http://www.slideshare.net/ModuloSecurityhttp://www.slideshare.net/tisafe
Foque no Foque no Foque no Foque no
Conteúdo!!!Conteúdo!!!Conteúdo!!!Conteúdo!!!
Você pode focar no
conteúdo, sem se
preocupar em copiar
os Slides.
A apresentação estará
disponível em nossas
redes sociais.
PROTEÇÃO DE PROTEÇÃO DE PROTEÇÃO DE PROTEÇÃO DE INFRAESTRUTURA CRÍTICAINFRAESTRUTURA CRÍTICAINFRAESTRUTURA CRÍTICAINFRAESTRUTURA CRÍTICA
Gestão e Análise de Riscos Gestão e Análise de Riscos Gestão e Análise de Riscos Gestão e Análise de Riscos com Base com Base com Base com Base na na na na ANSI/ISA99 ANSI/ISA99 ANSI/ISA99 ANSI/ISA99 e NIST 800e NIST 800e NIST 800e NIST 800----82828282
Marcelo Branquinho
Renato Teodoro Tocaxelli
Providing
Comprehensive
Solutions for
Governance, Risk
and Compliance
Management
� Riscos em redes Industriais e Riscos em redes Industriais e Riscos em redes Industriais e Riscos em redes Industriais e SCADASCADASCADASCADA
� Ataques a Infraestruturas críticasAtaques a Infraestruturas críticasAtaques a Infraestruturas críticasAtaques a Infraestruturas críticas
� Normas Internacionais para Normas Internacionais para Normas Internacionais para Normas Internacionais para Segurança SCADASegurança SCADASegurança SCADASegurança SCADA
� Gestão de Riscos para Gestão de Riscos para Gestão de Riscos para Gestão de Riscos para Infraestruturas CríticasInfraestruturas CríticasInfraestruturas CríticasInfraestruturas Críticas
� Casos de SucessoCasos de SucessoCasos de SucessoCasos de Sucesso
PROTEÇÃO DE INFRAESTRUTURA CRÍTICA
• Homeland Security - ICS-CERT– Time de Resposta Emergencial a Incidentes
Cibernéticos - Controle de Sistemas Industriais
• Grupo Norte Americano com vistas a redução dos riscos nos setores de Infraestrutura Crítica
• Colabora com CERT´s para compartilhar incidentes de segurança e medidas de mitigação
Mobilização Mobilização Mobilização Mobilização
Mundial Mundial Mundial Mundial
sobre Riscos sobre Riscos sobre Riscos sobre Riscos
em redes em redes em redes em redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
• ICS-CERT: 1º. Sem 2013– 200 incidentes
– maior percentual no setor de energia em 53%
• watering hole, SQL injection, spear-phishing attacks
Mobilização Mobilização Mobilização Mobilização
Mundial Mundial Mundial Mundial
sobre Riscos sobre Riscos sobre Riscos sobre Riscos
em redes em redes em redes em redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
PROTEÇÃO DE INFRAESTRUTURA CRÍTICA
PROTEÇÃO DE INFRAESTRUTURA CRÍTICA
• GSI - PR– GUIA DE REFERÊNCIA PARA A SEGURANÇA DAS
INFRAESTRUTURAS CRÍTICAS DA INFORMAÇÃO
• De acordo com o Diário Oficial da União nº 27, de 11 de fevereiro de 2008, são consideradas infraestruturas críticas as instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico e/ou político
O Brasil O Brasil O Brasil O Brasil
forte sobre forte sobre forte sobre forte sobre
Riscos Riscos Riscos Riscos em em em em
redes redes redes redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
PROTEÇÃO DE INFRAESTRUTURA CRÍTICA
• MINISTÉRIO DA DEFESA – EXÉRCITO BRASILEIRO– Sistema Integrado de Proteção de
Estruturas Estratégicas Terrestres (Projeto PROTEGER)
• Plano Integrado de longo prazo com o objetivo oferecer prevenção, proteção e resposta rápida, em caso de ocorrências, para instalações de infraestrutura
• Projetado para atender as 664 Estruturas Estratégicas Terrestres do país, sendo 222 apenas no setor de energia
• Contempladas ações de defesa contra agentes cibernéticos, químicos, biológicos, radiológicos e nucleares
O Brasil O Brasil O Brasil O Brasil
forte sobre forte sobre forte sobre forte sobre
Riscos Riscos Riscos Riscos em em em em
redes redes redes redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
Riscos em Riscos em Riscos em Riscos em
redes redes redes redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
