Você está na página 1de 41

Proteção SEP/

Segurança Cibernética

Profª Astrid M. Carneiro Heinisch

astridmcheinisch@gmail.com
Proteção Sistema Elétrico/
Segurança Cibernética

Profª Astrid M. Carneiro Heinisch

AULA 1-11/05

 Apresentação
 Programação
 Conceitos Básicos
Professora: Astrid Maria Carneiro Heinisch

Graduada em Engenharia Elétrica com ênfase em Telecomunicações pelo INATEL (1993). Mestre em
Administração de Empresas pela FUMEC, na área de Gestão Estratégica de Organizações (2013).
Cursou Mestrado em Telecomunicações no INATEL(2005) e especialização em Administração de
Empresas pela FAI e em Engenharia de Comunicação de Dados pelo INATEL(1995). Professora em
cursos de Graduação e Pós-graduação no INATEL, na UNA e PUC-MG. Trabalhou como engenheira
de desenvolvimento de sistemas sênior na Fundação para Inovações Tecnológicas (FITEC) por quase
10 anos, como pesquisadora em projetos de inovação. Atuação como executiva de negócios na
Telemar/Oi . Experiência de mais de vinte anos na área de pesquisa e desenvolvimento (P&D) ,
experiência em coordenação técnica de projetos, gestão, planejamento e desenvolvimento de
negócios. Atuou como Gerente de Negócios na FITEC e ocupa a posição de Diretora de Operações
na FITEC MG.
Objetivo

 Levar ao conhecimento: conceitos, modelos e iniciativas sobre a segurança


cibernética para o contexto operacional de controle e automação.

 Permitir que, no papel de profissionais, possam contribuir em suas áreas de


atuação, com a estruturação da segurança cibernética operacional, que vai
além daquela trabalhada no âmbito da segurança da informação corporativa.

 Possibilitar uma visão de como reduzir o risco da infraestrutura crítica,


preservando a confidencialidade, integridade e disponibilidade dos recursos da
infraestrutura crítica de controle e automação industrial.
11 de Maio
– Programação
– Conceitos:Transformação Digital; Cibernética; Segurança Cibernética; Infraestrutura Crítica;
Segurança cibernética em Smart Grid, Segurança Cibernética Operacional TO vs.TI; outros.
13 de Maio
– Ataques Cibernéticos e riscos para Sistemas de Controle Industrial (ICS)
– Governança e Gestão da Segurança Cibernética no Contexto de SmartGrid
18 de Maio
– Introdução -Estratégia de Defesa em Profundidade aplicada à Segurança Cibernética
20 de Maio
– Estratégia de Defesa em Profundidade aplicada à Segurança Cibernética
25 de Maio
– Estratégias de Segurança Cibernética Modelos Normativos e Recomendações
– DOE ES C2M2
27 de Maio
– Normas NERC CIP
– Framework NIST
01 de Junho – Avaliação

03 de Junho
– Iniciativas de projetos
– Fechamento
Cibernética”? Segurança Cibernética?
Como trabalhar a segurança cibernética em Smart Grid?

Por que o tema veio à tona nos últimos anos?

Como se encontra a conscientização sobre


a importância da segurança cibernética no
contexto de Smart Grid?

Quais são os possíveis obstáculos para


a abordagem da segurança cibernética
no contexto de Automação Industrial?
Conceitos e Definições
Referencia para a Disciplina*

* Muitos dos conceitos e definições aqui apresentados ainda não apresentam consenso na literatura – foram adotados
aqueles que mais se adequam à disciplina em termos de abrangência e aplicação.
 Estamos advento da informação perfeita, em que a simples obtenção de
informação não é um avanço – o avanço está em como os dados são
arranjados de novas formas e permitem a tomada de decisão eficiente.

 A redefinição de conhecimento e, consequentemente, de tecnologia pode


levar a um cenário de incerteza.

