SlideShare ist ein Scribd-Unternehmen logo

Fernando martins seguranca holistica

I
iseltech

O documento discute a segurança holística, abordando a integração entre segurança física e informática após os ataques de 11 de setembro de 2001. Também discute inteligência de segurança, redução de riscos, e casos práticos de infraestruturas críticas e consultoria de segurança física.

1 von 50
Downloaden Sie, um offline zu lesen
Segurança Holística O todo será maior que a soma das partes, quando cada um sabe, que é o que é, porque todos nós somos Fernando Martins ONI Telecom Physical Security Strategy fernando.martins@knewon.pt
Índice • Introdução – 11 de Setembro de 2001 – Segurança V. Holísmo V. Ubuntu – Tripés de Segurança – A Segurança está onde? • Inteligência • Redução de Riscos • Filmes antigos e realidades novas • Casos Práticos
11 de Setembro de 2001 Evento de impacto mundial que chamou a atenção dos especialistas de segurança para a lacuna existente entre sistemas de segurança física e informática Dados acerca da segurança física de edifícios, portos, aeroportos, incluindo projetos e diagramas de sistemas e cablagem passaram a ser uma informação com caráter de elevada confidencialidade pelo que têm de ser protegidos de acordo com as melhores práticas da segurança informática
11 de Setembro de 2001 Relatório GAO-02-687T (2002) “Os ataques terroristas de 11 de Setembro aumentaram as preocupações acerca da segurança física dos edifícios federais e da necessidade de proteger aqueles que lá trabalham e seus visitantes. (...) Estão disponíveis comercialmente diversas soluções técnicas que podem ser aplicadas, desde torniquetes a cartões de acesso inteligentes e sistemas biométricos. Apesar destas tecnologias permitirem um elevado controlo técnico, a segurança global vai depender de processos de gestão de risco robustos e na implementação de três conceitos no processo de segurança holística: proteção, deteção e reação.”
Segurança V. Holísmo V. Ubuntu • SEGURANÇA: sentimento, vulnerável, relacionado com perceção de se estar protegido contra perigos, o que é difícil de atingir e muito fácil de fragilizar • HOLÍSMO: "the tendency in nature to form wholes that are greater than the sum of the parts through creative evolution“ (Jan Smuts) • UBUNTU (palavra Zulu/Xhosa): "I am what I am because of who we all are.“ (Leymah Gbowee) “Ubuntu does not mean that people should not enrich themselves. The question therefore is: Are you going to do so in order to enable the community around you to beable to improve?” (Nelson Mandela)
Tripés de Segurança INTEGRIDADE CONFIDENCIALIDADEDISPONIBILIDADE Outra perspetiva, como se viu atrás: PROTEÇÃO, DETEÇÃO e REAÇÃO Perspetiva Comercial: INOVAÇÃO, DIFERENCIAÇÃO, RETORNO DO INVESTIMENTO
Na prática a Segurança está onde? • presença ou ausência de energia? • firewall, vpn e ids? • sistemas operativos, bases de dados, apps? • canais de comunicação cobre/fibra/wireless? • sensores e barreiras de proteção físicas? • vídeo proteção e análise de vídeo? Tudo isto é baseado em DECISÕES, que são baseada em INFORMAÇÃO, que é necessária para definir uma ESTRATÉGIA, para isso é preciso INTELIGÊNCIA As FERRAMENTAS TECNOLÓGICAS, como os recursos humanos, são apenas uma pequena parte da equação, que define um sistema de segurança, para pessoas, bens ou informação
Índice • Introdução • Inteligência – Falar com o Povo – Adivinhar perigos – Agentes – Ciclo de Informações • Redução de Riscos • Filmes antigos e realidades novas • Casos Práticos
Inteligência Enquadrar o termo: Política, Estratégica ... Pensar antes de fazer, informar-se antes de decidir, analisar antes de desenhar a solução técnica Serviços de Inteligência = Serviços de Informações de Segurança e Defesa do Estado Serviços de Inteligência Privada? Data Warehouse?
Inteligência “O teu espírito só poderia melhorar se tivesses diante de ti homens livres cujas resistências vencerias pela única arma da inteligência ou que te levariam a modificar as tuas opiniões, a alcançar porventura uma visão mais nobre e mais vasta da vida universal; a inteligência tem de incluir aquilo que não consegue eliminar. (...) O grande defeito dos intelectuais portugueses tem sido sempre o só lidarem com intelectuais. Vão para o povo. Vejam o povo. Vejam como eles refletem, como ele entende a vida, como eles gostariam que a vida fosse para eles.” Agostinho da Silva
Inteligência «Tal há-de ser quem quer, co dom de Marte, Imitar os Ilustres e igualá-los: Voar co pensamento a toda parte, Adivinhar perigos e evitá-los, Com militar engenho e sutil arte, Entender os imigos e enganá-los, Crer tudo, enfim; que nunca louvarei O capitão que diga: “Não cuidei.”» Luis de Camões Gen. Pedro Cardoso Gen. Rodolfo Begonha Pêro da Covilhã
Inteligência «Os agentes vivos são aqueles que voltam com informações. Escolhem-se homens espertos, talentosos, inteligentes e com fácil acesso àqueles que privam com o soberano ou elementos da nobreza. (…) Tratam-se de pessoas que podem ir e voltar apresentando relatórios. Para agentes vivos temos de contratar homens inteligentes que pareçam estúpidos, que se mostrem moles, mas sejam de coração duro, e ainda ágeis, vigorosos, resistentes e corajosos, conhecedores de coisas baixas, capazes de aguentar a fome o frio, a porcaria e a humilhação.» A Arte da Guerra, Sun Tzu
Inteligência DIREÇÃO E PLANEAMENTO PESQUISA E RECOLHA PROCESSAMENTO E ANÁLISE DISSEMINAÇÃO E EXPLORAÇÃO
Índice • Introdução • Inteligência • Redução de Riscos – Vulnerabilidade e Nível de Risco – Evolução Tecnológica V. Envolvimento RH – Evolução Tecnológica V. Evolução de Risco – Ciclo da Integração • Filmes antigos e realidades novas • Casos Práticos
Redução de Riscos Evolução Tecnológica V. Envolvimento RH Envolvimento de RH Evolução Tecnológica Ex-Polícias Vigilantes treinados Técnico de Electrónica Técnico de Informática Analista de Risco
Redução de Riscos Evolução Tecnológica V. Evolução de Risco Elementos em Risco Evolução Tecnológica Pessoas e Valores Edifícios Equipamentos Informação Comércio ElectrónicoPessoas Informação Instalações Equipamentos
Redução de Riscos Vulnerabilidade Qualquer fraqueza intrínseca, induzida ou provocada no bem a proteger, que possa ser explorada pela ameaça para produzir um dano. Risco = Probabilidade x Consequência Probabilidade = Ameaça x Vulnerabilidade Ameaça = Intenção x Capacidade x Oportunidade Nível de Risco = Ameaça x Vulnerabilidade x Consequência
