Este documento apresenta o conceito e desenho de um programa integrado de segurança da informação para sistemas de automação da Vale. Inicialmente, descreve o cenário atual de ameaças e riscos à segurança destes sistemas. Em seguida, detalha a avaliação de riscos realizada e o planejamento de ações de segurança para cada área operacional priorizada. Por fim, estabelece um programa completo de segurança cibernética para os sistemas de automação da empresa baseado em padrões internacionais.
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel GuilizeTI Safe
O documento descreve a aplicação do método ATAM para avaliação de segurança em sistemas críticos de automação. O método ATAM é apresentado em 3 fases e vários passos para identificar pontos fracos, requisitos arquiteturais e tradeoffs de segurança. O caso prático avalia um sistema SCADA para gerenciamento de usinas hidrelétricas com base nos requisitos de segurança da norma ISA 99.
[1] O documento discute a importância de quebrar paradigmas de segurança e implementar boas práticas de segurança em sistemas SCADA na TBG. [2] Ele analisa paradigmas comuns como a ideia de que antivírus e atualizações de SO não devem ser usados em SCADA e propõe alternativas como implementar antivírus e atualizações de forma segura. [3] Também descreve boas práticas implementadas no SCADA da TBG como uso de antivírus, Active Directory, firewalls e redundância para melhorar a segurança.
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
Este documento apresenta a formação em segurança de automação industrial oferecida pela empresa TI Safe. A formação tem como objetivo capacitar profissionais a identificar riscos em redes industriais e recomendar contramedidas de acordo com normas internacionais de segurança. O curso dura 20 horas divididas em 5 módulos e inclui aulas teóricas e práticas com simuladores de redes industriais. A apostila é fornecida digitalmente antes do início das aulas.
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
O documento discute a implementação de segurança em redes de automação industrial utilizando padrões abertos, como o ANSI/ISA-99. Ele apresenta o modelo de zonas e condutos da norma para agrupar ativos lógicos e definir políticas de segurança. O documento também descreve a aplicação deste modelo em uma refinaria, dividindo seus sistemas em zonas baseadas em funções operacionais e requisitos de segurança.
Este capítulo apresenta a evolução da segurança da informação ao longo da história, desde as primeiras formas de registro de informação na pré-história até as modernas tecnologias digitais. Também define o conceito de informação e a importância de sua proteção para as organizações. Por fim, introduz os conceitos básicos de segurança da informação.
O documento discute os conceitos e princípios de gestão de riscos, identificando, analisando e reduzindo riscos a um nível aceitável. Existem quatro opções para tratamento de riscos: evitar, controlar, transferir ou aceitar. A escolha depende da análise dos riscos relevantes e do nível de risco considerado aceitável para a organização.
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel GuilizeTI Safe
O documento descreve a aplicação do método ATAM para avaliação de segurança em sistemas críticos de automação. O método ATAM é apresentado em 3 fases e vários passos para identificar pontos fracos, requisitos arquiteturais e tradeoffs de segurança. O caso prático avalia um sistema SCADA para gerenciamento de usinas hidrelétricas com base nos requisitos de segurança da norma ISA 99.
[1] O documento discute a importância de quebrar paradigmas de segurança e implementar boas práticas de segurança em sistemas SCADA na TBG. [2] Ele analisa paradigmas comuns como a ideia de que antivírus e atualizações de SO não devem ser usados em SCADA e propõe alternativas como implementar antivírus e atualizações de forma segura. [3] Também descreve boas práticas implementadas no SCADA da TBG como uso de antivírus, Active Directory, firewalls e redundância para melhorar a segurança.
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
Este documento apresenta a formação em segurança de automação industrial oferecida pela empresa TI Safe. A formação tem como objetivo capacitar profissionais a identificar riscos em redes industriais e recomendar contramedidas de acordo com normas internacionais de segurança. O curso dura 20 horas divididas em 5 módulos e inclui aulas teóricas e práticas com simuladores de redes industriais. A apostila é fornecida digitalmente antes do início das aulas.
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
O documento discute a implementação de segurança em redes de automação industrial utilizando padrões abertos, como o ANSI/ISA-99. Ele apresenta o modelo de zonas e condutos da norma para agrupar ativos lógicos e definir políticas de segurança. O documento também descreve a aplicação deste modelo em uma refinaria, dividindo seus sistemas em zonas baseadas em funções operacionais e requisitos de segurança.
Este capítulo apresenta a evolução da segurança da informação ao longo da história, desde as primeiras formas de registro de informação na pré-história até as modernas tecnologias digitais. Também define o conceito de informação e a importância de sua proteção para as organizações. Por fim, introduz os conceitos básicos de segurança da informação.
O documento discute os conceitos e princípios de gestão de riscos, identificando, analisando e reduzindo riscos a um nível aceitável. Existem quatro opções para tratamento de riscos: evitar, controlar, transferir ou aceitar. A escolha depende da análise dos riscos relevantes e do nível de risco considerado aceitável para a organização.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.TI Safe
O documento discute a segurança cibernética de sistemas de automação de energia. Apresenta os riscos crescentes de ataques cibernéticos à infraestrutura crítica com a adoção de redes Ethernet e conectividade à internet. Defende a abordagem de Defesa em Profundidade para mitigar riscos, segmentando redes, aplicando firewalls, criptografia e hardening de sistemas. Conclui destacando a necessidade de capacitação de equipes e atualização da legislação brasileira para garantir a segurança desses
Antônio Marcos Ferreira é um engenheiro de 34 anos com experiência em projetos de automação, elétrica, manutenção e qualidade em grandes empresas como Vale e Gerdau. Ele tem formação em engenharia de controle e automação e MBA em gestão de projetos.
