A pesquisa foi realizada de forma on-line através de e-mail enviado com um formulário em anexo a gestores de empresas brasileiras. Durante o tempo que o formulário esteve disponível para o preenchimento, de 23/6/14 a 13/7/14, 51 organizações industriais o responderam plenamente. Este documento apresenta os resultados da pesquisa e proporciona interpretações baseadas no conhecimento e experiência de seus redatores e participantes do processo de revisão. Fica a critério dos leitores obter suas próprias conclusões.

1. Página 1
Pesquisa sobre o Estado da Segurança
Cibernética da Infraestrutura Crítica
Brasileira
Julho de 2014
TI Safe Segurança da Informação
www.tisafe.com
Centro de Ciberseguridad Industrial
www.cci-es.org

2. Página 2
TI Safe Segurança da Informação LTDA
A TI Safe Segurança da Informação é uma
empresa brasileira fornecedora de produtos e
serviços de qualidade para segurança da
informação e redes industriais. Presente em
grandes cidades do país oferece ampla gama de
soluções para empresas e infraestruturas
críticas.
O portfólio da empresa conta com oferta de
soluções para governança industrial, segurança
de borda de redes de automação, proteção da
rede interna, acesso remoto seguro, segurança
de dados contra espionagem industrial,
combate a cyber ameaças e treinamentos
(presencial e on-line).
Fundada em março de 2007 e atuando com
pioneirismo, a TI Safe criou no ano de 2008 sua
divisão para segurança SCADA e foi a primeira
empresa brasileira a fornecer soluções para a
segurança de redes industriais baseadas nas
normas ANSI/ISA-99 e NIST SP 800-82.
Atualmente a empresa é integrante do comitê
internacional da norma ANSI/ISA-99 que
estabelece boas práticas para a segurança de
redes industriais e desenvolve pesquisas nesta
área, tendo um livro e diversos trabalhos
técnicos publicados e apresentados em eventos
nacionais e internacionais.
Rio de Janeiro: Centro Empresarial
Cittá America - Barra da Tijuca -
Av. das Américas, 700, bloco 01,
sala 331. CEP – 22640-100 – Rio
de Janeiro, RJ – Brasil. Telefone:
+55 (21) 2173-1159
São Paulo: Rua Dr. Guilherme
Bannitz, nº 126 - 2º andar Cj 21,
CV 9035 - Itaim Bibi. CEP - 04532-
060 - São Paulo, SP – Brasil.
Telefone: +55 (11) 3040-8656
Salvador: Av. Tancredo Neves nº
450 – 16º andar – Edifício Suarez
Trade. CEP – 41820-901 –
Salvador, BA – Brasil. Telefone:
+55 (71) 3340-0633
e-mail: contato@tisafe.com
www.tisafe.com
Twitter: @tisafe

3. Página 3
Centro de Ciberseguridad Industrial
O Centro de Ciberseguridad Industrial (CCI) é
uma organização independente sem fins
lucrativos cuja missão é impulsionar e contribuir
para a melhora da segurança cibernética
industrial desenvolvendo atividades de análises,
estudos e intercâmbio de informações sobre o
conjunto de práticas, processos e tecnologias
desenhadas para gerenciar o risco do
ciberespaço derivado do uso, processamento,
armazenamento e transmissão de informação
utilizada nas organizações e infraestruturas
industriais e como estas supõem uma das bases
sobre as quais está sendo construída a
sociedade atual.
O CCI aspira tornar-se um ponto independente
de encontros das organizações, privadas e
públicas, e profissionais relacionados com as
práticas e tecnologias da segurança cibernética
industrial, assim como a referência para o
intercâmbio de conhecimento, experiências e a
dinamização dos setores envolvidos neste
âmbito.
C/ Maiquez, 18
28009 MADRID
Tel.: +34 910 910 751
e-mail: info@cci-es.org
www.cci-es.org
Blog: blog.cci-es.org
Twitter: @info_cci

4. Página 4
Índice
CERTIFICADO DE DOCUMENTAÇÃO DE ALTERAÇÕES 5
DESCRIÇÃO DA PESQUISA 6
ORGANIZAÇÕES INDUSTRIAIS PESQUISADAS 6
ORGANIZAÇÃO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 8
RESPONSABILIDADE DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 8
GRAU DE CAPACITAÇÃO EM SEGURANÇA CIBERNÉTICA INDUSTRIAL 10
GESTÃO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 11
AVALIAÇÃO DE RISCOS 11
GESTÃO DE INCIDENTES DE SEGURANÇA 12
PLANEJAMENTO DE AÇÕES DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 13
ASPECTOS TÉCNICOS DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 14
CONEXÕES DE REDES 14
ACESSOS REMOTOS 15
USO DE NORMAS E PADRÕES 17
MEDIDAS DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 18
MERCADO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 19
PREVISÃO DE NOVAS ATIVIDADES DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 19
REQUISITOS EM NOVOS PROJETOS 21
CONTRATAÇÃO EM PROJETOS DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 22
CERTIFICAÇÕES PROFISSIONAIS 23
CONCLUSÕES 24
REFERÊNCIAS BIBLIOGRÁFICAS E NA INTERNET 26
GLOSSÁRIO 26