Redução de Riscos MANUTENÇÃO MONITORIZAÇÃO AUDITORIA PROJETO INSTALAÇÃO CLIENTE TECNOLOGIA E OUTROS RECURSOS INTEGRAÇÃO ROI E VALOR HOLÍSTICO
Índice • Introdução • Inteligência • Redução de Riscos • Filmes antigos e realidades novas – Relações entre as áreas da Defesa e Segurança - física, eletrónica, informática, humana • Casos Práticos
Ataques a SCADA (Supervisory Control And Data Acquisition) HACKERS (1995) DIE HARD 4 (2007) WARGAMES (1983)
Explosão de Pipeline na Sibéria. O evento resultante é supostamente a maior explosão não nuclear na história (1982) Interrupção de abastecimento de água em Springfield (Illinois, USA, 2011) Vladimir Vetrov a.k.a. Farewell Ataques a SCADA (Supervisory Control And Data Acquisition) Under attack: The water plant in Springfield, Illinois, where a pump stopped working
Stuxnet (2005-2012) Ataques a SCADA (Supervisory Control And Data Acquisition)
Duqu (2011) – novo worm, aparentemente, uma evolução do Stuxnet Flame (2012) – novo worm, outra evolução, aparentemente ainda relacionado com ataques ao Irão Ataques a SCADA (Supervisory Control And Data Acquisition)
Ataques a SCADA (Supervisory Control And Data Acquisition) Iranian Hackers targeting US oil, gas, and electric companies May 26, 2013 (thehackernews.com) Hackers Iranianos conseguiram acesso a sistema SCADA nos EUA. Foi encontrado Malware que pode danificar diversas instalações. Os alvos foram diversas infraestruturas de petróleo, gás e eletricidade, não identificadas. É reconhecido que o objetivo seria sabotagem e não espionagem.
Ataques a SCADA (Supervisory Control And Data Acquisition)
Membro do Chaos Computer Club que descobriu a clonagem de cartões telefónicos. Aos 26 anos de idade foi encontrado enforcado num parque público em Berlim
Testosterona V. Profissionalismo The problem is a lot more complex then just people with green hair and body piercing, that can solve puzzles where people with computer engineering backgrounds can't solve. Hackers get caught, because they end up in the headlines. They're not professionals. They are out for the adventure. They are out for bragging rights. They are out for exploration. The professionals, the person from Intelligence, they're not going to get caught. And when they are detected, the people who detect them are not going to want to acknowledge that they've been there. Marc Maiffret a.k.a. Chameleon Kevin Mitnick a.k.a. Condor Richard Power (CSI/FBI)
Índice • Introdução • Inteligência • Redução de Riscos • Filmes antigos e realidades novas • Casos Práticos – Infraestruturas Críticas Nacionais • Consultoria de Segurança • Segurança Física Legislação para ICN/ICE em Portugal: MINISTÉRIO DA DEFESA NACIONAL Decreto-Lei n.º 62/2011 de 9 de Maio
Consultoria de Segurança Análise Estratégica de Infraestrutura Crítica Porto Marítimo no Hinterland do Zambeze
Consultoria de Segurança Algumas das Disciplinas em Análise Caracterização da História e Geoestratégia Caracterização do regime jurídico, em termos de Direito Internacional e Direito Interno Caracterização da Regulamentação de Segurança a aplicar, para a construção de Políticas de Segurança, que enquadrem o Porto no contexto da sua realidade como plataforma logística internacional e uma fronteira desse país com o exterior.
Consultoria de Segurança Plano Estratégico Para quê? Qual o objetivo Contra quem? Qual o adversário Contra o quê? Caracterização da ameaça Com quê? Meios a utilizar Quando? Momento para desenvolver a ação, duração da implementação da estratégia, duração da ação, momento em que os efeitos da estratégia se começam a sentir Como? Como se aplica a estratégia, considerando a geografia, a proporção e credibilidade dos recursos a usar, tendo em conta as questões diplomáticas e políticas, os procedimentos de informação e ação e de solidariedade com outras entidades
Consultoria de Segurança Controlos de segurança a implementar no âmbito do ISPS (SOLAS – Safety Of Life At Sea) Acesso público controlado e restrito, com a implementação de sistemas automáticos de controlo de acessos e videovigilância Delimitação e sinalização de áreas para equipamentos, com a implementação de sistemas automáticos de controlo de acessos e videovigilância Identificação de pontos sensíveis e vulnerabilidades, através de processos de análise de risco e medidas consequentes para a sua mitigação e controlo, para a segurança de pessoas, bens e informação Existência de Iluminação de emergência Existência de Informação centralizada para apoio a tomadas de decisão, como a existência de uma sala de segurança e receção de alarmes.
Consultoria de Segurança Controlos de segurança complementares a implementar • Segurança da Informação segundo a norma ISO 27001 • Segurança Física segundo a parte correspondente da norma ISO 27001 • Segurança Eletrónica segundo as normas EN 50131 • Monitorização de Segurança eletrónica segundo a norma BS 8418 • Gestão de Continuidade de Negócio segundo a norma ISO 22301
PREVENÇÃO & SEGURANÇA Segurança Física 3 Centros de Monitorização 61 Câmaras (CCTV) 826 Detetores de Incêndio (SDI) Extinção Automática Compartimentação de Incêndio Comunicações VLAN em Fibra Ótica Barreiras Físicas Vigilância Humana
Poço e Galeria de Drenagem (P0) Vídeo Vigilância Segurança Física
Turbinas (P4) Extinção Automática de Incêndio (CO2) Outros: Aspiração c/Laser Aspiração p/Ótico Segurança Física
Poço da Turbina (P5) SDI / Vídeo Vigilância Segurança Física
Central Hidroelétrica Sala de Máquinas (P6) . CCTV . SDI . 3x SDI p/Aspiração Segurança Física
Sala de Comando (P7) Segurança Física
Compartimentação de Incêndio (P9-0) Segurança Física
Captação de Água Vídeo Vigilância Segurança Física
Vedação da barragem (montante) Segurança Física Vedação acesso ao túnel (jusante) Portão de Acesso à Central Hidroelétrica
Controlo de Acessos Sala de Comando (Perímetro) Segurança Física
Tratamento de Água Vídeo Vigilância Segurança Física
Bombagem de Água Vídeo Vigilância Segurança Física
Sala de Telecomando Sede a 13Km da barragem . SCADA Supervisory Control And Data Acquisition . PSIM Physical Security Information Management . VMS Video Management System . CRA Central Recetora de Alarmes Segurança Física
Obrigado Fernando Martins ONI Telecom Physical Security Strategy fernando.martins@knewon.pt http://www.oni.pt (site corporativo) http://www.enterprisecloud.oni.pt (site dedicado à oferta de Cloud Computing com simulador on-line) http://municipiosseguros.oni.pt (microsite de evento - posterior disponibilização de vídeo de workshop técnico de vídeo analítico)

