SlideShare uma empresa Scribd logo
1 de 29
Baixar para ler offline
CONCEPÇÃO E DESENHO 
DE PROGRAMA INTEGRADO 
DE SEGURANÇA DA 
INFORMAÇÃO PARA 
AUTOMAÇÃO 
Cesar Oliveira, CISM 
Rio de Janeiro, 7 de Novembro de 2014 Informação Pública
A VALE
Informação Pública 
Somos a Vale 
• Mineradora global com sede no Brasil 
• Líder mundial na produção de minério 
de ferro e pelotas e o segundo maior 
produtor de níquel 
• Também produzimos cobre, carvão 
metalúrgico, fertilizantes, manganês, 
ferroligas, cobalto e metais do grupo 
da platina 
• Investimos em logística e energia 
Empregados da Vale em Itabira / MG 
Renato Stockler das Neves Filho / Agência Vale
2013 
Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e 
escritórios estão presentes nos cinco continentes. 
Informação Pública
Missão 
Transformar recursos naturais em 
prosperidade e desenvolvimento 
sustentável 
Visão 
Ser a empresa de recursos naturais 
global número um em criação de valor 
de longo prazo, com excelência, paixão 
pelas pessoas e pelo planeta 
Valores 
A vida em primeiro lugar 
Valorizar quem faz a nossa empresa 
Cuidar do nosso planeta 
Agir de forma correta 
Crescer e evoluir juntos 
Fazer acontecer 
Informação Pública 
Complexo Portuário Sul – CPBS / RJ 
Márcio Dantas Valença / Agência Vale
Informação Pública 
195 mil 
Empregados e prestadores de serviço 
50 mil 
Usuários de TI 
Faturamento Líquido em 
2013 
46 bilhões de dólares
O CENÁRIO ATUAL DE 
AMEAÇAS E SEGURANÇA DOS 
SISTEMAS DE AUTOMAÇÃO 
INDUSTRIAL 
Informação Pública
Cenário de ameaças em Sistemas de Automação 
Industrial 
Informação Pública 
7
Conhecimento 
(capacidade) 
Informação Pública 
Motivação 
(intenção) Oportunidade 
Possível 
Ataque de 
Sucesso 
Fórmula para um ataque de sucesso…
Segurança para Sistemas de Automação Industrial – 
Verdadeiro ou Falso? 
( ) Cuidar apenas de segurança física e ataques externos é suficiente; 
( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está 
disponível para qualquer usuário; 
( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é 
restrito; 
( ) Os Sistemas de Automação Industrial não são vulneráveis; 
( ) Malwares não podem infectar os Sistemas de Automação; 
( ) Não existe tecnologia disponível para combater ameaças específicas para os 
ambientes de Automação; 
( ) A solução é isolar totalmente a Rede de Automação. 
Informação Pública
Segurança para Sistemas de Automação Industrial – 
Verdadeiro ou Falso? 
( F ) Cuidar apenas de segurança física e ataques externos é suficiente; 
( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está 
disponível para qualquer usuário; 
( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é 
restrito; 
( F ) Os Sistemas de Automação Industrial não são vulneráveis; 
( F ) Malwares não podem infectar os Sistemas de Automação; 
( F ) Não existe tecnologia disponível para combater ameaças específicas para os 
ambientes de Automação; 
( F ) A solução é isolar totalmente a Rede de Automação. 
Informação Pública
Sofisticação de ataque vs. Conhecimento técnico 
necessário 
Informação Pública 
denial of service 
Zombies 
Auto 
Coordinated 
Botnet 
Staged 
automated probes/scans 
Intruders 
High 
Low 
packet spoofing 
sniffers 
sweepers 
back doors 
disabling audits 
exploiting known vulnerabilities 
password cracking 
self-replicating code 
1980 1985 1990 1995 2000 
Intruder 
Knowledge 
Attack 
Sophistication 
Cross site scripting 
password guessing 
hijacking 
sessions 
GUI 
www attacks 
Tools 
“stealth” / 
advanced scanning 
techniques 
burglaries 
network mgmt. diagnostics 
distributed 
attack tools 
2005 2013 
Hactivism
Ciclo de exploração de vulnerabilidades – tendência de 
aceleração para Sistemas de Ambientes Industriais 
Novice Intruders 
Advanced 
Intruders 
Discover New 
Vulnerability 
Informação Pública 
Use Crude 
Exploit Tools 
Crude 
Exploit Tools 
Distributed 
Automated 
Scanning/Exploit 
Tools Developed 
Widespread Use 
of Automated 
Scanning/Exploit 
Tools 
Intruders Begin 
Using New Types 