5. Página 5
Certificado de documentação de alterações
Versão Data Autor Descrição
RC1 15/07/2014 Marcelo Branquinho Geração do primeiro documento em língua portuguesa.
RC2 15/07/2014 Leonardo Cardoso Primeira revisão.

6. Página 6
Descrição da pesquisa
A pesquisa foi realizada de forma on-line através de e-mail enviado com um formulário
em anexo a gestores de empresas brasileiras. Durante o tempo que o formulário
esteve disponível para o preenchimento, de 23/6/14 a 13/7/14, 51 organizações
industriais o responderam plenamente.
Este documento apresenta os resultados da pesquisa e proporciona interpretações
baseadas no conhecimento e experiência de seus redatores e participantes do
processo de revisão. Fica a critério dos leitores obter suas próprias conclusões.
É importante frisar que os dados fornecidos nos formulários da pesquisa possuem
caráter extremamente sigiloso e estão protegidos por acordos de confidencialidade
que a TI Safe mantém com seus clientes. Nenhum nome de cliente, projeto,
informação técnica ou financeira será revelado nesta pesquisa, que contém apenas
dados quantitativos consolidados e não representa de nenhuma forma uma ameaça à
confidencialidade dos dados de nossos clientes.
Organizações industriais pesquisadas
As organizações industriais pesquisadas englobam os principais setores da indústria
brasileira, com uma maior presença das empresas do setor elétrico e petróleo e gás,
mas incluindo também os setores de alimentos e bebidas, águas e resíduos,
transportes e logística, siderúrgicas, nuclear, mineradoras e indústrias químicas.
Setores representados na pesquisa
Alimentos e Bebidas
2%
Energia
30%
Indústria Química
4%
Mineradoras
6%
Nuclear
4%
Petróleo e Gás
19%
Siderúrgicas
9%
Transportes e Logística
17%
Aguas e Resíduos
9%
Gráfico 1 – Setores representados na pesquisa.
A variedade dos setores pesquisados é um resultado da heterogeneidade dos nichos
de mercado representados no ecossistema e da transversalidade da segurança
cibernética industrial, cuja implicações afetam a todos os setores da indústria. A
presença de tantos setores diferentes na pesquisa é muito interessante uma vez que

7. Página 7
proporciona uma amplitude de pontos de vista que contribuem para tornar mais
valiosos os resultados obtidos.
Todas as organizações que participaram da pesquisa são grandes indústrias brasileiras
que são parte importante de nossa infraestrutura crítica.
O fato das empresas participantes da pesquisa serem indústrias de grande porte é
devido a que atualmente estas são as organizações que possuem o maior nível de
conscientização a respeito da necessidade de implantar e manter medidas de
segurança cibernética industrial, são as que estão diretamente afetadas por algum
requisito regulatório e ainda, são as que dispoem de recursos humanos especializados
que dão suporte aos diferentes centros de trabalho.
Por outro lado, as empresas menores normalmente não são afetadas por requisitos
regulatórios e ainda não contam com a segurança cibernética industrial como uma de
suas prioridades. No entanto, esta é uma tendência que no futuro próximo deverá
mudar na medida que cresça o nível de conscientização geral dos setores industriais,
ou que estas empresas menores comecem a ser vítimas de ataques cibernéticos, algo
que não está muito distante de acontecer dado o grande crescimento que estes
incidentes tem tido em plantas industriais nos últimos anos, evidenciado pelo gráfico
retirado do “1o
Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras”1
, publicado em maio de 2014.
Gráfico 2 – Evolução dos Incidentes de Segurança em redes de automação brasileiras (Dados de 2008 a 2014 –
Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras)

