SlideShare ist ein Scribd-Unternehmen logo

[CLASS 2014] Palestra Técnica - Cesar Oliveira

TI Safe
TI Safe

Este documento apresenta o conceito e desenho de um programa integrado de segurança da informação para sistemas de automação da Vale. Inicialmente, descreve o cenário atual de ameaças e riscos à segurança destes sistemas. Em seguida, detalha a avaliação de riscos realizada e o planejamento de ações de segurança para cada área operacional priorizada. Por fim, estabelece um programa completo de segurança cibernética para os sistemas de automação da empresa baseado em padrões internacionais.

Technologie
1 von 29
Downloaden Sie, um offline zu lesen
CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO DE SEGURANÇA DA INFORMAÇÃO PARA AUTOMAÇÃO Cesar Oliveira, CISM Rio de Janeiro, 7 de Novembro de 2014 Informação Pública
A VALE
Informação Pública Somos a Vale • Mineradora global com sede no Brasil • Líder mundial na produção de minério de ferro e pelotas e o segundo maior produtor de níquel • Também produzimos cobre, carvão metalúrgico, fertilizantes, manganês, ferroligas, cobalto e metais do grupo da platina • Investimos em logística e energia Empregados da Vale em Itabira / MG Renato Stockler das Neves Filho / Agência Vale
2013 Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e escritórios estão presentes nos cinco continentes. Informação Pública
Missão Transformar recursos naturais em prosperidade e desenvolvimento sustentável Visão Ser a empresa de recursos naturais global número um em criação de valor de longo prazo, com excelência, paixão pelas pessoas e pelo planeta Valores A vida em primeiro lugar Valorizar quem faz a nossa empresa Cuidar do nosso planeta Agir de forma correta Crescer e evoluir juntos Fazer acontecer Informação Pública Complexo Portuário Sul – CPBS / RJ Márcio Dantas Valença / Agência Vale
Informação Pública 195 mil Empregados e prestadores de serviço 50 mil Usuários de TI Faturamento Líquido em 2013 46 bilhões de dólares
O CENÁRIO ATUAL DE AMEAÇAS E SEGURANÇA DOS SISTEMAS DE AUTOMAÇÃO INDUSTRIAL Informação Pública
Cenário de ameaças em Sistemas de Automação Industrial Informação Pública 7
Conhecimento (capacidade) Informação Pública Motivação (intenção) Oportunidade Possível Ataque de Sucesso Fórmula para um ataque de sucesso…
Segurança para Sistemas de Automação Industrial – Verdadeiro ou Falso? ( ) Cuidar apenas de segurança física e ataques externos é suficiente; ( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está disponível para qualquer usuário; ( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito; ( ) Os Sistemas de Automação Industrial não são vulneráveis; ( ) Malwares não podem infectar os Sistemas de Automação; ( ) Não existe tecnologia disponível para combater ameaças específicas para os ambientes de Automação; ( ) A solução é isolar totalmente a Rede de Automação. Informação Pública
Segurança para Sistemas de Automação Industrial – Verdadeiro ou Falso? ( F ) Cuidar apenas de segurança física e ataques externos é suficiente; ( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está disponível para qualquer usuário; ( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito; ( F ) Os Sistemas de Automação Industrial não são vulneráveis; ( F ) Malwares não podem infectar os Sistemas de Automação; ( F ) Não existe tecnologia disponível para combater ameaças específicas para os ambientes de Automação; ( F ) A solução é isolar totalmente a Rede de Automação. Informação Pública
Sofisticação de ataque vs. Conhecimento técnico necessário Informação Pública denial of service Zombies Auto Coordinated Botnet Staged automated probes/scans Intruders High Low packet spoofing sniffers sweepers back doors disabling audits exploiting known vulnerabilities password cracking self-replicating code 1980 1985 1990 1995 2000 Intruder Knowledge Attack Sophistication Cross site scripting password guessing hijacking sessions GUI www attacks Tools “stealth” / advanced scanning techniques burglaries network mgmt. diagnostics distributed attack tools 2005 2013 Hactivism
