3ª PESQUISA TI SAFE O ESTADO DA SEGURANÇA CIBERNÉTICA NAS INFRAESTRUTURAS CRÍTICAS BRASILEIRAS

O ESTADO DA SEGURANÇA CIBERNÉTICA

NAS INFRAESTRUTURAS CRÍTICAS

BRASILEIRAS

3ª PESQUISA TI SAFE

Este trabalho foi elaborado pelo discente Jeancarlo Reis da Silva do curso Superior de Tecnologia em Segurança da Informação, com a orientação do Prof. Ms. Christopher R. Pohlmann, da Universidade do Vale do Rio dos Sinos – UNISINOS, fruto de uma pesquisa acadêmica de projeto final de curso, em parceria com a empresa TI Safe Segurança da Informação.

Coordenação Geral

Christopher Rosa Pohlmann, Ms. – Professor UNISINOS

Coordenação Técnica

Marcelo Ayres Branquinho – CEO e Fundador

Christopher Rosa Pohlmann, Ms. – Professor UNISINOS

Apoio Técnico

Jeancarlo Reis da Silva – Discente da UNISINOS Thiago Braga Branquinho – CTO e Fundado

TI Safe

Estrada do Pau Ferro 480, Bloco 1, Loja R, Pechincha, Rio de Janeiro, RJ CEP: 22743-051 – Brasil

Telefone: +55 (21) 3576-4861

http://www.tisafe.com/

Diretoria da TI safe

CEO e Fundador: Marcelo Ayres Branquinho

CTO e Fundador: Thiago Braga Branquinho

Diretor Regional: Renato Mendes

Dados Internacionais de Catalogação na Publicação (CIP) (Bibliotecário: Flávio Nunes – CRB 10/1298)

Este trabalho está licenciado sob uma Licença Creative Commons Atribuição 4.0 Internacional. Para ver uma cópia desta licença, visite http://creativecommons.org/licenses/by/4.0/

Silva, Jeancarlo Reis da.

O estado da cibersegurança nas infraestruturas críticas

brasileiras / Jeancarlo Reis da Silva, Christopher Rosa

Pohlmann, Marcelo Ayres Branquinho, Thiago Braga

Branquinho. – Rio de Janeiro : TI Safe, 2018.

p.cm.

1. Computadores – Medidas de segurança. 2. Empresas –

Redes de computadores – Medidas de segurança. 3. Tecnologia

da informação – Administração. I. Pohlmann, Christopher

Rosa. II. Silva, Jeancarlo Reis da. III. Branquinho, Thiago

Braga. IV. Título.

CDD 005.8

CDU 004.056

AGRADECIMENTOS

Marcelo Ayres Branquinho

CEO e Fundador da TI Safe

Thiago Braga Branquinho

CTO e Fundador da TI Safe

Christopher Rosa Pohlmann

Professor da UNISINOS

SUMÁRIO LISTA DE ABREVIATURAS ... 4 LISTA DE FIGURAS ... 5 LISTA DE TABELAS ... 7 1 INTRODUÇÃO... 8 2 ESTRUTURA DA PESQUISA ... 9 3 RESULTADOS ... 14 4 CONCLUSÃO ... 38

LISTA DE ABREVIATURAS CFTV – Closed-circuit television

CNAE – Classificação Nacional de Atividades Econômicas

COBIT – Control Objectives for Information and Related Technologies CSO – Chief Security Officer

DCS – Distributed Control Systems GCI – Global Cybersecurity Index

HIPS – Host Intrusion Prevention System

IBGE – Instituto Brasileiro de Geografia e Estatística ITU – International Telecommunication Union

NIST – National Institute of Standards and Technology PLC – Programmable Logic Controller

SCADA – Supervisory Control and Data Acquisition SIEM – Security Information and Event Management TIC – Tecnologia da Informação e Comunicação UNISINOS – Universidade do Vale do Rio dos Sinos UTM – Unified Threat Management