8. Página 8
Organização da Segurança Cibernética Industrial
Responsabilidade da Segurança Cibernética Industrial
Quem tem em sua organização a responsabilidade de proteger os sistemas que
controlam os processos industriais?
A responsabilidade de proteger os sistemas de controle de processos industriais é
compartilhada entre vários departamentos; 65% das organizações têm atribuído essa
responsabilidade para um único departamento, enquanto que 35% das organizações
não têm responsabilidade definida para segurança cibernética industrial.
Dentre as empresas pesquisadas, em quase metade a responsabilidade pela segurança
cibernética industrial está atribuída à equipe de T.A. (Tecnologia de Automação). A
partir dos resultados foi também verificado que apenas em 12% das empresas foi
formado um comitê misto entre equipes de T.I. e T.A. para uma gestão conjunta da
segurança cibernética industrial, o que é um indicador da baixa maturidade existente
nesta área. Além disso, também pode ser interpretado como falta de maturidade
organizacional em empresas em que a atribuição de responsabilidades não é feita de
acordo com um processo formal, definido, mas leva em conta aspectos como as
tradições e históricos das organizações que geralmente acabam em responsabilidades
de polarização em determinados departamentos. Finalmente deve-se notar que é
provável que as organizações pesquisadas tenham organogramas diferentes, o que
torna a atribuição de responsabilidades para a segurança cibernética industrial
diferente de empresa para empresa.
Qual departamento em sua organização possui a responsabilidade
de proteger as redes industriais?
Não existe esta
responsabilidade
definida.
35%
Comitê misto
formado por T.I. e
T.A.
12%
Equipe de T.A.
(Automação)
49%
Equipe de T.I.
(Corporativa)
4%
Gráfico 3 – Responsabilidade de proteger as redes industriais.

9. Página 9
Os responsáveis pelo negócio estão sensibilizados com as normas e os riscos da
segurança das redes industriais?
Os dados mostram que pouco mais da metade dos gestores das empresas pesquisadas
(53%) se encontram muito pouco sensibilizados quanto às normas e riscos em redes
industriais. Apenas 6% dos gestores atestaram estar muito sensibilizados para estes
riscos, o que pode ter graves implicações sobre a continuidade e ao bom
funcionamento dos processos de negócio. Está bastante claro que ainda há um longo
caminho a percorrer em termos de esforços de conscientização em níveis de gerência.
Nível de sensibilização dos responsáveis pelo negócio quanto às
normas e riscos de segurança em redes industriais:
Muito pouco
sensibilizados
53%
Normal
37%
Muito sensibilizados
6%
Não sei
4%
Gráfico 4 – Nível de sensibilização dos responsáveis pelo negócio.
Deve-se ter em conta que a abordagem a ser dada precisa ser a de educar não
somente a direção das empresas, mas também a sociedade em geral na matéria de
segurança cibernética industrial de uma forma diferente da que é feita para um
ambiente de gerenciamento, onde geralmente é mais focada a confidencialidade das
informações. A consciência da segurança cibernética industrial deve focar no perigo da
manipulação mal intencionada de sistemas de controle para a população. Somente
assim as medidas tomadas para assegurar estes ambientes deixarão de ser vistos como
uma imposição dos departamentos interessados e serão vistos como uma contribuição
para a segurança global.

10. Página 10
Grau de capacitação em segurança cibernética industrial
Qual o grau de capacitação de sua organização em segurança cibernética industrial?
A capacitação das organizações em matéria de segurança cibernética industrial varia
dentro de cada departamento. As organizações industriais brasileiras investem mais na
capacitação dos departamentos que estão diretamente relacionados com a segurança
das informações (T.I.) do que com as que são as responsáveis pela manutenção do
funcionamento dos processos de negócio (T.A.). Existe aí uma inversão de valores uma
vez que o core business das indústrias está baseado juntamente em seus processos
produtivos que são geridos pelas redes de automação.
Comparativo do grau de capacitação técnica das equipes em segurança cibernética industrial.
6
12 13
8
12
0
19
28
2 2
0
5
10
15
20
25
30
Alto. Médio. Baixo. Nenhum. Não sei.
Nivel de capacitação
Númerodeentrevistados
Equipe de TI - Corporativa
Equipe de TA - Automação
Gráfico 5 – Comparativo do nível de capacitação entre equipes de TI e TA.
Um dado bastante notável é que a grande maioria dos gestores de T.A. considera que
seus colaboradores possuem nível baixo (28%) e médio (19%) de capacitação, e
nenhum gestor considerou que sua equipe de automação estivesse adequadamente
treinada. Isto reflete perfeitamente a carência que existe nas indústrias em elaborar e
executar planos anuais de treinamento e capacitação em segurança cibernética
industrial para as equipes de T.A. da mesma forma e nível de investimento que é
praticado para os colaboradores das redes de tecnologia da informação.