Ciclo de exploração de vulnerabilidades – tendência de aceleração para Sistemas de Ambientes Industriais Novice Intruders Advanced Intruders Discover New Vulnerability Informação Pública Use Crude Exploit Tools Crude Exploit Tools Distributed Automated Scanning/Exploit Tools Developed Widespread Use of Automated Scanning/Exploit Tools Intruders Begin Using New Types of Exploits
AVALIAÇÃO DE RISCOS E PLANEJAMENTO DE AÇÕES Informação Pública
Avaliação de Riscos e Planejamento de Ações de Segurança Objetivos Informação Pública - Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado; - DefPlanejamento de Ações para cada Área Operacional priorizada por probabilidade e severidade - Criação de um Business Case para o estabelecimento de um Programa Integrado de Cyber Security. - inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas Áreas Operacionais - Definir um Benefícios - Dar visibilidade sobre os riscos de segurança da informação existentes nos ambientes de Sistemas de Automação e promover a discussão sobre o tratamento adequado aos riscos considerando as variáveis levantadas e o negócio enolvido, além de promover o estabelecimento de um Programa Completo de Gestão de Segurança em SIStemas de Automação Industrial. Entregáveis - Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação; - Resultado da Análise de Riscos - Resultado da avaliação dos Controles de Segurança existentes - Plano de Ações para cada Área Operacional priorizada por nível de risco (probabilidade e severidade) Participantes - Áreas Operacionais - Tecnologia de Automação da TI - Information Security Office - Global IT Security Services - Comitê de Segurança da Informação - Comitê de Liderança de Manutenção
Avaliação de Riscos e Planejamento de Ações de Segurança Análise de Risco Informação Pública Análise dos Controles de Segurança Nomes com Controles mínimos Realização de Treinamento Roadmap de Implantação - Revisão de padrões e boas práticas existentes como insumos para determinar os controles mínimos necessários para serem aplicados em todas as Áreas Operacionais; - Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida pelo Governo Americano (US-Department of Homeland Security) e tendo como padrão a norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”; - Questionário com 172 questões divididas em categorias http://ics-cert.us-cert.gov/Assessments
Avaliação de Riscos e Planejamento de Ações de Segurança Padrões específicos existentes que podem ser usados como base da ferramenta CSET Informação Pública ISA-SP99 ISA-SP100 NIST SP 800 API • Security Guidelines for the Petroleum Industry NISCC/CNPI • Process Control and SCADA Security Guides ISA 100/11ª • Wireless Systems for Industrial Automation (cap 8) US-CERT • ANSI/ISA TR96.01.02-2007 – Security Technologies for industrial automation and control systems. • ANSI/ISA-99.01.01-2007 – Termiinology concepts and models • ANSI/ISA-99.02.01-2009 – Estabilshing na industrial Automation and Control Systems Security Program. • ISA-99.02.02 (em desenvolvimento) – Operating and Industrial Automation and Control Systems Security Program • ISA-99.03.02 (em desenvolvimento) – Target Security Levels. • ISA-99.03.03 – System Security compliance Metrics (em desenvolvimento). • ISA-99.01.03 (em desenvolvimento) – System Security Requirements and Security Assurance Levels. • ISA-TR99.02.03 (em desenvolvimento) – Patch Management . • ISA 99.04 Series (em desenvolvimento) – Derived Requirements. IEC 62443 SP800-82 • Guide to industrial Control Systems (ICS) Security • Catalog of (control System Security . Recomendations for Standards Developers. • Creating Cyber Forensics Plans for Control System. • Cyber Security Response to physical Security Breaches. • Control Systems Cyber Security Defense in Depth Strategies • CPI-002 Critical Cyber Asset Idetification • CIP-003 Security Management Controls • CIP-004 Personnel & Training • CIP-005 Electronic Security Perimeter(s) • CIP-006 Physical Security of Critical Cyber Assets • CIP-007 Systems Security Management • CIP-008 Incident Reporting and Response Pianning • CIP-009 Recovery Plans for Critical Cyber Assets NERC CIP
