View
126
Download
2
Embed Size (px)
DESCRIPTION
Título da Palestra: Concepção e desenho de programa integrado de segurança da informação para automação
Citation preview
CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO DE SEGURANÇA DA INFORMAÇÃO PARA AUTOMAÇÃO
Cesar Oliveira, CISMRio de Janeiro, 7 de Novembro de 2014 Informação Pública
A VALE
Informação Pública
Somos a Vale
• Mineradora global com sede no Brasil
• Líder mundial na produção de minério de ferro e pelotas e o segundo maior produtor de níquel
• Também produzimos cobre, carvão metalúrgico, fertilizantes, manganês, ferroligas, cobalto e metais do grupo da platina
• Investimos em logística e energia
Em
preg
ados
da
Val
e em
Itab
ira /
MG
Ren
ato
Sto
ckle
r da
s N
eves
Filh
o / A
gênc
ia V
ale
Informação Pública
2013Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e escritórios estão presentes nos cinco continentes.
Informação Pública
MissãoTransformar recursos naturais em prosperidade e desenvolvimento sustentável
VisãoSer a empresa de recursos naturais global número um em criação de valor de longo prazo, com excelência, paixão pelas pessoas e pelo planeta
ValoresA vida em primeiro lugarValorizar quem faz a nossa empresaCuidar do nosso planetaAgir de forma corretaCrescer e evoluir juntosFazer acontecer
Com
plex
o P
ortu
ário
Sul
–C
PB
S /
RJ
Már
cio
Dan
tas
Val
ença
/ A
gênc
ia V
ale
Informação Pública
195 mil
Empregados e prestadores de serviço
50 mil
Usuários de TI
Faturamento Líquido em 2013
46 bilhões de dólares
Informação Pública
O CENÁRIO ATUAL DE AMEAÇAS E SEGURANÇA DOS SISTEMAS DE AUTOMAÇÃO INDUSTRIAL
Informação Pública7
Cenário de ameaças em Sistemas de AutomaçãoIndustrial
Informação Pública
Conhecimento (capacidade)
Motivação (intenção) Oportunidade
Possível Ataque de Sucesso
Fórmula para um ataque de sucesso…
Informação Pública
Segurança para Sistemas de Automação Industrial –Verdadeiro ou Falso?
( ) Cuidar apenas de segurança física e ataques externos é suficiente;
( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não estádisponível para qualquer usuário;
( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito;
( ) Os Sistemas de Automação Industrial não são vulneráveis;
( ) Malwares não podem infectar os Sistemas de Automação;
( ) Não existe tecnologia disponível para combater ameaças específicas para osambientes de Automação;
( ) A solução é isolar totalmente a Rede de Automação.
Informação Pública
Segurança para Sistemas de Automação Industrial –Verdadeiro ou Falso?
( F ) Cuidar apenas de segurança física e ataques externos é suficiente;
( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não estádisponível para qualquer usuário;
( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito;
( F ) Os Sistemas de Automação Industrial não são vulneráveis;
( F ) Malwares não podem infectar os Sistemas de Automação;
( F ) Não existe tecnologia disponível para combater ameaças específicas para osambientes de Automação;
( F ) A solução é isolar totalmente a Rede de Automação.
Informação Pública
Sofisticação de ataque vs. Conhecimento técnico necessário
Intruders
High
Low
1980 1985 1990 1995 2000
IntruderKnowledge
AttackSophistication
Cross site scripting
password guessing
self-replicating code
password cracking
exploiting known vulnerabilities
disabling audits
back doors
hijacking sessions
sweepers
sniffers
packet spoofing
GUIautomated probes/scans
denial of service
www attacks
Tools
“stealth” / advanced scanning
techniques
burglaries
network mgmt. diagnostics
distributedattack tools
Staged
Auto Coordinated
2005 2013
Zombies
BotnetHactivism
Informação Pública
AdvancedIntrudersDiscover NewVulnerability
CrudeExploit Tools
Distributed
Novice IntrudersUse Crude
Exploit Tools
AutomatedScanning/ExploitTools Developed
Widespread Use of Automated Scanning/Exploit Tools
Intruders Begin Using New Types of Exploits
Ciclo de exploração de vulnerabilidades – tendência de aceleração para Sistemas de Ambientes Industriais
Informação Pública
AVALIAÇÃO DE RISCOS E PLANEJAMENTO DE AÇÕES
Informação Pública
Avaliação de Riscos e Planejamento de Ações de Segurança
Objetivos
- Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado;
- DefPlanejamento de Ações para cada Área Operacional prior izada por probabilidade e severidade
- Criação de um Business Case para o estabelecimento de u m Programa Integrado de Cyber Security.
- inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas
Áreas Operacionais
- Definir um
Benefícios
- Dar visibilidade sobre os riscos de segurança da informa ção existentes nos ambientes de Sistemas de
Automação e promover a discussão sobre o tratamento adequ ado aos riscos considerando as variáveis
levantadas e o negócio enolvido, além de promover o esta belecimento de um Programa Completo de Gestão
de Segurança em SIStemas de Automação Industrial.