11. Página 11
Gestão da segurança cibernética industrial
Avaliação de Riscos
Sua empresa tem realizado avaliações do nível de risco dos sistemas de automação e
controle?
No que diz respeito à realização de avaliações de riscos em redes industriais, 29% das
organizações revelaram não ter feito nenhum tipo de avaliação de riscos, enquanto
que 31% admitiram fazer periodicamente avaliações técnicas como análises de
vulnerabilidades e testes de invasão. O restante das empresas apresenta percentuais
menores e semelhantes de realização de avaliações organizacionais (políticas,
procedimentos) ou normativas (ANSI/ISA-99 e outras).
Sua empresa tem realizado análise de riscos em sistemas de
controle industriais?
Realizamos
avaliações normativas
(ANSI/ISA-99 e
outras)
18%
Realizamos
avaliações técnicas
31%
Realizamos
avaliações
organizacionais
18%
Não sei
4%
Não temos feito
avaliações de riscos.
29%
Gráfico 6 – Análise de riscos em sistemas de controle industriais.
Os dados que indicam que quase um terço das indústrias não tem realizado nenhum
tipo de avaliação de riscos é tremendamente significativo, sobretudo pelo tamanho e
criticidade das empresas que responderam à pesquisa.
Este número de organizações que não realizam análises de riscos é considerado muito
alto já que, sem estas análises, as empresas nem sequer conhecem os riscos que estão
enfrentando. É importante que as avaliações de riscos tenham em conta dimensões
além das meramente técnicas dos ativos da rede (mais habituais) e analisem também
o ambiente operacional SCADA de uma forma global.

12. Página 12
Gestão de incidentes de segurança
Como é o processo de gestão de incidentes de segurança nas redes de automação da
empresa?
Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de
incidentes de segurança cibernética industrial desenvolvido e em produção. Em 24%
das empresas este processo não existe, e 27% atuam de forma reativa quando
ocorrem incidentes de segurança. No entanto, 45% das empresas pesquisadas
afirmaram estar definindo este processo.
Gráfico 7 – Gestão de Incidentes de segurança.
Sua empresa teria problemas em declarar publicamente incidentes de segurança
cibernética ocorridos em redes de automação?
A falta de fontes oficiais de informações sobre incidentes de segurança em redes
industriais e SCADA no Brasil gera uma lacuna importante no ciclo de proteção das
infraestruturas críticas. Sem dados estatísticos sobre incidentes, investimentos
necessários na segurança de infraestruturas críticas não são realizados mantendo-as
vulneráveis. A pesquisa mostrou que nenhuma das empresas entrevistadas tem a
filosofia de compartilhar publicamente os incidentes de segurança, 55% das empresas
tratam internamente os incidentes de segurança e apenas 12% das empresas declaram
seus incidentes de forma sigilosa aos fabricantes e consultorias especializadas de
segurança.
Como é o processo de gestão de incidentes de Segurança nas
redes de automação da empresa?
O processo ainda está
sendo definido
45%
Está definido,
desenvolvido e em
produção.
0%
Não sei.
4%
É feito de forma reativa.
27%
Não existe este
processo.
24%

13. Página 13
Sua empresa teria problemas em declarar publicamente incidentes
de segurança cibernética ocorridos em redes de automação?
Nenhum problema, faz
parte da filosofia da
empresa compartilhar
incidentes.
0%
Incidentes são declarados
somente aos fabricantes e
consultorias de Segurança.
12%
Nunca declaramos estes
incidentes. Eles são
tratados internamente.
55%
Não sei.
33%
Gráfico 8 – Declaração pública de incidentes de Segurança cibernética industrial.
Planejamento de ações de segurança cibernética industrial
Como se planejam habitualmente as ações de segurança cibernética industrial em
sua organização?
Quanto ao planejamento das ações de segurança cibernética, 36% das organizações
industriais pesquisadas afirmaram somente executá-las de forma reativa em caso de
incidente, enquanto 27% das empresas planejam as ações ao longo do tempo. Estas
ações, na maior parte das ocasiões estão motivadas por recomendações internas
(15%) e na menor parte por recomendações operacionais externas (8%).
Como se planejam habitualmente as ações de Segurança
cibernética industrial em sua organização?
Não sei.
6%Seguem as
recomendações de uma
consultoria externa.
8%
Só são executadas
quando há um acidente.
36%
Seguem as
recomendações da rede
corporativa interna.
15%
Para atender às diretrizes
mínimas da legislação.
8%
São planejadas,
desenhadas e executadas
ao longo do tempo.
27%
Gráfico 9 – Planejamento de ações de segurança cibernética industrial.