Avaliação de Riscos - Envolver todos os Stakeholders para criar consenso quanto às definições de probabilidade e severidade das ameaças é fator crítico de sucesso; - Treinamentos de conscientização e reuniões de análise de riscos e definição de ameaças existentes e potenciais em cada Área Operacional. Informação Pública
CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO Informação Pública
Planejamento de Ações de Segurança - Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações de Segurança para cada Área é essencial; - Priorização de implementação de controles seguindo os seguintes critérios: • Controles que mitigam mais riscos e com maior efetividade; • Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR); • Ações com menor duração tendem a ser priorizadas; • Menor dependência de envolvimento de outras áreas internas da organização. Informação Pública
Estabelecendo um Programa Completo Como resultado do trabalho, foi criado um Business Case para a implantação do Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na ISA-99.02.01, seguindo suas recomendações que na prática são: • Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos operacionais; • Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment) • Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a integração entre as áreas operacionais; • Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...); • Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como mecanismo de sensibilização para o investimento no Programa Integrado e Completo. • Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas. Informação Pública
Estabelecendo um Programa Completo Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no monitoramento de maneira a assegurar a evolução homogênea. Além disto, a observação constante dos fatores organizacionais são determinantes para esta evolução. Informação Pública Conscientização Capacitação Contratação Políticas Normas e Instruções de Trabalho Planos de Continuidade Planos de Resposta a Incidentes Firewall VPN Segregação de Redes Sistemas de Controle de Acesso Físico Sistemas de Controle de Versão
Informação Pública Fatores críticos de sucesso Complexo Portuário Sul – CPBS / RJ Márcio Dantas Valença / Agência Vale
Fatores críticos de sucesso Equilíbrio entre o CUSTO e RISCO Informação Pública Custo Risco Segurança Ideal Custo de evitar o risco vs Custo de um incidente
A evolução da Tecnologia traz melhorias e Segurança é cada vez mais fator crítico nos negócios Informação Pública • Aplicativo GetAround de aluguel de carros no sistema “rent your car”; • Inovação e risco: a chave do carro é um sinal emitido pelo seu smartphone; • Segurança é fator crítico de sucesso.
A Tecnologia a favor dos negócios... com Segurança Informação Pública
Obrigado Cesar Oliveira Global IT Security Manager cesar.oliveira@vale.com
Ressalva Esta apresentação pode incluir declarações que apresentem expectativas da Vale sobre eventos ou resultados futuros. Todas as declarações quando baseadas em expectativas futuras, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não pode garantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluem fatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá, (b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e sua dependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau de competição global nos mercados onde a Vale opera. Para obter informações adicionais sobre fatores que possam originar resultados diferentes daqueles estimados pela Vale, favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, na Autorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission – SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidos nas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20F da Vale.”. Esta apresentação não pode ser distribuída sem a autorização da Vale. Informação Pública
[CLASS 2014] Palestra Técnica - Cesar Oliveira

