MDS Portugal, profile picture
Carregado porMDS Portugal
57 visualizações

FULLCOVER

Paulo Moniz explica como a EDP gere os riscos cibernéticos, investindo em soluções tecnológicas de prevenção e detecção e definindo políticas de segurança alinhadas com sua estratégia. Apesar das medidas implementadas, um ataque cibernético pode ocorrer, por isso a EDP prepara planos de continuidade e resiliência. O grupo também está mapeando riscos de TI para melhor gerenciá-los.

Negócios
Tópicos relacionados:
Cyber-Risk

Incorporar apresentação

Cyber: this risk is real and needs to be managed Cibersegurança: o risco é real e é preciso geri­‑lo Paulo Moniz, Director of Security, EDP Information Systems Department, explains how the Portugese power group manages its cyber risk and urges all business and risk managers to take the exposure, its prevention and management very seriously. This is no media hype, argues Mr Moniz. Paulo Moniz, Diretor de Segurança da Direção de Sistemas de Informação da EDP, explica o modo como o grupo português do setor da energia gere o risco cibernético e recomenda fortemente a todos os gestores de risco e empresas que tomem em séria consideração a exposição ao risco, a tomada de medidas preventivas e gestão do mesmo. “Não se trata da mediatização excessiva de um mito”, afirma. 03 ©Nicolau fullcover 98 cyber
T o say that organisations and individuals are constantly facing threats to their cybersecurity is old news and will come as a surprise to no one. Reports about cyberattacks can easily be found online with just a few clicks of your mouse or, in more traditional fashion, by leafing through a newspaper. However, if we consider thatmanyorganisationschoosenottodivulgebreaches of their security, whether because they fear the loss of customerconfidenceorbecausetheyarenotsubjectto legislation that obliges them to do so, we may assume that the reality is considerably more dramatic than the public facts suggest. In this increasingly worrying scenario, there is an urgent need for organisations and individuals to have a clearer idea of the cyber risks they face and the measures they need to adopt to mitigate them, in accordance with what the organisation deems to be an acceptable level of risk. The protective measures must ensure a perfect balance between the company’s need for protection and the requirements that will enable it to offer a streamlined and efficient response to the demands of the market in which it operates. In addition to its size and global presence, the EDP Energias de Portugal Group is responsible for systems that control crucial infrastructures in various geographies. This fact implies that the organisation’s cyber risk is relevant and complex. It can and does have a potential impact on the group’s strategy and operations because an attack on its systems could have consequences both from an organisational perspective(operations,companyimageandfinancial repercussions)andfromthepointofviewofthesociety thatitserves.Thebottomlineisthatathreattonational security could ensue. The way in which EDP approaches and manages cybersecurity risks involves firstly the definition of a governance model for information security that is aligned with the EDP group’s strategy. This approach implies the need to define protection policies on the basis of their strategic goals and, consequently, the criticality of the assets to be protected. This means, for example, that security policies would be less restrictive in office networks, where the productivity andefficiencyofthestaffisthefocusoftheinformation system, than they would in crucial infrastructures where the security and sustainability of our society couldbeatrisk.Itisimportanttonotethatthedizzying pace of technological evolution means governance must be constantly updated in terms of security. This has to be done to help address new paradigms such as Cloud or Bring Your Own Device services. Another fundamental aspect in cyber risk management is the need to align such policies with effective technological means for prevention and detection. In this respect, EDP has invested heavily in technological solutions that will enable the protection oftheperimeterandthedetectionofsecurityincidents. A security monitoring hub has been created in the form of the SOC EDP – Security Operation Centre. This Centre collates events from the various technological infrastructures and applications, and correlates M encionar que as organizações e indiví- duos estão sujeitos a constantes amea- ças à sua cibersegurança deixou de ser novidade ou mesmo razão para surpresa. As notícias sobre ataques informáticos estão à distância de uma procura na internet ou do tradi- cional folhear de um jornal. Contudo, se considerar- mos que muitas organizações optam pela não divulga- ção das suas quebras de segurança, quer por receio de perderemaconfiançadosseusclientes,querpelofacto de não estarem sujeitas a legislação que as obrigue a divulga­‑las,podemosinferirquearealidadeéconside- ravelmente mais dramática do que os factos sugerem. Neste cenário cada vez mais preocupante, torna­‑se prementeanecessidadedasorganizaçõeseindivíduos terem uma noção mais precisa dos riscos cibernéticos e, de acordo com nível de aceitação de risco definido pela organização, quais as medidas que necessitam