Entregáveis
- Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação;
- Resultado da Análise de Riscos
- Resultado da avaliação dos Controles de Segurança exist entes
- Plano de Ações para cada Área Operacional priorizada por n ível de risco (probabilidade e severidade)
Participantes
- Áreas Operacionais
- Tecnologia de Automação da TI
- Information Security Office
- Global IT Security Services
- Comitê de Segurança da Informação
- Comitê de Liderança de Manutenção
Informação Pública
Análise de RiscoAnálise dos Controles de Segurança
Nomes com Controles mínimos
Realização de
Treinamento
Roadmap de Implantação
- Revisão de padrões e boas práticas existentes como insumos para determinar oscontroles mínimos necessários para serem aplicados em todas as Áreas Operacionais;
- Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida peloGoverno Americano (US-Department of Homeland Security) e tendo como padrão a norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”;
- Questionário com 172 questões divididas em categorias
Avaliação de Riscos e Planejamento de Ações de Segurança
http://ics-cert.us-cert.gov/Assessments
Informação Pública
• Process Control and SCADA Security Guides
NISCC/CNPI
• Security Guidelines for the Petroleum Industry
API
ISA-SP99 ISA-SP100 NIST SP 800ISA 100/11ª• Wireless Systems
for Industrial Automation (cap 8)
US-CERT
• ANSI/ISA TR96.01.02-2007 – Security Technologies for industrial automation and control systems.
• ANSI/ISA-99.01.01-2007 – Termiinologyconcepts and models
• ANSI/ISA-99.02.01-2009 – Estabilshing na industrial Automation and Control Systems Security Program.
• ISA-99.02.02 (em desenvolvimento) –Operating and Industrial Automation and Control Systems Security Program
• ISA-99.03.02 (em desenvolvimento) –Target Security Levels.
• ISA-99.03.03 – System Security compliance Metrics (em desenvolvimento).
• ISA-99.01.03 (em desenvolvimento) –System Security Requirements and Security Assurance Levels.
• ISA-TR99.02.03 (em desenvolvimento) –Patch Management .
• ISA 99.04 Series (em desenvolvimento) –Derived Requirements.
IEC 62443
SP800-82• Guide to industrial Control Systems (ICS)
Security
• Catalog of (controlSystem Security . Recomendations for Standards Developers.
• Creating Cyber Forensics Plans for Control System.
• Cyber Security Response to physicalSecurity Breaches.
• Control Systems Cyber Security Defense in Depth Strategies
• CPI-002 Critical Cyber Asset Idetification• CIP-003 Security Management Controls• CIP-004 Personnel & Training• CIP-005 Electronic Security Perimeter(s)• CIP-006 Physical Security of Critical Cyber
Assets• CIP-007 Systems Security Management • CIP-008 Incident Reporting and Response
Pianning• CIP-009 Recovery Plans for Critical Cyber
Assets
NERC CIP
Padrões específicos existentes que podem ser usados como base da ferramenta CSET
Avaliação de Riscos e Planejamento de Ações de Segurança
Informação Pública
Avaliação de Riscos
- Envolver todos os Stakeholders para criar consenso quanto às definições de probabilidade e severidade das ameaças é fator crítico de sucesso;
- Treinamentos de conscientização e reuniões de análise de riscos e definiçãode ameaças existentes e potenciais em cada Área Operacional.
Informação Pública
CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO
Informação Pública
Planejamento de Ações de Segurança
- Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações de Segurança para cada Área é essencial;
- Priorização de implementação de controles seguindo os seguintes critérios:• Controles que mitigam mais riscos e com maior efetividade;• Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR);• Ações com menor duração tendem a ser priorizadas;• Menor dependência de envolvimento de outras áreas internas da organização.
Informação Pública
Estabelecendo um Programa Completo
Como resultado do trabalho, foi criado um Business Case para a implantação do Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na ISA-99.02.01, seguindo suas recomendações que na prática são:
• Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos operacionais;
• Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment )• Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a
integração entre as áreas operacionais;• Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...);• Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como
mecanismo de sensibilização para o investimento no Programa Integrado e Completo.• Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas.
Informação Pública
Estabelecendo um Programa Completo
Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no
monitoramento de maneira a assegurar a evolução homogênea.
Além disto, a observação constante dos fatores organizacionais são determinantes para esta evolução.
ConscientizaçãoCapacitaçãoContratação
PolíticasNormas e Instruções de Trabalho
Planos de ContinuidadePlanos de Resposta a Incidentes
FirewallVPN
Segregação de RedesSistemas de Controle de Acesso Físico
Sistemas de Controle de Versão
Informação Pública
Fatores críticos de sucesso
Com
plex
o P
ortu
ário
Sul
–C
PB
S /
RJ
Már
cio
Dan
tas
Val
ença
/ A
gênc
ia V
ale
Informação Pública
Equilíbrio entre o CUSTO e RISCO
Custo Risco
Segurança Ideal
Custo de evitar o risco vs Custo de um incidente
Fatores críticos de sucesso
Informação Pública
A evolução da Tecnologia traz melhorias e Segurança é cada vez mais fator crítico nos negócios
• Aplicativo GetAroundde aluguel de carros no sistema “rent yourcar”;
• Inovação e risco: a chave do carro é um sinal emitido pelo seu smartphone;
• Segurança é fator crítico de sucesso.
Informação Pública
A Tecnologia a favor dos negócios... com Segurança
Obrigado
Cesar OliveiraGlobal IT Security [email protected]
Informação Pública
RessalvaEsta apresentação pode incluir declarações que apresentem expectativas da Vale sobreeventos ou resultados futuros. Todas as declarações quando baseadas em expectativasfuturas, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não podegarantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluemfatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá,(b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e suadependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau decompetição global nos mercados onde a Vale opera. Para obter informações adicionaissobre fatores que possam originar resultados diferentes daqueles estimados pela Vale,favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, naAutorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission –SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidosnas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20Fda Vale.”.
Esta apresentação não pode ser distribuída sem a autorizaçã o da Vale.