14. Página 14
A implementação de diretrizes mínimas de segurança pode ocorrer devido à restrições
orçamentárias ou à falta de consciência da necessidade de medidas de segurança
cibernética, o que faz com que os gestores da empresa se limitem ao cumprimento
regulamentar mínimo aos quais estão sujeitos.
Existem gestores que evitam implementar até mesmo as orientações mínimas sem a
aprovação dessas diretrizes por parte dos fabricantes de sistemas supervisórios, e que
atribuem a eles a responsabilidade por tomar tais medidas. É por isso que se torna
imprescindível a criação de um marco legal que obrigue os fabricantes de segurança a
implementar as medidas mínimas de segurança cibernética em suas soluções, não
deixando este importante papel somente para os gestores das infraestruturas críticas.
Aspectos técnicos da segurança cibernética industrial
Conexões de redes
As redes de automação de sua empresa estão segmentadas e protegidas?
Aproximadamente um quarto (27%) das organizações industriais pesquisadas afirmou
que existe separação total entre suas redes corporativas e industriais.
As redes de automação de sua empresa estão segmentadas e
protegidas?
As redes de automação
tem diferentes níveis de
segmentação.
4%As redes corporativa e de
automação estão
conectadas diretamente.
6%
As redes corporativa e de
automação estão
segmentadas por um
firewall.
63%
Não sei.
0%
As redes de automação
estão totalmente e
fisicamente apartadas da
rede corporativa.
27%
Gráfico 10 – Segmentação e proteção de redes de automação.
A maioria (63%) das organizações que reconhecem existir conexão entre as redes
corporativa e de automação dispõem de firewall entre estas redes. No entanto
existem preocupantes 6% de empresas que mantêm suas redes conectadas
diretamente, o que representa um enorme risco de incidentes de segurança
cibernética.

15. Página 15
Acessos remotos
Sua rede industrial possui dispositivos conectados à internet, independentemente
dos mecanismos de proteção aplicados?
A maioria das organizações pesquisadas (74%) afirma que suas redes industriais não
possuem dispositivos conectados à internet, enquanto 22% afirmam terem
dispositivos que estão conectados à internet de forma permanente ou temporária.
Sua rede industrial possui dispositivos conectados à Internet?
Sim, permanentemente
conectado à internet
12%
Sim, conectados
temporariamente e sob
demanda
10%
Não sei
4%
Não
74%
Gráfico 11 – Dispositivos de redes de automação conectados à Internet.
A existência de conexões à internet a partir das redes industriais, especialmente
quando estas são permanentes, gera um dos principais riscos às organizações
industriais. Atualmente existe um enorme interesse acerca do estado geral destas
conexões, como demonstra a existência de projetos como o Shodan2
, Sonar3
e o
trabalho de Kyle Wilhoit intitulado “Who’s really attacking your ICS equipment”4
,
dentre outros. Estes projetos se dedicam a avaliar o estado dos sistemas industriais
acessíveis através da internet e aumentar a consciência sobre o perigo que estes
oferecem. A existência de sistemas de controle industriais acessíveis a partir da
internet, combinada com a escassa segurança incorporada aos dispositivos industriais,
e a criticidade de muitos dos processos controlados por estes dispositivos, faz com que
o risco que estes sistemas proporcionam seja muito alto e inaceitável pelas
organizações. É evidente que as conexões à internet destes sistemas não atendem a
caprichos, e que existem razões plenamente justificáveis para mantê-las ativas, no
entanto, deveriam ser adequadamente controladas e gerenciadas.

16. Página 16
Sua rede industrial possui acessos remotos?
A grande maioria das organizações industriais pesquisadas afirma fazer uso de acessos
remotos, sendo que em 27% delas o acesso remoto está permanentemente disponível
para conexões, enquanto em 42% das empresas os dispositivos de comunicação são
ligados sob demanda.
Sua rede industrial possui acessos remotos?
Sim, conectados
temporariamente e sob
demanda.
42%
Não.
31%
Não sei.
0%
Sim, permanentes.
27%
Gráfico 12 – Acesso remoto.
Em caso afirmativo na pergunta anterior, por qual motivo?
Os motivos para o estabelecimento de acessos remotos aos sistemas de controle
industriais das empresas pesquisadas são principalmente o suporte e manutenção
remota dos mesmos.
Gráfico 13 – Motivos para o uso do acesso remoto.