adotar para a sua mitigação. Estas medidas de prote- ção deverão habilmente balancear a necessidade de proteção da empresa com os requisitos que lhe permi- tamrespondercomflexibilidadeeeficiênciaàsexigên- cias do mercado onde atua. O Grupo EDP Energias de Portugal, para além da sua dimensão e presença global, tem sob sua responsabi- lidade sistemas que controlam infraestruturas críticas em diversas geografias. Este facto implica que o risco cibernético da organização é relevante e complexo, com impactos na sua estratégia e atuação, conside- randoqueumataqueaosseussistemaspodeterconse- quências tanto no plano organizacional (operacional, de imagem ou financeiro), como na sociedade que serve, passando o impacto para o estatuto de ameaça à segurança nacional. A forma como a EDP enfrenta e gere estes riscos de cibersegurança passa em primeiro lugar por defi- nir um modelo de governance de segurança de infor- mação alinhado com a estratégia do Grupo EDP. Esta abordagem implica a definição de políticas de prote- ção consonantes com os seus objetivos estratégicos, e por conseguinte com a criticidade dos bens a proteger, o que leva a determinar, por exemplo, políticas de segu- rança menos restritas em redes office, onde a produtivi- dade e eficiência dos colaboradores é o foco dos siste- mas de informação, do que as políticas existentes nas infraestruturas críticas, onde poderá estar em causa a segurança e sustentabilidade da nossa sociedade. Éimportantereferirqueavertiginosaevoluçãotecnoló- gica exige uma constante atualização da governance em termosdesegurançaparacontemplarnovosparadigmas como os serviços na Cloud ou BringYourOwnDevice. Outra vertente fundamental na gestão deste risco assenta na materialização das políticas com meios tecnológicos efetivos de prevenção e deteção. Neste aspeto a EDP tem feito um forte investimento em solu- ções tecnológicas que permitam a defesa do perímetro e a deteção de incidentes de segurança. Foi criada uma valência de monitorização de segurança traduzida no SOCEDP–SecurityOperationCenter,querecolheeven- tos das diversas infraestruturas tecnológicas e aplica- ções,correlacionando­‑asdemodoaidentificarpadrões que possam criar alertas para possíveis incidentes de MDS Magazine cyber  99
them in order to pinpoint patterns that could alert us to potential security incidents. EDP also conducts continuous ethical hacking tests in order to detect security vulnerabilities in timely fashion. In terms of prevention, a fundamental aspect for the mitigation of cyber and regulatory risk is that of the management of identities and access to the EDP group’s information resources. By means of a process and a unique tool, the life cycles of approximately 19,000 identities and accesses to over 40 information resources,suchasapplicationsanddirectoriesandthe like, can be managed. Despite the robustness and effectiveness of the measures that can be implemented, it is important to beawarethat,atsomepointinthefuture,acyberattack is bound to breach all the defences that have been built. When this happens, the criminals will have successfully achieved their goal by compromising the confidentiality of our information or even the operationalcapacityandavailabilityofthesystemsthat support the business. At that point, it would be vital to react and analyse, and in this scenario resilience will be the principle to adopt. We intend to achieve this by ensuringthattheresourcesthatoperatecrucialcontrol systems are capable of responding. This involves the provision of training in cybersecurity, changing attitudesandbehaviourbymeansofawarenessraising campaigns on our internal channels (Corporate TV and radio, in­‑house magazine and Intranet) and, in particular, by designing business continuity plans, which are key in such scenarios. It should be stressed that these plans are the responsibility of all EDP Group companies. However, the continuity of IT services and, in particular, the Disaster Recovery solution implemented,playacentralroleinEDP’sresilience,in lightoftheever­‑increasingdependencyoninformation systems. All of the above factors, which encompass the phasesofprevention,detection,reactionandanalysis, translate into EDP’s approach to the issue of cyber risk management. However, we feel that we need to take a moreformalapproachwithourcyberriskmanagement efforts and have therefore started an IT Risk project to produce a risk map and a risk management process. We are hoping that this project will allow us to achieveimproveddecision­‑makingonITmanagement and, in particular, IT security, by incorporating the quantificationofriskinthedecision­‑makingprocesses. We are also expecting to achieve better quality reporting to senior management. This would lead to segurança. Ainda dentro desta vertente realizamos testes contínuos de ethical hacking de modo a poder detetaratempadamentevulnerabilidadesdesegurança. Tambémaoníveldaprevenção,umtemafundamen- tal para a mitigação do risco cibernético e regulatório relaciona­‑se com a gestão de identidades e acessos aos recursos de informação do Grupo EDP. Através de um processo e de uma ferramenta única é gerido o ciclo de vida de cerca de 19000 identidades e os acessos a mais de 40 recursos de informação (aplicações, dire- tórios, etc.). Apesar de robustez e efetividade