O documento discute a importância do gerenciamento de riscos em infraestruturas críticas e estratégicas e as estratégias de recuperação de desastres. Apresenta o caso do SERPRO no setor público, abordando seus processos de gerenciamento de riscos, continuidade e recuperação de desastres para garantir a resiliência de suas infraestruturas críticas.
Gerenciamento de riscos cibernéticos e recuperação de desastres
1. PAINEL 3
SEGURANÇA E DEFESA
CIBERNÉTICA:
GERENCIAMENTO DE
RISCOS E RECUPERAÇÃO DE
DESASTRES
XIII Encontro Nacional de Estudos Estratégicos
Rio de Janeiro, 26.09.13
Marcos Allemand
marcos.allemand@serpro.gov.br
2. Finalidade do Painel
Discutir a importância do gerenciamento de riscos nas
infraestruturas de TIC que compõem as infraestruturas críticas /
estratégicas, e
Debater a eficiência das estratégias adotadas para garantir a
capacidade de resiliência dessas infraestruturas nas situações
de incidentes;
Subtema específico - Estudo de caso: a atuação do SERPRO
no setor público
3. Agenda
SERPRO – Visão geral
Linha do tempo – evolução dos incidentes
Infraestrutura crítica (IC)
SERPRO no contexto da IC
Gerenciamento de riscos
Recuperação de desastres
Considerações finais
4. Empresa pública vinculada ao
Ministério da Fazenda.
Nosso negócio é a prestação de
serviços em Tecnologia da
Informação para o setor público.
Desenvolvemos soluções que, além
de contribuírem para a modernização
e eficácia da Administração Pública,
buscam estreitar a relação entre
cidadãos e Governo.
A EMPRESAVisão geral
5. A EMPRESA
11 Regionais
Brasília, Belém, Fortaleza, Recife,
Salvador, Belo Horizonte, Rio de
Janeiro, São Paulo, Curitiba,
Florianópolis e Porto Alegre
26 Escritórios
Presença nacional
6. CENTRO DE DADOS
Utilização de tecnologias para contingência de
recursos alocados aos serviços de missão
crítica
Balanceamento de carga como instrumento de
gestão de alta disponibilidade e desempenho
Redundância e contingência de ambientes de
gerenciamento (hardware e software)
Espelhamento de dados, automação de
processos de produção, monitoração e
gerenciamento, além de salas cofres
3 Data Centers: SPO, BSB e RJO
2 Serviços - Mainframe (19.719MIPS)
Mais de 1.400 servidores de plataforma
baixa (Risc, Cisc e Epic) entre
máquinas físicas e virtuais
6 Fitotecas automatizadas com
capacidade de 2 petabytes de
armazenamento
1.353 petabytes de armazenamento
(discos) sendo 945TB em SPO, 51TB
em RJO e 357TB em BSB
12 bilhões de transações on-line
processadas por ano
Múltiplos Bancos de Dados (Adabas,
DB2, Oracle, SQL Server, My SQL,
PostgreSQL, Lotus Notes, BRSearch,
MS Accessm Sybase, INFORMIX,
ZopePlone)
64.407 Microcomputadores
Outros serviços
Housing
Hosting
Colocation
Centro de dados
7. LINHAS DE NEGÓCIO
Infraestrutura de última
geração, com abrangência
nacional
Transmissão e
disponibilização de
informações: dados, voz ou
imagem, com segurança e
Confiabilidade
Atendimento às necessidades
do governo no relacionamento
com o cidadão para o uso de
seus sistemas de informação
Rede de comunicação
12. Infraestrutura Crítica do Brasil (IC)
A IC abrange as instalações, serviços, bens e sistemas que, se forem
interrompidos ou destruídos, provocarão sério impacto social,
econômico, político, internacional ou à segurança do Estado e da
sociedade;
Infraestrutura crítica de informações (ICI)
Subconjunto de ativos de informação que afetam diretamente a
consecução e a continuidade da missão do Estado e a segurança da
sociedade.