Empfohlen

CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel GuilizeTI Safe
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioTI Safe
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoTI Safe
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
66053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo166053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo1SITEL IBERICA TELESERVICES
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 

Empfohlen

CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel GuilizeTI Safe
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioTI Safe
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoTI Safe
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
66053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo166053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo1SITEL IBERICA TELESERVICES
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.TI Safe
 
Currículo Antônio M. Ferreira
Currículo Antônio M. FerreiraCurrículo Antônio M. Ferreira
Currículo Antônio M. FerreiraAntonio Marcos Ferreira
 
Behavior based safety
Behavior based safetyBehavior based safety
Behavior based safetyPaulo H Bueno
 
Palestra
PalestraPalestra
Palestraguest95b6c3
 
Apresentação ABNT NBR ISO 31000
Apresentação ABNT NBR ISO 31000Apresentação ABNT NBR ISO 31000
Apresentação ABNT NBR ISO 31000Guilherme Witte Cruz Machado
 
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR Solucoes e Servicos
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
 
Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Josiane Cerchi
 
Classificação nr36
Classificação nr36Classificação nr36
Classificação nr36NRFACIL www.nrfacil.com.br
 
Aula 7 gestão de riscos
Aula 7 gestão de riscosAula 7 gestão de riscos
Aula 7 gestão de riscosDaniel Moura
 
Nr12 resumo
Nr12 resumoNr12 resumo
Nr12 resumoAdvantage Automação
 
Estudos de análise de riscos
Estudos de análise de riscosEstudos de análise de riscos
Estudos de análise de riscosGabriel Marildo
 
TREINAMENTO NR 35 EM SALVADOR
TREINAMENTO NR 35 EM SALVADORTREINAMENTO NR 35 EM SALVADOR
TREINAMENTO NR 35 EM SALVADORTecnoprev - Consultoria em Segurança do Trabalho e Meio Ambiente
 
11914478 avaliacaoderiscos
11914478 avaliacaoderiscos11914478 avaliacaoderiscos
11914478 avaliacaoderiscosPelo Siro
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
1 3 técnicas de analise de risco
1 3 técnicas de analise de risco1 3 técnicas de analise de risco
1 3 técnicas de analise de riscoRobson Peixoto
 
Análise de Risco
Análise de RiscoAnálise de Risco
Análise de RiscoLuiz Ignacio Neumann
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Trabalho em altura treinamento
Trabalho em altura treinamentoTrabalho em altura treinamento
Trabalho em altura treinamentoRodrigo Cezar Silva
 
Classificação
ClassificaçãoClassificação
ClassificaçãoNRFACIL www.nrfacil.com.br
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasTI Safe
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 

Weitere ähnliche Inhalte

Was ist angesagt?

CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.TI Safe
 
Behavior based safety
Behavior based safetyBehavior based safety
Behavior based safetyPaulo H Bueno
 
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR Solucoes e Servicos
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
 
Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Josiane Cerchi
 
Aula 7 gestão de riscos
Aula 7 gestão de riscosAula 7 gestão de riscos
Aula 7 gestão de riscosDaniel Moura
 
Estudos de análise de riscos
Estudos de análise de riscosEstudos de análise de riscos
Estudos de análise de riscosGabriel Marildo
 
11914478 avaliacaoderiscos
11914478 avaliacaoderiscos11914478 avaliacaoderiscos
11914478 avaliacaoderiscosPelo Siro
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
1 3 técnicas de analise de risco
1 3 técnicas de analise de risco1 3 técnicas de analise de risco
1 3 técnicas de analise de riscoRobson Peixoto
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 

Was ist angesagt? (20)

CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
 
Currículo Antônio M. Ferreira
Currículo Antônio M. FerreiraCurrículo Antônio M. Ferreira
Currículo Antônio M. Ferreira
 
Behavior based safety
Behavior based safetyBehavior based safety
Behavior based safety
 
Palestra
PalestraPalestra
Palestra
 
Apresentação ABNT NBR ISO 31000
Apresentação ABNT NBR ISO 31000Apresentação ABNT NBR ISO 31000
Apresentação ABNT NBR ISO 31000
 
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEFMVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
MVAR- Modelo de Gestao de Risco Corporativo- FUNCEF
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
 
Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)Tecnica de incidentes criticos(tic)
Tecnica de incidentes criticos(tic)
 
Classificação nr36
Classificação nr36Classificação nr36
Classificação nr36
 
Aula 7 gestão de riscos
Aula 7 gestão de riscosAula 7 gestão de riscos
Aula 7 gestão de riscos
 
Nr12 resumo
Nr12 resumoNr12 resumo
Nr12 resumo
 
Estudos de análise de riscos
Estudos de análise de riscosEstudos de análise de riscos
Estudos de análise de riscos
 
TREINAMENTO NR 35 EM SALVADOR
TREINAMENTO NR 35 EM SALVADORTREINAMENTO NR 35 EM SALVADOR
TREINAMENTO NR 35 EM SALVADOR
 
11914478 avaliacaoderiscos
11914478 avaliacaoderiscos11914478 avaliacaoderiscos
11914478 avaliacaoderiscos
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
1 3 técnicas de analise de risco
1 3 técnicas de analise de risco1 3 técnicas de analise de risco
1 3 técnicas de analise de risco
 