das medidas que se possam implementar, é importante ter a consciência de que inevitavelmente algum dia um ataque ciberné- tico terá a capacidade de ultrapassar todas as defesas implementadas e que a entidade criminosa alcançará com sucesso os seus objetivos, ao afetar a confidencia- lidade da informação ou mesmo a operação e disponi- bilidadedossistemasquesuportamonegócio.Importa nesta fase reagir e analisar, sendo que neste cenário o princípio que adotámos é a resiliência. Pretendemos alcançá­‑lacomacapacitaçãodosrecursosqueoperam sistemas de controlo críticos, providenciando treino em cibersegurança, pela mudança comportamental, atravésdeaçõesdesensibilizaçãopeloscanaisinternos (CorporateTVeRádio,RevistaeIntranet)eemparticu- lar pelo desenho dos planos de continuidade de negó- cio, fulcrais nestes cenários. É relevante salientar que estes planos são da responsabilidade das empresas do Grupo EDP, no entanto, dada a crescente dependência nos sistemas de informação, a continuidade de servi- ços IT, e em particular a solução de Disaster Recovery implementada,assumemumpapelcentralnaresiliên- cia da EDP. Todos os fatores citados, que abrangem as fases de prevenção,deteção,reaçãoeanálise,traduzemnareali- dade a forma como a EDP faz a gestão do risco ciber- nético. Sentimos porém a necessidade de dotar de um caráctermaisformalestaatividade,peloqueiniciámos umprojetodeRiscoIT,comooobjetivodeproduzirum mapaderiscoseumprocessodegestãodosmesmos.É nossaexpetativaatingircomesteprojetoumamelhoria na tomada de decisão em relação à gestão de IT, e à sua segurança em particular, incorporando nos processos de decisão a quantificação do risco. É também expetá- velumamaiorqualidadedoreportingàgestãodetopo, conduzindoàtomadadedecisõesmaisfundamentada, que poderá permitir enveredar por outras opções de gestão do risco, como a viabilização de mecanismos de transferência de risco. fullcover 100 cyber
better­‑informed decision­‑making and could allow us to embark on other risk management pathways, such as the enablement of risk transfer mechanisms. Therealityofcybersecuritythreatsandcyberrisk,in particular, is far from virtual and is a serious concern. Onlyastrongsenseofresponsibility,commitmentand collaboration by organisations from different sectors, operators, insurance companies, universities, the military, politics, justice, police forces, manufacturers andthelike,willenableustostanduptothisintangible but very real cyberthreat. Such a collective effort will also give us all the confidence that the world of information, opportunities and global knowledge that we see expanding frenetically around us will help create a society with a safer, more trustworthy and more sustainable future. As ameaças à cibersegurança e o risco cibernético em particular, são uma realidade muito pouco virtual e deveras preocupante. Só com um grande sentido de responsabilidade, empenho e colaboração das organi- zações de diferentes sectores (operadores, segurado- ras, académicos, militares, politicas, justiça, policiais, fabricantes,etc.)serápossívelfazerfrenteaestaintan- gível mas muito real ciberameaça e ter confiança que o mundodainformação,oportunidadeseconhecimento globalquevemosfreneticamentecrescerànossavolta, corresponderá efetivamente a uma sociedade com um futuro mais seguro, confiável e sustentável. Paulo Moniz edp group ­– director for information security and it risk With 18 years’ experience in the world of information technology, Paulo Moniz began his career as systems administrator at EDP Distribuição before moving to EDINFOR, where he was involved in various international development projects as analyst, programmer and trainer. He later took on project management functions, having turned his attention to the field of security in 2008 when he took over leadership of Security Practice at Logica Iberia. Since 2010, he has been Director for Information Security and IT Risk at the EDP Group. Paulo completed his Degree in Electrical and Computer Engineering at the University of Lisbon’s Engineering School, Instituto Superior Técnico, in 1995. He later did a Postgraduate Degree in Information Systems at the same institution. He also has an MSc in Information Security from Carnegie Mellon University and a Master’s in Information Security from Lisbon University’s Faculty of Sciences. Com uma experiência de 18 anos no mundo das tecnologias de informação, iniciou a carreira como administrador de sistemas na EDP Distribuição, tendo posteriormente transitado para a EDINFOR onde participou em diversos projetos internacionais de desenvolvimento de soluções como analista, programador e formador. Mais tarde assumiu funções de gestão de projeto tendo abraçado a área de Segurança em 2008, quando assumiu a liderança da Security Practice na Logica Iberia. Atualmente, desde 2010, é diretor pela área de Segurança da Informação e Risco IT no Grupo EDP. Concluiu em 1995 a licenciatura em Engenharia Eletrotécnica e de Computadores pelo Instituto Superior Técnico tendo mais tarde concluído uma Pós Graduação em Sistemas de Informação (POSI) na mesma instituição. Possui também um MSc em Information Security pela Universidade de Carnegie Mellon e um Mestrado em Segurança Informática pela Faculdade de Ciências da Universidade de Lisboa. MDS Magazine cyber  101