LISTA DE FIGURAS

Figura 1 - Estrutura do ICS.SecurityFramework da TI Safe ... 10

Figura 2: Cargo dos entrevistados ... 11

Figura 3: Classificação do Porte das Empresas ... 12

Figura 4: Empresas por região... 12

Figura 5: Atividade econômica ... 13

Figura 6: Categorias e perguntas utilizadas na pesquisa ... 14

Figura 7: Nível de aderência de governança e monitoramento ... 16

Figura 8: Frequência do nível de aderência da política de segurança ... 16

Figura 9: Frequência do nível de aderência do plano de contingência ... 17

Figura 10: Frequência do nível de aderência sobre detecção de alterações não autorizadas ... 18

Figura 11: Frequência do nível de aderência sobre instalação periódica de atualizações ... 19

Figura 12: Frequência do nível de aderência sobre auditoria de logs ... 20

Figura 13: Síntese gerencial do nível de aderência do pilar de Governança e Monitoramento ... 21

Figura 14: Nível de aderência da segurança de borda ... 22

Figura 15: Frequência do nível de aderência sobre a segregação de rede ... 22

Figura 16: Síntese gerencial do nível de aderência do pilar Segurança de Borda ... 23

Figura 17: Nível de aderência da proteção da rede industrial ... 24

Figura 18: Frequência do nível de aderência sobre proteção física ... 25

Figura 19: Frequência do nível de aderência sobre redundância de equipamentos ... 26

Figura 20: Síntese gerencial do nível de aderência do pilar Proteção da Rede Industrial ... 27

Figura 21: Nível de aderência do controle de malware ... 28

Figura 22: Frequência do nível de aderência sobre medidas de proteção contra malware ... 28

Figura 25: Frequência do nível de aderência sobre autenticação forte ... 31

Figura 26: Frequência do nível de aderência sobre backup e armazenamento seguro ... 32

Figura 27: Síntese gerencial do nível de aderência do pilar Segurança dos dados ... 33

Figura 28: Nível de aderência do treinamento e conscientização ... 34

Figura 29: Frequência do nível de aderência sobre treinamento periódico e documentação atualizada ... 35

Figura 30: Frequência do nível de aderência sobre conscientização em segurança da informação ... 36

Figura 31: Síntese gerencial do nível de aderência do pilar Treinamento e Conscientização ... 37

LISTA DE TABELAS

Tabela 1: Categorias e perguntas utilizadas na pesquisa ... 14

Tabela 2: Política de segurança - nível de aderência ... 16

Tabela 3: Frequência do nível de aderência do plano de contingência ... 17

Tabela 4: Frequência do nível de aderência sobre detecção não autorizadas ... 18

Tabela 5: Frequência do nível de aderência sobre instalação periódica de atualizações ... 19

Tabela 6: Frequência do nível de aderência sobre auditoria de logs ... 20

Tabela 7: Frequência do nível de aderência sobre segregação de rede ... 23

Tabela 8: Frequência do nível de aderência sobre proteção física ... 25

Tabela 9: Frequência do nível de aderência sobre redundância de equipamentos ... 26

Tabela 10: Frequência do nível de aderência sobre medidas de proteção contra malware ... 29

Tabela 11: Frequência do nível de aderência sobre autenticação forte ... 31

Tabela 12: Frequência do nível de aderência sobre ... 32

Tabela 13: Frequência do nível de aderência sobre treinamento periódico e documentação atualizada ... 35

Tabela 14: Frequência do nível de aderência sobre conscientização em segurança da informação... 36

1. INTRODUÇÃO

Infraestruturas críticas correspondem a instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou comprometerão a segurança nacional. A segurança cibernética das infraestruturas críticas brasileiras compreende a proteção dos ativos de informação que garantem seu pleno funcionamento, por meio do tratamento de ameaças que expõem ao risco dados e informações processados, armazenados e/ou transportados nesses sistemas (ALCARAZ; ZEADALLY, 2015; BRASIL, 2010).

Em busca de maior produtividade e eficiência operacional, as empresas industriais têm ampliado o uso da tecnologia da informação e comunicação (TIC) em ambientes de produção. Tal desenvolvimento se fortalece com o avanço da indústria 4.0 e a inserção de novos dispositivos interligados aos ambientes industriais, elevando a exposição e inserindo novas vulnerabilidades nesses ambientes. Desse modo, a adoção de estratégias de proteção cibernética torna-se fundamental para a continuidade dos negócios.