A Segurança Baseada em Comportamento envolve observações de comportamentos seguros e inseguros no trabalho para fornecer feedback e melhorar a segurança. Isso resulta em menos acidentes, maior cumprimento de procedimentos de segurança e reconhecimento dos funcionários.
Este documento descreve a Norma Técnica ABNT NBR ISO 31000, que estabelece princípios e diretrizes para a gestão de riscos. A norma fornece um processo para identificar, analisar, avaliar e tratar riscos de forma sistemática e estruturada. Ela define termos-chave relacionados à gestão de riscos e estabelece princípios e uma estrutura para que organizações implementem processos efetivos de gestão de riscos.
32 Congresso Brasileiro dos Fundos de Pensao- Visao de Futuro, inovar no presente.
Palestra Tecnica Modelo de Gestao de Risco Corporativo - FUNCEF. Por Marco Antonio Silva
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
O documento discute a evolução da gestão tradicional de riscos para a Gestão Integrada de Riscos e Compliance (GRC). Apresenta os motivos para a adoção da GRC, como a complexidade crescente do ambiente de negócios, e descreve os principais elementos do portfólio de produtos da GRC, incluindo a disseminação de taxonomias, monitoramento de indicadores e a consolidação de informações.
O documento descreve a Técnica de Incidentes Críticos, um método para identificar riscos antes que acidentes ocorram. A técnica envolve entrevistas com funcionários selecionados aleatoriamente para relatar incidentes críticos observados, que são classificados e analisados para prevenir futuros problemas. O objetivo é melhorar a segurança detectando áreas de risco a partir da perspectiva de quem está na linha de frente.
O documento apresenta uma classificação das Normas Regulamentadoras (NRs) em 4 grupos com base nos riscos e controle de riscos. O Grupo II inclui NRs para avaliação de riscos graves, o Grupo III inclui NRs para planejamento, gestão e auditoria de riscos, e o Grupo IV inclui NRs para consolidação do controle de riscos pela auditoria fiscal. A classificação visa entender as NRs de forma articulada e estabelecer relações entre os grupos, riscos e funções técnicas.
Este documento discute a prevenção de acidentes no ambiente de trabalho, especificamente:
1) A prevenção tem como objetivo proporcionar ao trabalhador condições para manter sua saúde;
2) Existem dois tipos de prevenção: passiva, que estuda acidentes passados para evitar repeti-los, e ativa, que identifica riscos potenciais antecipadamente;
3) Ambos os tipos de prevenção são necessários para proteger a saúde dos trabalhadores.
Este documento descreve técnicas para identificação de riscos, incluindo Análise Preliminar de Risco (APP). A APP é uma metodologia estruturada para identificar perigos potenciais, examinar como energia ou materiais podem ser liberados de forma descontrolada, e avaliar riscos qualitativamente para priorização. O documento explica o processo de APP, incluindo coleta de informações, preenchimento de planilhas, e análise estatística dos cenários de risco identificados.
O curso de 8 horas ensina sobre medidas de segurança para trabalhos em altura acima de 2 metros, cobrindo planejamento, organização e execução para proteger a saúde dos trabalhadores, de acordo com a Norma Regulamentadora 35. O curso é oferecido em todo o Brasil pelos telefones listados.
Este documento discute a avaliação de riscos nos locais de trabalho. Aborda conceitos e objetivos da avaliação de riscos, incluindo a identificação de perigos e avaliação dos riscos associados. Fornece diretrizes metodológicas para a avaliação de riscos, como envolver trabalhadores e considerar diferentes grupos.
O documento descreve os principais riscos à saúde e segurança no setor elétrico, incluindo riscos elétricos, de queda, no transporte e com equipamentos. Ele também discute a Análise Preliminar de Risco e Check List como ferramentas para identificar riscos e planejar atividades de forma segura.
O documento apresenta um plano tático de segurança para o Centro Empresarial de São Paulo, com 12 fases: identificação de perigos, fatores de risco, diagnóstico SWOT, matriz de impacto cruzado, probabilidade, impacto no negócio, vulnerabilidade, soluções, plano de ação, controle PDCA, justificativa e conclusão. O objetivo é identificar e tratar riscos que prejudiquem o crescimento sustentável da organização de forma econômica.
O documento descreve o QualysGuard Vulnerability Management, uma solução de gerenciamento de vulnerabilidades que identifica riscos de segurança de forma automatizada e sem a necessidade de instalação de softwares. Ela oferece proteção contínua por meio de varreduras diárias e relatórios que auxiliam na priorização e correção de vulnerabilidades. A solução integra diversos sistemas de TI para simplificar a gestão de segurança.
A Norma Regulamentadora 35 estabelece requisitos para garantir a segurança e saúde de trabalhadores em altura, definindo altura acima de 2m como trabalho em altura. Ela exige capacitação, análise de riscos, uso de EPI e medidas preventivas como prioridade sobre EPI. O documento detalha causas comuns de acidentes em altura e medidas de proteção como andaimes, redes e cintos de segurança.
O documento apresenta uma classificação das Normas Regulamentadoras (NRs) em 4 grupos com base nos riscos e controle de riscos. O Grupo II inclui NRs para avaliação de riscos graves, o Grupo III inclui NRs para planejamento, gestão e auditoria de riscos, e o Grupo IV inclui NRs para consolidação do controle de riscos pela auditoria fiscal. A classificação visa entender as NRs de forma articulada e estabelecer relações entre os grupos, riscos e funções técnicas.