Mais conteúdo relacionado

PDF
Futuros ciberataques vão visar sobretudo as PME
porMDS Portugal
 
PDF
INSECURE 2017
porMiguel Reis
 
PDF
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
porUniversity of North Carolina at Chapel Hill Balloni
 
PDF
Tendências em Segurança da Informação - 2012
porEdson Aguilera-Fernandes
 
PPS
Palestra
porguest95b6c3
 
PDF
Gestãorisco
porCelia Mascarenhas
 
PDF
SEGURANÇA DA INFORMAÇÃO​ E A TRANSFORMAÇÃO DIGITAL: COMO SOBREVIVER NESTE NOV...
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
Tutorialitil2
porNicole Aires
 
Futuros ciberataques vão visar sobretudo as PME
porMDS Portugal
 
INSECURE 2017
porMiguel Reis
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
porUniversity of North Carolina at Chapel Hill Balloni
 
Tendências em Segurança da Informação - 2012
porEdson Aguilera-Fernandes
 
Palestra
porguest95b6c3
 
Gestãorisco
porCelia Mascarenhas
 
SEGURANÇA DA INFORMAÇÃO​ E A TRANSFORMAÇÃO DIGITAL: COMO SOBREVIVER NESTE NOV...
porAlcyon Ferreira de Souza Junior, MSc
 
Tutorialitil2
porNicole Aires
 

Mais procurados

PDF
Gesiti seguranca,inovacao-e-sociedade abipti
porUniversity of North Carolina at Chapel Hill
 
PDF
Tcc segurança da informação
porSebastião de Aquino Ribeiro Junior
 
PDF
Trabalho Técnico apresentado no XI SIMPASE
porTI Safe
 
PDF
H11031 transforming-traditional-security-strategies-so
porJOSÉ RAMON CARIAS
 
PDF
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
porMarcos Messias
 
PDF
Symantec -Executive Report - edicao 1
porSymantec Brasil
 
PDF
Singularity University 2020 Cybersecurity e trabalho remoto
porCLEBER VISCONTI
 
PDF
Modulo 01 CapíTulo 04
porRobson Silva Espig
 
PDF
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
porTI Safe
 
PDF
Modulo 01 Capitulo 03
porRobson Silva Espig
 
PDF
Risk Report
porGabriela Makhoul
 
PDF
Modulo 01 Capitulo 02
porRobson Silva Espig
 
PDF
Modulo 01 Capitulo 01
porRobson Silva Espig
 
PDF
Essentials Modulo1
porRobson Silva Espig
 
PDF
Curso oficial iso 27002 versão 2013 foundation
porAdriano Martins Antonio
 
PDF
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
porCláudio Dodt
 
Gesiti seguranca,inovacao-e-sociedade abipti
porUniversity of North Carolina at Chapel Hill
 
Tcc segurança da informação
porSebastião de Aquino Ribeiro Junior
 
Trabalho Técnico apresentado no XI SIMPASE
porTI Safe
 
H11031 transforming-traditional-security-strategies-so
porJOSÉ RAMON CARIAS
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
porMarcos Messias
 
Symantec -Executive Report - edicao 1
porSymantec Brasil
 
Singularity University 2020 Cybersecurity e trabalho remoto
porCLEBER VISCONTI
 
Modulo 01 CapíTulo 04
porRobson Silva Espig
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
porTI Safe
 
Modulo 01 Capitulo 03
porRobson Silva Espig
 
Risk Report
porGabriela Makhoul
 
Modulo 01 Capitulo 02
porRobson Silva Espig
 
Modulo 01 Capitulo 01
porRobson Silva Espig
 
Essentials Modulo1
porRobson Silva Espig
 
Curso oficial iso 27002 versão 2013 foundation
porAdriano Martins Antonio
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
porCláudio Dodt
 

Destaque

PDF
FULLCOVER | Cyber risk dossier | To boldly go
porMDS Portugal
 
DOCX
VanityPantry
porFayme Brummel
 
PDF
Star Search - Natl Journal
porTavia Gilchrist
 
PPT
Presentacón de Nxtmdia
porbasteiro
 
PPS
Las Papeleras
pormane289
 
PDF
FULLCOVER | Sailing, risk and passion
porMDS Portugal
 
PDF
Trasparenza nella rappresentanza di interessi. Benefici per istituzioni, orga...
porGiovanni Gatto
 
PPT
Презентация патриотического воспитания по ознакомлению с родным городом старш...
porsaimat29
 
PPTX
衣服購買における消費者行動について
poronigiri tabetai
 
PPTX
Proyecto de ciencias anny
porAnyela Padilla Avila
 
PPTX
Comentario La Vocación de San Mateo de Caravaggio
porIgnacio Sobrón García
 
PPTX
Job Oriented ! Batra Computer Centre
porjatin batra
 
PPTX
Quantitative Sampling Techniques
porMaryam Baig
 
FULLCOVER | Cyber risk dossier | To boldly go
porMDS Portugal
 
VanityPantry
porFayme Brummel
 
Star Search - Natl Journal
porTavia Gilchrist
 
Presentacón de Nxtmdia
porbasteiro
 
Las Papeleras
pormane289
 
FULLCOVER | Sailing, risk and passion
porMDS Portugal
 
Trasparenza nella rappresentanza di interessi. Benefici per istituzioni, orga...
porGiovanni Gatto
 