Empfohlen

Criptografia em hardware emicro se - nov 15 2012
Criptografia em hardware emicro se - nov 15 2012Criptografia em hardware emicro se - nov 15 2012
Criptografia em hardware emicro se - nov 15 2012Edward David Moreno
 
29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...
29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...
29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...Rio Info
 
Apresentação backgorundhacker
Apresentação backgorundhackerApresentação backgorundhacker
Apresentação backgorundhackergiovannimonaro
 
Seg da Informação e Comp Movel Novos Desafios
Seg da Informação e Comp Movel Novos DesafiosSeg da Informação e Comp Movel Novos Desafios
Seg da Informação e Comp Movel Novos DesafiosGilberto Sudre
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaTechBiz Forense Digital
 
Hackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD PortoHackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD Portonelson silva
 
Generaciones de la Educacion a Distancia
Generaciones de la Educacion a DistanciaGeneraciones de la Educacion a Distancia
Generaciones de la Educacion a DistanciaKarenCastanedah
 
Mario
MarioMario
Mariomarioa2
 

Empfohlen

Criptografia em hardware emicro se - nov 15 2012
Criptografia em hardware emicro se - nov 15 2012Criptografia em hardware emicro se - nov 15 2012
Criptografia em hardware emicro se - nov 15 2012Edward David Moreno
 
29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...
29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...
29/09/2011 - 9h às 12h30 - TI nacional e os projetos do ministério da defesa...Rio Info
 
Apresentação backgorundhacker
Apresentação backgorundhackerApresentação backgorundhacker
Apresentação backgorundhackergiovannimonaro
 