of Exploits
AVALIAÇÃO DE RISCOS E 
PLANEJAMENTO DE AÇÕES 
Informação Pública
Avaliação de Riscos e Planejamento de Ações de 
Segurança 
Objetivos 
Informação Pública 
- Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado; 
- DefPlanejamento de Ações para cada Área Operacional priorizada por probabilidade e severidade 
- Criação de um Business Case para o estabelecimento de um Programa Integrado de Cyber Security. 
- inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas 
Áreas Operacionais 
- Definir um 
Benefícios 
- Dar visibilidade sobre os riscos de segurança da informação existentes nos ambientes de Sistemas de 
Automação e promover a discussão sobre o tratamento adequado aos riscos considerando as variáveis 
levantadas e o negócio enolvido, além de promover o estabelecimento de um Programa Completo de Gestão 
de Segurança em SIStemas de Automação Industrial. 
Entregáveis 
- Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação; 
- Resultado da Análise de Riscos 
- Resultado da avaliação dos Controles de Segurança existentes 
- Plano de Ações para cada Área Operacional priorizada por nível de risco (probabilidade e severidade) 
Participantes 
- Áreas Operacionais 
- Tecnologia de Automação da TI 
- Information Security Office 
- Global IT Security Services 
- Comitê de Segurança da Informação 
- Comitê de Liderança de Manutenção
Avaliação de Riscos e Planejamento de Ações de 
Segurança 
Análise de Risco 
Informação Pública 
Análise dos 
Controles de 
Segurança 
Nomes com 
Controles 
mínimos 
Realização 
de 
Treinamento 
Roadmap de 
Implantação 
- Revisão de padrões e boas práticas existentes como insumos para determinar os 
controles mínimos necessários para serem aplicados em todas as Áreas Operacionais; 
- Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida pelo 
Governo Americano (US-Department of Homeland Security) e tendo como padrão a 
norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”; 
- Questionário com 172 questões divididas em categorias 
http://ics-cert.us-cert.gov/Assessments
Avaliação de Riscos e Planejamento de Ações de 
Segurança 
Padrões específicos existentes que podem ser usados como base da 
ferramenta CSET 
Informação Pública 
ISA-SP99 ISA-SP100 NIST SP 800 
API 
• Security Guidelines for the Petroleum Industry 
NISCC/CNPI 
• Process Control and SCADA Security Guides 
ISA 100/11ª 
• Wireless Systems 
for Industrial 
Automation 
(cap 8) 
US-CERT 
• ANSI/ISA TR96.01.02-2007 – Security 
Technologies for industrial automation and 
control systems. 
• ANSI/ISA-99.01.01-2007 – Termiinology 
concepts and models 
• ANSI/ISA-99.02.01-2009 – Estabilshing na 
industrial Automation and Control 
Systems Security Program. 
• ISA-99.02.02 (em desenvolvimento) – 
Operating and Industrial Automation and 
Control Systems Security Program 
• ISA-99.03.02 (em desenvolvimento) – 
Target Security Levels. 
• ISA-99.03.03 – System Security 
compliance Metrics (em 
desenvolvimento). 
• ISA-99.01.03 (em desenvolvimento) – 
System Security Requirements and 
Security Assurance Levels. 
• ISA-TR99.02.03 (em desenvolvimento) – 
Patch Management . 
• ISA 99.04 Series (em desenvolvimento) – 
Derived Requirements. 
IEC 62443 
SP800-82 
• Guide to industrial Control Systems (ICS) 
Security 
• Catalog of (control 
System Security . 
Recomendations for 
Standards Developers. 
• Creating Cyber 
Forensics Plans for 
Control System. 
• Cyber Security 
Response to physical 
Security Breaches. 
• Control Systems Cyber 
Security Defense in 
Depth Strategies 
• CPI-002 Critical Cyber Asset Idetification 
• CIP-003 Security Management Controls 
• CIP-004 Personnel & Training 
• CIP-005 Electronic Security Perimeter(s) 
• CIP-006 Physical Security of Critical Cyber 
Assets 
• CIP-007 Systems Security Management 
• CIP-008 Incident Reporting and Response 
Pianning 
• CIP-009 Recovery Plans for Critical Cyber 
Assets 
NERC CIP
Avaliação de Riscos 
- Envolver todos os Stakeholders para criar consenso quanto às definições de 