Análise de Risco
Análise de RiscoAnálise de Risco
Análise de Risco
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
Trabalho em altura treinamento
Trabalho em altura treinamentoTrabalho em altura treinamento
Trabalho em altura treinamento
 
Classificação
ClassificaçãoClassificação
Classificação
 

Ähnlich wie [CLASS 2014] Palestra Técnica - Cesar Oliveira

Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasTI Safe
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialTI Safe
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfLucianoDejesus15
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Symantec Brasil
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADATI Safe
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produbanSplunk
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 

Ähnlich wie [CLASS 2014] Palestra Técnica - Cesar Oliveira (20)

Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produban
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de Software
 

Mehr von TI Safe

CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...TI Safe
 
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...TI Safe
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...TI Safe
 
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...TI Safe
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...TI Safe
 
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...TI Safe
 
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...TI Safe
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...TI Safe
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...TI Safe
 
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...TI Safe
 
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...TI Safe
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...TI Safe
 
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...TI Safe
 
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...TI Safe
 
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...TI Safe
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...TI Safe
 
Retrospectiva
RetrospectivaRetrospectiva
RetrospectivaTI Safe
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1TI Safe
 

Mehr von TI Safe (20)

CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
 
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
 
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
 
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
 
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
 
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
 
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
 
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
 
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
 
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
 
Retrospectiva
RetrospectivaRetrospectiva
Retrospectiva
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
 

Kürzlich hochgeladen

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploDanilo Pinotti
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx2m Assessoria
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfNatalia Granato
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsDanilo Pinotti
 

Kürzlich hochgeladen (6)