Seg da Informação e Comp Movel Novos Desafios
Seg da Informação e Comp Movel Novos DesafiosSeg da Informação e Comp Movel Novos Desafios
Seg da Informação e Comp Movel Novos DesafiosGilberto Sudre
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaTechBiz Forense Digital
 
Hackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD PortoHackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD Portonelson silva
 
Generaciones de la Educacion a Distancia
Generaciones de la Educacion a DistanciaGeneraciones de la Educacion a Distancia
Generaciones de la Educacion a DistanciaKarenCastanedah
 
Mario
MarioMario
Mariomarioa2
 
Xandrix inc
Xandrix incXandrix inc
Xandrix incxabril
 
Neon Boneyard 2
Neon Boneyard 2Neon Boneyard 2
Neon Boneyard 2Keri Neal
 
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)Samuel Sarinho
 
guru$ test
guru$ testguru$ test
guru$ testashwin17july
 
Desahogo por culpa del sexo
Desahogo por culpa del sexoDesahogo por culpa del sexo
Desahogo por culpa del sexoGlendaly Nieves
 
Menos Impostos - Energia Elétrica
Menos Impostos - Energia ElétricaMenos Impostos - Energia Elétrica
Menos Impostos - Energia ElétricaAlberto Nairo @ BIZ DEVELOPER®
 
Segurança cibernética e software livre - Lourival Araujo - TchêLinux Uruguaiana
Segurança cibernética e software livre - Lourival Araujo - TchêLinux UruguaianaSegurança cibernética e software livre - Lourival Araujo - TchêLinux Uruguaiana
Segurança cibernética e software livre - Lourival Araujo - TchêLinux UruguaianaTchelinux
 
O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...
O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...
O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...Conselho Regional de Administração de São Paulo
 
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra EspionagemCurso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra EspionagemMilton R. Almeida
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Socialelliando dias
 
Exposec 2016 - professor Celso Calazans
Exposec 2016 - professor Celso Calazans Exposec 2016 - professor Celso Calazans
Exposec 2016 - professor Celso Calazans Celso Calazans
 
Modelo
ModeloModelo
ModeloDe Sá Sites
 
A governança do setor cibernético no brasil a proposição de um comitê gestor
A governança do setor cibernético no brasil a proposição de um comitê gestorA governança do setor cibernético no brasil a proposição de um comitê gestor
A governança do setor cibernético no brasil a proposição de um comitê gestorSAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1Esc Tiradentes
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Segur digna com img e fotos
Segur digna com img e fotosSegur digna com img e fotos
Segur digna com img e fotosSERGIO DE MELLO QUEIROZ
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...SAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosGian Gabriel Guglielmelli
 

Weitere ähnliche Inhalte

Andere mochten auch

Xandrix inc
Xandrix incXandrix inc
Xandrix incxabril
 
Neon Boneyard 2
Neon Boneyard 2Neon Boneyard 2
Neon Boneyard 2Keri Neal
 
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)Samuel Sarinho
 
Desahogo por culpa del sexo
Desahogo por culpa del sexoDesahogo por culpa del sexo
Desahogo por culpa del sexoGlendaly Nieves
 

Andere mochten auch (6)

Xandrix inc
Xandrix incXandrix inc
Xandrix inc
 
Neon Boneyard 2
Neon Boneyard 2Neon Boneyard 2
Neon Boneyard 2
 
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)
383 1 simulado acumulativo mensal oab online 2012.1 (gabarito)
 
guru$ test
guru$ testguru$ test
guru$ test
 
Desahogo por culpa del sexo
Desahogo por culpa del sexoDesahogo por culpa del sexo
Desahogo por culpa del sexo
 
Menos Impostos - Energia Elétrica
Menos Impostos - Energia ElétricaMenos Impostos - Energia Elétrica
Menos Impostos - Energia Elétrica
 

Ähnlich wie Fernando martins seguranca holistica

Segurança cibernética e software livre - Lourival Araujo - TchêLinux Uruguaiana
Segurança cibernética e software livre - Lourival Araujo - TchêLinux UruguaianaSegurança cibernética e software livre - Lourival Araujo - TchêLinux Uruguaiana
Segurança cibernética e software livre - Lourival Araujo - TchêLinux UruguaianaTchelinux
 
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra EspionagemCurso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra EspionagemMilton R. Almeida
 
Exposec 2016 - professor Celso Calazans
Exposec 2016 - professor Celso Calazans Exposec 2016 - professor Celso Calazans
Exposec 2016 - professor Celso Calazans Celso Calazans
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosGian Gabriel Guglielmelli
 
Informação: uma arma cibernética?
Informação: uma arma cibernética?Informação: uma arma cibernética?
Informação: uma arma cibernética?Eduardo Moresi
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasRuy De Queiroz
 

Ähnlich wie Fernando martins seguranca holistica (20)

Segurança cibernética e software livre - Lourival Araujo - TchêLinux Uruguaiana
Segurança cibernética e software livre - Lourival Araujo - TchêLinux UruguaianaSegurança cibernética e software livre - Lourival Araujo - TchêLinux Uruguaiana
Segurança cibernética e software livre - Lourival Araujo - TchêLinux Uruguaiana
 
O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...
O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...
O profissional de Segurança e os novos Paradigmas do Setor - formação, atuaçã...
 