Презентация патриотического воспитания по ознакомлению с родным городом старш...
porsaimat29
 
衣服購買における消費者行動について
poronigiri tabetai
 
Proyecto de ciencias anny
porAnyela Padilla Avila
 
Comentario La Vocación de San Mateo de Caravaggio
porIgnacio Sobrón García
 
Job Oriented ! Batra Computer Centre
porjatin batra
 
Quantitative Sampling Techniques
porMaryam Baig
 

Semelhante a FULLCOVER

PDF
Fullcover 8 | A recipe for cyber defence
porMDS Portugal
 
PDF
FULLCOVER | Awareness key to cyber risk transfer demand
porMDS Portugal
 
PDF
UMA NOVA CATEGORIA: O CIBER SEGURO
porÓscar Cardoso Vieira
 
PDF
Unbroken Apresentação Institucional 2018
porFernando Dulinski
 
PDF
Unbroken Institutional
porunbrokensecurity
 
DOCX
Cap5e6
porShirley Oliveira
 
PDF
Fatec 2020 Cybersecurity uma visão pratica e objetiva
porCLEBER VISCONTI
 
PDF
Seguro Cyber | Ativos intangíveis e o valor na sua empresa
porPhishX
 
PDF
FULLCOVER | Risco Cibernético
porMDS Portugal
 
PDF
FULLCOVER | Cyber Risk dossier
porMDS Portugal
 
PDF
Decision Report
porPriscila Stuani
 
PDF
Live Tendencias 2023 Alberto
porFernando Nery
 
PDF
Desafios Futuros e Oportunidades
porMarcio Cunha
 
PDF
Testes de segurança desafios e oportunidades
porQualister
 
PPTX
II Conferência do Cyber Manifesto
porMódulo Security Solutions
 
PPTX
Sistemas da informação1
porgabrio2022
 
PDF
Gestão de Risco de TI - RNP
porEdneyAlmeida2
 
PDF
Conceitos e práticas para a cibersegurança como atividade do dia-a-dia
porenfsofiaucc
 
PPTX
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
porcaugustovitor1
 
DOCX
Mini política de Segurança da Informação - Análise de Riscos
porAnderson Zardo
 
Fullcover 8 | A recipe for cyber defence
porMDS Portugal
 
FULLCOVER | Awareness key to cyber risk transfer demand
porMDS Portugal
 
UMA NOVA CATEGORIA: O CIBER SEGURO
porÓscar Cardoso Vieira
 
Unbroken Apresentação Institucional 2018
porFernando Dulinski
 
Unbroken Institutional
porunbrokensecurity
 
Cap5e6
porShirley Oliveira
 
Fatec 2020 Cybersecurity uma visão pratica e objetiva
porCLEBER VISCONTI
 
Seguro Cyber | Ativos intangíveis e o valor na sua empresa
porPhishX
 
FULLCOVER | Risco Cibernético
porMDS Portugal
 
FULLCOVER | Cyber Risk dossier
porMDS Portugal
 
Decision Report
porPriscila Stuani
 
Live Tendencias 2023 Alberto
porFernando Nery
 
Desafios Futuros e Oportunidades
porMarcio Cunha
 
Testes de segurança desafios e oportunidades
porQualister
 
II Conferência do Cyber Manifesto
porMódulo Security Solutions
 
Sistemas da informação1
porgabrio2022
 
Gestão de Risco de TI - RNP
porEdneyAlmeida2
 
Conceitos e práticas para a cibersegurança como atividade do dia-a-dia
porenfsofiaucc
 
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
porcaugustovitor1
 
Mini política de Segurança da Informação - Análise de Riscos
porAnderson Zardo
 

Último

PDF
Wall Street - O Livro Proibido - Raiam Santos.pdf
poreuoldair1972
 
PPTX
Aula 01 - Empreende Mais - Módulo Marketing em Vendas.pptx
porCleverson Neves
 
PDF
resumo_materias historia_7_ano_das_sociedades_recoletoras_as_primeiras_socied...
porAvelino Rocha
 
PDF
Apresentação Fox Treinamentos ead - CFPN 1
porfoxtreinamentos01
 
PPTX
Fatores Críticos para o Sucesso em Projetos de Software: Evidências Empíricas...
porWladimir Farias Tenorio Filho
 
PPT
REVOLUÇÃO INDUSTRIAL.ppt 234567894567890
porjocilenegold23
 
PDF
O perfil de liderança das healthtechs catarinenses - Helton Marinho.pdf
porbidjan1
 
