pten

 

A Riscos           

A Análise de Riscos é a principal forma de entender as ameaças de segurança cibernética e as necessidades de controles. Essa atividade normalmente é realizada com foco em uma instalação específica, uma vez que, além do ambiente lógico, o físico também é analisado.

Com a análise de riscos em mãos, é possível desenvolver o Plano de Segurança Cibernética Industrial (PSCI), que recomenda como e quando as ações de proteção devem ser adotadas.

A análise de riscos pode ser conduzida em plantas em funcionamento (Brownfield) ou em fase de projeto (Greenfield).
Quando os riscos e ameaças são identificados prematuramente, os controles são assimilados com menor custo e máxima eficiência.

A análise de riscos de redes de automação segue as seguintes etapas:

Análise de Riscos Estática

Nesta etapa da análise de riscos são verificados diagramas da rede, vistoriado o ambiente operacional (datacenter) e respondidos questionários de auditoria de segurança física e lógica da rede de automação alinhados com as boas práticas das normas ANSI/ISA-99 , ISA-IEC 62443, NIST 800-82 e ISOs 27001/27002.
As visitas às instalações do cliente permitirão que nossos consultores identifiquem os controles ou contramedidas de segurança física e lógica já existentes nas redes, avaliando, na medida do possível, as condições nas quais os controles se encontram instalados e em uso e a adequação às necessidades.

Para que a avaliação seja abrangente, serão consideradas as categorias de controles sugeridas pelas normas ANSI/ISA-99.02.01, ISA-IEC 62443 e NIST SP800-82 (controles gerenciais, operacionais e técnicos) para a rede de automação e pelas normas ISO/IEC 27001/27002 (controles gerenciais, operacionais e técnicos) para a inspeção física dos datacenters do cliente. 

A avaliação será realizada mediante o preenchimento de formulários com uma lista de controles que compõem as bases de conhecimento de riscos das normas acima descritas. Estes controles estão agrupados nas seguintes categorias de riscos:

Temas relativos aos controles:

Acesso Remoto
Auditoria e monitoramento eletrônico
Atualizações/patches
Backup, restore e recuperação de sistemas
Circuitos eletrônicos e elétricos
Comunicações de redes de dados e voz
Contas e senhas
Continuidade de negócios
Controle de acesso físico e lógico
Criptografia
Documentação
Malware
Monitoramento da performance de serviços
Parâmetros de sistemas e aplicações
Política de segurança da informação
Segurança de infraestrutura
Instalações elétricas
Controles de segurança física
Tolerância a falhas
Treinamento e conscientização
Uso adequado de recursos
 

 

Análise de Riscos Dinâmica

Nesta etapa será feita coleta automatizada de pacotes de dados da rede de automação em modo TAP (não intrusivo), a nível de aplicação.

No início da análise dinâmica a arquitetura de cada rede de automação do cliente será analisada e será elaborado um planejamento para conceder visibilidade de tráfego e ameaças provenientes da Internet, bem como demais perímetros como fronteiras com redes corporativas, sistemas de controle (para a rede de automação), datacenter e rede de processos, assim como links com terceiros e conexões externas de VPN ou entidades regulamentadoras. 

A coleta de dados em ambientes de automação segue o conceito do espelhamento de tráfego sem gerar impactos ou mudança na topologia. Para o espelhamento de tráfego é necessário apenas uma interface em modo TAP conectado ao tráfego real (Port Mirror/SPAN Port) para poder analisá-lo, sem causar qualquer impacto para o ambiente.

A definição dos pontos de espelhamento é a chave do sucesso de um bom teste. Quanto mais segmentos forem espelhados, uma melhor amostra de tráfego para visibilidade de aplicações e ameaças será coletada, permitindo identificar seus riscos.

Os pontos de espelhamento necessários para a configuração da coleta de dados e o tempo de coleta destes dados serão definidos na reunião de inicio do projeto, bem como o endereçamento de rede necessário para a configuração do equipamento que realizará a captura dos pacotes. Caberá o cliente disponibilizar os equipamentos e recursos para configuração dos pontos de TAP de acordo com o definido ao início desta fase.


 

Geração do Relatório de Análise de Riscos

Os dados coletados pela análise estática serão processados segundo critério qualitativo, com escalas de probabilidade e impacto qualitativos. Para cada conjunto ameaça/vulnerabilidade será atribuída, a partir de informações coletadas em entrevistas com o time local, uma probabilidade de ocorrência e um impacto (em função das consequências).

De forma complementar, os dados advindos da análise dinâmica realizarão a comprovação e gerarão evidências das informações provenientes da análise estática de riscos.

O resultado da união das informações das análises estática e dinâmica será consolidado no Relatório da Análise de Riscos a ser entregue ao cliente. O relatório será entregue em língua portuguesa.

Copyright © 2007-2018 - TI Safe Segurança da Informação - Todos os direitos reservados.