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra EspionagemCurso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Exposec 2016 - professor Celso Calazans
Exposec 2016 - professor Celso Calazans Exposec 2016 - professor Celso Calazans
Exposec 2016 - professor Celso Calazans
 
Modelo
ModeloModelo
Modelo
 
A governança do setor cibernético no brasil a proposição de um comitê gestor
A governança do setor cibernético no brasil a proposição de um comitê gestorA governança do setor cibernético no brasil a proposição de um comitê gestor
A governança do setor cibernético no brasil a proposição de um comitê gestor
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - ppt
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Segur digna com img e fotos
Segur digna com img e fotosSegur digna com img e fotos
Segur digna com img e fotos
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e Práticos
 
Informação: uma arma cibernética?
Informação: uma arma cibernética?Informação: uma arma cibernética?
Informação: uma arma cibernética?
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das Coisas
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 

Mehr von iseltech

Luis gregorio big data
Luis gregorio big dataLuis gregorio big data
Luis gregorio big dataiseltech
 
Hugo silva physiological computing
Hugo silva physiological computingHugo silva physiological computing
Hugo silva physiological computingiseltech
 
Hernani mergulhao sessao de encerramento
Hernani mergulhao sessao de encerramentoHernani mergulhao sessao de encerramento
Hernani mergulhao sessao de encerramentoiseltech
 
Everis 03 - out systems - um mundo novo
Everis 03 - out systems - um mundo novoEveris 03 - out systems - um mundo novo
Everis 03 - out systems - um mundo novoiseltech
 
Everis 02 - gestao de identidades e acessos.. o que e
Everis 02 - gestao de identidades e acessos.. o que eEveris 02 - gestao de identidades e acessos.. o que e
Everis 02 - gestao de identidades e acessos.. o que eiseltech
 
Everis 01 - introdução
Everis 01 - introduçãoEveris 01 - introdução
Everis 01 - introduçãoiseltech
 
Carlos costa open source em portugal
Carlos costa open source em portugalCarlos costa open source em portugal
Carlos costa open source em portugaliseltech
 
Tiago fernandes leave your mark
Tiago fernandes leave your markTiago fernandes leave your mark
Tiago fernandes leave your markiseltech
 
Ricardo almeida business assurance raid
Ricardo almeida business assurance raidRicardo almeida business assurance raid
Ricardo almeida business assurance raidiseltech
 
Reditus business transformation outsourcing
Reditus business transformation outsourcingReditus business transformation outsourcing
Reditus business transformation outsourcingiseltech
 
Quidgest genio
Quidgest genioQuidgest genio
Quidgest genioiseltech
 
Paulo ribeiro o futuro da comunicação entre pessoas e empresas
Paulo ribeiro o futuro da comunicação entre pessoas e empresasPaulo ribeiro o futuro da comunicação entre pessoas e empresas
Paulo ribeiro o futuro da comunicação entre pessoas e empresasiseltech
 
Luis garcia mind the gap
Luis garcia mind the gapLuis garcia mind the gap
Luis garcia mind the gapiseltech
 
Isel formula student
Isel formula studentIsel formula student
Isel formula studentiseltech
 
Accenture technology areas
Accenture technology areasAccenture technology areas
Accenture technology areasiseltech
 
Sergio costa web em realtime
Sergio costa web em realtimeSergio costa web em realtime
Sergio costa web em realtimeiseltech
 
Pedro henriques mobile road to success
Pedro henriques mobile road to successPedro henriques mobile road to success
Pedro henriques mobile road to successiseltech
 
Paulo morgado what's new in c# 5.0
Paulo morgado what's new in c# 5.0Paulo morgado what's new in c# 5.0
Paulo morgado what's new in c# 5.0iseltech
 
Manuel barata sessao de abertura
Manuel barata sessao de aberturaManuel barata sessao de abertura
Manuel barata sessao de aberturaiseltech
 
Joao cardoso windows phone nfc
Joao cardoso windows phone nfcJoao cardoso windows phone nfc
Joao cardoso windows phone nfciseltech
 

Mehr von iseltech (20)

Luis gregorio big data
Luis gregorio big dataLuis gregorio big data
Luis gregorio big data
 
Hugo silva physiological computing
Hugo silva physiological computingHugo silva physiological computing
Hugo silva physiological computing
 
Hernani mergulhao sessao de encerramento
Hernani mergulhao sessao de encerramentoHernani mergulhao sessao de encerramento
Hernani mergulhao sessao de encerramento
 
Everis 03 - out systems - um mundo novo
Everis 03 - out systems - um mundo novoEveris 03 - out systems - um mundo novo
Everis 03 - out systems - um mundo novo
 
Everis 02 - gestao de identidades e acessos.. o que e
Everis 02 - gestao de identidades e acessos.. o que eEveris 02 - gestao de identidades e acessos.. o que e
Everis 02 - gestao de identidades e acessos.. o que e
 
Everis 01 - introdução
Everis 01 - introduçãoEveris 01 - introdução
Everis 01 - introdução
 