 A complexidade tecnológica, a incerteza e a interdependência entre tarefas


podem ser apresentadas como fatores de pressão para o processamento de
informação nas organizações.

(HATCH, 1997)

 Estamos na era da Transformação Digital


TRANSFORMAÇÃO DIGITAL
 surge como um novo tipo de transformação e tema a ser estudado, uma vez
que impõe novos desafios para as organizações
 está relacionada ao emprego das novas tecnologias, com a finalidade de
modificar ou criar novos modelos de negócios, redefinindo produtos,
processos, relacionamento com fornecedores e a experiência dos clientes

MATURIDADE DIGITAL
 capacidade de uma organização “responder”, de maneira adequada, ao
ambiente cada vez mais digital
 um processo de aprendizado gradual e desdobrado para toda a organização

Desviar o foco da transformação instantânea e radical, para se concentrarem na


maturidade digital, enxergando a transformação como um processo que leva tempo, não
tem fim, é gradual e de constante mudança e adaptação a um ambiente competitivo cada
vez mais digital.

TADEU, Hugo Ferreira Braga; DUARTE, André Luís de Castro Moura; CHEDE, Cezar Taurion. Transformação Digital:
Perspectiva brasileira e busca da maturidade digital. Nova Lima, DOM: v.11, n.35 , p. 32-37, maio/ago. 2018.
 Estratégia digital: plano abrangente, envolvendo a organização e os objetivos digitais
estabelecidos

 Capacidade analítica: tratamento adequado da grande quantidade de dados


disponíveis e sua transformação em informações que permitam aos gestores tomar
melhores decisões; disponibilidade e transparência das informações; capacidade de
prever e se adaptar automaticamente às novas condições de mercado e operação.

 Relacionamento com clientes: atendimento ao cliente- necessidades dos clientes,


experiências cada vez mais ricas e relacionamento mais próximo e frequente.

 Relacionamento em redes: fornecedores, startups, governos, universidades, fundos


de investimentos, entre outros

 Estrutura organizacional e processos digitais: estrutura e os processos -


organização –atividades relacionadas entre si, que exigem interação. Além de
automação de processos, diminuir a distância entre as áreas funcionais.

TADEU, Hugo Ferreira Braga; DUARTE, André Luís de Castro Moura; CHEDE, Cezar Taurion. Transformação Digital: Perspectiva
brasileira e busca da maturidade digital. Nova Lima, DOM: v.11, n.35 , p. 32-37, maio/ago. 2018.
 Cultura e pessoas: cultura mais colaborativa, aberta à inovação, e tomada de
decisões direcionadas por dados (data-driven decision making). Formação das pessoas
, fluência digital com capacidade de articular o valor das tecnologias digitais para o
futuro da organização.

 Riscos e investimentos: organizações menos avessas ao risco, aceitar o fracasso e


apoiar o desenvolvimento de equipe mais ousada, tecnologias de fronteira, valor futuro e
predisposição para investimentos em novos projetos.

 Aspectos legais e éticos: aspectos éticos e legais da utilização de novas tecnologias


digitais, identificação precoce das questões legais, que envolvem a aplicação dessas
tecnologias.

 Novos modelos de negócios digitais: expandir ofertas de produtos e serviços


através de plataformas digitais integradas, soluções completas em um ecossistema
digital.

TADEU, Hugo Ferreira Braga; DUARTE, André Luís de Castro Moura; CHEDE, Cezar Taurion. Transformação Digital: Perspectiva
brasileira e busca da maturidade digital. Nova Lima, DOM: v.11, n.35 , p. 32-37, maio/ago. 2018.
PERSPECTIVAS DA TRANSFORMAÇÃO DIGITAL NO BRASIL

 A maioria das empresas não possui uma estratégia digital.