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 

[CLASS 2014] Palestra Técnica - Cesar Oliveira

  • 1. CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO DE SEGURANÇA DA INFORMAÇÃO PARA AUTOMAÇÃO Cesar Oliveira, CISM Rio de Janeiro, 7 de Novembro de 2014 Informação Pública
  • 3. Informação Pública Somos a Vale • Mineradora global com sede no Brasil • Líder mundial na produção de minério de ferro e pelotas e o segundo maior produtor de níquel • Também produzimos cobre, carvão metalúrgico, fertilizantes, manganês, ferroligas, cobalto e metais do grupo da platina • Investimos em logística e energia Empregados da Vale em Itabira / MG Renato Stockler das Neves Filho / Agência Vale
  • 4. 2013 Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e escritórios estão presentes nos cinco continentes. Informação Pública
  • 5. Missão Transformar recursos naturais em prosperidade e desenvolvimento sustentável Visão Ser a empresa de recursos naturais global número um em criação de valor de longo prazo, com excelência, paixão pelas pessoas e pelo planeta Valores A vida em primeiro lugar Valorizar quem faz a nossa empresa Cuidar do nosso planeta Agir de forma correta Crescer e evoluir juntos Fazer acontecer Informação Pública Complexo Portuário Sul – CPBS / RJ Márcio Dantas Valença / Agência Vale
  • 6. Informação Pública 195 mil Empregados e prestadores de serviço 50 mil Usuários de TI Faturamento Líquido em 2013 46 bilhões de dólares
  • 7. O CENÁRIO ATUAL DE AMEAÇAS E SEGURANÇA DOS SISTEMAS DE AUTOMAÇÃO INDUSTRIAL Informação Pública
  • 8. Cenário de ameaças em Sistemas de Automação Industrial Informação Pública 7
  • 9. Conhecimento (capacidade) Informação Pública Motivação (intenção) Oportunidade Possível Ataque de Sucesso Fórmula para um ataque de sucesso…
  • 10. Segurança para Sistemas de Automação Industrial – Verdadeiro ou Falso? ( ) Cuidar apenas de segurança física e ataques externos é suficiente; ( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está disponível para qualquer usuário; ( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito; ( ) Os Sistemas de Automação Industrial não são vulneráveis; ( ) Malwares não podem infectar os Sistemas de Automação; ( ) Não existe tecnologia disponível para combater ameaças específicas para os ambientes de Automação; ( ) A solução é isolar totalmente a Rede de Automação. Informação Pública
  • 11. Segurança para Sistemas de Automação Industrial – Verdadeiro ou Falso? ( F ) Cuidar apenas de segurança física e ataques externos é suficiente; ( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está disponível para qualquer usuário; ( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito; ( F ) Os Sistemas de Automação Industrial não são vulneráveis; ( F ) Malwares não podem infectar os Sistemas de Automação; ( F ) Não existe tecnologia disponível para combater ameaças específicas para os ambientes de Automação; ( F ) A solução é isolar totalmente a Rede de Automação. Informação Pública
  • 12. Sofisticação de ataque vs. Conhecimento técnico necessário Informação Pública denial of service Zombies Auto Coordinated Botnet Staged automated probes/scans Intruders High Low packet spoofing sniffers sweepers back doors disabling audits exploiting known vulnerabilities password cracking self-replicating code 1980 1985 1990 1995 2000 Intruder Knowledge Attack Sophistication Cross site scripting password guessing hijacking sessions GUI www attacks Tools “stealth” / advanced scanning techniques burglaries network mgmt. diagnostics distributed attack tools 2005 2013 Hactivism
  • 13. Ciclo de exploração de vulnerabilidades – tendência de aceleração para Sistemas de Ambientes Industriais Novice Intruders Advanced Intruders Discover New Vulnerability Informação Pública Use Crude Exploit Tools Crude Exploit Tools Distributed Automated Scanning/Exploit Tools Developed Widespread Use of Automated Scanning/Exploit Tools Intruders Begin Using New Types of Exploits
  • 14. AVALIAÇÃO DE RISCOS E PLANEJAMENTO DE AÇÕES Informação Pública
  • 15. Avaliação de Riscos e Planejamento de Ações de Segurança Objetivos Informação Pública - Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado; - DefPlanejamento de Ações para cada Área Operacional priorizada por probabilidade e severidade - Criação de um Business Case para o estabelecimento de um Programa Integrado de Cyber Security. - inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas Áreas Operacionais - Definir um Benefícios - Dar visibilidade sobre os riscos de segurança da informação existentes nos ambientes de Sistemas de Automação e promover a discussão sobre o tratamento adequado aos riscos considerando as variáveis levantadas e o negócio enolvido, além de promover o estabelecimento de um Programa Completo de Gestão de Segurança em SIStemas de Automação Industrial. Entregáveis - Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação; - Resultado da Análise de Riscos - Resultado da avaliação dos Controles de Segurança existentes - Plano de Ações para cada Área Operacional priorizada por nível de risco (probabilidade e severidade) Participantes - Áreas Operacionais - Tecnologia de Automação da TI - Information Security Office - Global IT Security Services - Comitê de Segurança da Informação - Comitê de Liderança de Manutenção
  • 16. Avaliação de Riscos e Planejamento de Ações de Segurança Análise de Risco Informação Pública Análise dos Controles de Segurança Nomes com Controles mínimos Realização de Treinamento Roadmap de Implantação - Revisão de padrões e boas práticas existentes como insumos para determinar os controles mínimos necessários para serem aplicados em todas as Áreas Operacionais; - Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida pelo Governo Americano (US-Department of Homeland Security) e tendo como padrão a norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”; - Questionário com 172 questões divididas em categorias http://ics-cert.us-cert.gov/Assessments
