisition. PSIMPhysical SecurityInformation...
ObrigadoFernando MartinsONI TelecomPhysical Security Strategyfernando.martins@knewon.pthttp://www.oni.pt(site corporativo)...
Fernando martins   seguranca holistica
Fernando martins   seguranca holistica
Fernando martins   seguranca holistica
Próximos SlideShares
Carregando em…5
×

Fernando martins seguranca holistica

645 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
645
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
6
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Fernando martins seguranca holistica

  1. 1. Segurança HolísticaO todo será maior que a soma das partes, quando cada umsabe, que é o que é, porque todos nós somosFernando MartinsONI TelecomPhysical Security Strategyfernando.martins@knewon.pt
  2. 2. Índice• Introdução– 11 de Setembro de 2001– Segurança V. Holísmo V. Ubuntu– Tripés de Segurança– A Segurança está onde?• Inteligência• Redução de Riscos• Filmes antigos e realidades novas• Casos Práticos
  3. 3. 11 de Setembro de 2001Evento de impacto mundial que chamou aatenção dos especialistas de segurança para alacuna existente entre sistemas de segurançafísica e informáticaDados acerca da segurança física de edifícios,portos, aeroportos, incluindo projetos ediagramas de sistemas e cablagem passaram aser uma informação com caráter de elevadaconfidencialidade pelo que têm de serprotegidos de acordo com as melhorespráticas da segurança informática
  4. 4. 11 de Setembro de 2001Relatório GAO-02-687T (2002)“Os ataques terroristas de 11 de Setembro aumentaram aspreocupações acerca da segurança física dos edifícios federais eda necessidade de proteger aqueles que lá trabalham e seusvisitantes. (...) Estão disponíveis comercialmente diversassoluções técnicas que podem ser aplicadas, desde torniquetes acartões de acesso inteligentes e sistemas biométricos. Apesardestas tecnologias permitirem um elevado controlo técnico, asegurança global vai depender de processos de gestão de riscorobustos e na implementação de três conceitos no processo desegurança holística: proteção, deteção e reação.”
  5. 5. Segurança V. Holísmo V. Ubuntu• SEGURANÇA: sentimento, vulnerável, relacionado com perceçãode se estar protegido contra perigos, o que é difícil de atingir emuito fácil de fragilizar• HOLÍSMO: "the tendency in nature to form wholes that aregreater than the sum of the parts through creative evolution“ (JanSmuts)• UBUNTU (palavra Zulu/Xhosa): "I am what I am because of whowe all are.“ (Leymah Gbowee) “Ubuntu does not mean thatpeople should not enrich themselves. The question therefore is:Are you going to do so in order to enable the community aroundyou to beable to improve?” (Nelson Mandela)
  6. 6. Tripés de SegurançaINTEGRIDADECONFIDENCIALIDADEDISPONIBILIDADEOutra perspetiva, como se viu atrás: PROTEÇÃO, DETEÇÃO e REAÇÃOPerspetiva Comercial: INOVAÇÃO, DIFERENCIAÇÃO, RETORNO DO INVESTIMENTO
  7. 7. Na prática a Segurança está onde?• presença ou ausência de energia?• firewall, vpn e ids?• sistemas operativos, bases de dados, apps?• canais de comunicação cobre/fibra/wireless?• sensores e barreiras de proteção físicas?• vídeo proteção e análise de vídeo?Tudo isto é baseado em DECISÕES, que são baseada em INFORMAÇÃO, que énecessária para definir uma ESTRATÉGIA, para isso é preciso INTELIGÊNCIAAs FERRAMENTAS TECNOLÓGICAS, como os recursos humanos, são apenasuma pequena parte da equação, que define um sistema de segurança, parapessoas, bens ou informação
  8. 8. Índice• Introdução• Inteligência– Falar com o Povo– Adivinhar perigos– Agentes– Ciclo de Informações• Redução de Riscos• Filmes antigos e realidades novas• Casos Práticos
  9. 9. InteligênciaEnquadrar o termo:Política, Estratégica ... Pensar antesde fazer, informar-se antes de decidir,analisar antes de desenhar a soluçãotécnicaServiços de Inteligência = Serviços deInformações de Segurança e Defesado EstadoServiços de Inteligência Privada?Data Warehouse?