 Geralmente, são as áreas de Tecnologia da Informação (TI) e Produção que lideram
o processo de transformação digital.
 Eficiência operacional e melhoria dos processos, via automação e controle são
resultados mais esperados.
 Percebe-se os benefícios da transformação digital e barreiras do processo.
 Questões importantes: estrutura e cultura da empresa, investimentos na
transformação digital e treinamento de pessoal.
 Barreiras externas: segurança de dados, ausência de investimentos e
regulamentação.
 Fundamentais para a maturidade digital: integração, o treinamento dos colaboradores
e os padrões tecnológicos.

TADEU, Hugo Ferreira Braga; DUARTE, André Luís de Castro Moura; CHEDE, Cezar Taurion. Transformação Digital:
Perspectiva brasileira e busca da maturidade digital. Nova Lima, DOM: v.11, n.35 , p. 32-37, maio/ago. 2018
Transformação Digital (Dimensões)
IoT

Estrutura organizacional e processos


digitais

Cultura e pessoas
Relacionamento em redes

Riscos e investimentos

Aspectos legais e éticos

Novos modelos de negócios digitais


Capacidade analítica
Estratégia digital

Relacionamento com clientes


Smart Grid

Indústria 4.0

Smart City

Outros

Inteligência Artificial
Big Data Deep Learning Cybersecurity Cloud Computing
Tecnologias

Dispositivos
Machine Learning Realidade Virtual, Mista e Aumentada
Sensores
Learning Analytics Experiência do Cliente Tratamento de Imagem

Telecomunicações e conectividade – Redes IP


IOT –INTERNET OF THINGS – Internet das Coisas

 Rede de objetos físicos —“coisas”—incorporados a sensores, softwares e outras


tecnologias com o objetivo de conectar e trocar dados com outros dispositivos e
sistemas pela internet.

 Esses dispositivos variam de objetos domésticos comuns a ferramentas industriais


sofisticadas.

 Com mais de 7 bilhões de dispositivos IoT conectados atualmente, os especialistas


esperam que esse número aumente para 10 bilhões até 2020 e 22 bilhões até 2025.

https://www.oracle.com/br/internet-of-things/what-is-iot.html
A necessidade de se processar grande volume de informação, com
alto grau de precisão, a uma velocidade cada vez mais próxima ao que
se denomina tempo real, reflete-se na utilização de alta tecnologia, no
sentido de as redes se tornarem mais “inteligentes”. Nesse contexto,
depara-se no âmbito das redes de energia elétrica com o conceito de
Smart Grids (GELLINGS, 2009).
Smart Grid

 infraestrutura que integra equipamentos e redes de comunicação de dados ao


sistema de fornecimento de energia elétrica (ANEEL, 2012a, f. 2)

 uma rede de transmissão e distribuição de eletricidade que usa tecnologia da


informação, sensoriamento, monitoramento, comunicação bidirecional e sistemas de
controle distribuídos, para entregar energia eficientemente, economicamente e de
forma confiável (NEWTON’S TELECOM, 2009; NIST, 2010).

 oportunidade de prover serviços diferenciados aos consumidores

 um salto de um sistema analógico unidirecional, de fornecedores de energia


desconectados, para uma rede nacional interoperável, digital e bidirecional (NIST,
2010).
Smart Grid - 10 Características:

1) uso extensivo de informação digital e tecnologia de controle para prover


confiabilidade, segurança e eficiência à rede elétrica;

2) otimização dinâmica de recursos e operações da rede com total segurança


cibernética;

3) emprego e integração de recursos distribuídos e geração de energia, incluindo


recursos renováveis;

4) desenvolvimento e incorporação de resposta à demanda, recursos de geração de


energia do lado da demanda e recursos de eficiência energética;

5) desenvolvimento de tecnologias inteligentes (Smart Technologies), tecnologias de


tempo real, automatizadas, interativas, que otimizem a operação física de aplicações
e dispositivos do consumidor de energia.