  • 17. Avaliação de Riscos e Planejamento de Ações de Segurança Padrões específicos existentes que podem ser usados como base da ferramenta CSET Informação Pública ISA-SP99 ISA-SP100 NIST SP 800 API • Security Guidelines for the Petroleum Industry NISCC/CNPI • Process Control and SCADA Security Guides ISA 100/11ª • Wireless Systems for Industrial Automation (cap 8) US-CERT • ANSI/ISA TR96.01.02-2007 – Security Technologies for industrial automation and control systems. • ANSI/ISA-99.01.01-2007 – Termiinology concepts and models • ANSI/ISA-99.02.01-2009 – Estabilshing na industrial Automation and Control Systems Security Program. • ISA-99.02.02 (em desenvolvimento) – Operating and Industrial Automation and Control Systems Security Program • ISA-99.03.02 (em desenvolvimento) – Target Security Levels. • ISA-99.03.03 – System Security compliance Metrics (em desenvolvimento). • ISA-99.01.03 (em desenvolvimento) – System Security Requirements and Security Assurance Levels. • ISA-TR99.02.03 (em desenvolvimento) – Patch Management . • ISA 99.04 Series (em desenvolvimento) – Derived Requirements. IEC 62443 SP800-82 • Guide to industrial Control Systems (ICS) Security • Catalog of (control System Security . Recomendations for Standards Developers. • Creating Cyber Forensics Plans for Control System. • Cyber Security Response to physical Security Breaches. • Control Systems Cyber Security Defense in Depth Strategies • CPI-002 Critical Cyber Asset Idetification • CIP-003 Security Management Controls • CIP-004 Personnel & Training • CIP-005 Electronic Security Perimeter(s) • CIP-006 Physical Security of Critical Cyber Assets • CIP-007 Systems Security Management • CIP-008 Incident Reporting and Response Pianning • CIP-009 Recovery Plans for Critical Cyber Assets NERC CIP
  • 18. Avaliação de Riscos - Envolver todos os Stakeholders para criar consenso quanto às definições de probabilidade e severidade das ameaças é fator crítico de sucesso; - Treinamentos de conscientização e reuniões de análise de riscos e definição de ameaças existentes e potenciais em cada Área Operacional. Informação Pública
  • 19. CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO Informação Pública
  • 20. Planejamento de Ações de Segurança - Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações de Segurança para cada Área é essencial; - Priorização de implementação de controles seguindo os seguintes critérios: • Controles que mitigam mais riscos e com maior efetividade; • Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR); • Ações com menor duração tendem a ser priorizadas; • Menor dependência de envolvimento de outras áreas internas da organização. Informação Pública
  • 21. Estabelecendo um Programa Completo Como resultado do trabalho, foi criado um Business Case para a implantação do Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na ISA-99.02.01, seguindo suas recomendações que na prática são: • Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos operacionais; • Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment) • Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a integração entre as áreas operacionais; • Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...); • Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como mecanismo de sensibilização para o investimento no Programa Integrado e Completo. • Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas. Informação Pública
  • 22. Estabelecendo um Programa Completo Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no monitoramento de maneira a assegurar a evolução homogênea. Além disto, a observação constante dos fatores organizacionais são determinantes para esta evolução. Informação Pública Conscientização Capacitação Contratação Políticas Normas e Instruções de Trabalho Planos de Continuidade Planos de Resposta a Incidentes Firewall VPN Segregação de Redes Sistemas de Controle de Acesso Físico Sistemas de Controle de Versão
  • 23. Informação Pública Fatores críticos de sucesso Complexo Portuário Sul – CPBS / RJ Márcio Dantas Valença / Agência Vale
  • 24. Fatores críticos de sucesso Equilíbrio entre o CUSTO e RISCO Informação Pública Custo Risco Segurança Ideal Custo de evitar o risco vs Custo de um incidente
  • 25. A evolução da Tecnologia traz melhorias e Segurança é cada vez mais fator crítico nos negócios Informação Pública • Aplicativo GetAround de aluguel de carros no sistema “rent your car”; • Inovação e risco: a chave do carro é um sinal emitido pelo seu smartphone; • Segurança é fator crítico de sucesso.
  • 26. A Tecnologia a favor dos negócios... com Segurança Informação Pública
  • 27. Obrigado Cesar Oliveira Global IT Security Manager cesar.oliveira@vale.com
  • 28. Ressalva Esta apresentação pode incluir declarações que apresentem expectativas da Vale sobre eventos ou resultados futuros. Todas as declarações quando baseadas em expectativas futuras, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não pode garantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluem fatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá, (b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e sua dependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau de competição global nos mercados onde a Vale opera. Para obter informações adicionais sobre fatores que possam originar resultados diferentes daqueles estimados pela Vale, favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, na Autorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission – SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidos nas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20F da Vale.”. Esta apresentação não pode ser distribuída sem a autorização da Vale. Informação Pública