Carlos costa open source em portugal
Carlos costa open source em portugalCarlos costa open source em portugal
Carlos costa open source em portugal
 
Tiago fernandes leave your mark
Tiago fernandes leave your markTiago fernandes leave your mark
Tiago fernandes leave your mark
 
Ricardo almeida business assurance raid
Ricardo almeida business assurance raidRicardo almeida business assurance raid
Ricardo almeida business assurance raid
 
Reditus business transformation outsourcing
Reditus business transformation outsourcingReditus business transformation outsourcing
Reditus business transformation outsourcing
 
Quidgest genio
Quidgest genioQuidgest genio
Quidgest genio
 
Paulo ribeiro o futuro da comunicação entre pessoas e empresas
Paulo ribeiro o futuro da comunicação entre pessoas e empresasPaulo ribeiro o futuro da comunicação entre pessoas e empresas
Paulo ribeiro o futuro da comunicação entre pessoas e empresas
 
Luis garcia mind the gap
Luis garcia mind the gapLuis garcia mind the gap
Luis garcia mind the gap
 
Isel formula student
Isel formula studentIsel formula student
Isel formula student
 
Accenture technology areas
Accenture technology areasAccenture technology areas
Accenture technology areas
 
Sergio costa web em realtime
Sergio costa web em realtimeSergio costa web em realtime
Sergio costa web em realtime
 
Pedro henriques mobile road to success
Pedro henriques mobile road to successPedro henriques mobile road to success
Pedro henriques mobile road to success
 
Paulo morgado what's new in c# 5.0
Paulo morgado what's new in c# 5.0Paulo morgado what's new in c# 5.0
Paulo morgado what's new in c# 5.0
 
Manuel barata sessao de abertura
Manuel barata sessao de aberturaManuel barata sessao de abertura
Manuel barata sessao de abertura
 
Joao cardoso windows phone nfc
Joao cardoso windows phone nfcJoao cardoso windows phone nfc
Joao cardoso windows phone nfc
 