Sistemas Supervisórios Sistemas SCADA – No início
• Sistemas proprietários isolados e dependente de fabricantes
• Arquiteturas fechadas , “Ilhas de automação”
Riscos em Riscos em Riscos em Riscos em
redes redes redes redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
Evolução dos sistemas SCADA
• Sistemas abertos
• Arquitetura centrada em Conectividade
• Integrações cada vez mais frequentes:
• Sistemas SCADA e Intranet corporativa
• Sistemas SCADA e Internet
Riscos em Riscos em Riscos em Riscos em
redes redes redes redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
Alguns riscos em RedesIndustriais
Riscos em Riscos em Riscos em Riscos em
redes redes redes redes
industriais e industriais e industriais e industriais e
SCADASCADASCADASCADA
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas críticas críticas críticas e e e e
SCADASCADASCADASCADA
Shodan
• Hackers estão usando o site de busca Shodan para
encontrar computadores de sistemas SCADA que utilizam
mecanismos potencialmente inseguros para autenticação e
autorização.
http://www.shodanhq.com
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
Incidentes SCADA na ficção –Die Hard 4
Casos de “In”Sucesso• 1992 -- Chevron -- Emergency system was sabotaged by disgruntled employee in over 22 states
1997 -- Worchester Airport -- External hacker shut down the air and ground traffic communication system
for six hours
1998 -- Gazprom -- Foreign hackers seize control of the main EU gas pipelines using trojan horse attacks
2000 -- Queensland, Australia -- Disgruntled employee hacks into sewage system and releases over a
million liters of raw sewage into the coastal waters
2002 -- Venezuela Port -- Hackers disable PLC components during a national unrest and general workers
strike, disabled the country's main port
2003 -- U.S East Coast blackout -- A worm did not cause the blackout, yet the Blaster worm did
significantly infect all systems that were related to the large scale power blackout
2003 -- Ohio Davis-Besse Nuclear Plant -- Plant safety monitoring system was shut down by the Slammer
worm for over five hours
2003 -- Israel Electric Corporation -- Iran originating cyber attacks penetrate IEC, but fail to shut down the
power grid using DoS attacks
2005 -- Daimler Chrysler -- 13 U.S manufacturing plants were shut down due to multiple internet worm
infections (Zotob, RBot, IRCBot)
2005 -- International Energy Company -- Malware infected HMI system disabled the emergency stop of
equipment under heavy weather conditions
2006 -- Middle East Sea Port -- Intrusion test gone wrong. ARP spoofing attacks shut down port signaling
system
2006 -- International Petrochemical Company -- Extremist propaganda was found together with text files
containing usernames & passwords of control systems
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
Ataque à planta de Energia Nuclear de Davis-Besse
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
Ataque à planta de Energia Nuclear de Davis-Besse
• Em 25 de janeiro de 2003, a usina nuclear Davis-Besse usina nuclear em Oak Harbour,
Ohio, foi infectada com o worm "Slammer" do MS SQL.
• A infecção causou uma sobrecarga de tráfego na rede local. Como resultado, o
Sistema de Segurança de Display de Parâmetros (DOCUP) ficou inacessível por quase
cinco horas, e o computador de processos da planta por mais de 6 horas.
• Um firewall estava no local para isolar a rede de controle da rede da empresa, no
entanto, havia uma conexão T1 a partir de uma empresa de consultoria de software,
que entrou na rede de controle por trás do firewall, ignorando todas as políticas de
controle de acesso impostas pelo firewall corporativo.
• O worm infectou servidor do consultor e foi capaz de entrar na rede Davis-Besse
através da linha T1.