Consideram-se ativos de informação os meios de armazenamento,
transmissão e processamento, os sistemas de informação, bem como
os locais onde se encontram esses meios e as pessoas que a eles têm
acesso.
Infraestrutura crítica no Brasil
Fonte: Portaria 34 de 5/8/2009 publicada no DOU n. 149/2009
13. SERPRO no contexto da IC
PROCESSO PRINCIPAL DE NEGÓCIO
SMC 1 SMC nSMC 2
SISTEMA1
SISTEMA2
SISTEMA3
SISTEMA4
SISTEMA5
SISTEMA6
SISTEMA8
SISTEMA9
...
...
HW / SW / INST.
GOVERNO CIDADÃO EMPRESA
AMEAÇAS
VULNERABIL.
IMPACTOS
RISCO
Sistemas
Estruturantes
14. Gerenciamento de riscos
Metodologia estabelecida em 1998
Decisão de Diretoria
Atualizações periódicas
Empregados capacitados
Pré-requisito para entrada em produção
Necessidade de ampliar o escopo – IRM
19. SIEM
Evento
disparador
Acionamento
dos Planos de
Contingência
Limite do
Plano de
Contingência
Pontos de inflexão
no surgimento
de uma Crise
Potencial para
crise contido
Crise gerada
Espaço de
problemas
Gestão de
incidentes
Gestão de
Continuidade
de negócios
Gestão de
crise
Operação do
Centro de
Dados
Operação
de rede
Monitoração
de eventos
Monitoração e Controle
[centro de comando ]
PROCESSO
DE DESENV,
DE SISTEMASCLIENTES PROCESSO PRODUTIVO
Requisiitos de sist:
- Confidencialidade
- Integidade
- Disponibilidade
- Monitoração
- ...
R1
R2
SDLC
BIA +
Planos
Contin.
Ambiente de
desenvolv.
PROCESSOS
CORPORATIVOS
Gestão das
Instalações
PROCESSOS
SETORIAIS
CSIRT
SNOC????
Juntando as “peças”
20. Considerações finais
Resiliência é a capacidade de:
• Mudar (adaptação, expansão, conformidade) quando uma
força é aplicada;
• Funcionar adequadamente ou minimamente enquanto a
força é efetiva; e,
• Retornar a um estado normal (esperado e pré-definido)
quando a força se torna ineficaz ou é retirada.
Fonte: Caralli, R. Introducing the CERT Resiliency Engineering Framework: Improving the Security
and Sustainability Process. Carnegie Mellon University, Software Engineering Institute, 2007
21. Considerações finais
Fonte: Jackson, S. Architecting Resilient Systems – Accident
avoidance and survival and recovery from disruptions. Wiley, 2009
23. Comitê Gestor das Atividades Ciber & TI
• CGI
• SLTI
• Considerar as ações que estão sendo conduzidas pela
OCDE, ENISA, …
24. • As regards your work on awareness raising, you may be
interested by the European Network and Information
Security Agency (ENISA) guide: "How to raise
Information Security Awareness Raising" as well as
other work carried out by this agency such as a survey
on EU member countries activities which includes a lot
of examples:
• http://enisa.europa.eu/pages/05_01.htm
• http://enisa.europa.eu/doc/zip/aw_info_package.zip
• http://enisa.europa.eu/doc/pdf/FACsheets/New_Fact_Sh
eet_on_Awareness_Raising.pdf
ENISA
25. 25
• “OECD Guidelines for the Security
of Information Systems and
Networks: Towards a Culture of
Security”, julho/2002.
• “Proceedings of the OECD Global
Forum on Information Systems
and Network Security: Towards a
Culture of Security”,
fevereiro/2004. • “Summary of responses to the
survey on the implementation of
the OECD Guidelines for the
Security of Information Systems
and Networks: Towards a Culture
of Security”, setembro/2004.
• “Implementation plan for the
OECD Guidelines for the Security
of Information Systems and
Networks: Towards a Culture of
Security”. Julho/2003.
• “OECD Guidelines for the
Security of Information Systems
and Networks: Towards a Culture
of Security”. Questions and
answers.
Evolução das ações (OCDE)