Wall Street - O Livro Proibido - Raiam Santos.pdf
poreuoldair1972
 
Aula 01 - Empreende Mais - Módulo Marketing em Vendas.pptx
porCleverson Neves
 
resumo_materias historia_7_ano_das_sociedades_recoletoras_as_primeiras_socied...
porAvelino Rocha
 
Apresentação Fox Treinamentos ead - CFPN 1
porfoxtreinamentos01
 
Fatores Críticos para o Sucesso em Projetos de Software: Evidências Empíricas...
porWladimir Farias Tenorio Filho
 
REVOLUÇÃO INDUSTRIAL.ppt 234567894567890
porjocilenegold23
 
O perfil de liderança das healthtechs catarinenses - Helton Marinho.pdf
porbidjan1
 

FULLCOVER

  • 1.
    Cyber: this risk isreal and needs to be managed Cibersegurança: o risco é real e é preciso geri­‑lo Paulo Moniz, Director of Security, EDP Information Systems Department, explains how the Portugese power group manages its cyber risk and urges all business and risk managers to take the exposure, its prevention and management very seriously. This is no media hype, argues Mr Moniz. Paulo Moniz, Diretor de Segurança da Direção de Sistemas de Informação da EDP, explica o modo como o grupo português do setor da energia gere o risco cibernético e recomenda fortemente a todos os gestores de risco e empresas que tomem em séria consideração a exposição ao risco, a tomada de medidas preventivas e gestão do mesmo. “Não se trata da mediatização excessiva de um mito”, afirma. 03 ©Nicolau fullcover 98 cyber
  • 2.
    T o say thatorganisations and individuals are constantly facing threats to their cybersecurity is old news and will come as a surprise to no one. Reports about cyberattacks can easily be found online with just a few clicks of your mouse or, in more traditional fashion, by leafing through a newspaper. However, if we consider thatmanyorganisationschoosenottodivulgebreaches of their security, whether because they fear the loss of customerconfidenceorbecausetheyarenotsubjectto legislation that obliges them to do so, we may assume that the reality is considerably more dramatic than the public facts suggest. In this increasingly worrying scenario, there is an urgent need for organisations and individuals to have a clearer idea of the cyber risks they face and the measures they need to adopt to mitigate them, in accordance with what the organisation deems to be an acceptable level of risk. The protective measures must ensure a perfect balance between the company’s need for protection and the requirements that will enable it to offer a streamlined and efficient response to the demands of the market in which it operates. In addition to its size and global presence, the EDP Energias de Portugal Group is responsible for systems that control crucial infrastructures in various geographies. This fact implies that the organisation’s cyber risk is relevant and complex. It can and does have a potential impact on the group’s strategy and operations because an attack on its systems could have consequences both from an organisational perspective(operations,companyimageandfinancial repercussions)andfromthepointofviewofthesociety thatitserves.Thebottomlineisthatathreattonational security could ensue. The way in which EDP approaches and manages cybersecurity risks involves firstly the definition of a governance model for information security that is aligned with the EDP group’s strategy. This approach implies the need to define protection policies on the basis of their strategic goals and, consequently, the criticality of the assets to be protected. This means, for example, that security policies would be less restrictive in office networks, where the productivity andefficiencyofthestaffisthefocusoftheinformation system, than they would in crucial infrastructures where the security and sustainability of our society couldbeatrisk.Itisimportanttonotethatthedizzying pace of technological evolution means governance must be constantly updated in terms of security. This has to be done to help address new paradigms such as Cloud or Bring Your Own Device services. Another fundamental aspect in cyber risk management is the need to align such policies with effective technological means for prevention and detection. In this respect, EDP has invested heavily in technological solutions that will enable the protection oftheperimeterandthedetectionofsecurityincidents. A security monitoring hub has been created in the form of the SOC EDP – Security Operation Centre. This Centre collates events from the various technological infrastructures and applications, and correlates M encionar que as organizações e indiví- duos estão sujeitos a constantes amea- ças à sua cibersegurança deixou de ser novidade ou mesmo razão para surpresa. As notícias sobre ataques informáticos estão à distância de uma procura na internet ou do tradi- cional folhear de um jornal. Contudo, se considerar- mos que muitas organizações optam pela não divulga- ção das suas quebras de segurança, quer por receio de perderemaconfiançadosseusclientes,querpelofacto de não estarem sujeitas a legislação que as obrigue a divulga­‑las,podemosinferirquearealidadeéconside- ravelmente mais dramática do que os factos sugerem. Neste cenário cada vez mais preocupante, torna­‑se prementeanecessidadedasorganizaçõeseindivíduos terem uma noção mais precisa dos riscos cibernéticos e, de acordo com nível de aceitação de risco definido pela