17. Página 17
Uso de normas e padrões
Quais normas estão sendo usadas no âmbito da segurança cibernética industrial da
empresa?
A maior parte das organizações utiliza normas para balizar o estabelecimento da
segurança cibernética industrial na empresa. As famílias ANSI/ISA-99 e ISO27000
lideram a preferência dos entrevistados. Chama a atenção o fato de existirem
indústrias que não utilizam nenhuma norma para implementar a segurança industrial,
e ainda, que existem indústrias que usam apenas a família ISO27000 para implementar
segurança em redes de automação, o que pode levar a graves erros de implementação
devido às particularidades operacionais das redes em tempo real em comparação com
as redes de tecnologia da informação.
Normas usadas no âmbito da segurança industrial da empresa:
Família ANSI/ISA 99
ISO 27001/27002
Nenhuma
NIST 800-82
Outras
NERC CIP
NIST 800-53
Guia DSIC / GSI
ISO22301 / BS 25999
0 5 10 15 20 25 30
# Entrevistados
Gráfico 14 – Normas usadas para segurança cibernética industrial
Dentre as normas específicas para segurança cibernética industrial, a ANSI/ISA-99 se
posiciona como o padrão de fato, seguida de recomendações propostas e controles de
segurança em NIST SP 800-82 e outras regulamentações setoriais, como a NERC CIP
focada em proteção de infraestruturas críticas de sistemas de energia elétrica.

18. Página 18
Medidas de segurança cibernética industrial
Quais medidas de segurança industrial sua empresa já implantou?
Todas as organizações pesquisadas afirmaram implantar algum tipo de medida de
segurança cibernética. Dentre as medidas técnicas, as mais habituais são os antivírus,
firewalls convencionais e soluções automatizadas de backup.
Medidas de segurança industrial implantadas na empresa:
Comunicações cifradas
Gateways unidirecionais
Gestão de segurança
cibernética
Gestão de identidades
SIEM
Gestão da Continuidade
do negócio
Correlação de eventos
Auditorias de segurança
externas
Whitelisting
Gestão de Recuperação
de desastres
Firewalls industriais
Controle de aplicações
industriais
Auditorias de Segurança
internas
IDPS
Políticas e
Procedimentos
Documentados
Backup automatizado
Antivírus
Arquitetura de Rede
documentada
Firewalls Convencionais
0 5 10 15 20 25 30 35 40 45
# Entrevistados
Gráfico 15 – Medidas de segurança cibernética industrial usadas.

19. Página 19
Como esperado, as medidas de segurança cibernética corporativa mais maduras e
estabelecidas são também as mais utilizadas em ambientes industriais (firewalls
convencionais, antivírus, backups). Por outro lado, também não é uma surpresa que as
medidas específicas de segurança cibernética Industriais (firewalls industriais,
gateways unidirecionais, whitelisting) ainda tenham um uso bastante limitado,
possivelmente ocasionado por sua implementação depender de departamentos de TI
com pouca experiência no mundo industrial. No entanto, é esperado um aumento no
uso de tecnologias específicas de segurança cibernética industrial conforme o
aumento da cultura e consciência entre os usuários finais e as organizações, o que as
levará a compreender que as soluções de segurança clássicas em ambientes de TI não
são completamente válidas para ambientes de controle industrial.
Mercado da segurança cibernética industrial
Previsão de novas atividades de segurança cibernética industrial
Existe previsão de iniciar novas atividades no âmbito da segurança cibernética
industrial?
Um total de 80% das empresas pesquisadas tem previsão de iniciar atividades de
segurança cibernética industrial, sendo que mais da metade delas (54%) o farão já nos
próximos 6 meses. Somente 20% das empresas pesquisadas ainda não contemplam as
ações de segurança cibernética industrial em seus orçamentos.
Existe previsão de iniciar novas atividades no âmbito da Segurança
cibernética industrial?
Sim, sem uma data
determinada
12%
Sim, no próximo ano
14%
Não existe orçamento
para os próximos
anos
20%
Sim, nos próximos 6
meses
54%
Gráfico 16 – Previsão de novas atividades em segurança cibernética industrial.
A existência de atividades planejadas para os próximos meses implica na existência de
orçamentos dedicados para se dedicar a atividades de segurança cibernética industrial