(MIT, 2011; NIST, 2010; SOREBO; ECHOLS, 2012)


6) integração de aplicativos inteligentes (Smart Appliances) e dispositivos do
consumidor de energia;
7) emprego e integração de tecnologias de “corte de pico” e armazenamento
avançado de energia, incluindo veículo elétrico e híbrido plug in;
8) provisão de informações oportunas e opções de controle ao consumidor de
energia;
9) desenvolvimento de normas para comunicação e interoperabilidade de aplicativos e
equipamentos conectados à rede elétrica, incluindo toda a infraestrutura que serve
a rede de energia;
10) identificação e redução de barreiras sem sentido ou desnecessárias à adoção de
tecnologias, práticas e novos serviços.
Plano Estratégico de Inovação de Tecnologia Digital da Cemig,
denominado CEMIG 4.0

1. Experiência do usuário

2. Inteligência de dados

3. Mobilidade elétrica

4. Energias renováveis

5. Geração distribuída

6. Armazenamento de energia;

7. Ações transversais:
 cibersegurança,
 novos modelos de negócio e
 talentos para a era digital.
AUTOMAÇÃO
Uso de técnicas computadorizadas ou mecânicas com o objetivo de dinamizar
e otimizar todos os processos produtivos dos mais diversos setores da
economia.

CIBERNÉTICA
campo da teoria da comunicação e controle-Norbert Wiener – 1948
(NEWTON’S TELECOM DICTIONARY, 2009).

SISTEMAS DE CONTROLE E AUTOMAÇÃO INDUSTRIAL


sistemas usados em processos manufatureiros; sistemas de controle em
ambiente de construção; operações de plantas geograficamente dispersas,
como as das utilities (ex.: eletricidade, gás e água); plantas de produção e
distribuição de petróleo; outras indústrias e aplicações, como redes de
transporte, que usam ativos remotamente monitorados, controlados ou
automatizados.
ANSI ISA
“AMBIENTE CIBERNÉTICO”, “ESPAÇO CIBERNÉTICO” OU
“CIBERESPAÇO”

Espaço onde se apresenta a infraestrutura cibernética: sistemas e serviços


eletrônicos de comunicação, incluindo as informações tratadas por eles.

Inclui usuários, rede, dispositivos, softwares, processos, informações


armazenadas ou em trânsito, aplicações, serviços e sistemas, que podem ser
conectados direta ou indiretamente em redes (ITU-T 2008)
INFRAESTRUTURA CRÍTICA
Instalações, serviços, bens e sistemas cuja interrupção ou destruição, total
ou parcial, provoque sério impacto social, ambiental, econômico, político,
internacional ou à segurança do Estado e da sociedade. A infraestrutura
crítica do país fornece os serviços essenciais que sustentam a sociedade,
dentre elas o serviço de energia.

ATIVOS CIBERNÉTICOS CRÍTICOS


Usuários, rede, dispositivos, todos os softwares, processos, informações
armazenadas ou em trânsito, aplicações, serviços e sistemas, que podem
ser conectados direta ou indiretamente em redes, de propriedade ou sob a
responsabilidade da organização que têm um valor real ou percebido para
ela.
INFRAESTRUTURA CRÍTICA 1. Transporte,
2. Àgua e Esgoto,
3. Nuclear e Resíduos,
Existem 16 setores de infraestrutura 4. TI
crítica cujos ativos, sistemas e redes, 5. Governo
sejam físicos ou virtuais, são 6. Financeiro
considerados tão vitais para a Nação que 7. Agricultura e Alimentação
sua incapacitação ou destruição teria um
8. Saúde
efeito debilitante na segurança,
9. Emergência
segurança econômica, saúde pública ou
10. Energia
segurança pública, ou qualquer
combinação destes. 11. Defesa
12. Barragens
(USA DHS)
13. Comunicação
14. Comercial
15. Químico
16. Indústria Crítica.

Profª Astrid M. Carneiro Heinisch


REDE OPERATIVA DE DADOS (ROD)
 Diferente da Rede Corporativa de Dados (utilizada para transportar informações
relacionadas a serviços corporativos, (ex. intranet, e-mail, ERP – Enterprise Resource
Planning, etc.),

 Transporta informações relacionadas a funções operacionais demandadas pelos


processos de automação.

