“Falta de energia interrompe abastecimento de água em Teresina”, “Ataques às subestações provocaram falta de energia, afirma Eletrobras”, “Fifa pede às companhias aéreas voos adicionais entre as cidades-sede”, “Gol anuncia redução de voos. Tam parte para demissão. Caos nas empresas aéreas”. “Seu celular está sempre sem sinal?Problemas com telefonia móvel lideram o ranking de reclamações no Procon-SP” “Após interdição, mais de 500 cidades do RS e SC podem ficar sem gasolina”. Essas são algumas das matérias publicadas nos últimos dois meses em veículos de grande penetração, onde são abordados problemas ocorridos em instalações de organizações brasileiras, classificadas como Infraestrutura Crítica (IC), cuja definição é: “instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança nacional”, extraída do Guia de Referência para a Segurança das Infraestruturas Críticas da Informação do Gabinete de Segurança Institucional da Presidência da República do Brasil. Tais ICs abrangem, principalmente: Energia, Transporte, Água, Comunicações e Finanças. Exercem significativa influência na vida de qualquer pessoa e na operação de setores importantes para o desenvolvimento e manutenção do país. Estamos falando de ativos relevantes, como: Energia Elétrica (Hidrelétricas, Linhas de Transmissão, Subestações); Petróleo e Gás (Refinarias, Terminais, Oleodutos, Gasodutos); Transporte (Aeroportos, Rodovias, Portos, Hidrovias, Ferrovias); Água (Barragens, Abastecimento Urbano); Comunicações (Backbones, Centrais telefônicas, Centros de Distribuição, Radiodifusão) e Finanças (Sistema de Pagamentos Brasileiro, Redes de agências). Proteção de Infraestrutura Crítica Um Programa de Proteção da IC (Inventário, Análise, Avaliação, Tratamento, Monitoramento e Controle e Priorização dos Alertas) deve ser, primeiramente, definido e implementado nas organizações das ICs, iniciando com a identificação das ameaças que possam afetar a disponibilidade dos serviços, como: Terremotos, Furações, Tornados, Inundação, Falta de Energia, Greves, Pandemias, Vazamento de Informações, Incêndios, Contaminação Química, Distúrbios Sociais, Bombas, Terrorismo, Falhas de Hardware, Falhas de Software, Vírus e worms etc. Para se desenvolver o método de identificação de ameaças e geração de alertas, há de se considerar a coleta de indícios de ameaças, representada por dois conceitos essenciais: sensor e sinal. O sensor é o elemento ou meio responsável pela coleta de informações relacionadas às ameaças, que pode pertencer tanto a organização gestora do ativo quanto ao órgão colaborador (agência reguladora, por exemplo). Sinal é a informação consolidada e inserida por um sensor na rede de identificação de ameaças e geração de alertas. O método para identificar ameaças e gerar alertas das ICs é conduzido em paralelo com a Gestão de Riscos, servindo de suporte para este, no intuito de gerar a Política de Segurança das ICs. Este método, conforme o Guia de Referência para a Segurança das ICs, divide-se didaticamente em quatro etapas: coleta, análise, divulgação e realimentação. Proteção de Infraestruturas Críticas O papel dos órgãos reguladores (ANATEL, ANP, ANA, ANEEL, BACEN, IBAMA, ANTAQ, ANAC etc.) é de suma importância para garantir que as organizações estão efetivamente tratando com seriedade a questão da Proteção da IC, implementando os controles necessários para a redução das fragilidades nos ativos e dos riscos existentes no país. Como os principais ativos que suportam as ICs são controlados por Sistemas de Tecnologia da Informação e Comunicação (TIC) e/ou Sistemas de Automação Industrial, há uma grande preocupação das organizações das ICs e dos órgãos de governo na proteção cibernética desses ativos, contra acessos indevidos provenientes do Brasil e de outras partes do mundo. Algumas macros ações são necessários ao iniciar um programa de proteção para combater ameaças relacionadas a acessos indevidos aos sistemas de TI e Automação Industrial, a saber:

1)      Segurança em aplicações

Os sistemas desenvolvidos devem receber uma camada especial de segurança, no seu processo de desenvolvimento, homologação, testes e passagem para produção. Segurança aplicada diretamente em códigos-fonte é fundamental para um melhor controle nas aplicações.

2)      Atualização da Política de Segurança

Muitos dos documentos que compõem a política de segurança das organizações costumam estar desatualizados com termos inadequados ou penalidades que não respondem mais a realidade. Com isso, há de se criar uma rotina na análise e adequação de diretrizes, normas, procedimentos operacionais e instruções de trabalho.

3)      Treinamento em segurança da informação A formação, ou a falta dela, deve ser encarada como ponto crucial, onde os gestores das organizações devem exigir que todos os envolvidos diretamente ou indiretamente com a segurança das informações sejam atualizados periodicamente, fazendo parte inclusive de sua avaliação profissional periódica.

4)      Construção de uma muralha cibernética

Um ponto de preocupação para os profissionais de segurança é o aumento do nível de espionagem cibernética entre empresas e países, particularmente o roubado de propriedade intelectual e malware embutido no código-fonte. O foco é a construção de uma parede mais forte em torno dos dados sensíveis para que a proteção seja assegurada, independentemente de onde os acessos estão partindo.

5)      Controle e responsabilidade aos administradores de segurança

Os funcionários de segurança devem possuir algum poder real e um mecanismo mais fácil de prestação de contas das ações de segurança da informação implementadas no ambiente.

Alexandre LyraAlexandre Lyra é Gerente de Negócios e trabalha na Módulo Security desde 1998, é certificado GRCP, MCSO e Auditor Líder ISO 27001 e consultor de Governança, Gestão de Riscos e Compliance, com experiência na execução de inúmeros projetos corporativos. Professor do curso de Pós-Graduação em Segurança da Informação da UFRJ/NCE e professor do Módulo Education. Co-autor dos livros “Guia Oficial para Formação de Gestores em Segurança da Informação – Security Officer” e “ISO 27001 and 27002 – Information Security Management – A Practical View”. Pós-graduado em Gestão de Segurança nas Organizações. Membro da comissão CEE-63 (Estudo Especial de Gestão de Riscos) da ABNT.
A Módulo é uma empresa brasileira, com atuação internacional, especializada em soluções para Governança, Riscos e Compliance. É líder nos segmentos de Segurança da Informação e Gestão de Vulnerabilidades em TI ( IT GRC ), Gestão de Riscos Operacionais, Gestão de Riscos Corporativos ( ERM – Enterprise Risk Management), de Centros Integrados de Operações para Gestão por Indicadores, Cidades Inteligentes e Grandes Eventos.
Rua do Carmo 43 - 7 andar
Rio de Janeiro
BR
Phone: (21) 2123-4600
Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2013/08/50.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2013/08/50.pngAlexandre LyraInfraestrutura Críticainfraestrutura crítica,políticas,proteção IC,segurança da informação
“Falta de energia interrompe abastecimento de água em Teresina”, “Ataques às subestações provocaram falta de energia, afirma Eletrobras”, “Fifa pede às companhias aéreas voos adicionais entre as cidades-sede”, “Gol anuncia redução de voos. Tam parte para demissão. Caos nas empresas aéreas”. “Seu celular está sempre sem sinal?Problemas com telefonia...