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
Ataque à ET de Maroochy Shire
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
Ataque à ET de Maroochy Shire31/10/2001
• Ataque ao sistema de controle de tratamento de resíduos de Maroochy Shire em
Queensland, Austrália.
• A Planta passou por uma série de problemas: bombas não acionavam quando
comandadas, alarmes não estavam sendo reportados, e havia uma perda de
comunicações entre o centro de controle e as estações de bombas.
• Estes problemas causaram o alagamento do terreno de um hotel próximo, um
parque, e um rio com mais de 7 milhões de litros de esgoto bruto.
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
Ataque Cibernético a Centro de Comando derruba Satélite
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
• Em 2008 investigadores da NASA
reportaram que uma falha no ROSAT
estava ligada à uma cyber invasão
no Goddard Space Flight Center,
centro de comando do satélite.
• Segundo o relatório da NASA:
“Atividades hostis comprometeram
sistemas de computadores que
direta ou indiretamente lidam com o
controle do ROSAT”
• Após sucessivas falhas nos meses
seguintes, em 23/10/11 o satélite
alemão ROSAT explodiu ao reentrar
na atmosfera terrestre. Seus
destroços caíram em áreas
inabitadas do planeta não causando
vítimas.
Ataque Cibernético a Centro de Comando derruba Satélite
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
O Worm Stuxnet
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
O Worm Stuxnet
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
• O Governo Obama usou o “Stuxnet” para causar medo e mostrar o controle
sobre a Guerra na Internet - @notalemming - YourDaddy's Politics
O Worm Stuxnet• O Stuxnet é um worm desenvolvido para atingir sistemas de controle
industriais que usam PLCs Siemens.
• Seu objetivo aparenta ser a destruição de processos industriais
específicos.
• O Stuxnet é muito grande, muito codificado, muito complexo para ser
compreendido imediatamente. Ele tem em seu bojo, incríveis truques
novos, como a tomada de controle de um sistema de computador sem o
usuário tomar qualquer ação ou clicar em qualquer botão, apenas
inserindo um pendrive infectado.
• O Stuxnet infecta computadores com sistema operacional Windows no
controle de sistemas SCADA, independente de ser ou não Siemens.
• O Worm somente tenta fazer modificações em controladoras dos PLCs
modelos S7-300 ou S7-400, entretanto ele é agressivo e pode afetar
negativamente qualquer sistema de controle. Computadores infectados
também podem ser usados como uma entrada para futuros ataques.
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
• O Stuxnet foi o primeiro worm conhecido a ter como alvo uma
rede industrial.
• Especialistas apontam como alvo inicial do worm a
infraestrutura do Irã, que utilizava o sistema de controle da
Siemens em suas principais plantas de enriquecimento de
urânio.
• A infestação do worm danificou as instalações nucleares
iranianas de Natanz, e atrasou o início da produção da usina
de Bushehr.
• Em Israel, centrífugas nucleares virtualmente idênticas às
localizadas no Irã permitiram testes do Stuxnet em condições
muito próximas das reais.
• Foi comprovado que o Stuxnet tinha duas funções:
• Fazer com que as centrífugas iranianas começassem a girar
40% mais rapidamente por quinze minutos, o que causava
rachaduras nas centrífugas de alumínio.
• Gravar dados telemétricos de uma típica operação normal das
centrífugas nucleares, sem que o alarme soasse, para depois
reproduzir esse registro para os operadores dos
equipamentos enquanto, na verdade, as centrífugas estavam
literalmente se destruindo sob a ação do Stuxnet sem que os
funcionários soubessem.