20. Página 20
e, portanto, demanda para os fornecedores de serviços e produtos, que verão essas
atividades como uma forma de expandir sua oferta e diversificar os seus serviços. Será
apenas uma questão de tempo para o surgimento de novos serviços inovadores que
ajudarão a estimular esse mercado. Essa dinâmica não só alcançará os organismos
diretamente envolvidos (fornecedores e usuários finais), mas também afetará os
profissionais do setor, ao criar-se uma demanda para eles. Os profissionais verão uma
oportunidade de diversificar ou converter suas carreiras profissionais e para isto
precisarão de treinamento e formação5
, o que também contribuirá para o
desenvolvimento do mercado educacional específico para o setor.
Quais são as motivações para a execução de projetos e implantação de soluções de
segurança cibernética industrial?
Quais são as motivações para a execução de projetos e
implantação de soluções de Segurança cibernética industrial?
Processo de melhoria
contínua.
Exigência a partir de uma
auditoria ou controle
interno.
Resposta a incidentes de
segurança.
Recomendações de
consultores ou fabricantes.
Exigência por parte de
direção.
Outras.
Exigência de mercado ou
clientes.
0 5 10 15 20 25 30 35 40 45
# Entrevistados
Gráfico 17 – Motivação para execução de projetos de segurança cibernética industrial.
As principais motivações (melhoria contínua, auditoria interna e resposta a incidentes
de segurança) são consistentes com o cenário atual em que as ameaças aos processos
industriais estão mudando com a introdução de componentes tecnológicos
(principalmente tecnologia da informação), que incorporam um risco para o qual as
indústrias não estão preparadas para lidar. Além disso, é significativa a baixa presença
das necessidades do mercado e a explicação para isso é, sem dúvida, a baixa
maturidade da disciplina em organizações de usuários, o que faz com que o mercado
não reconheça a demanda por necessidades específicas de segurança cibernética
industrial.

21. Página 21
Em sua opinião, qual é a tendência dos investimentos financeiros de sua empresa em
segurança cibernética industrial para os próximos anos?
A maioria das organizações pesquisadas considera que o investimento em segurança
cibernética industrial se manterá no nível atual, enquanto 45% acreditam que ele
aumentará. Nenhuma das empresas pesquisadas aposta em uma diminuição do nível
de investimentos.
Em sua opinião, qual a tendência dos investimentos financeiros de
sua empresa em segurança cibernética industrial para os próximos
anos?
Se manterá no nível
atual
55%
Diminuirá
0%
Aumentará
45%
Gráfico 18 – Tendência dos investimentos em segurança cibernética industrial.
Requisitos em novos projetos
Requisitos de segurança cibernética industrial são incluídos em novos projetos da
empresa?
A maioria das organizações industriais pesquisadas contempla requisitos básicos de
segurança cibernética industrial em todos os aspectos de seus novos projetos. No
entanto ainda é preocupante que 20% das organizações não os considerem.
Acreditamos que este cenário venha a mudar conforme seja ampliada a consciência
das equipes de tecnologia da automação em segurança cibernética industrial.

22. Página 22
Requisitos de Segurança cibernética industrial são incluídos em
novos projetos da empresa?
Inserimos
referências da norma
ANSI/ISA-99 como
itens obrigatórios
43%
Não sei.
6%
Não são levados em
consideração.
24%
Inserimos
referências da norma
ANSI/ISA-99 como
opcionais desejáveis
27%
Gráfico 19 – Requisitos de segurança cibernética industrial em novos projetos.
Contratação em projetos de segurança cibernética industrial
Na empresa, quem toma a decisão de contratação de projetos de segurança
cibernética para as redes de automação?
A maior parte das decisões de contração sobre segurança cibernética industrial é
realizada pela área de T.A. (47%), e já é bastante comum que um comitê
multidisciplinar com integrantes das equipes de T.I. e T.A. tome estas decisões.
Na empresa, quem toma a decisão de contratação de projetos de
Segurança cibernética para as redes de automação?
Comitê
multidisciplinar de T.I.
e T.A.
27%
Não existe esta
responsabilidade
definida
18%
Equipe de T.I.
8%
Equipe de T.A.
47%
Gráfico 20 – Decisões de contratação.
Pelo resultado da pesquisa fica claro que, embora a responsabilidade de proteger os
sistemas esteja dividida entre os setores de T.I., segurança física e T.A., a
responsabilidade de compra recai claramente sobre a área de T.A.

23. Página 23
Quem são os provedores de segurança cibernética para redes de automação de sua
organização?
Quanto a quais tipos de organizações são provedoras de segurança cibernética para
organizações industriais, a pesquisa mostra que ainda não existe um perfil definido,
mas que a tendência é que fabricantes juntamente com empresas especializadas em
segurança cibernética industrial venham a ser os maiores provedores no futuro
próximo. Por enquanto a maioria das empresas pesquisadas ainda utiliza recursos
internos para esta complicada tarefa.
Quem são os provedores de segurança cibernética para redes de
automação de seua organização?
Recursos internos da
empresa
Fabricantes industriais em
parceria com especialistas
em segurança cibernética
Empresas especializadas
em segurança cibernética
industrial
Não existem tais
fornecedores atualmente
Fabricantes industriais
somente.
0 5 10 15 20 25 30 35 40
# Entrevistados
Gráfico 21 – Provedores de cegurança cibernética industrial.
Certificações profissionais
Como você avalia as certificações profissionais da equipe dos fornecedores no
momento da contratação de serviços em segurança industrial?
Apenas 8% das organizações não valorizam a existência de certificações profissionais
em prestadores de serviços. Pouco mais da metade as considera um requisito
fundamental, enquanto os 41% restantes fizeram uma avaliação positiva.