O documento apresenta 11 estratégias de segurança para redes de automação e sistemas SCADA. As estratégias incluem segurança de borda, proteção da rede SCADA, controle de malware e segurança de dados. O objetivo é implementar as melhores práticas de segurança cibernética descritas na norma ANSI/ISA-99 para proteger sistemas industriais e infraestruturas críticas.
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
O documento discute a importância dos testes de segurança em softwares. Ele apresenta os principais tipos de falhas de segurança e como iniciar um programa de testes de segurança, começando por entender os objetivos do sistema, categorizar níveis de segurança e identificar normas e melhores práticas de segurança da informação.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.TI Safe
O documento discute a segurança cibernética de sistemas de automação de energia. Apresenta os riscos crescentes de ataques cibernéticos à infraestrutura crítica com a adoção de redes Ethernet e conectividade à internet. Defende a abordagem de Defesa em Profundidade para mitigar riscos, segmentando redes, aplicando firewalls, criptografia e hardening de sistemas. Conclui destacando a necessidade de capacitação de equipes e atualização da legislação brasileira para garantir a segurança desses
Antônio Marcos Ferreira é um engenheiro de 34 anos com experiência em projetos de automação, elétrica, manutenção e qualidade em grandes empresas como Vale e Gerdau. Ele tem formação em engenharia de controle e automação e MBA em gestão de projetos.
A Segurança Baseada em Comportamento envolve observações de comportamentos seguros e inseguros no trabalho para fornecer feedback e melhorar a segurança. Isso resulta em menos acidentes, maior cumprimento de procedimentos de segurança e reconhecimento dos funcionários.
Este documento descreve a Norma Técnica ABNT NBR ISO 31000, que estabelece princípios e diretrizes para a gestão de riscos. A norma fornece um processo para identificar, analisar, avaliar e tratar riscos de forma sistemática e estruturada. Ela define termos-chave relacionados à gestão de riscos e estabelece princípios e uma estrutura para que organizações implementem processos efetivos de gestão de riscos.
32 Congresso Brasileiro dos Fundos de Pensao- Visao de Futuro, inovar no presente.
Palestra Tecnica Modelo de Gestao de Risco Corporativo - FUNCEF. Por Marco Antonio Silva
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
O documento discute a evolução da gestão tradicional de riscos para a Gestão Integrada de Riscos e Compliance (GRC). Apresenta os motivos para a adoção da GRC, como a complexidade crescente do ambiente de negócios, e descreve os principais elementos do portfólio de produtos da GRC, incluindo a disseminação de taxonomias, monitoramento de indicadores e a consolidação de informações.
O documento descreve a Técnica de Incidentes Críticos, um método para identificar riscos antes que acidentes ocorram. A técnica envolve entrevistas com funcionários selecionados aleatoriamente para relatar incidentes críticos observados, que são classificados e analisados para prevenir futuros problemas. O objetivo é melhorar a segurança detectando áreas de risco a partir da perspectiva de quem está na linha de frente.
O documento apresenta uma classificação das Normas Regulamentadoras (NRs) em 4 grupos com base nos riscos e controle de riscos. O Grupo II inclui NRs para avaliação de riscos graves, o Grupo III inclui NRs para planejamento, gestão e auditoria de riscos, e o Grupo IV inclui NRs para consolidação do controle de riscos pela auditoria fiscal. A classificação visa entender as NRs de forma articulada e estabelecer relações entre os grupos, riscos e funções técnicas.
Este documento discute a prevenção de acidentes no ambiente de trabalho, especificamente:
1) A prevenção tem como objetivo proporcionar ao trabalhador condições para manter sua saúde;
2) Existem dois tipos de prevenção: passiva, que estuda acidentes passados para evitar repeti-los, e ativa, que identifica riscos potenciais antecipadamente;
3) Ambos os tipos de prevenção são necessários para proteger a saúde dos trabalhadores.
Este documento descreve técnicas para identificação de riscos, incluindo Análise Preliminar de Risco (APP). A APP é uma metodologia estruturada para identificar perigos potenciais, examinar como energia ou materiais podem ser liberados de forma descontrolada, e avaliar riscos qualitativamente para priorização. O documento explica o processo de APP, incluindo coleta de informações, preenchimento de planilhas, e análise estatística dos cenários de risco identificados.
O curso de 8 horas ensina sobre medidas de segurança para trabalhos em altura acima de 2 metros, cobrindo planejamento, organização e execução para proteger a saúde dos trabalhadores, de acordo com a Norma Regulamentadora 35. O curso é oferecido em todo o Brasil pelos telefones listados.
Este documento discute a avaliação de riscos nos locais de trabalho. Aborda conceitos e objetivos da avaliação de riscos, incluindo a identificação de perigos e avaliação dos riscos associados. Fornece diretrizes metodológicas para a avaliação de riscos, como envolver trabalhadores e considerar diferentes grupos.
O documento descreve os principais riscos à saúde e segurança no setor elétrico, incluindo riscos elétricos, de queda, no transporte e com equipamentos. Ele também discute a Análise Preliminar de Risco e Check List como ferramentas para identificar riscos e planejar atividades de forma segura.
O documento apresenta um plano tático de segurança para o Centro Empresarial de São Paulo, com 12 fases: identificação de perigos, fatores de risco, diagnóstico SWOT, matriz de impacto cruzado, probabilidade, impacto no negócio, vulnerabilidade, soluções, plano de ação, controle PDCA, justificativa e conclusão. O objetivo é identificar e tratar riscos que prejudiquem o crescimento sustentável da organização de forma econômica.