O Worm Stuxnet
Casos de Casos de Casos de Casos de
Ataques à Ataques à Ataques à Ataques à
infraestruturasinfraestruturasinfraestruturasinfraestruturas
críticas e críticas e críticas e críticas e
SCADASCADASCADASCADA
Normas Normas Normas Normas
Internacionais Internacionais Internacionais Internacionais
para para para para
Segurança Segurança Segurança Segurança
SCADASCADASCADASCADA
Normas para segurança SCADA• ANSI/ISA-99 ( www.isa.org )
• NIST SP 800-82 (http://csrc.nist.gov/publications/PubsDrafts.html )
Normas Normas Normas Normas
Internacionais Internacionais Internacionais Internacionais
para para para para
Segurança Segurança Segurança Segurança
SCADASCADASCADASCADA
A Norma ANSI/ISA 99• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society)
para estabelecer segurança da informação em redes industriais
• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de
controle sofrerem Cyber-ataquesNormas Normas Normas Normas
Internacionais Internacionais Internacionais Internacionais
para para para para
Segurança Segurança Segurança Segurança
SCADASCADASCADASCADA
Normas para segurança SCADA Representação Brasileira
Normas Normas Normas Normas
Internacionais Internacionais Internacionais Internacionais
para para para para
Segurança Segurança Segurança Segurança
SCADASCADASCADASCADA
ANSI/ISA-TR99.00.02-2004: Estabelecendo um programa de segurança de
sistemas de controle e automação industrial
Normas Normas Normas Normas
Internacionais Internacionais Internacionais Internacionais
para para para para
Segurança Segurança Segurança Segurança
SCADASCADASCADASCADA
As Etapas para a implementação do CSMS – cyber security management system
1. Análise de Riscos• Racional do negócio, identificação de riscos, classificação e análise
2. Endereçando riscos com o CSMS• Política de Segurança, Organização e Treinamento
• Definir escopo, segurança organizacional, treinamento da
equipe, plano de continuidade de negócios, políticas e
procedimentos
• Selecionar contramedidas de segurança
• Segurança pessoal, segurança física, segmentação de rede,
controle de acesso, autenticação e autorização
• Implementação
• Gerência de riscos e implementação, desenvolvimento e
manutenção de sistemas, gestão da informação e documentos,
planejamento de incidentes
3. Monitorando e Melhoria Contínua do CSMS• Compliance
• Revisar, melhorar e manter o CSMS
Normas Normas Normas Normas
Internacionais Internacionais Internacionais Internacionais
para para para para
Segurança Segurança Segurança Segurança
SCADASCADASCADASCADA
A norma NIST 800-82• Norma elaborada pelo NIST
• O documento é um guia para o estabelecimento de sistemas de controle
de segurança para indústrias (ICS).
• Estes sistemas incluem controle supervisório e aquisição de dados em
sistemas SCADA, sistemas de controle distribuídos (DCS), e outras
configurações de sistema para PLCs.
http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf
Normas Normas Normas Normas
Internacionais Internacionais Internacionais Internacionais
para para para para
Segurança Segurança Segurança Segurança
SCADASCADASCADASCADA
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Análise e Gestão de Riscos para Automação
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
• Objetivos
• Avaliar ameaças aos ativos
• Levantar vulnerabilidades existentes
• Definir a probabilidade de ocorrência de incidentes
• Quantificar o impacto no negócio
• Definir medidas para prevenir e responder aos incidentes
• Avaliar o risco residual
• Procedimentos
• Aprovação da execução
• Levantamento de ativos da planta de automação
• Análise de riscos qualitativa e/ou quantitativa em áreas de automação
• Definição de ações prioritárias
• Execução do plano de tratamento de riscos: Mitigação / Transferência /
Aceitação
• Manutenção e gestão continuada
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
• A norma ANSI/ISA-99 detalha uma estratégia para análise, mitigação e
monitoramento de riscos de segurança denominada CSMS (Cyber Security
Management System).
• A implantação do CSMS em uma rede industrial é uma tarefa bastante
complexa e que envolve diversos atores na empresa, desde gerentes industriais
ao pessoal da rede de TI devem participar e o controle de todas as atividades
relacionadas requer ferramentas automatizadas.
• Verificando esta necessidade e de acordo com o foco da empresa em segurança
de automação industrial, a TI Safe Segurança da Informação desenvolveu
durante o ano de 2011 uma completa base de conhecimento que relaciona
todos os 70 controles de segurança que devem ser avaliados em uma rede
industrial e sistemas SCADA durante a implantação do CSMS preconizado pela
norma ANSI/ISA-99.