Fernando martins seguranca holistica

  • 1. Segurança Holística O todo será maior que a soma das partes, quando cada um sabe, que é o que é, porque todos nós somos Fernando Martins ONI Telecom Physical Security Strategy fernando.martins@knewon.pt
  • 2. Índice • Introdução – 11 de Setembro de 2001 – Segurança V. Holísmo V. Ubuntu – Tripés de Segurança – A Segurança está onde? • Inteligência • Redução de Riscos • Filmes antigos e realidades novas • Casos Práticos
  • 3. 11 de Setembro de 2001 Evento de impacto mundial que chamou a atenção dos especialistas de segurança para a lacuna existente entre sistemas de segurança física e informática Dados acerca da segurança física de edifícios, portos, aeroportos, incluindo projetos e diagramas de sistemas e cablagem passaram a ser uma informação com caráter de elevada confidencialidade pelo que têm de ser protegidos de acordo com as melhores práticas da segurança informática
  • 4. 11 de Setembro de 2001 Relatório GAO-02-687T (2002) “Os ataques terroristas de 11 de Setembro aumentaram as preocupações acerca da segurança física dos edifícios federais e da necessidade de proteger aqueles que lá trabalham e seus visitantes. (...) Estão disponíveis comercialmente diversas soluções técnicas que podem ser aplicadas, desde torniquetes a cartões de acesso inteligentes e sistemas biométricos. Apesar destas tecnologias permitirem um elevado controlo técnico, a segurança global vai depender de processos de gestão de risco robustos e na implementação de três conceitos no processo de segurança holística: proteção, deteção e reação.”
  • 5. Segurança V. Holísmo V. Ubuntu • SEGURANÇA: sentimento, vulnerável, relacionado com perceção de se estar protegido contra perigos, o que é difícil de atingir e muito fácil de fragilizar • HOLÍSMO: "the tendency in nature to form wholes that are greater than the sum of the parts through creative evolution“ (Jan Smuts) • UBUNTU (palavra Zulu/Xhosa): "I am what I am because of who we all are.“ (Leymah Gbowee) “Ubuntu does not mean that people should not enrich themselves. The question therefore is: Are you going to do so in order to enable the community around you to beable to improve?” (Nelson Mandela)
  • 6. Tripés de Segurança INTEGRIDADE CONFIDENCIALIDADEDISPONIBILIDADE Outra perspetiva, como se viu atrás: PROTEÇÃO, DETEÇÃO e REAÇÃO Perspetiva Comercial: INOVAÇÃO, DIFERENCIAÇÃO, RETORNO DO INVESTIMENTO
  • 7. Na prática a Segurança está onde? • presença ou ausência de energia? • firewall, vpn e ids? • sistemas operativos, bases de dados, apps? • canais de comunicação cobre/fibra/wireless? • sensores e barreiras de proteção físicas? • vídeo proteção e análise de vídeo? Tudo isto é baseado em DECISÕES, que são baseada em INFORMAÇÃO, que é necessária para definir uma ESTRATÉGIA, para isso é preciso INTELIGÊNCIA As FERRAMENTAS TECNOLÓGICAS, como os recursos humanos, são apenas uma pequena parte da equação, que define um sistema de segurança, para pessoas, bens ou informação
  • 8. Índice • Introdução • Inteligência – Falar com o Povo – Adivinhar perigos – Agentes – Ciclo de Informações • Redução de Riscos • Filmes antigos e realidades novas • Casos Práticos
  • 9. Inteligência Enquadrar o termo: Política, Estratégica ... Pensar antes de fazer, informar-se antes de decidir, analisar antes de desenhar a solução técnica Serviços de Inteligência = Serviços de Informações de Segurança e Defesa do Estado Serviços de Inteligência Privada? Data Warehouse?
  • 10. Inteligência “O teu espírito só poderia melhorar se tivesses diante de ti homens livres cujas resistências vencerias pela única arma da inteligência ou que te levariam a modificar as tuas opiniões, a alcançar porventura uma visão mais nobre e mais vasta da vida universal; a inteligência tem de incluir aquilo que não consegue eliminar. (...) O grande defeito dos intelectuais portugueses tem sido sempre o só lidarem com intelectuais. Vão para o povo. Vejam o povo. Vejam como eles refletem, como ele entende a vida, como eles gostariam que a vida fosse para eles.” Agostinho da Silva
  • 11. Inteligência «Tal há-de ser quem quer, co dom de Marte, Imitar os Ilustres e igualá-los: Voar co pensamento a toda parte, Adivinhar perigos e evitá-los, Com militar engenho e sutil arte, Entender os imigos e enganá-los, Crer tudo, enfim; que nunca louvarei O capitão que diga: “Não cuidei.”» Luis de Camões Gen. Pedro Cardoso Gen. Rodolfo Begonha Pêro da Covilhã
  • 12. Inteligência «Os agentes vivos são aqueles que voltam com informações. Escolhem-se homens espertos, talentosos, inteligentes e com fácil acesso àqueles que privam com o soberano ou elementos da nobreza. (…) Tratam-se de pessoas que podem ir e voltar apresentando relatórios. Para agentes vivos temos de contratar homens inteligentes que pareçam estúpidos, que se mostrem moles, mas sejam de coração duro, e ainda ágeis, vigorosos, resistentes e corajosos, conhecedores de coisas baixas, capazes de aguentar a fome o frio, a porcaria e a humilhação.» A Arte da Guerra, Sun Tzu
  • 14. Índice • Introdução • Inteligência • Redução de Riscos – Vulnerabilidade e Nível de Risco – Evolução Tecnológica V. Envolvimento RH – Evolução Tecnológica V. Evolução de Risco – Ciclo da Integração • Filmes antigos e realidades novas • Casos Práticos
  • 15. Redução de Riscos Evolução Tecnológica V. Envolvimento RH Envolvimento de RH Evolução Tecnológica Ex-Polícias Vigilantes treinados Técnico de Electrónica Técnico de Informática Analista de Risco
  • 16. Redução de Riscos Evolução Tecnológica V. Evolução de Risco Elementos em Risco Evolução Tecnológica Pessoas e Valores Edifícios Equipamentos Informação Comércio ElectrónicoPessoas Informação Instalações Equipamentos
  • 17. Redução de Riscos Vulnerabilidade Qualquer fraqueza intrínseca, induzida ou provocada no bem a proteger, que possa ser explorada pela ameaça para produzir um dano. Risco = Probabilidade x Consequência Probabilidade = Ameaça x Vulnerabilidade Ameaça = Intenção x Capacidade x Oportunidade Nível de Risco = Ameaça x Vulnerabilidade x Consequência
  • 19. Índice • Introdução • Inteligência • Redução de Riscos • Filmes antigos e realidades novas – Relações entre as áreas da Defesa e Segurança - física, eletrónica, informática, humana • Casos Práticos