probabilidade e severidade das ameaças é fator crítico de sucesso; 
- Treinamentos de conscientização e reuniões de análise de riscos e definição 
de ameaças existentes e potenciais em cada Área Operacional. 
Informação Pública
CONCEPÇÃO E DESENHO DE 
PROGRAMA INTEGRADO 
Informação Pública
Planejamento de Ações de Segurança 
- Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações 
de Segurança para cada Área é essencial; 
- Priorização de implementação de controles seguindo os seguintes critérios: 
• Controles que mitigam mais riscos e com maior efetividade; 
• Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR); 
• Ações com menor duração tendem a ser priorizadas; 
• Menor dependência de envolvimento de outras áreas internas da organização. 
Informação Pública
Estabelecendo um Programa Completo 
Como resultado do trabalho, foi criado um Business Case para a implantação do 
Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na 
ISA-99.02.01, seguindo suas recomendações que na prática são: 
• Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos 
operacionais; 
• Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment) 
• Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a 
integração entre as áreas operacionais; 
• Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...); 
• Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como 
mecanismo de sensibilização para o investimento no Programa Integrado e Completo. 
• Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas. 
Informação Pública
Estabelecendo um Programa Completo 
Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema 
Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se 
fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no 
monitoramento de maneira a assegurar a evolução homogênea. 
Além disto, a observação constante dos fatores organizacionais são determinantes para 
esta evolução. 
Informação Pública 
Conscientização 
Capacitação 
Contratação 
Políticas 
Normas e Instruções de Trabalho 
Planos de Continuidade 
Planos de Resposta a Incidentes 
Firewall 
VPN 
Segregação de Redes 
Sistemas de Controle de Acesso Físico 
Sistemas de Controle de Versão
Informação Pública 
Fatores críticos de sucesso 
Complexo Portuário Sul – CPBS / RJ 
Márcio Dantas Valença / Agência Vale
Fatores críticos de sucesso 
Equilíbrio entre o CUSTO e RISCO 
Informação Pública 
Custo Risco 
Segurança Ideal 
Custo de evitar o risco vs Custo de um incidente
A evolução da Tecnologia traz melhorias e Segurança é 
cada vez mais fator crítico nos negócios 
Informação Pública 
• Aplicativo GetAround 
de aluguel de carros 
no sistema “rent your 
car”; 
• Inovação e risco: a 
chave do carro é um 
sinal emitido pelo seu 
smartphone; 
• Segurança é fator 
crítico de sucesso.
A Tecnologia a favor dos negócios... com Segurança 
Informação Pública
Obrigado 
Cesar Oliveira 
Global IT Security Manager 
cesar.oliveira@vale.com
Ressalva 
Esta apresentação pode incluir declarações que apresentem expectativas da Vale sobre 
eventos ou resultados futuros. Todas as declarações quando baseadas em expectativas 
futuras, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não pode 
garantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluem 
fatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá, 
(b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e sua 
dependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau de 
competição global nos mercados onde a Vale opera. Para obter informações adicionais 
sobre fatores que possam originar resultados diferentes daqueles estimados pela Vale, 
favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, na 
Autorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission – 
SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidos 
nas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20F 
da Vale.”. 
Esta apresentação não pode ser distribuída sem a autorização da Vale. 
Informação Pública
Programa de Segurança Cibernética para Sistemas de Automação