organização, quais as medidas que necessitam adotar para a sua mitigação. Estas medidas de prote- ção deverão habilmente balancear a necessidade de proteção da empresa com os requisitos que lhe permi- tamrespondercomflexibilidadeeeficiênciaàsexigên- cias do mercado onde atua. O Grupo EDP Energias de Portugal, para além da sua dimensão e presença global, tem sob sua responsabi- lidade sistemas que controlam infraestruturas críticas em diversas geografias. Este facto implica que o risco cibernético da organização é relevante e complexo, com impactos na sua estratégia e atuação, conside- randoqueumataqueaosseussistemaspodeterconse- quências tanto no plano organizacional (operacional, de imagem ou financeiro), como na sociedade que serve, passando o impacto para o estatuto de ameaça à segurança nacional. A forma como a EDP enfrenta e gere estes riscos de cibersegurança passa em primeiro lugar por defi- nir um modelo de governance de segurança de infor- mação alinhado com a estratégia do Grupo EDP. Esta abordagem implica a definição de políticas de prote- ção consonantes com os seus objetivos estratégicos, e por conseguinte com a criticidade dos bens a proteger, o que leva a determinar, por exemplo, políticas de segu- rança menos restritas em redes office, onde a produtivi- dade e eficiência dos colaboradores é o foco dos siste- mas de informação, do que as políticas existentes nas infraestruturas críticas, onde poderá estar em causa a segurança e sustentabilidade da nossa sociedade. Éimportantereferirqueavertiginosaevoluçãotecnoló- gica exige uma constante atualização da governance em termosdesegurançaparacontemplarnovosparadigmas como os serviços na Cloud ou BringYourOwnDevice. Outra vertente fundamental na gestão deste risco assenta na materialização das políticas com meios tecnológicos efetivos de prevenção e deteção. Neste aspeto a EDP tem feito um forte investimento em solu- ções tecnológicas que permitam a defesa do perímetro e a deteção de incidentes de segurança. Foi criada uma valência de monitorização de segurança traduzida no SOCEDP–SecurityOperationCenter,querecolheeven- tos das diversas infraestruturas tecnológicas e aplica- ções,correlacionando­‑asdemodoaidentificarpadrões que possam criar alertas para possíveis incidentes de MDS Magazine cyber  99
  • 3.
    them in orderto pinpoint patterns that could alert us to potential security incidents. EDP also conducts continuous ethical hacking tests in order to detect security vulnerabilities in timely fashion. In terms of prevention, a fundamental aspect for the mitigation of cyber and regulatory risk is that of the management of identities and access to the EDP group’s information resources. By means of a process and a unique tool, the life cycles of approximately 19,000 identities and accesses to over 40 information resources,suchasapplicationsanddirectoriesandthe like, can be managed. Despite the robustness and effectiveness of the measures that can be implemented, it is important to beawarethat,atsomepointinthefuture,acyberattack is bound to breach all the defences that have been built. When this happens, the criminals will have successfully achieved their goal by compromising the confidentiality of our information or even the operationalcapacityandavailabilityofthesystemsthat support the business. At that point, it would be vital to react and analyse, and in this scenario resilience will be the principle to adopt. We intend to achieve this by ensuringthattheresourcesthatoperatecrucialcontrol systems are capable of responding. This involves the provision of training in cybersecurity, changing attitudesandbehaviourbymeansofawarenessraising campaigns on our internal channels (Corporate TV and radio, in­‑house magazine and Intranet) and, in particular, by designing business continuity plans, which are key in such scenarios. It should be stressed that these plans are the responsibility of all EDP Group companies. However, the continuity of IT services and, in particular, the Disaster Recovery solution implemented,playacentralroleinEDP’sresilience,in lightoftheever­‑increasingdependencyoninformation systems. All of the above factors, which encompass the phasesofprevention,detection,reactionandanalysis, translate into EDP’s approach to the issue of cyber risk management. However, we feel that we need to take a moreformalapproachwithourcyberriskmanagement efforts and have therefore started an IT Risk project to produce a risk map and a risk management process. We are hoping that this project will allow us to achieveimproveddecision­‑makingonITmanagement and, in particular, IT security, by incorporating the quantificationofriskinthedecision­‑makingprocesses. We are also expecting to achieve better quality reporting to senior management. This would lead to segurança. Ainda dentro desta vertente realizamos testes contínuos de ethical hacking de modo a poder detetaratempadamentevulnerabilidadesdesegurança. Tambémaoníveldaprevenção,umtemafundamen- tal para a mitigação do risco cibernético e regulatório relaciona­‑se com a gestão de identidades e acessos aos recursos de informação do Grupo EDP. Através de um processo e de uma ferramenta única é gerido o ciclo de vida de cerca de 19000 identidades e os acessos a mais de 40 recursos de informação (aplicações, dire- tórios, etc.). Apesar de