Neste contexto observa-se que os dispositivos industriais não foram preparados, em sua essência, para garantir confidencialidade e integridade, pois foram projetados, essencialmente, para operarem com alta disponibilidade e desempenho. Por exemplo, esses dispositivos comumente não requerem autenticação forte ou fornecem outros recursos de proteção, até mesmo contramedidas de segurança cibernética menos sofisticadas. (JANG-JACCARD; NEPAL, 2014; KNOWLES et al., 2015).

A presente pesquisa procura identificar o nível de aderência de segurança cibernética em infraestruturas críticas brasileiras que utilizam sistemas de controle industrial. Para estabelecer um padrão de pontuação, foram organizados critérios de acordo com as recomendações de segurança do

National Institute of Standards Technology (NIST), publicações 800-50, 800-82 e 800-83 Revision 1, e da norma ANSI/ISA-99 (atual ISA/IEC 62443).

2. ESTRUTURA DA PESQUISA

A pesquisa sobre o estado da segurança cibernética nas infraestruturas críticas brasileiras abrange os sistemas do tipo: Sistemas de Supervisão e Controle de Dados (SCADA: Supervisory Control and Data Acquisition), Sistemas Distribuídos de Controle (DCS: Distributed Control Systems) e outros sistemas de controle de configurações tais como controladores lógico programáveis (CLP ou PLC:

Programmable Logic Controller).

Esta pesquisa pretende identificar o nível de aderência de organizações que utilizam sistemas de controle industriais de acordo com as recomendações de segurança do National Institute of Standards and Technology (NIST) através das publicações 800-50, 800-82 Revision 2, 800-83 Revision 1 e da norma ANSI/ISA-99 (atual IEC 62443). As perguntas e alternativas de respostas foram construídas com base nos seguintes documentos:

 NIST Special Publication 800-83 Revision 1: Guide to Malware Incident Prevention and Handling for Desktops and Laptops. (SOUPPAYA; SCARFONE, 2013).

 _{NIST Special Publication 800-82 Revision 2: Guide to Industrial Control Systems (ICS)} Security. (STOUFFER et al, 2015).

 _{NIST Special Publication 800-50: Building an Information Technology Security} Awareness and Training Program. (WILSON; HASH, 2003).

 _{Segurança da automação e SCADA. (BRANQUINHO et al, 2014).}

Um questionário com 13 questões foi respondido por 38 profissionais envolvidos na implementação de políticas/controles para garantir a segurança cibernética em ambientes com sistemas de controle industrial. As perguntas foram agrupadas de acordo com os pilares de contramedidas de segurança cibernética da metodologia TI Safe ICS.SecurityFramework:

 Governança e Monitoramento: 5 perguntas;  _{Segurança de Borda: 1 pergunta;}

 _{Proteção da Rede Industrial: 2 perguntas;}  _{Controle de Malware: 1 pergunta;}  _{Segurança de Dados: 2 perguntas;}

As respostas de múltipla escolha foram adaptadas e/ou validadas por especialistas da TI Safe e organizadas de acordo com os níveis de maturidade do Control Objectives for Information and Related Technologies (COBIT), organizado em seis níveis de capacidade:

O cálculo do tamanho da amostra considera os seguintes parâmetros (SURVEYMONKEY, 2018):  _{Tamanho da população: 112 empresas;}

 Margem de erro: 11%;  Grau de confiança: 90%;

 Tamanho da amostra: 38 empresas.

A amostra é do tipo não probabilística por conveniência (FREITAS et al., 2000), pois foi utilizada a base de contatos da TI Safe e não houve distinção alguma na escolha dos respondentes.

A pesquisa foi disponibilizada via formulário on-line e enviada para 112 profissionais que se enquadravam no perfil do público alvo. Houve um retorno de 41 respostas, sendo desconsideradas três dessas por não terem respondido completamente as perguntas, delimitando a amostra de pesquisa em

38 empresas. Assim, houve uma taxa de retorno de 34% (total de questionários válidos (38) / total de questionários enviados (112)).

2.1 Público alvo da pesquisa

O perfil dos entrevistados compreende profissionais envolvidos diretamente com decisões de governança de tecnologia da informação focadas na implementação de políticas/controles para estabelecer a segurança da informação em ambientes com sistemas de controle industrial.