Mais conteúdo relacionado

Mais procurados

CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.TI Safe
 
Behavior based safety
Behavior based safetyBehavior based safety
Behavior based safetyPaulo H Bueno
 
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR Solucoes e Servicos
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
 
Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Josiane Cerchi
 
Aula 7 gestão de riscos
Aula 7   gestão de riscosAula 7   gestão de riscos
Aula 7 gestão de riscosDaniel Moura
 
Estudos de análise de riscos
Estudos de análise de riscosEstudos de análise de riscos
Estudos de análise de riscosGabriel Marildo
 
11914478 avaliacaoderiscos
11914478 avaliacaoderiscos11914478 avaliacaoderiscos
11914478 avaliacaoderiscosPelo Siro
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
1 3 técnicas de analise de risco
1 3   técnicas de analise de risco1 3   técnicas de analise de risco
1 3 técnicas de analise de riscoRobson Peixoto
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 

Mais procurados (20)

CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
 
Currículo Antônio M. Ferreira
Currículo Antônio M. FerreiraCurrículo Antônio M. Ferreira
Currículo Antônio M. Ferreira
 
Behavior based safety
Behavior based safetyBehavior based safety
Behavior based safety
 
Palestra
PalestraPalestra
Palestra
 
Apresentação ABNT NBR ISO 31000
Apresentação ABNT NBR ISO 31000Apresentação ABNT NBR ISO 31000
Apresentação ABNT NBR ISO 31000
 
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
 
Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)
 
Classificação nr36
Classificação nr36Classificação nr36
Classificação nr36
 
Aula 7 gestão de riscos
Aula 7   gestão de riscosAula 7   gestão de riscos
Aula 7 gestão de riscos
 
Nr12 resumo
Nr12 resumoNr12 resumo
Nr12 resumo
 
Estudos de análise de riscos
Estudos de análise de riscosEstudos de análise de riscos
Estudos de análise de riscos
 
TREINAMENTO NR 35 EM SALVADOR
TREINAMENTO NR 35 EM SALVADORTREINAMENTO NR 35 EM SALVADOR
TREINAMENTO NR 35 EM SALVADOR
 
11914478 avaliacaoderiscos
11914478 avaliacaoderiscos11914478 avaliacaoderiscos
11914478 avaliacaoderiscos
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
1 3 técnicas de analise de risco
1 3   técnicas de analise de risco1 3   técnicas de analise de risco
1 3 técnicas de analise de risco
 
Análise de Risco
Análise de RiscoAnálise de Risco
Análise de Risco
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
Trabalho em altura treinamento
Trabalho em altura treinamentoTrabalho em altura treinamento
Trabalho em altura treinamento
 
Classificação
ClassificaçãoClassificação
Classificação
 

Semelhante a Programa de Segurança Cibernética para Sistemas de Automação

Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasTI Safe
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialTI Safe
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfLucianoDejesus15
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Symantec Brasil
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADATI Safe
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produbanSplunk
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 

Semelhante a Programa de Segurança Cibernética para Sistemas de Automação (20)

Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produban
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de Software
 

Mais de TI Safe

CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...TI Safe
 
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...TI Safe
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...TI Safe
 
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...TI Safe
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...TI Safe
 
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...TI Safe
 
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...TI Safe
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...TI Safe
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...TI Safe
 
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...TI Safe
 
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...TI Safe
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...TI Safe
 
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...TI Safe
 
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...TI Safe
 
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...TI Safe
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci    por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci    por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...TI Safe
 
Retrospectiva
RetrospectivaRetrospectiva
RetrospectivaTI Safe
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1TI Safe
 

Mais de TI Safe (20)

CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
 
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
 
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
 
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
 
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
 
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
 
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
 
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
 
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
 
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci    por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci    por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
 
Retrospectiva
RetrospectivaRetrospectiva
Retrospectiva
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
 