O documento descreve o QualysGuard Vulnerability Management, uma solução de gerenciamento de vulnerabilidades que identifica riscos de segurança de forma automatizada e sem a necessidade de instalação de softwares. Ela oferece proteção contínua por meio de varreduras diárias e relatórios que auxiliam na priorização e correção de vulnerabilidades. A solução integra diversos sistemas de TI para simplificar a gestão de segurança.
A Norma Regulamentadora 35 estabelece requisitos para garantir a segurança e saúde de trabalhadores em altura, definindo altura acima de 2m como trabalho em altura. Ela exige capacitação, análise de riscos, uso de EPI e medidas preventivas como prioridade sobre EPI. O documento detalha causas comuns de acidentes em altura e medidas de proteção como andaimes, redes e cintos de segurança.
O documento apresenta uma classificação das Normas Regulamentadoras (NRs) em 4 grupos com base nos riscos e controle de riscos. O Grupo II inclui NRs para avaliação de riscos graves, o Grupo III inclui NRs para planejamento, gestão e auditoria de riscos, e o Grupo IV inclui NRs para consolidação do controle de riscos pela auditoria fiscal. A classificação visa entender as NRs de forma articulada e estabelecer relações entre os grupos, riscos e funções técnicas.
O documento apresenta 11 estratégias de segurança para redes de automação e sistemas SCADA. As estratégias incluem segurança de borda, proteção da rede SCADA, controle de malware e segurança de dados. O objetivo é implementar as melhores práticas de segurança cibernética descritas na norma ANSI/ISA-99 para proteger sistemas industriais e infraestruturas críticas.
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
O documento discute a importância dos testes de segurança em softwares. Ele apresenta os principais tipos de falhas de segurança e como iniciar um programa de testes de segurança, começando por entender os objetivos do sistema, categorizar níveis de segurança e identificar normas e melhores práticas de segurança da informação.
1) O documento discute considerações de projeto para sistemas de controle e segurança industrial em arquiteturas CPwE (Converged Plantwide Ethernet).
2) É abordada a importância da convergência de sistemas OT e IT e apresentada uma estrutura de segurança de rede industrial baseada em defesa em profundidade.
3) Apresenta modelos de implantação possíveis para o CPwE, incluindo o uso de firewalls industriais, Identity Services Engine e zona desmilitarizada industrial.
Este documento apresenta um método para aplicação de modelos de melhoria e avaliação do processo de desenvolvimento de software em sistemas críticos de segurança. O método propõe utilizar o modelo MR-MPS com extensão em aspectos de segurança +SAFE, priorizando as atividades prescritas nesses modelos com base na experiência de especialistas utilizando o método AHP de decisão multi-critério.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
O documento discute a importância da gestão de vulnerabilidades em aplicações web e apresenta o sistema N-Stalker da empresa RedeSegura para testes automatizados de segurança. O sistema permite definir, executar e analisar testes de vulnerabilidade de forma padronizada e contínua para múltiplas aplicações.
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialTI Safe
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial que foi realizado nos dias 26 e 27 de Maio na cidade de Bogotá, capital da Colômbia.
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
[1] O documento discute a importância da visibilidade e conformidade em segurança através do uso do Control Compliance Suite da Symantec. [2] Ele apresenta os principais componentes e funcionalidades do CCS, incluindo a automação de avaliações de segurança e conformidade. [3] O documento também aborda como o CCS pode ajudar a consolidar dados de segurança de múltiplas fontes e priorizar esforços de remediação com base no risco.
Documento Técnico - Guia de estudos para o exame CASETI Safe
Este documento fornece um guia de estudos para a certificação TI Safe CASE (Certified Automation Security Engineer). Ele descreve nove domínios de conhecimento relacionados à segurança de redes industriais e sistemas SCADA que serão cobrados na prova, e recomenda livros para estudo. O exame é presencial, com 60 questões de múltipla escolha em 90 minutos.
Este Bootcamp ensina habilidades práticas de segurança cibernética, como realizar testes de intrusão, exploração de vulnerabilidades e auditoria de ativos de TI. O curso abrange fundamentos de segurança da informação, redes, segurança de infraestrutura em nuvem e on-premises, e inclui um desafio final.
O documento discute a importância de indicadores para monitorar a segurança cibernética de uma organização. Ele explica que os indicadores devem fornecer informações úteis para apoiar a tomada de decisão e apresenta exemplos de indicadores baseados nos Controles Básicos de Segurança Cibernética (CIS Controls) e no framework de gestão de riscos da ISO.
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Symantec Brasil
Be Aware Webinar Symantec
Spear-phishing: Seus usuários estão preparados para se defender?
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
O documento discute o desenvolvimento seguro de aplicações, desde o planejamento inicial até o deploy. Primeiro, apresenta estatísticas sobre segurança de aplicações web. Em seguida, descreve o cenário atual de desenvolvimento e sugere o uso do OpenSAMM (Software Assurance Maturity Model) para incorporar práticas de segurança ao longo de todo o ciclo de vida do projeto. Por fim, explica os benefícios de adotar um modelo de maturidade como o OpenSAMM.
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
WEBINAR BE AWARE - 11/11/2015
Incidentes de segurança são inevitáveis. As consequências de uma invasão não precisam ser.
As violações mais significativas de hoje em dia são com frequência resultado da falta de uma detecção precoce, a disponibilidade de segurança e resposta rápida.
As organizações precisam pensar além do perímetro e manter seus programas de segurança não tão dependentes somente de tecnologia.
Uma visão holística de segurança que incorpore pessoas, tecnologia e inteligência de ameaças irão ajudar as empresas a serem mais resistente a ataques, e mudar seu status de reativa para pró-ativa e se posicionar à frente quando se fala em ameaças emergentes.