O público alvo é composto por Analistas, Coordenadores/Supervisores, Gerentes/Gestores, Diretores e Chief Security Officer (CSO) (vide figura 2). Em virtude do termo de sigilo acordado com os entrevistados, alguns (36,84%) optaram por não informar o cargo.

Figura 2: Cargos dos entrevistados

Para classificar o porte das empresas e outras informações, foram utilizados os critérios de pesquisas realizadas pelo Instituto Brasileiro de Geografia e Estatística (IBGE), conforme o número de empregados: micro, pequena, média e grande empresa. (SEBRAE, 2017). A Figura 3 destaca que 84,21% das empresas analisadas classificam-se com o porte grande empresa, 13,16% como média empresa e 2,63% como pequena.

21,05%

7,89%

21,05%

5,26%

5,26%

2,63%

36,84%

Analista (Automação, Segurança, TIC, Especialista em Redes ou Supervisão e Controle) Coordenador/Supervisor (Automação, Segurança ou TIC) Gerente/Gestor (Automação, Segurança ou TIC)

Diretor de Operação/Executivo Engenheiro Sênior

Chief Security Officer Não informaram

Figura 3: Classificação do Porte das Empresas

A figura 4 apresenta a distribuição de empresas analisadas por região, onde se observa que a região sudeste representa quase a metade (47,37%) das empresas que responderam à pesquisa. Cabe observar que todas as regiões do Brasil apresentam empresas representadas nesta pesquisa.

Figura 4: Empresas por região

2,63%

13,16%

84,21%

Grande empresa (mais de 500 empregados)

A figura 5 apresenta a distribuição das empresas por atividade econômica conforme a Classificação Nacional de Atividades Econômicas (CNAE) organizado pelo IBGE. (CNAE, 2018). Observa-se que 55% das empresas encontram-se classificadas na atividade Eletricidade, gás e outras utilidades. Cabe destacar que tais atividades foram selecionadas por se enquadrarem como atividades econômicas realizadas por empresas de infraestrutura crítica. (ALCARAZ; ZEADALLY, 2015; BRASIL, 2010).

3. RESULTADOS

A apresentação dos resultados do estado da segurança cibernética das infraestruturas críticas brasileiras apresenta-se neste capítulo organizado conforme os pilares da metodologia TI Safe ICS.SecurityFramework apresentados na Tabela 1.

Tabela 1: Categorias e perguntas utilizadas na pesquisa

Governança e Monitoramento

Política de Segurança Plano de Contingência

Detecção de alterações não autorizadas Instalação periódica de atualizações Auditoria de logs

Segurança de Borda Segregação da rede corporativa

Proteção da Rede Industrial Proteção física

Redundância de equipamentos Controle de Malware Proteção contra malware

Segurança de Dados Autenticação forte

Backup e armazenamento seguro Treinamento e

conscientização

Treinamento e documentação Conscientização em segurança

3.1 Governança e Monitoramento

Figura 6: Nível de aderência de governança e monitoramento

A figura 6 apresenta o nível de aderência quanto as recomendações do NIST. Para análise deste nível foi considerado a média aritmética, a moda (valor mais frequente) e a mediana (valor central):

 Política de segurança (média = 1,45; moda = 1; mediana =1);  Plano de contingência (média = 1,89; moda = 1; mediana 1,5):

 Detecção de alterações não autorizadas (média = 1,08; moda = 0; mediana = 1);  Instalação periódica de atualizações (média = 1,79; moda = 1; mediana 1);  _{Auditoria de logs (média = 1,39; moda = 1; mediana = 1).}

Estes resultados indicam que entre as empresas analisadas o nível de aderência encontra-se entre em desenvolvimento e executado.

3.1.1. Política de Segurança

Sobre a política de segurança, o nível mais frequente foi o 1 (em desenvolvimento), representando 39,47% dos respondentes (figura 8). Isso indica que existe uma política de segurança em uso na empresa, porém a implementação ainda depende de cada indivíduo e faltam procedimentos padronizados que possam garantir de maneira efetiva a implantação da política. Além disso 23,68% das empresas não possuem uma política de segurança.