Programa de Segurança Cibernética para Sistemas de Automação

  • 1. CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO DE SEGURANÇA DA INFORMAÇÃO PARA AUTOMAÇÃO Cesar Oliveira, CISM Rio de Janeiro, 7 de Novembro de 2014 Informação Pública
  • 3. Informação Pública Somos a Vale • Mineradora global com sede no Brasil • Líder mundial na produção de minério de ferro e pelotas e o segundo maior produtor de níquel • Também produzimos cobre, carvão metalúrgico, fertilizantes, manganês, ferroligas, cobalto e metais do grupo da platina • Investimos em logística e energia Empregados da Vale em Itabira / MG Renato Stockler das Neves Filho / Agência Vale
  • 4. 2013 Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e escritórios estão presentes nos cinco continentes. Informação Pública
  • 5. Missão Transformar recursos naturais em prosperidade e desenvolvimento sustentável Visão Ser a empresa de recursos naturais global número um em criação de valor de longo prazo, com excelência, paixão pelas pessoas e pelo planeta Valores A vida em primeiro lugar Valorizar quem faz a nossa empresa Cuidar do nosso planeta Agir de forma correta Crescer e evoluir juntos Fazer acontecer Informação Pública Complexo Portuário Sul – CPBS / RJ Márcio Dantas Valença / Agência Vale
  • 6. Informação Pública 195 mil Empregados e prestadores de serviço 50 mil Usuários de TI Faturamento Líquido em 2013 46 bilhões de dólares
  • 7. O CENÁRIO ATUAL DE AMEAÇAS E SEGURANÇA DOS SISTEMAS DE AUTOMAÇÃO INDUSTRIAL Informação Pública
  • 8. Cenário de ameaças em Sistemas de Automação Industrial Informação Pública 7
  • 9. Conhecimento (capacidade) Informação Pública Motivação (intenção) Oportunidade Possível Ataque de Sucesso Fórmula para um ataque de sucesso…
  • 10. Segurança para Sistemas de Automação Industrial – Verdadeiro ou Falso? ( ) Cuidar apenas de segurança física e ataques externos é suficiente; ( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está disponível para qualquer usuário; ( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito; ( ) Os Sistemas de Automação Industrial não são vulneráveis; ( ) Malwares não podem infectar os Sistemas de Automação; ( ) Não existe tecnologia disponível para combater ameaças específicas para os ambientes de Automação; ( ) A solução é isolar totalmente a Rede de Automação. Informação Pública
  • 11. Segurança para Sistemas de Automação Industrial – Verdadeiro ou Falso? ( F ) Cuidar apenas de segurança física e ataques externos é suficiente; ( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está disponível para qualquer usuário; ( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito; ( F ) Os Sistemas de Automação Industrial não são vulneráveis; ( F ) Malwares não podem infectar os Sistemas de Automação; ( F ) Não existe tecnologia disponível para combater ameaças específicas para os ambientes de Automação; ( F ) A solução é isolar totalmente a Rede de Automação. Informação Pública
  • 12. Sofisticação de ataque vs. Conhecimento técnico necessário Informação Pública denial of service Zombies Auto Coordinated Botnet Staged automated probes/scans Intruders High Low packet spoofing sniffers sweepers back doors disabling audits exploiting known vulnerabilities password cracking self-replicating code 1980 1985 1990 1995 2000 Intruder Knowledge Attack Sophistication Cross site scripting password guessing hijacking sessions GUI www attacks Tools “stealth” / advanced scanning techniques burglaries network mgmt. diagnostics distributed attack tools 2005 2013 Hactivism
  • 13. Ciclo de exploração de vulnerabilidades – tendência de aceleração para Sistemas de Ambientes Industriais Novice Intruders Advanced Intruders Discover New Vulnerability Informação Pública Use Crude Exploit Tools Crude Exploit Tools Distributed Automated Scanning/Exploit Tools Developed Widespread Use of Automated Scanning/Exploit Tools Intruders Begin Using New Types of Exploits
  • 14. AVALIAÇÃO DE RISCOS E PLANEJAMENTO DE AÇÕES Informação Pública
  • 15. Avaliação de Riscos e Planejamento de Ações de Segurança Objetivos Informação Pública - Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado; - DefPlanejamento de Ações para cada Área Operacional priorizada por probabilidade e severidade - Criação de um Business Case para o estabelecimento de um Programa Integrado de Cyber Security. - inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas Áreas Operacionais - Definir um Benefícios - Dar visibilidade sobre os riscos de segurança da informação existentes nos ambientes de Sistemas de Automação e promover a discussão sobre o tratamento adequado aos riscos considerando as variáveis levantadas e o negócio enolvido, além de promover o estabelecimento de um Programa Completo de Gestão de Segurança em SIStemas de Automação Industrial. Entregáveis - Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação; - Resultado da Análise de Riscos - Resultado da avaliação dos Controles de Segurança existentes - Plano de Ações para cada Área Operacional priorizada por nível de risco (probabilidade e severidade) Participantes - Áreas Operacionais - Tecnologia de Automação da TI - Information Security Office - Global IT Security Services - Comitê de Segurança da Informação - Comitê de Liderança de Manutenção
  • 16. Avaliação de Riscos e Planejamento de Ações de Segurança Análise de Risco Informação Pública Análise dos Controles de Segurança Nomes com Controles mínimos Realização de Treinamento Roadmap de Implantação - Revisão de padrões e boas práticas existentes como insumos para determinar os controles mínimos necessários para serem aplicados em todas as Áreas Operacionais; - Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida pelo Governo Americano (US-Department of Homeland Security) e tendo como padrão a norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”; - Questionário com 172 questões divididas em categorias http://ics-cert.us-cert.gov/Assessments