Como garantir um maior nívelde proteção de dadosSymantec Brasil
Cenário Atual–Porque deixamos Compliance de lado?
•O fato de saber que existe um risco, já é suficiente pra decidir implementar um controle de segurança.
•Segurança (ainda continua) subordinada a TI. E TI gosta de TI. Simples.
•Compliance é burocrático.
•Dificuldade de quantificar retorno do tempo investido em ações de Compliance.
Gestão e gerenciamento de SGBD (Oracle, SQL, MySQL, PostgreSQL);
Elaboração, Implantação e Auditoria de Processos de Negócio;
Análise de Problemas, Gestão de Configuração e Mudanças;
Automação de rotinas e criação de dashboard;
Monitoração de aplicações e rede;
Gestão de Indicadores;
Business Intelligence;
Suporte nível 2 e 3;
Outsourcing de TI;
System Center
Segurança
Big Data.
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADATI Safe
O documento discute estratégias de segurança para redes de automação e sistemas SCADA. Apresenta incidentes de segurança em redes industriais brasileiras, o panorama da segurança da informação nas indústrias e principais normas de referência. Defende uma estratégia modularizada de segurança dividida em segurança de borda, segurança de dados, proteção da rede interna, controle de malware e monitoramento.
O documento discute a implementação do Splunk na Produban para melhorar a detecção e resposta a incidentes de segurança. Inicialmente, o SIEM anterior não atendia mais as necessidades em termos de volume de dados, disponibilidade e customização. Após testes, o Splunk mostrou-se muito mais rápido, requerendo menos hardware. O Splunk permite a automação de respostas a ameaças, integrando diversas fontes de inteligência e aplicando ações diretamente nos dispositivos de segurança. Isso agilizou a resposta a incidentes e evitou novos
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
Este documento discute os riscos cibernéticos para a indústria, incluindo ataques ciberfísicos, ransomware e vulnerabilidades nos sistemas de controle industrial. Apresenta estatísticas sobre ataques na América Latina e explica por que as empresas continuam sendo alvo, devido à falta de planejamento de segurança e gestão de patches. Recomenda proteger ambientes industriais com soluções de segurança desenvolvidas especificamente para esses sistemas.
O documento discute a qualidade de software, definindo-a como a conformidade aos requisitos dos clientes. Apresenta diferentes visões de qualidade de software e discute padrões e normas importantes como ISO 9126 para garantir a qualidade. Também descreve exemplos históricos de bugs caros que ocorreram por falta de qualidade.
Semelhante a [CLASS 2014] Palestra Técnica - Cesar Oliveira (20)
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...TI Safe
O documento discute ataques cibernéticos em ambientes industriais, descrevendo técnicas como engenharia social, reverse shell, keylogger, fork bomb, phishing e ransomware. Ele também explica como o framework MITRE ATT&CK documenta táticas, técnicas e procedimentos comuns usados em ataques avançados.
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...TI Safe
O documento discute os desafios do saneamento em cidades inteligentes. Ele explica que as cidades só podem se tornar verdadeiramente inteligentes quando as utilities de saneamento também se tornam inteligentes e compartilham dados de forma segura. Finalmente, destaca grandes desafios como conectividade, cibersegurança, integração de sistemas e soluções ponta a ponta para infraestruturas inteligentes.
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
O documento discute a importância de um laboratório de segurança cibernética industrial para infraestruturas críticas. Ele destaca exemplos de laboratórios em Israel e Portugal e requisitos para um laboratório no setor elétrico brasileiro. O documento também descreve os serviços e desafios de um laboratório como o Energy Cybersecurity Lab, uma parceria entre LACTEC e TI Safe para pesquisa, desenvolvimento e treinamento em segurança cibernética para redes de automação de energia elétrica.
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...TI Safe
O documento discute a certificação do ICS-SOC da TI Safe segundo a norma IEC 62443-2-4. Apresenta os requisitos da norma, o processo de certificação e os desafios de manter a conformidade no futuro, como remediar desvios, revisar documentação e elevar a maturidade dos processos.
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...TI Safe
This document discusses cybersecurity in electrical networks. It provides an overview of the evolving cyber threat landscape, and outlines a holistic approach to cybersecurity involving technology, processes, and people. The document discusses key cybersecurity standards like ISO/IEC 27001, IEC 62443, and IEC 62351. It also outlines Siemens' cybersecurity offerings, including secure products, certified solutions, and support services.
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...TI Safe
O documento descreve a jornada de 10 anos de cibersegurança da Ternium, começando com os desafios iniciais de proteger processos industriais críticos e sistemas de informação. Foi realizada uma análise de riscos com base em normas internacionais e implantada uma defesa em camadas com segmentação de rede, firewalls e monitoramento. O projeto evoluiu para um modelo multinacional com centralização e proteção dedicada para linhas críticas. Próximos passos incluem a adição de soluções de OT e aperfei
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...TI Safe
This document discusses best practices for operational technology (OT) security in a hyperconnected world. It outlines the current cybersecurity challenges faced by industries due to expanding attack surfaces and evolving threats. It recommends establishing pillars like segmentation, zero trust, and access control policies based on users to protect OT environments. The document also describes implementing a next-generation firewall, multi-factor authentication, endpoint security, event correlation and response workflows to enhance industrial cybersecurity.
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...TI Safe
1) Thales provides data encryption and security solutions for critical infrastructure sectors like utilities and energy. It has the number 1 market share for payment hardware security modules, general purpose HSMs, and cloud HSMs.
2) Cyber attacks on critical infrastructure are increasing, with ransomware attacks hitting 649 entities in 2021. Operational technology systems are also vulnerable, suffering 83% of breaches.