Figura 7: Frequência do nível de aderência da política de segurança

A Tabela 2 apresenta o detalhamento dos resultados da figura 8, bem como a pergunta realizada e as alternativas de resposta.

Tabela 2: Política de segurança - nível de aderência

6 - Existe uma política de segurança especificamente definida e implementada no ambiente de controle

e supervisão? (NIST 800-82 seção 6.2.4) N %

Não existe política de segurança definida para o ambiente de automação e nenhuma outra política

de segurança é implementada. 9 23,68%

Existe política de segurança definida para o ambiente de automação, porém a implementação da política depende do comprometimento de cada indivíduo e não há procedimentos padronizados para garantir tal política.

15 39,47%

Existe política de segurança definida para o ambiente de automação e a implementação da política

depende do comprometimento do nível gerencial. 8 21,05%

Existe política de segurança definida para o ambiente de automação, e a implementação da política encontra-se padronizada, documentada e comunicada através de treinamento, porém não existem procedimentos para detectar eventuais desvios na política de segurança.

2 5,26%

Existe política de segurança definida para o ambiente de automação e a implementação da política encontra-se padronizada, documentada, comunicada através de treinamento e existem

procedimentos sofisticados para detectar eventuais desvios na política de segurança.

2 5,26%

Existe política de segurança definida para o ambiente de automação, e a implementação da política encontra-se padronizada, documentada, comunicada através de treinamento e existem

procedimentos sofisticados para detectar eventuais desvios na política de segurança, além da política ser continuamente melhorada.

2 5,26%

3.1.2. Plano de Contingência

Na destaca-se que o nível mais frequente foi 1 (em desenvolvimento), representando 39,47% dos respondentes. Isso indica que existem alguns procedimentos isolados de contingência. Somente 13,16% das empresas tem um plano de contingência definido e implementado sendo que destes, 2,63% estão continuamente sendo aperfeiçoados.

Figura 8: Frequência do nível de aderência do plano de contingência

A Tabela 3 apresenta o detalhamento dos resultados da Figura 9, bem como a pergunta realizada e as alternativas de resposta.

Tabela 3: Frequência do nível de aderência do plano de contingência 7 - Os planos de contingência são criados para situações de emergência ou desastres a fim de retornar os sistemas industriais críticos à operação o mais rápido possível. Existe um plano de contingência definido, implementado e testado para as redes de automação da empresa? (NIST 800-82 seção 6.2.6)

N %

Não existe plano de contingência para os sistemas de supervisão e controle críticos. 4 10,53%

Existem alguns procedimentos isolados de contingência 15 39,47%

Existe um plano de contingência, mas não se encontra testado e plenamente documentado. 6 15,79% Existe um plano de contingência definido, parcialmente implementado e testado. 8 21,05% Existe um plano de contingência definido, testado e plenamente documentado. 4 10,53% Existe um plano de contingência definido, implementado, testado e continuamente melhorado. 1 2,63%

Total 38 100%

3.1.3. Detecção de Alterações Não Autorizadas

A destaca que 42,11% das empresas não possui um sistema de detecção contra alterações não autorizadas e 28,95% das empresas possui este controle implementado, mas de forma rudimentar, o que é um indicativo que estas empresas podem estar sendo vigiadas ou monitoradas e ainda

desconhecem este fato.

Figura 9: Frequência do nível de aderência sobre detecção de alterações não autorizadas

A tabela 4 apresenta o detalhamento dos resultados da Figura 9, bem como a pergunta realizada e as alternativas de resposta.