 Abrange o centro de operação, as redes de comunicação e os ativos da concessionária


(subestações, chaves, medidores, sensores, etc.) relacionados aos seus processos
operativos.

 Cada parte do sistema elétrico é visto como uma fonte de informação para a realização
fim a fim das funções operativas.

 Ao se tratar de segurança cibernética da ROD, é possível incluir todas as ramificações


de telecomunicação que se sobrepõem ao sistema elétrico a fim de permitir a realização
das funções de automação dentro dos requisitos esperados.
TECNOLOGIA DA AUTOMAÇÃO
conjunto de soluções providas por recursos de computação que visam a
produção, o armazenamento, a transmissão, o acesso, a segurança e o uso
de informações adotadas na automação de processos.

TECNOLOGIA DA INFORMAÇÃO
conjunto de soluções providas por recursos de computação que visam a
produção, o armazenamento, a transmissão, o acesso, a segurança e o uso de
informações.

TECNOLOGIA DA OPERAÇÃO
conjunto de soluções providas por recursos de computação que visam a produção,
o armazenamento, a transmissão, o acesso, a segurança e o uso de informações
adotadas na operação de processos físicos por meio de monitoramento direto e /
ou controle de dispositivos eletrônicos inteligentes (IEDs).
TO versus TI – Alguns Requisitos de Desempenho
TI TO
Não tempo real Tempo “real”

Resposta
Resposta rápida
confiável

Níveis de Alto nível de


througput througput
variáveis (taxa de Througput com
transferência) pouca variação

Atrasos são Atrasos são


aceitáveis críticos

26
Profª Astrid M. Carneiro Heinisch
TO versus TI – Requisitos de Confiabilidade
TI TO
Operações
Operações
agendadas/ sob
contínuas
demanda

Interrupções
Interrupções
ocasionais
intoleráveis
toleráveis

Testes finais de
Testes de versão qualidade antes da
beta entrada em
produção

Certificação formal
Modificações
pode ser requerida
possíveis com
depois de qualquer
pouca burocracia
alteração
27
Profª Astrid M. Carneiro Heinisch
TO versus TI – Requisitos de Riscos
TI TO

Objetivo: Integridade Objetivo: Segurança


dos dados humana

O impacto dos riscos O impacto dos riscos


é a perda de dados é o impacto
e a perda das ambiental e/ou a
operações do perda de vidas,
negócio equipamentos ou
produtos.

Recuperado por
meio de boot de Nível de Tolerância a
máquinas falhas

28
Profª Astrid M. Carneiro Heinisch
TO versus TI – Requisitos de Governança
TI TO
O treinamento e a
Treinamento em
conscientização em
segurança de sistemas
segurança de sistemas
raramente ocorrem
razoavelmente altos

Auditorias de segurança Auditorias de segurança


são necessárias e da informação
realizadas normalmente não são
rotineiramente realizadas

Os equipamentos são
Equipamentos usados
normalmente trocados
por longos períodos de
ou substituídos a cada 3
tempo, sem substituição
ou 5 anos

29
Profª Astrid M. Carneiro Heinisch
TO versus TI – Funções de Segurança (1/3)
Tópico de Segurança TI TO

Muito comum; facilmente


Requisitos de memória podem
empregado e atualizado.
impactar o ICS; organizações
Usuários tem o controle sobre
Antivírus somente podem proteger
customizações e podem ser
sistemas legados com soluções
baseado em equipamento
de mercado;
específico ou corporativo

Definido facilmente;
Tempo para instalação de
Amplamente utilizado em
Gerenciamento de Patches patches é longo; pode “paralisar”
corporações; remoto e
funcionalidades de ICS
automatizado.