  • 20. Ataques a SCADA (Supervisory Control And Data Acquisition) HACKERS (1995) DIE HARD 4 (2007) WARGAMES (1983)
  • 21. Explosão de Pipeline na Sibéria. O evento resultante é supostamente a maior explosão não nuclear na história (1982) Interrupção de abastecimento de água em Springfield (Illinois, USA, 2011) Vladimir Vetrov a.k.a. Farewell Ataques a SCADA (Supervisory Control And Data Acquisition) Under attack: The water plant in Springfield, Illinois, where a pump stopped working
  • 22. Stuxnet (2005-2012) Ataques a SCADA (Supervisory Control And Data Acquisition)
  • 23. Duqu (2011) – novo worm, aparentemente, uma evolução do Stuxnet Flame (2012) – novo worm, outra evolução, aparentemente ainda relacionado com ataques ao Irão Ataques a SCADA (Supervisory Control And Data Acquisition)
  • 24. Ataques a SCADA (Supervisory Control And Data Acquisition) Iranian Hackers targeting US oil, gas, and electric companies May 26, 2013 (thehackernews.com) Hackers Iranianos conseguiram acesso a sistema SCADA nos EUA. Foi encontrado Malware que pode danificar diversas instalações. Os alvos foram diversas infraestruturas de petróleo, gás e eletricidade, não identificadas. É reconhecido que o objetivo seria sabotagem e não espionagem.
  • 25. Ataques a SCADA (Supervisory Control And Data Acquisition)
  • 26.
  • 27.
  • 28.
  • 29. Membro do Chaos Computer Club que descobriu a clonagem de cartões telefónicos. Aos 26 anos de idade foi encontrado enforcado num parque público em Berlim
  • 30. Testosterona V. Profissionalismo The problem is a lot more complex then just people with green hair and body piercing, that can solve puzzles where people with computer engineering backgrounds can't solve. Hackers get caught, because they end up in the headlines. They're not professionals. They are out for the adventure. They are out for bragging rights. They are out for exploration. The professionals, the person from Intelligence, they're not going to get caught. And when they are detected, the people who detect them are not going to want to acknowledge that they've been there. Marc Maiffret a.k.a. Chameleon Kevin Mitnick a.k.a. Condor Richard Power (CSI/FBI)
  • 31. Índice • Introdução • Inteligência • Redução de Riscos • Filmes antigos e realidades novas • Casos Práticos – Infraestruturas Críticas Nacionais • Consultoria de Segurança • Segurança Física Legislação para ICN/ICE em Portugal: MINISTÉRIO DA DEFESA NACIONAL Decreto-Lei n.º 62/2011 de 9 de Maio
  • 32. Consultoria de Segurança Análise Estratégica de Infraestrutura Crítica Porto Marítimo no Hinterland do Zambeze
  • 33. Consultoria de Segurança Algumas das Disciplinas em Análise Caracterização da História e Geoestratégia Caracterização do regime jurídico, em termos de Direito Internacional e Direito Interno Caracterização da Regulamentação de Segurança a aplicar, para a construção de Políticas de Segurança, que enquadrem o Porto no contexto da sua realidade como plataforma logística internacional e uma fronteira desse país com o exterior.
  • 34. Consultoria de Segurança Plano Estratégico Para quê? Qual o objetivo Contra quem? Qual o adversário Contra o quê? Caracterização da ameaça Com quê? Meios a utilizar Quando? Momento para desenvolver a ação, duração da implementação da estratégia, duração da ação, momento em que os efeitos da estratégia se começam a sentir Como? Como se aplica a estratégia, considerando a geografia, a proporção e credibilidade dos recursos a usar, tendo em conta as questões diplomáticas e políticas, os procedimentos de informação e ação e de solidariedade com outras entidades
  • 35. Consultoria de Segurança Controlos de segurança a implementar no âmbito do ISPS (SOLAS – Safety Of Life At Sea) Acesso público controlado e restrito, com a implementação de sistemas automáticos de controlo de acessos e videovigilância Delimitação e sinalização de áreas para equipamentos, com a implementação de sistemas automáticos de controlo de acessos e videovigilância Identificação de pontos sensíveis e vulnerabilidades, através de processos de análise de risco e medidas consequentes para a sua mitigação e controlo, para a segurança de pessoas, bens e informação Existência de Iluminação de emergência Existência de Informação centralizada para apoio a tomadas de decisão, como a existência de uma sala de segurança e receção de alarmes.
  • 36. Consultoria de Segurança Controlos de segurança complementares a implementar • Segurança da Informação segundo a norma ISO 27001 • Segurança Física segundo a parte correspondente da norma ISO 27001 • Segurança Eletrónica segundo as normas EN 50131 • Monitorização de Segurança eletrónica segundo a norma BS 8418 • Gestão de Continuidade de Negócio segundo a norma ISO 22301
  • 37. PREVENÇÃO & SEGURANÇA Segurança Física 3 Centros de Monitorização 61 Câmaras (CCTV) 826 Detetores de Incêndio (SDI) Extinção Automática Compartimentação de Incêndio Comunicações VLAN em Fibra Ótica Barreiras Físicas Vigilância Humana
  • 38. Poço e Galeria de Drenagem (P0) Vídeo Vigilância Segurança Física
  • 39. Turbinas (P4) Extinção Automática de Incêndio (CO2) Outros: Aspiração c/Laser Aspiração p/Ótico Segurança Física
  • 40. Poço da Turbina (P5) SDI / Vídeo Vigilância Segurança Física
  • 41. Central Hidroelétrica Sala de Máquinas (P6) . CCTV . SDI . 3x SDI p/Aspiração Segurança Física
  • 44. Captação de Água Vídeo Vigilância Segurança Física
  • 45. Vedação da barragem (montante) Segurança Física Vedação acesso ao túnel (jusante) Portão de Acesso à Central Hidroelétrica
  • 46. Controlo de Acessos Sala de Comando (Perímetro) Segurança Física
  • 47. Tratamento de Água Vídeo Vigilância Segurança Física
  • 48. Bombagem de Água Vídeo Vigilância Segurança Física
  • 49. Sala de Telecomando Sede a 13Km da barragem . SCADA Supervisory Control And Data Acquisition . PSIM Physical Security Information Management . VMS Video Management System . CRA Central Recetora de Alarmes Segurança Física
  • 50. Obrigado Fernando Martins ONI Telecom Physical Security Strategy fernando.martins@knewon.pt http://www.oni.pt (site corporativo) http://www.enterprisecloud.oni.pt (site dedicado à oferta de Cloud Computing com simulador on-line) http://municipiosseguros.oni.pt (microsite de evento - posterior disponibilização de vídeo de workshop técnico de vídeo analítico)