Tabela 4: Frequência do nível de aderência sobre detecção não autorizadas

8 - Existem controles para detectar alterações não autorizadas em hardware, firmware e software nos

dispositivos e nos sistemas de supervisão e controle? (NIST 800-82 seção 6.2.5) N %

Não existem controles para alterações não autorizadas nos dispositivos e nos sistemas de

supervisão e controle. 16 42,11%

Existe controle de alterações implementado de forma rudimentar para parte dos dispositivos e

sistemas de supervisão e controle. 11 28,95%

Existe controle de alterações implementado de forma rudimentar para todos os dispositivos e

sistemas de supervisão e controle. 6 15,79%

Existe controle de alterações implementado de forma automatizada para parte dos dispositivos e

sistemas de supervisão e controle. 3 7,89%

Existe controle de alterações implementado de forma automatizada para todos os dispositivos e

sistemas de supervisão e controle, sem monitoramento contínuo das alterações 1 2,63% Existe controle de alterações implementado de forma automatizada para todos os dispositivos e

sistemas de supervisão e controle e as alterações são monitoradas todo o tempo. 1 2,63%

Total 38 100%

3.1.4. Instalação Periódica de Atualizações

A figura 10 destaca que 34,21% das empresas fazem atualização de software contra falhas e vulnerabilidades de maneira muito inicial ficando por conta de cada indivíduo, e 21,05% não fazem atualização de seus sistemas deixando seu ambiente muito vulnerável.

Figura 10: Frequência do nível de aderência sobre instalação periódica de atualizações

A Tabela 5 apresenta o detalhamento dos resultados da Figura 10, bem como a pergunta realizada e as alternativas de resposta.

Tabela 5: Frequência do nível de aderência sobre instalação periódica de atualizações 9 - Correções e manutenções nos ambientes de automação muitas vezes não são vistas com bons olhos pois podem causar indisponibilidades nestes sistemas, mas por outro lado, a falta destas atualizações pode expor sistemas de controle e supervisão a vulnerabilidades que podem ser exploradas por atacantes. Existe a instalação periódica de atualizações/correções dos sistemas informatizados nos ambientes de supervisão e controle da empresa? (NIST 800-82 seção 6.2.17)

N %

Atualizações de sistemas e aplicativos são completamente ignoradas na rede de automação. 8 21,05% Existe o conhecimento da necessidade, porém instalações de atualizações nos sistemas de supervisão

e controle ficam sob responsabilidade de cada indivíduo, não havendo evidências que atualizações tenham sido realizadas.

13 34,21% Atualizações são baixadas dos sites dos fabricantes e implementadas nas máquinas de produção sem

testes prévios em ambiente de homologação interno e sem periodicidade definida. 6 15,79% Atualizações são baixadas dos sites dos fabricantes e implementadas nas máquinas de produção com

testes prévios em ambiente de homologação interno e sem periodicidade definida. 5 13,16% Atualizações são baixadas dos sites dos fabricantes e implementadas nas máquinas de produção com

testes prévios em ambiente de homologação interno e com periodicidade definida. 2 5,26% Atualizações são baixadas dos sites dos fabricantes e implementadas nas máquinas de produção com

testes prévios em ambiente de homologação interno, com periodicidade definida e seguindo um planejamento prévio da equipe de automação.

4 10,53%

Total 38 100%

3.1.5. Controle de Auditoria de Logs

A Figura 11 destaca que 31,58% das empresas tem mecanismos rudimentares de auditoria de logs, 28,95% contam com auditoria e definição de responsabilidades quanto a esta auditoria, mas em 26,32% delas não existe nenhum tipo de auditoria implementada.

Figura 11: Frequência do nível de aderência sobre auditoria de logs

A Tabela 6 apresenta o detalhamento dos resultados da Figura 11, bem como a pergunta realizada e as alternativas de resposta.

Tabela 6: Frequência do nível de aderência sobre auditoria de logs 10 - Os controles de auditoria de logs associados aos sistemas de supervisão e controle são importantes para rastrear acessos e operações realizadas no ambiente de automação. Existem mecanismos de auditoria das ações executadas e uma definição das responsabilidades para os usuários dos sistemas de automação? (NIST 800-82 seção 6.2.3)

N %

Não existe auditoria e nem definição de responsabilidades para os usuários de sistemas de automação. 10 26,32% Existem mecanismos rudimentares de auditoria e responsabilidades para os usuários de sistemas de

automação. 12 31,58%

Existem mecanismos de auditoria através de análise de logs (inspeção visual através de humanos) e

definição de responsabilidades para os usuários de sistemas de automação. 11 28,95%

Existe auditoria através de análise de logs (inspeção automatizada por software especialista) e definição

de responsabilidades para os usuários de sistemas de automação. 2 5,26%

Existe auditoria de logs e definição de responsabilidades para os usuários de sistemas de automação com logs integrados a ferramenta de SIEM (Security Information and Event Management) controlados por funcionários com baixo nível de especialização em segurança cibernética.