Análise e Gestão de Riscos para AutomaçãoSolução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
Análise e Gestão de Riscos para Automação
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Requisito de documento de referênciaRequisito de documento de referência
Nível de processoNível de processo
Nível de aplicaçãoNível de aplicação
Nível de banco de dadosNível de banco de dados
Nível de SONível de SO
VirtualizaçãoVirtualização
Nível de redeNível de rede
Escopo do projetodefinido
pelousuário.
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
Análise e Gestão de Riscos para Automação
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
Análise e Gestão de Riscos para Automação
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
Análise e Gestão de Riscos para Automação
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99
e NIST 800e NIST 800e NIST 800e NIST 800----
82.82.82.82.
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de InventárioInventárioInventárioInventário e e e e
ColetaColetaColetaColeta
AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatizaçãode Auditoria de Auditoria de Auditoria de Auditoria
MídiasMídiasMídiasMídiasAbertasAbertasAbertasAbertas
ReuniõesReuniõesReuniõesReuniões
SistemasSistemasSistemasSistemas,,,,
BancosBancosBancosBancos de Dados,de Dados,de Dados,de Dados,
PlanilhasPlanilhasPlanilhasPlanilhas
QuestionáriosQuestionáriosQuestionáriosQuestionários,,,,
FiscalizaçãoFiscalizaçãoFiscalizaçãoFiscalização
Totem,Totem,Totem,Totem,
Call Center,Call Center,Call Center,Call Center,
OuvidoriaOuvidoriaOuvidoriaOuvidoria....
Redes Redes Redes Redes SociaisSociaisSociaisSociais....
SmartphoneSmartphoneSmartphoneSmartphone,,,,
TabletTabletTabletTablet....
GestãoGestãoGestãoGestão porporporpor
indicadoresindicadoresindicadoresindicadores
EntreEntreEntreEntre----vistasvistasvistasvistas
SensoresSensoresSensoresSensores
EEEE----mail,mail,mail,mail,
InternetInternetInternetInternet
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
Análise e Gestão de Riscos para Automação
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
Análise e Gestão de Riscos para Automação
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
e e e e MobilidadeMobilidadeMobilidadeMobilidade
InfraestruturaCTOInfraestrutura
Gerente do Ambiente
$$$ adicionado
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
e e e e MobilidadeMobilidadeMobilidadeMobilidade e e e e
AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatização
Software Módulo Risk Manager™ com base de conhecimentos de
gestão de riscos ANSI/ISA-99 e NIST 800-82
Análise e Gestão de Riscos para Automação
Ativos e Sistemas
Tabelas
GráficosAlertas
Mapas
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
e e e e MobilidadeMobilidadeMobilidadeMobilidade e e e e
AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatização
GRC
Processo manual de gestãode riscos
15%
35%25%
25%
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
e e e e MobilidadeMobilidadeMobilidadeMobilidade e e e e
AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatização
GRC
Processo automatizado no primeiro ano com a Módulo
15%45%25%
15%
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
e e e e MobilidadeMobilidadeMobilidadeMobilidade e e e e
AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatização
GRC70%
5%
5%
20%
Processo automatizado no segundo ano com a Módulo
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
e e e e MobilidadeMobilidadeMobilidadeMobilidade e e e e
AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatização
Risk Risk Risk Risk
ManagerManagerManagerManager™::::
FacilidadeFacilidadeFacilidadeFacilidade
de de de de IntegraçãoIntegraçãoIntegraçãoIntegração
e e e e MobilidadeMobilidadeMobilidadeMobilidade e e e e
AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatização
Solução Solução Solução Solução
Modulo Modulo Modulo Modulo Risk Risk Risk Risk
ManagerManagerManagerManager™ ----
Casos de Casos de Casos de Casos de
SucessoSucessoSucessoSucesso
Tecnologia Tecnologia Tecnologia Tecnologia da da da da InformaçãoInformaçãoInformaçãoInformação
OperaçõesOperaçõesOperaçõesOperações CorporativaCorporativaCorporativaCorporativa
PortfólioPortfólioPortfólioPortfólio de de de de
SoluçõesSoluçõesSoluçõesSoluções
Mais de 30
soluções para
Gestão de Riscos
Corporativos,
Operacionais e
de TI.