3) Thales provides end-to-end encryption solutions for critical infrastructure clients to securely transmit sensitive data. Case studies outline deployments for a global energy company and major UK energy operator to encrypt data across hybrid IT and protect critical communications.
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...TI Safe
O documento discute a importância de uma plataforma avançada de detecção e resposta a incidentes em ambientes OT/IOT. Apresenta dados sobre os setores mais atacados em 2021, com a manufatura em primeiro lugar. Também analisa as principais ameaças, vetores de ataque e regiões impactadas para os setores de manufatura, energia e transporte.
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...TI Safe
O documento discute a convergência entre Operational Technology (OT) e Information Technology (IT) e como proteger sistemas cibernéticos conectados à internet. Ele aborda a evolução dos sistemas de controle industrial, padrões como a ISA/IEC 62443 para segurança cibernética e desafios como ataques crescentes a sistemas industriais de controle.
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...TI Safe
Este documento discute a segurança cibernética no ambiente industrial da Gerdau, uma das principais produtoras de aço das Américas. O documento descreve a estrutura do projeto de segurança de redes industriais da Gerdau, incluindo as etapas de levantamento de campo, suprimentos, operação assistida, projeto e planejamento, e preparação e implantação. O projeto teve resultados positivos como nenhuma indisponibilidade causada e forte engajamento entre as equipes.
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...TI Safe
Critical infrastructure is increasingly being targeted by ransomware attacks and hacking, which have evolved from purely financially motivated crimes to acts of terrorism in some cases. A holistic approach is needed to address cybersecurity across both information technology and operational technology systems. Recent high-profile ransomware attacks have caused widespread disruptions by targeting critical infrastructure providers like the Colonial Pipeline and meat processor JBS. These attacks highlight the growing dangers posed by ransomware to critical industries and underscore the importance of proper cybersecurity policies, monitoring, and backups.
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...TI Safe
O documento discute a aplicação dos conceitos de cibersegurança e defesa em profundidade em subestações digitais na era da IEC 61850. Ele descreve um projeto de P&D de uma subestação digital que aplicou esses conceitos por meio de segmentação de redes, proteção de pontos finais, firewalls diversificados, autenticação, criptografia e hardening do sistema de acordo com padrões como a IEC 62351 e IEC 62443. O projeto gerou conhecimento para melhorar aplicações futuras de subestações digitais en
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...TI Safe
O documento discute a análise de riscos de cibersegurança, planejamento e implantação de contramedidas para conformidade com as novas regras do ONS para o Complexo de Belo Monte. Apresenta o histórico de cibersegurança da Norte Energia, a necessidade de conformidade regulatória e o planejamento de segurança. Também descreve a contratação da TI Safe para fornecer a solução ONS Ready e o progresso do projeto, com a Fase 1 concluída e a Fase 2 parcialmente implementada.
O documento discute conceitos como resiliência cibernética, antifragilidade cibernética, efeito Lindy, via negativa, pele no jogo e mercados impulsionando mudanças. Reforça a importância de visibilidade, inventário, segmentação e controle de anomalias para segurança cibernética bem feita.
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...TI Safe
O documento discute o desafio de implementar controle de acesso e autenticação multifator (MFA) no Grupo Energisa. O Grupo Energisa implementou uma solução tecnológica de MFA para melhorar a segurança, cumprir normas regulatórias e restringir acessos não autorizados. A implantação enfrentou desafios como a falta de base centralizada de usuários e mudança de cultura. A solução é gerenciada por meio de um SOC interno que monitora tentativas inválidas de login e aprova novos
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
O documento apresenta as principais ameaças cibernéticas a redes industriais, focando no cenário brasileiro. Apresenta os fatores de risco como ataques poderosos e o mundo em colapso, as ameaças reais como a profissionalização do cibercrime, e os resultados da 4a pesquisa TI Safe sobre a cibersegurança industrial no Brasil.
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...TI Safe
Este documento discute por que não se deve contratar SOCs de TI/híbridos para proteger redes industriais. Primeiramente, devido às diferenças no viés operacional entre TI e automação industrial, com a disponibilidade sendo o principal pilar de segurança para sistemas industriais. Além disso, pessoas, tecnologias e serviços de um SOC de TI podem não ser adequados para redes industriais e colocar a operação em risco. Um SOC dedicado à automação industrial deve ter especialistas qualificados, tecnologias apropriadas e procedimentos volt
Em 2020 o mundo experimentou uma situação inédita para a maioria dos seres humanos: uma pandemia global, provocada por um vírus desconhecido, que gerou mudanças significativas na vida de todos. No universo das empresas, foi observado um movimento de intensa digitalização de processos e adequação ao distanciamento social. Muitas delas, inclusive as indústrias, adotaram o trabalho remoto para seus colaboradores. Conforme as empresas adaptaram as suas operações, os criminosos também estabeleceram mudanças. São facilmente encontradas notícias relativas a golpes por email, WhatsApp e telefone. E com “chave de ouro”, 2021 foi aberto com o mega (ou seriaTera?) vazamento de dados de brasileiros, o que fornece mais combustível para esses golpes. O ICS-SOC (Centro de Operações de Segurança Cibernética Industrial, localizado no Rio de Janeiro) da TI Safe protege seus clientes contra ataques cibernéticos que possam afetar suas operações, fundamentais para a população e a cadeia de suprimentos do Brasil.Os dados de (milhões de) ataques de 2020, relativos a projetos desenvolvidos pela empresa, foram analisados para entender o aumento dos ataques em relação a 2019. Por uma questão de privacidade dos dados dos clientes, as informações serão apresentadas em percentuais.