  10. 10. Inteligência“O teu espírito só poderia melhorar se tivesses diante de ti homenslivres cujas resistências vencerias pela única arma da inteligência ouque te levariam a modificar as tuas opiniões, a alcançar porventurauma visão mais nobre e mais vasta da vida universal; a inteligênciatem de incluir aquilo que não consegue eliminar. (...) O grande defeitodos intelectuais portugueses tem sido sempre o só lidarem comintelectuais. Vão para o povo. Vejam o povo. Vejam como elesrefletem, como ele entende a vida, como eles gostariam que a vidafosse para eles.”Agostinho da Silva
  11. 11. Inteligência«Tal há-de ser quem quer, co dom de Marte,Imitar os Ilustres e igualá-los:Voar co pensamento a toda parte,Adivinhar perigos e evitá-los,Com militar engenho e sutil arte,Entender os imigos e enganá-los,Crer tudo, enfim; que nunca louvareiO capitão que diga: “Não cuidei.”»Luis de CamõesGen. Pedro Cardoso Gen. Rodolfo BegonhaPêro da Covilhã
  12. 12. Inteligência«Os agentes vivos são aqueles que voltam cominformações. Escolhem-se homens espertos,talentosos, inteligentes e com fácil acesso àquelesque privam com o soberano ou elementos danobreza. (…) Tratam-se de pessoas que podem ir evoltar apresentando relatórios. Para agentes vivostemos de contratar homens inteligentes quepareçam estúpidos, que se mostrem moles, massejam de coração duro, e ainda ágeis, vigorosos,resistentes e corajosos, conhecedores de coisasbaixas, capazes de aguentar a fome o frio, aporcaria e a humilhação.»A Arte da Guerra, Sun Tzu
  13. 13. InteligênciaDIREÇÃO EPLANEAMENTOPESQUISA ERECOLHAPROCESSAMENTO EANÁLISEDISSEMINAÇÃOE EXPLORAÇÃO
  14. 14. Índice• Introdução• Inteligência• Redução de Riscos– Vulnerabilidade e Nível de Risco– Evolução Tecnológica V. Envolvimento RH– Evolução Tecnológica V. Evolução de Risco– Ciclo da Integração• Filmes antigos e realidades novas• Casos Práticos
  15. 15. Redução de RiscosEvolução Tecnológica V. Envolvimento RHEnvolvimento de RHEvolução TecnológicaEx-PolíciasVigilantes treinadosTécnico de ElectrónicaTécnico de InformáticaAnalista de Risco
  16. 16. Redução de RiscosEvolução Tecnológica V. Evolução de RiscoElementos em RiscoEvolução TecnológicaPessoas e ValoresEdifíciosEquipamentosInformaçãoComércio ElectrónicoPessoasInformaçãoInstalaçõesEquipamentos
  17. 17. Redução de RiscosVulnerabilidadeQualquer fraqueza intrínseca, induzida ou provocada no bem aproteger, que possa ser explorada pela ameaça para produzirum dano.Risco = Probabilidade x ConsequênciaProbabilidade = Ameaça x VulnerabilidadeAmeaça = Intenção x Capacidade x OportunidadeNível de Risco = Ameaça x Vulnerabilidade x Consequência
  18. 18. Redução de RiscosMANUTENÇÃOMONITORIZAÇÃOAUDITORIAPROJETOINSTALAÇÃOCLIENTETECNOLOGIAE OUTROSRECURSOSINTEGRAÇÃOROI EVALORHOLÍSTICO
  19. 19. Índice• Introdução• Inteligência• Redução de Riscos• Filmes antigos e realidades novas– Relações entre as áreas da Defesa eSegurança - física, eletrónica, informática,humana• Casos Práticos
  20. 20. Ataques a SCADA (Supervisory Control And Data Acquisition)HACKERS (1995)DIE HARD 4 (2007)WARGAMES (1983)
  21. 21. Explosão de Pipeline na Sibéria.O evento resultante ésupostamente a maior explosãonão nuclear na história (1982)Interrupção de abastecimentode água em Springfield(Illinois, USA, 2011)Vladimir Vetrov a.k.a. FarewellAtaques a SCADA (Supervisory Control And Data Acquisition)Under attack: The water plant in Springfield, Illinois, where a pump stopped working
  22. 22. Stuxnet (2005-2012)Ataques a SCADA (Supervisory Control And Data Acquisition)
  23. 23. Duqu (2011) – novo worm, aparentemente, uma evolução do StuxnetFlame (2012) – novo worm, outra evolução, aparentemente aindarelacionado com ataques ao IrãoAtaques a SCADA (Supervisory Control And Data Acquisition)
  24. 24. Ataques a SCADA (Supervisory Control And Data Acquisition)Iranian Hackers targeting US oil, gas, and electric companiesMay 26, 2013 (thehackernews.com)Hackers Iranianos conseguiram acesso asistema SCADA nos EUA.Foi encontrado Malware que pode danificardiversas instalações.Os alvos foram diversas infraestruturas depetróleo, gás e eletricidade, nãoidentificadas.É reconhecido que o objetivo seriasabotagem e não espionagem.