Centros Centros Centros Centros de de de de Comando Integrados Comando Integrados Comando Integrados Comando Integrados Monitoramento Físico
Integração da Gestão de TI, Operações e Corporativa
Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Governança, Riscos e Governança, Riscos e Governança, Riscos e Governança, Riscos e ComplianceComplianceComplianceCompliance (GRC)(GRC)(GRC)(GRC)
PortfólioPortfólioPortfólioPortfólio de de de de
SoluçõesSoluçõesSoluçõesSoluções
Mais de 30
soluções para
Gestão de Riscos
Corporativos,
Operacionais e
de TI.
Tecnologia da Tecnologia da Tecnologia da Tecnologia da InformaçãoInformaçãoInformaçãoInformação
OperaçõesOperaçõesOperaçõesOperações CorporativaCorporativaCorporativaCorporativa
Centros Centros Centros Centros de de de de Comando Integrados Comando Integrados Comando Integrados Comando Integrados Monitoramento Físico
Integração da Gestão de TI, Operações e Corporativa
Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Governança, Riscos e Governança, Riscos e Governança, Riscos e Governança, Riscos e ComplianceComplianceComplianceCompliance (GRC)(GRC)(GRC)(GRC)
Módulo – Copyright © Todos os direitos reservados www.modulo.com.br
Análise de Riscos − Planta de Automação
do Centro de Operação de Rede Manaus Modulo Risk Manager™
Base de conhecimento ANSI/ISA99 e NIST 800-82
www.tisafe.com
Ambiente analisadoCOR Manaus: Sistema SCADA – SAGE
• Desenvolvido e implantado pelo CEPEL
• Arquitetura fechadaAnálise de Análise de Análise de Análise de
Riscos − Planta Riscos − Planta Riscos − Planta Riscos − Planta
de Automação de Automação de Automação de Automação
do Centro de do Centro de do Centro de do Centro de
OperaçãoOperaçãoOperaçãoOperação
Resultado: Riscos por ativos(quantitativo)
Análise de Análise de Análise de Análise de
Riscos − Planta Riscos − Planta Riscos − Planta Riscos − Planta
de Automação de Automação de Automação de Automação
do Centro de do Centro de do Centro de do Centro de
OperaçãoOperaçãoOperaçãoOperação
Resultado: Riscos porativos (qualitativo)
Distribuição de Controles por Níveis de Risco
Muito Alto 69%
Alto 15%
Médio 13%
Baixo 3%
Análise de Análise de Análise de Análise de
Riscos − Planta Riscos − Planta Riscos − Planta Riscos − Planta
de Automação de Automação de Automação de Automação
do Centro de do Centro de do Centro de do Centro de
OperaçãoOperaçãoOperaçãoOperação
Módulo – Copyright © Todos os direitos reservados www.modulo.com.br
Sistema de Fiscalização da Produção – SFPModulo Risk Manager™
Controle da Movimentação de Gás Natural - CMGN
www.tisafe.com
Sistema de Fiscalização da Produção - SFP
Análise de Análise de Análise de Análise de
Riscos − Planta Riscos − Planta Riscos − Planta Riscos − Planta
de Automação de Automação de Automação de Automação
do Centro de do Centro de do Centro de do Centro de
OperaçãoOperaçãoOperaçãoOperação
Sistema de Fiscalização da Produção - SFP
Análise de Análise de Análise de Análise de
Riscos − Planta Riscos − Planta Riscos − Planta Riscos − Planta
de Automação de Automação de Automação de Automação
do Centro de do Centro de do Centro de do Centro de
OperaçãoOperaçãoOperaçãoOperação
• Sala de Controle com informações diárias
• Aumento da confiabilidade dos números da produção de petróleo e gás
• Otimização do trabalho de fiscalização
• Redução dos desvios para aumento da arrecadação
• Emissão de alertas a partir de variações críticas