O documento discute os novos procedimentos de segurança cibernética para adequação à rede do Operador Nacional do Sistema Elétrico (ONS), incluindo a implementação de controles de segurança em três ondas ao longo de três anos. A TI Safe propõe sua solução "ONS Ready" para ajudar as empresas de energia a cumprir os novos requisitos de segurança cibernética.
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
1. CONCEPÇÃO E DESENHO
DE PROGRAMA INTEGRADO
DE SEGURANÇA DA
INFORMAÇÃO PARA
AUTOMAÇÃO
Cesar Oliveira, CISM
Rio de Janeiro, 7 de Novembro de 2014 Informação Pública
3. Informação Pública
Somos a Vale
• Mineradora global com sede no Brasil
• Líder mundial na produção de minério
de ferro e pelotas e o segundo maior
produtor de níquel
• Também produzimos cobre, carvão
metalúrgico, fertilizantes, manganês,
ferroligas, cobalto e metais do grupo
da platina
• Investimos em logística e energia
Empregados da Vale em Itabira / MG
Renato Stockler das Neves Filho / Agência Vale
4. 2013
Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e
escritórios estão presentes nos cinco continentes.
Informação Pública
5. Missão
Transformar recursos naturais em
prosperidade e desenvolvimento
sustentável
Visão
Ser a empresa de recursos naturais
global número um em criação de valor
de longo prazo, com excelência, paixão
pelas pessoas e pelo planeta
Valores
A vida em primeiro lugar
Valorizar quem faz a nossa empresa
Cuidar do nosso planeta
Agir de forma correta
Crescer e evoluir juntos
Fazer acontecer
Informação Pública
Complexo Portuário Sul – CPBS / RJ
Márcio Dantas Valença / Agência Vale
6. Informação Pública
195 mil
Empregados e prestadores de serviço
50 mil
Usuários de TI
Faturamento Líquido em
2013
46 bilhões de dólares
7. O CENÁRIO ATUAL DE
AMEAÇAS E SEGURANÇA DOS
SISTEMAS DE AUTOMAÇÃO
INDUSTRIAL
Informação Pública
8. Cenário de ameaças em Sistemas de Automação
Industrial
Informação Pública
7
10. Segurança para Sistemas de Automação Industrial –
Verdadeiro ou Falso?
( ) Cuidar apenas de segurança física e ataques externos é suficiente;
( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está
disponível para qualquer usuário;
( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é
restrito;
( ) Os Sistemas de Automação Industrial não são vulneráveis;
( ) Malwares não podem infectar os Sistemas de Automação;
( ) Não existe tecnologia disponível para combater ameaças específicas para os
ambientes de Automação;
( ) A solução é isolar totalmente a Rede de Automação.
Informação Pública
11. Segurança para Sistemas de Automação Industrial –
Verdadeiro ou Falso?
( F ) Cuidar apenas de segurança física e ataques externos é suficiente;
( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está
disponível para qualquer usuário;
( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é
restrito;
( F ) Os Sistemas de Automação Industrial não são vulneráveis;
( F ) Malwares não podem infectar os Sistemas de Automação;
( F ) Não existe tecnologia disponível para combater ameaças específicas para os
ambientes de Automação;
( F ) A solução é isolar totalmente a Rede de Automação.
Informação Pública
12. Sofisticação de ataque vs. Conhecimento técnico
necessário
Informação Pública
denial of service
Zombies
Auto
Coordinated
Botnet
Staged
automated probes/scans
Intruders
High
Low
packet spoofing
sniffers
sweepers
back doors
disabling audits
exploiting known vulnerabilities
password cracking
self-replicating code
1980 1985 1990 1995 2000
Intruder
Knowledge
Attack
Sophistication
Cross site scripting
password guessing
hijacking
sessions
GUI
www attacks
Tools
“stealth” /
advanced scanning
techniques
burglaries
network mgmt. diagnostics
distributed
attack tools
2005 2013
Hactivism
13. Ciclo de exploração de vulnerabilidades – tendência de
aceleração para Sistemas de Ambientes Industriais
Novice Intruders
Advanced
Intruders
Discover New
Vulnerability
Informação Pública
Use Crude
Exploit Tools
Crude
Exploit Tools
Distributed
Automated
Scanning/Exploit
Tools Developed
Widespread Use
of Automated
Scanning/Exploit
Tools
Intruders Begin
Using New Types
of Exploits
15. Avaliação de Riscos e Planejamento de Ações de
Segurança
Objetivos
Informação Pública
- Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado;
- DefPlanejamento de Ações para cada Área Operacional priorizada por probabilidade e severidade
- Criação de um Business Case para o estabelecimento de um Programa Integrado de Cyber Security.
- inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas
Áreas Operacionais
- Definir um
Benefícios
- Dar visibilidade sobre os riscos de segurança da informação existentes nos ambientes de Sistemas de
Automação e promover a discussão sobre o tratamento adequado aos riscos considerando as variáveis
levantadas e o negócio enolvido, além de promover o estabelecimento de um Programa Completo de Gestão
de Segurança em SIStemas de Automação Industrial.