  • 17. Avaliação de Riscos e Planejamento de Ações de Segurança Padrões específicos existentes que podem ser usados como base da ferramenta CSET Informação Pública ISA-SP99 ISA-SP100 NIST SP 800 API • Security Guidelines for the Petroleum Industry NISCC/CNPI • Process Control and SCADA Security Guides ISA 100/11ª • Wireless Systems for Industrial Automation (cap 8) US-CERT • ANSI/ISA TR96.01.02-2007 – Security Technologies for industrial automation and control systems. • ANSI/ISA-99.01.01-2007 – Termiinology concepts and models • ANSI/ISA-99.02.01-2009 – Estabilshing na industrial Automation and Control Systems Security Program. • ISA-99.02.02 (em desenvolvimento) – Operating and Industrial Automation and Control Systems Security Program • ISA-99.03.02 (em desenvolvimento) – Target Security Levels. • ISA-99.03.03 – System Security compliance Metrics (em desenvolvimento). • ISA-99.01.03 (em desenvolvimento) – System Security Requirements and Security Assurance Levels. • ISA-TR99.02.03 (em desenvolvimento) – Patch Management . • ISA 99.04 Series (em desenvolvimento) – Derived Requirements. IEC 62443 SP800-82 • Guide to industrial Control Systems (ICS) Security • Catalog of (control System Security . Recomendations for Standards Developers. • Creating Cyber Forensics Plans for Control System. • Cyber Security Response to physical Security Breaches. • Control Systems Cyber Security Defense in Depth Strategies • CPI-002 Critical Cyber Asset Idetification • CIP-003 Security Management Controls • CIP-004 Personnel & Training • CIP-005 Electronic Security Perimeter(s) • CIP-006 Physical Security of Critical Cyber Assets • CIP-007 Systems Security Management • CIP-008 Incident Reporting and Response Pianning • CIP-009 Recovery Plans for Critical Cyber Assets NERC CIP
  • 18. Avaliação de Riscos - Envolver todos os Stakeholders para criar consenso quanto às definições de probabilidade e severidade das ameaças é fator crítico de sucesso; - Treinamentos de conscientização e reuniões de análise de riscos e definição de ameaças existentes e potenciais em cada Área Operacional. Informação Pública
  • 19. CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO Informação Pública
  • 20. Planejamento de Ações de Segurança - Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações de Segurança para cada Área é essencial; - Priorização de implementação de controles seguindo os seguintes critérios: • Controles que mitigam mais riscos e com maior efetividade; • Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR); • Ações com menor duração tendem a ser priorizadas; • Menor dependência de envolvimento de outras áreas internas da organização. Informação Pública
  • 21. Estabelecendo um Programa Completo Como resultado do trabalho, foi criado um Business Case para a implantação do Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na ISA-99.02.01, seguindo suas recomendações que na prática são: • Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos operacionais; • Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment) • Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a integração entre as áreas operacionais; • Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...); • Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como mecanismo de sensibilização para o investimento no Programa Integrado e Completo. • Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas. Informação Pública
  • 22. Estabelecendo um Programa Completo Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no monitoramento de maneira a assegurar a evolução homogênea. Além disto, a observação constante dos fatores organizacionais são determinantes para esta evolução. Informação Pública Conscientização Capacitação Contratação Políticas Normas e Instruções de Trabalho Planos de Continuidade Planos de Resposta a Incidentes Firewall VPN Segregação de Redes Sistemas de Controle de Acesso Físico Sistemas de Controle de Versão
  • 23. Informação Pública Fatores críticos de sucesso Complexo Portuário Sul – CPBS / RJ Márcio Dantas Valença / Agência Vale
  • 24. Fatores críticos de sucesso Equilíbrio entre o CUSTO e RISCO Informação Pública Custo Risco Segurança Ideal Custo de evitar o risco vs Custo de um incidente
  • 25. A evolução da Tecnologia traz melhorias e Segurança é cada vez mais fator crítico nos negócios Informação Pública • Aplicativo GetAround de aluguel de carros no sistema “rent your car”; • Inovação e risco: a chave do carro é um sinal emitido pelo seu smartphone; • Segurança é fator crítico de sucesso.
  • 26. A Tecnologia a favor dos negócios... com Segurança Informação Pública
  • 27. Obrigado Cesar Oliveira Global IT Security Manager cesar.oliveira@vale.com
  • 28. Ressalva Esta apresentação pode incluir declarações que apresentem expectativas da Vale sobre eventos ou resultados futuros. Todas as declarações quando baseadas em expectativas futuras, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não pode garantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluem fatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá, (b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e sua dependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau de competição global nos mercados onde a Vale opera. Para obter informações adicionais sobre fatores que possam originar resultados diferentes daqueles estimados pela Vale, favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, na Autorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission – SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidos nas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20F da Vale.”. Esta apresentação não pode ser distribuída sem a autorização da Vale. Informação Pública