Sistema de Fiscalização da Produção - SFP
Análise de Análise de Análise de Análise de
Riscos − Planta Riscos − Planta Riscos − Planta Riscos − Planta
de Automação de Automação de Automação de Automação
do Centro de do Centro de do Centro de do Centro de
OperaçãoOperaçãoOperaçãoOperação
Módulo – Copyright © Todos os direitos reservados www.modulo.com.br
Gestão de Riscos, Gestão de Continuidade de Negócios,
Política de Segurança e, Campanha de ConscientizaçãoModulo Risk Manager™
www.tisafe.com
Módulo – Copyright © Todos os direitos reservados www.modulo.com.br
Formação em Segurança de Automação Industrial
Formação em Formação em Formação em Formação em
Segurança de Segurança de Segurança de Segurança de
Automação Automação Automação Automação
IndustrialIndustrialIndustrialIndustrial
DESAFIOS DO NEGÓCIO
A Coordenação do grupo de proteção do conhecimento sensível do Departamento de Contra Inteligência da ABIN
(CGPC/DCI), que integra o Grupo de Trabalho para Segurança de Infraestruturas Críticas do Gabinete de
Segurança Institucional da Presidência da República - GSI/PR entrou em contato relatando que seu grupo
desenvolve metodologia para diagnóstico e análise de risco e que necessitam adaptá-la para aplicação
específica nas infraestruturas nacionais críticas.
SOLUÇÃO
Foi fornecida consultoria para as equipes de agentes da ABIN baseada na norma ANSI/ISA 99. Incluso na
consultoria foi ministrada, para 3 turmas, a formação de segurança de automação industrial, treinamento
único no setor e que fornece recursos tecnológicos para ajudar no trabalho desenvolvido pelo CGPC/DCI. A
capacitação foi ministrada em períodos distintos nos anos de 2009, 2010 e 201
RESULTADOS OBTIDOS
• Com o treinamento a equipe da ABIN pôde perceber novos aspectos da segurança de sistemas
SCADA e também verificar algumas vulnerabilidades proporcionadas por equipamentos e aplicações
de mercado e também por seus fornecedores. Estes conceitos estão sendo aplicados diretamente
na auditoria das principais infraestruturas críticas nacionais.
A Agência Brasileira de Inteligência (ABIN) é o Serviço de Inteligência de Estado do Brasil. A função principal da
ABIN é neutralizar ameaças reais e potenciais, bem como identificar oportunidades de interesse da
sociedade e do Estado brasileiro, e defender o estado democrático de direito e a soberania nacional. A
Inteligência Brasileira tem uma longa trajetória de serviços prestados ao País, tendo como objetivo a defesa
do Estado e da Sociedade. A área de atuação da ABIN é definida pela Política Nacional de Inteligência,
definida pelo Congresso Nacional de acordo com as diretrizes indicadas pelo Poder Executivo Federal, como
de interesse do País.
Empresas formadas em Segurança de Automação
Industrial• USIMINAS• Eletrobrás Distribuição Alagoas• Eletrobrás Distribuição Acre• Eletrobrás Amazonas Energia• Eletrobrás Distribuição Rondônia• Eletrobrás CHESF• Eletrobrás Furnas• Eletrobrás Eletrosul• Eletrobrás CEPEL• Itaipu Binacional
• Eletrobras Holding
• Eletrobrás Eletronorte
• Eletrobrás Distribuição Roraima
• Eletrobrás CHESF
• Eletrobrás Eletronuclear
• ABB
• EDP
• DETEN
• Gerdau
• TKCSA
• Petrobrás
• ANP
Matrículas abertas para próximas turmas
• Rio de Janeiro: – de 29 a 31 de Outubro.
• São Paulo: – de 19 a 21 de Novembro.
• Salvador: – de 26 a 28 de Novembro.
Empresas formadas em Segurança de Automação
Industrial
Top Related