Entregáveis
- Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação;
- Resultado da Análise de Riscos
- Resultado da avaliação dos Controles de Segurança existentes
- Plano de Ações para cada Área Operacional priorizada por nível de risco (probabilidade e severidade)
Participantes
- Áreas Operacionais
- Tecnologia de Automação da TI
- Information Security Office
- Global IT Security Services
- Comitê de Segurança da Informação
- Comitê de Liderança de Manutenção
16. Avaliação de Riscos e Planejamento de Ações de
Segurança
Análise de Risco
Informação Pública
Análise dos
Controles de
Segurança
Nomes com
Controles
mínimos
Realização
de
Treinamento
Roadmap de
Implantação
- Revisão de padrões e boas práticas existentes como insumos para determinar os
controles mínimos necessários para serem aplicados em todas as Áreas Operacionais;
- Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida pelo
Governo Americano (US-Department of Homeland Security) e tendo como padrão a
norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”;
- Questionário com 172 questões divididas em categorias
http://ics-cert.us-cert.gov/Assessments
17. Avaliação de Riscos e Planejamento de Ações de
Segurança
Padrões específicos existentes que podem ser usados como base da
ferramenta CSET
Informação Pública
ISA-SP99 ISA-SP100 NIST SP 800
API
• Security Guidelines for the Petroleum Industry
NISCC/CNPI
• Process Control and SCADA Security Guides
ISA 100/11ª
• Wireless Systems
for Industrial
Automation
(cap 8)
US-CERT
• ANSI/ISA TR96.01.02-2007 – Security
Technologies for industrial automation and
control systems.
• ANSI/ISA-99.01.01-2007 – Termiinology
concepts and models
• ANSI/ISA-99.02.01-2009 – Estabilshing na
industrial Automation and Control
Systems Security Program.
• ISA-99.02.02 (em desenvolvimento) –
Operating and Industrial Automation and
Control Systems Security Program
• ISA-99.03.02 (em desenvolvimento) –
Target Security Levels.
• ISA-99.03.03 – System Security
compliance Metrics (em
desenvolvimento).
• ISA-99.01.03 (em desenvolvimento) –
System Security Requirements and
Security Assurance Levels.
• ISA-TR99.02.03 (em desenvolvimento) –
Patch Management .
• ISA 99.04 Series (em desenvolvimento) –
Derived Requirements.
IEC 62443
SP800-82
• Guide to industrial Control Systems (ICS)
Security
• Catalog of (control
System Security .
Recomendations for
Standards Developers.
• Creating Cyber
Forensics Plans for
Control System.
• Cyber Security
Response to physical
Security Breaches.
• Control Systems Cyber
Security Defense in
Depth Strategies
• CPI-002 Critical Cyber Asset Idetification
• CIP-003 Security Management Controls
• CIP-004 Personnel & Training
• CIP-005 Electronic Security Perimeter(s)
• CIP-006 Physical Security of Critical Cyber
Assets
• CIP-007 Systems Security Management
• CIP-008 Incident Reporting and Response
Pianning
• CIP-009 Recovery Plans for Critical Cyber
Assets
NERC CIP
18. Avaliação de Riscos
- Envolver todos os Stakeholders para criar consenso quanto às definições de
probabilidade e severidade das ameaças é fator crítico de sucesso;
- Treinamentos de conscientização e reuniões de análise de riscos e definição
de ameaças existentes e potenciais em cada Área Operacional.
Informação Pública
20. Planejamento de Ações de Segurança
- Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações
de Segurança para cada Área é essencial;
- Priorização de implementação de controles seguindo os seguintes critérios:
• Controles que mitigam mais riscos e com maior efetividade;
• Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR);
• Ações com menor duração tendem a ser priorizadas;
• Menor dependência de envolvimento de outras áreas internas da organização.
Informação Pública
21. Estabelecendo um Programa Completo
Como resultado do trabalho, foi criado um Business Case para a implantação do
Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na
ISA-99.02.01, seguindo suas recomendações que na prática são:
• Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos
operacionais;
• Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment)
• Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a
integração entre as áreas operacionais;
• Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...);
• Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como
mecanismo de sensibilização para o investimento no Programa Integrado e Completo.
• Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas.
Informação Pública
22. Estabelecendo um Programa Completo
Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema
Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se
fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no
monitoramento de maneira a assegurar a evolução homogênea.
Além disto, a observação constante dos fatores organizacionais são determinantes para
esta evolução.
Informação Pública
Conscientização
Capacitação
Contratação
Políticas
Normas e Instruções de Trabalho
Planos de Continuidade
Planos de Resposta a Incidentes
Firewall
VPN
Segregação de Redes
Sistemas de Controle de Acesso Físico
Sistemas de Controle de Versão
23. Informação Pública
Fatores críticos de sucesso
Complexo Portuário Sul – CPBS / RJ
Márcio Dantas Valença / Agência Vale
24. Fatores críticos de sucesso
Equilíbrio entre o CUSTO e RISCO
Informação Pública
Custo Risco
Segurança Ideal
Custo de evitar o risco vs Custo de um incidente
25. A evolução da Tecnologia traz melhorias e Segurança é
cada vez mais fator crítico nos negócios
Informação Pública
• Aplicativo GetAround
de aluguel de carros
no sistema “rent your
car”;
• Inovação e risco: a
chave do carro é um
sinal emitido pelo seu
smartphone;
• Segurança é fator
crítico de sucesso.
26. A Tecnologia a favor dos negócios... com Segurança
Informação Pública
28. Ressalva
Esta apresentação pode incluir declarações que apresentem expectativas da Vale sobre
eventos ou resultados futuros. Todas as declarações quando baseadas em expectativas
futuras, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não pode
garantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluem
fatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá,
(b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e sua
dependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau de
competição global nos mercados onde a Vale opera. Para obter informações adicionais
sobre fatores que possam originar resultados diferentes daqueles estimados pela Vale,
favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, na
Autorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission –
SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidos
nas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20F
da Vale.”.
Esta apresentação não pode ser distribuída sem a autorização da Vale.
Informação Pública