  25. 25. Ataques a SCADA (Supervisory Control And Data Acquisition)
  26. 26. Membro do ChaosComputer Club quedescobriu a clonagemde cartões telefónicos.Aos 26 anos de idade foiencontrado enforcadonum parque público emBerlim
  27. 27. Testosterona V. ProfissionalismoThe problem is a lot more complex then just peoplewith green hair and body piercing, that can solvepuzzles where people with computer engineeringbackgrounds cant solve.Hackers get caught, because they end up in theheadlines. Theyre not professionals. They are out forthe adventure. They are out for bragging rights. Theyare out for exploration.The professionals, the person from Intelligence, theyrenot going to get caught. And when they are detected,the people who detect them are not going to want toacknowledge that theyve been there.Marc Maiffret a.k.a. ChameleonKevin Mitnick a.k.a. CondorRichard Power (CSI/FBI)
  28. 28. Índice• Introdução• Inteligência• Redução de Riscos• Filmes antigos e realidades novas• Casos Práticos– Infraestruturas Críticas Nacionais• Consultoria de Segurança• Segurança FísicaLegislação para ICN/ICE em Portugal:MINISTÉRIO DA DEFESA NACIONALDecreto-Lei n.º 62/2011de 9 de Maio
  29. 29. Consultoria de SegurançaAnálise Estratégica de Infraestrutura CríticaPorto Marítimo no Hinterland do Zambeze
  30. 30. Consultoria de SegurançaAlgumas das Disciplinas em AnáliseCaracterização da História e GeoestratégiaCaracterização do regime jurídico, em termos de Direito Internacionale Direito InternoCaracterização da Regulamentação de Segurança a aplicar, para aconstrução de Políticas de Segurança, que enquadrem o Porto nocontexto da sua realidade como plataforma logística internacional euma fronteira desse país com o exterior.
  31. 31. Consultoria de SegurançaPlano EstratégicoPara quê? Qual o objetivoContra quem? Qual o adversárioContra o quê? Caracterização da ameaçaCom quê? Meios a utilizarQuando? Momento para desenvolver a ação, duração daimplementação da estratégia, duração da ação, momento em que osefeitos da estratégia se começam a sentirComo? Como se aplica a estratégia, considerando a geografia, aproporção e credibilidade dos recursos a usar, tendo em conta asquestões diplomáticas e políticas, os procedimentos de informação eação e de solidariedade com outras entidades
  32. 32. Consultoria de SegurançaControlos de segurança a implementar no âmbito do ISPS(SOLAS – Safety Of Life At Sea)Acesso público controlado e restrito, com a implementação de sistemasautomáticos de controlo de acessos e videovigilânciaDelimitação e sinalização de áreas para equipamentos, com aimplementação de sistemas automáticos de controlo de acessos evideovigilânciaIdentificação de pontos sensíveis e vulnerabilidades, através deprocessos de análise de risco e medidas consequentes para a suamitigação e controlo, para a segurança de pessoas, bens e informaçãoExistência de Iluminação de emergênciaExistência de Informação centralizada para apoio a tomadas de decisão,como a existência de uma sala de segurança e receção de alarmes.
  33. 33. Consultoria de SegurançaControlos de segurança complementares a implementar• Segurança da Informação segundo a norma ISO 27001• Segurança Física segundo a parte correspondente da norma ISO 27001• Segurança Eletrónica segundo as normas EN 50131• Monitorização de Segurança eletrónica segundo a norma BS 8418• Gestão de Continuidade de Negócio segundo a norma ISO 22301
  34. 34. PREVENÇÃO & SEGURANÇASegurança Física3 Centros de Monitorização61 Câmaras (CCTV)826 Detetores de Incêndio (SDI)Extinção AutomáticaCompartimentação de IncêndioComunicaçõesVLAN em Fibra ÓticaBarreiras FísicasVigilância Humana
  35. 35. Poço e Galeria deDrenagem (P0)Vídeo VigilânciaSegurançaFísica
  36. 36. Turbinas (P4)Extinção Automáticade Incêndio (CO2)Outros:Aspiração c/LaserAspiração p/ÓticoSegurançaFísica
  37. 37. Poço da Turbina (P5)SDI / Vídeo VigilânciaSegurançaFísica
  38. 38. Central HidroelétricaSala de Máquinas (P6). CCTV. SDI. 3x SDI p/AspiraçãoSegurançaFísica
  39. 39. Sala de Comando(P7)SegurançaFísica
  40. 40. Compartimentaçãode Incêndio (P9-0)SegurançaFísica
  41. 41. Captação de ÁguaVídeo VigilânciaSegurançaFísica
  42. 42. Vedação da barragem (montante)SegurançaFísicaVedação acesso ao túnel (jusante)Portão de Acesso à Central Hidroelétrica
  43. 43. Controlo de AcessosSala de Comando(Perímetro)SegurançaFísica
  44. 44. Tratamento de ÁguaVídeo VigilânciaSegurançaFísica
  45. 45. Bombagem de ÁguaVídeo VigilânciaSegurançaFísica
  46. 46. Sala de TelecomandoSede a 13Km da barragem. SCADASupervisory Control AndData Acquisition. PSIMPhysical SecurityInformationManagement. VMSVideo Management System. CRACentral Recetora de AlarmesSegurançaFísica
  47. 47. ObrigadoFernando MartinsONI TelecomPhysical Security Strategyfernando.martins@knewon.pthttp://www.oni.pt(site corporativo)http://www.enterprisecloud.oni.pt(site dedicado à oferta de Cloud Computing com simulador on-line)http://municipiosseguros.oni.pt(microsite de evento - posterior disponibilização de vídeo de workshop técnico de vídeo analítico)

×