24. Página 24
Como você avalia as certificações profissionais da equipe dos
fornecedores no momento da contração de serviços em segurança
industrial?
Avalio positivamente.
41%
Creio que não
servem para nada.
8%
As considero um
requisito
fundamental.
51%
Gráfico 22 – Avaliação da importância de certificações.
Conclusões
Entre as organizações industriais pesquisadas não foi detectado uma maneira
definitiva para enfrentar os desafios da segurança cibernética industrial. Uma das
principais causas disto é a falta de referências e padrões reconhecidos. O mercado, as
organizações industriais, prestadores de serviços e profissionais de segurança
cibernética e automação de processos, requerem guias de referência que os ajudem a
enfrentar os desafios da segurança cibernética industrial e que sejam adequados aos
anseios do governo e da sociedade brasileira.
A maturidade do mercado brasileiro de segurança industrial em 2014 é equivalente ao
cenário que os EUA possuíam em 2010, o que pode significar um atraso de 4 a 5 anos
em relação ao nível de segurança cibernética industrial dos países com tecnologia mais
avançada.
Dentre as empresas brasileiras pesquisadas, a capacitação em segurança cibernética é
maior nos departamentos de T.I. que no restante das áreas da empresa, o que faz com
que as tecnologias de segurança comumente utilizadas em redes corporativas ainda
sejam as mais utilizadas em redes de automação, quando deveriam ser as específicas
para segurança de automação industrial, como firewalls industriais, gateways de
segurança unidirecionais, IDPS com assinaturas específicas SCADA, dentre outras
detalhadas em livro recentemente publicado pela TI Safe6
.
É necessário aumentar o nível de consciência dos gestores das indústrias nacionais
sobre a necessidade e as implicações da segurança cibernética industrial. No entanto,
existe uma dificuldade significativa para expressar os impactos derivados dos riscos de
incidentes em plantas industriais, e declará-los publicamente, como é feito em outros

25. Página 25
países, até por força legislativa, que possuem bases específicas de incidentes de
segurança industrial (como por exemplo o RISI - Repository of Industrial Security
Incidents7
).
A maior parte dos projetos de segurança cibernética industrial atualmente
desenvolvidos por empresas brasileiras são motivados por processos de melhoria
contínua, resposta a auditorias internas e resposta a incidentes de segurança. As
exigências do mercado não são uma parcela relevante da motivação que as empresas
possuem para a execução de projetos de segurança cibernética industrial, mas sem
dúvida esta tendência mudará nos próximos anos.
Muitas organizações têm previsto o desenvolvimento de ações de segurança
cibernética industrial dentro do próximo ano e em todos os setores da indústria
nacional, o que implica no crescimento dos orçamentos destinados a esta finalidade.

26. Página 26
Referências bibliográficas e na Internet
1 - TI Safe. (Maio de 2014). 1o
Relatório Anual TI Safe sobre incidentes de segurança
em redes de automação brasileiras. Acesso em 15 de Julho, 2014,
http://www.slideshare.net/tisafe/1o-relatrio-anual-ti-safe-sobre-incidentes-de-
segurana-em-redes-de-automao-brasileiras-2014
2- Shodan - http://www.shodanhq.com/
3 - Project Sonar.
https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome-
to-project-sonar
4 - Trend Micro. (2013). Who’s really attacking your ICS equipment. Acesso em 15 de
Julho, 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-
intelligence/white-papers/wp-whos-really-attacking-your-ics-equipment.pdf
5- TI Safe. (17 de Setembro de 2013). Ementa da Formação em Segurança de
Automação Industrial". Acesso em 17 de maio, 2014,
http://pt.slideshare.net/tisafe/ementa-da-formao-em-segurana-de-automao-
industrial
6 - Segurança de automação e SCADA / Marcelo Ayres Branquinho ... [et al.]. 1. ed.
- Rio de Janeiro. Elsevier, 2014.
7 - RISI. http://www.risidata.com/
Glossário
ANSI American National Standards Institute
DSIC Departamento de Segurança da Informação e Comunicações, órgão
subordinado ao Gabinete de Segurança Institucional da Presidência da
República Federativa do Brasil
GSI Gabinete de Segurança Institucional da Presidência da República
Federativa do Brasil
IDPS Intrusion Detection and Prevention Systems
ISA The International Society of Automation
ISO International Organization for Standardization
NIST National Institute of Standards and Technology
SIEM Security information and event management
T.A. Tecnologia de Automação
T.I. Tecnologia da Informação