10 a 20 anos; Usualmente tem-


Tempo de vida e suporte a 2 a 3 anos; múltiplos se o mesmo fornecedor durante
tecnologia fornecedores; o período; Fim do produto cria
novas questões de segurança

30
Profª Astrid M. Carneiro Heinisch
TO versus TI – Funções de Segurança (2/3)
Tópico de Segurança TI TO

Utilização de métodos
Testes modernos podem ser
modernos; Sistemas são
inapropriado; Equipamentos
Métodos de auditoria e testes usualmente robustos e
podem ser suscetíveis a
resilientes aos métodos de
falhas durante o processo
avaliação

Necessária programação
Regular e programada;
estratégica; processo não
Gerência de mudança alinhada a períodos de menor
trivial devido a impacto no
uso
processo produtivo

Somente realizado quando


Comum e realizado obrigado; Inventário preciso
Classificação do ativo
anualmente; não é comum para ativos não
críticos;

31
Profª Astrid M. Carneiro Heinisch
TO versus TI – Funções de Segurança (3/3)
Tópico de Segurança TI TO

Focado no retorno das atividades do


Facilmente desenvolvida e utilizada;
Resposta a incidentes e sistema; procedimento forenses ainda
alguns requisitos regulatórios; embutido
perícia forense prematuros; requer bom
na tecnologia.
relacionamento TI/ICS

Segurança física e Pode variar de pobre a excelentes Geralmente excelente para áreas
ambiental (sistemas de operação de TI críticos) críticas

Historicamente não é parte integrante


Desenvolvimento de Parte integrante do processo de
do processo de desenvolvimento;
sistemas seguros desenvolvimento
velocidade de maturidade baixa

Supervisão regulatória definitiva, Orientação regulatória específica,


Conformidade em relação
dependendo do setor (e não de todos dependendo do setor (e não de todos
a requisitos de segurança
os setores) os setores)

32
Profª Astrid M. Carneiro Heinisch
CONFLITOS NO ESPAÇO CIBERNÉTICO

Ataques a usuários, redes, dispositivos, softwares, processos, informações


armazenadas ou em trânsito, aplicações, serviços e sistemas.

Profª Astrid M. Carneiro Heinisch


GUERRA CIBERNÉTICA
“Modalidade de guerra na qual o conflito não ocorre com armas físicas
(convencionais), mas por intermédio da confrontação com meios
eletrônicos e informáticos no chamado ciberespaço”

 Difere da guerra nos moldes tradicionais, onde há deslocamento de tropas,


tanques, aviões, navios e outros aparatos de destruição (do mundo “real”)

 Muitas vezes, visam a destruição das


infraestruturas críticas do inimigo.

 Silenciosa, Anônima, Sem território


físico definido, Difícil reação, Excelente
relação custo/benefício.
SEGURANÇA CIBERNÉTICA

MIT (Massachusetts Institute of Technology):


 toda abordagem voltada a proteger dados, sistemas e redes, de ataques
deliberados, do comprometimento acidental e, ainda, da falta de preparo
para recuperação em caso de necessidade .

ITU-T (International Telecomunication Union) -X.1205:


 coleção de ferramentas, políticas, conceitos de segurança, salvaguardas,
diretrizes, abordagens de gerenciamento de risco, ações, treinamento,
melhores práticas, garantias e tecnologias, que podem ser usadas para
proteger o ambiente cibernético e os ativos de usuários e das
organizações .

NIST (National Institute of Standards and Technology)-Smart Grid Interoperability Standards Roadmap:
 prevenção a danos causados pelo uso, exploração e, se necessário, a
recuperação de informação eletrônica, sistemas de comunicação e
serviços (incluem-se as informações neles contidas) para garantir a
confidencialidade, integridade e disponibilidade.
SEGURANÇA CIBERNÉTICA

A arte de assegurar a existência e a continuidade da sociedade da


informação de uma nação, garantindo e protegendo, no espaço cibernético, seus
ativos de informação e suas infraestruturas críticas”. Mais abrangente que a
segurança em TI, uma vez que envolve pessoas. Canongia e Mandarino Jr. (2009, p. 26)