robustez e efetividade das medidas que se possam implementar, é importante ter a consciência de que inevitavelmente algum dia um ataque ciberné- tico terá a capacidade de ultrapassar todas as defesas implementadas e que a entidade criminosa alcançará com sucesso os seus objetivos, ao afetar a confidencia- lidade da informação ou mesmo a operação e disponi- bilidadedossistemasquesuportamonegócio.Importa nesta fase reagir e analisar, sendo que neste cenário o princípio que adotámos é a resiliência. Pretendemos alcançá­‑lacomacapacitaçãodosrecursosqueoperam sistemas de controlo críticos, providenciando treino em cibersegurança, pela mudança comportamental, atravésdeaçõesdesensibilizaçãopeloscanaisinternos (CorporateTVeRádio,RevistaeIntranet)eemparticu- lar pelo desenho dos planos de continuidade de negó- cio, fulcrais nestes cenários. É relevante salientar que estes planos são da responsabilidade das empresas do Grupo EDP, no entanto, dada a crescente dependência nos sistemas de informação, a continuidade de servi- ços IT, e em particular a solução de Disaster Recovery implementada,assumemumpapelcentralnaresiliên- cia da EDP. Todos os fatores citados, que abrangem as fases de prevenção,deteção,reaçãoeanálise,traduzemnareali- dade a forma como a EDP faz a gestão do risco ciber- nético. Sentimos porém a necessidade de dotar de um caráctermaisformalestaatividade,peloqueiniciámos umprojetodeRiscoIT,comooobjetivodeproduzirum mapaderiscoseumprocessodegestãodosmesmos.É nossaexpetativaatingircomesteprojetoumamelhoria na tomada de decisão em relação à gestão de IT, e à sua segurança em particular, incorporando nos processos de decisão a quantificação do risco. É também expetá- velumamaiorqualidadedoreportingàgestãodetopo, conduzindoàtomadadedecisõesmaisfundamentada, que poderá permitir enveredar por outras opções de gestão do risco, como a viabilização de mecanismos de transferência de risco. fullcover 100 cyber
  • 4.
    better­‑informed decision­‑making andcould allow us to embark on other risk management pathways, such as the enablement of risk transfer mechanisms. Therealityofcybersecuritythreatsandcyberrisk,in particular, is far from virtual and is a serious concern. Onlyastrongsenseofresponsibility,commitmentand collaboration by organisations from different sectors, operators, insurance companies, universities, the military, politics, justice, police forces, manufacturers andthelike,willenableustostanduptothisintangible but very real cyberthreat. Such a collective effort will also give us all the confidence that the world of information, opportunities and global knowledge that we see expanding frenetically around us will help create a society with a safer, more trustworthy and more sustainable future. As ameaças à cibersegurança e o risco cibernético em particular, são uma realidade muito pouco virtual e deveras preocupante. Só com um grande sentido de responsabilidade, empenho e colaboração das organi- zações de diferentes sectores (operadores, segurado- ras, académicos, militares, politicas, justiça, policiais, fabricantes,etc.)serápossívelfazerfrenteaestaintan- gível mas muito real ciberameaça e ter confiança que o mundodainformação,oportunidadeseconhecimento globalquevemosfreneticamentecrescerànossavolta, corresponderá efetivamente a uma sociedade com um futuro mais seguro, confiável e sustentável. Paulo Moniz edp group ­– director for information security and it risk With 18 years’ experience in the world of information technology, Paulo Moniz began his career as systems administrator at EDP Distribuição before moving to EDINFOR, where he was involved in various international development projects as analyst, programmer and trainer. He later took on project management functions, having turned his attention to the field of security in 2008 when he took over leadership of Security Practice at Logica Iberia. Since 2010, he has been Director for Information Security and IT Risk at the EDP Group. Paulo completed his Degree in Electrical and Computer Engineering at the University of Lisbon’s Engineering School, Instituto Superior Técnico, in 1995. He later did a Postgraduate Degree in Information Systems at the same institution. He also has an MSc in Information Security from Carnegie Mellon University and a Master’s in Information Security from Lisbon University’s Faculty of Sciences. Com uma experiência de 18 anos no mundo das tecnologias de informação, iniciou a carreira como administrador de sistemas na EDP Distribuição, tendo posteriormente transitado para a EDINFOR onde participou em diversos projetos internacionais de desenvolvimento de soluções como analista, programador e formador. Mais tarde assumiu funções de gestão de projeto tendo abraçado a área de Segurança em 2008, quando assumiu a liderança da Security Practice na Logica Iberia. Atualmente, desde 2010, é diretor pela área de Segurança da Informação e Risco IT no Grupo EDP. Concluiu em 1995 a licenciatura em Engenharia Eletrotécnica e de Computadores pelo Instituto Superior Técnico tendo mais tarde concluído uma Pós Graduação em Sistemas de Informação (POSI) na mesma instituição. Possui também um MSc em Information Security pela Universidade de Carnegie Mellon e um Mestrado em Segurança Informática pela Faculdade de Ciências da Universidade de Lisboa. MDS Magazine cyber  101