ptarzh-CNenfrdeitjarues

Riesgos

El Análisis de Riesgos es la principal forma de entender las amenazas de seguridad cibernética y las necesidades de controles. Esta actividad normalmente se realiza con foco en una instalación específica, ya que, además del entorno lógico, el físico también se analiza.

Con el análisis de riesgos en las manos, es posible desarrollar el Plan de Seguridad Cibernética Industrial (PSCI), que recomienda cómo y cuándo deben adoptarse las acciones de protección.

El análisis de riesgos puede ser conducido en plantas en funcionamiento (Brownfield) o en fase de proyecto (Greenfield).
Cuando los riesgos y las amenazas se identifican prematuramente, los controles se asimilan con menor costo y máxima eficiencia.

El análisis de riesgos de redes de automatización sigue los siguientes pasos:

Análisis de Riesgos Estáticos

En esta etapa del análisis de riesgos se verifican los diagramas de la red, se ha comprobado el entorno operativo (datacenter) y se responden cuestionarios de auditoría de seguridad física y lógica de la red de automatización alineados con las buenas prácticas de las normas ANSI / ISA-99, ISA-IEC 62443 , NIST 800-82 e ISOs 27001 / 27002.
Las visitas a las instalaciones del cliente permitirán que nuestros consultores identifiquen los controles o contramedidas de seguridad física y lógica ya existentes en las redes, evaluando, en la medida de lo posible, las condiciones en las que los controles se encuentran instalados y en uso y la adecuación a las necesidades.

Para que la evaluación sea exhaustiva, se considerarán las categorías de controles sugeridas por las normas ANSI / ISA-99.02.01, ISA-IEC 62443 y NIST SP800-82 (controles gerenciales, operativos y técnicos) para la red de automatización y las normas ISO / IEC 27001 / 27002 (controles gerenciales, operativos y técnicos) para la inspección física de los centros de datos del cliente.

La evaluación se realizará mediante el llenado de formularios con una lista de controles que componen las bases de conocimiento de riesgos de las normas arriba descritas. Estos controles se agrupan en las siguientes categorías de riesgos:

Temas relativos a los controles:

Acceso remoto
Auditoría y monitoreo electrónico
Actualizaciones / parches
Copia de seguridad, restauración y recuperación de sistemas
Circuitos electrónicos y eléctricos
Comunicaciones de redes de datos y voz
Cuentas y contraseñas
Continuidad de negocios
Control de acceso físico y lógico
encriptación
Documentação
el malware
Supervisión del rendimiento de los servicios
Parámetros de sistemas y aplicaciones
Política de seguridad de la información
Seguridad de la infraestructura
Instalaciones eléctricas
Controles de seguridad física
Tolerancia a fallos
Entrenamiento y concientización
Uso adecuado de recursos

Análisis de Riesgos Dinámicos

En este paso se hará una recolección automatizada de paquetes de datos de la red de automatización en modo TAP (no intrusivo) a nivel de aplicación.

En el inicio del análisis dinámico la arquitectura de cada red de automatización del cliente será analizada y se elaborará una planificación para conceder visibilidad de tráfico y amenazas provenientes de Internet, así como otros perímetros como fronteras con redes corporativas, sistemas de control (para la red de automatización), datacenter y red de procesos, así como enlaces con terceros y conexiones externas de VPN o entidades reguladoras.

La recolección de datos en entornos de automatización sigue el concepto del reflejo de tráfico sin generar impactos o cambios en la topología. Para el reflejo de tráfico sólo se necesita una interfaz en modo TAP conectado al tráfico real (Port Mirror / SPAN Port) para poder analizarlo sin causar ningún impacto en el entorno.

La definición de los puntos de reflejo es la clave del éxito de una buena prueba. Cuanto más segmentos sean reflejados, una mejor muestra de tráfico para visibilidad de aplicaciones y amenazas será recolectada, permitiendo identificar sus riesgos.

Los puntos de reflejo necesarios para la configuración de la recolección de datos y el tiempo de recolección de estos datos se definirán en la reunión de inicio del proyecto, así como el direccionamiento de red necesario para la configuración del equipo que realizará la captura de los paquetes. El cliente dispondrá de los equipos y recursos para la configuración de los puntos de TAP de acuerdo con lo definido al inicio de esta fase.


Generación del Informe de Análisis de Riesgos

Los datos recogidos por el análisis estático serán procesados ​​según criterio cualitativo, con escalas de probabilidad e impacto cualitativo. Para cada conjunto amenaza / vulnerabilidad se asignará, a partir de informaciones recogidas en entrevistas con el equipo local, una probabilidad de ocurrencia y un impacto (en función de las consecuencias).

De forma complementaria, los datos provenientes del análisis dinámico realizarán la comprobación y generarán evidencias de las informaciones provenientes del análisis estático de riesgos.

El resultado de la unión de las informaciones de los análisis estático y dinámico será consolidado en el Informe del Análisis de Riesgos a ser entregado al cliente. El informe será entregado en portugués.

Copyright © 2007-2018 - TI Seguridad Seguridad de la Información - Todos los derechos reservados.