Objetivo de reduzir os riscos da organização e pessoais devido à


dependência do espaço cibernético e à presença de ameaças de adversários.
Segurança cibernética X Segurança da informação convencional: ênfase no
espaço cibernético, nas ameaças dos adversários e relacionamento com a
garantia da missão da organização. Cyber Prep” (BODEAU et al., 2010)

Garantir a resiliência do sistema elétrico de potência, um dos motivadores


para a modernização da rede com base nas concepções de Smart Grid
(GELLINGS, 2009; MIT, 2011; DOES; DHS, 2012).
Segurança da informação: Preservação da confidencialidade, integridade e
disponibilidade da informação.

 Confidencialidade: Não divulgação (intencional ou não intencional) a


não autorizados
 Confiabilidade: consistência dos comportamentos e resultados
desejados
 Integridade: proteger a exatidão e a integridade dos ativos
 Disponibilidade: acessibilidade e uso por autorizados. Oportunidade:
disponível quando necessário; Continuidade: trabalhar no caso de
falha; e Robustez: permitir que todos trabalhem no sistema.
 Risco: combinação da probabilidade de evento e sua consequência.
Ligado ao potencial de ameaças explorarem as vulnerabilidades.
‾ Ameaça: causa potencial de incidente indesejável que pode resultar
em dano a sistema ou organização
‾ Vulnerabilidade: fraqueza de um ativo ou controle que pode ser
explorada por uma ou mais ameaças.

 Estimativa do Risco: comparar os resultados da análise com um critério


para o quanto é tolerável.
 Análise de riscos: compreender a natureza do risco visando determinar o
nível de risco. Base para estimativa de risco e tratativa do risco visando a
tomada de decisão.
 Avaliação do risco: processo de identificação, análise e estimativa do
risco.
Ações de Falhas de tecnologias Falhas de processos Eventos externos
pessoas e sistemas internos

Inadvertidas HW Projeto e execução Desastres


Equívoco Capacidade Fluxo de processo Eventos climáticos
Erros Desempenho Documentação de processo Fogo
Omissões Manutenção Papéis e responsabilidades Inundação
Notificações e alertas Terremoto

Deliberadas SW Fluxo de informação Tremor

Fraude Compatibilidade Escalamento de questões Pandemia

Sabotagem Gerência de configuração Acordos de nível de serviço Questões legais


Roubo Controle de mudança Não interferência de tarefas Observância regulatória

Vandalismo Configuração de segurança Controle de processo Legislação

Práticas de codificação Monitoramento de status Processo

Falta de ação Testes Métricas Questões de negócio


Perfil Revisão periódica Falha de fornecedor
Conhecimento Sistemas Propriedade do processo Condições de mercado

Orientação Projeto Suporte a processos Condições econômicas

Disponibilidade Especificações Pessoal (staffing) Dependência de serviço


Integração Financiamento Concessionárias (utilities)
Complexidade Treinamento e Desenvolvimento Serviços de emergência

Taxonomia do Risco Operacional Aquisição Combustível

Adaptado de CEBULA; YOUNG (2010, p. 3) Transporte


 Controle: salvaguarda ou contramedidas. Usado para gerenciar o
risco.

 Ataque: tentativa de destruir, expor, alterar, inutilizar, roubar ou obter


acesso não autorizado, ou fazer uso não autorizado de um ativo.

 Ação Preventiva: eliminar as causas de uma potencial não


conformidade ou situação indesejável.

 Evento de Segurança: Ocorrência identificada que indica uma


possível violação ou falha de proteção, ou situação antes
desconhecida envolvendo a segurança.

 Incidente de segurança: um ou uma série de eventos de segurança,


indesejáveis ou inesperados com probabilidade significativa de
comprometer a operação dos negócios e que ameaçam a
segurança.
Segurança SEP
Segurança Cibernética

Prof ª Astrid Maria Carneiro Heinisch


astridmcheinisch@gmail.com

Você também pode gostar