2 5,26%

Existe auditoria de logs e definição de responsabilidades para os usuários de sistemas de automação com logs integrados a ferramenta de SIEM controlados por funcionários com alto nível de

especialização em segurança cibernética ou SOC (Security Operations Center) terceirizado.

1 2,63%

Total 38 100%

 _{Crítico = item inexistente;}

 _{Em consolidação = itens em desenvolvimento + executado+ estabelecido;}  _{Consolidado = itens gerenciado + otimizado.}

Figura 12: Síntese gerencial do nível de aderência do pilar de Governança e Monitoramento

Os resultados indicam que a maior parte das empresas está na fase de consolidação, ou seja, em processo de implantação dos controles de governança e monitoramento.

3.2 Segurança de Borda

A figura 14 apresenta o nível de aderência da segurança de borda quanto às recomendações do NIST. Para análise deste nível foi considerado a média aritmética, a moda (valor mais frequente) e a mediana (valor central):

 _{Segregação de rede (média = 2,1; moda = 2; mediana = 2). Estes resultados indicam que} entre as empresas analisadas o nível de aderência encontra-se entre item em desenvolvimento e executado.

Figura 13: Nível de aderência da segurança de borda

A figura 14 destaca o nível de aderência de 28,95% no item executado nas empresas, logo abaixo 23,68% no item em desenvolvimento. Este é um indicador de que há um esforço, mesmo que inicial, na segregação de rede.

Figura 14: Frequência do nível de aderência sobre a segregação de rede

A tabela 7 apresenta o detalhamento dos resultados da Figura 14, bem como a pergunta realizada e as alternativas de resposta.

Tabela 7: Frequência do nível de aderência sobre segregação de rede 11 - A segregação da rede corporativa da rede de automação ajuda na prevenção de ameaças protegendo e isolando equipamentos que tem diferentes níveis de exposição. Existe segregação da rede corporativa da rede de automação da empresa? (NIST 800-82 seção 5.5)

N %

Não existe segregação entre as redes corporativa e de automação. 6 15,79%

Existe segregação das redes corporativa e de automação através da configuração de switches e

roteadores. Não existem equipamentos de segurança cibernética entre as redes. 9 23,68% Existe segregação das redes corporativa e de automação através da configuração de switches e

roteadores. Existem firewalls de camada 4 ou UTMs entre as redes, porém sem monitoramento constante.

11 28,95% Existe segregação das redes corporativa e de automação através da configuração de switches e

roteadores. Existem firewalls de próxima geração entre as redes, porém sem monitoramento constante. 4 10,53% Existe segregação das redes corporativa e de automação através da configuração de switches e

roteadores. Existem firewalls de próxima geração entre as redes, constantemente monitorados. 3 7,89% Existe segregação das redes corporativa e de automação através da configuração de switches e

roteadores. Existem firewalls de próxima geração entre as redes, constantemente monitorados e com equipe para resposta a incidentes de segurança cibernética.

5 13,16%

Total 38 100%

Figura 15: Síntese gerencial do nível de aderência do pilar Segurança de Borda

Os resultados consolidados na figura 16 indicam que mais da metade das empresas está na fase de consolidação. A segregação no estado consolidado está presente em 21,05% das empresas. E em estado crítico 15,79%, exigindo um ponto de atenção na proteção das redes de automação destas empresas.

3.3 Proteção da Rede Industrial

A figura 16 apresenta o nível de aderência da proteção da rede industrial quanto as recomendações do NIST. Para análise deste nível foi considerado a média aritmética, a moda (valor mais frequente) e a mediana (valor central):

 _{Proteção física (média = 2,53; moda = 3 e mediana = 3). Estes resultados indicam que as} empresas analisadas estão com o nível de aderência entre item gerenciado e item estabelecido.

 _{Redundância de equipamentos (média = 2,4; moda = 1 e mediana = 2). Estes resultados} indicam que as empresas analisadas estão com o nível de aderência entre item gerenciado e item estabelecido.

Figura 16: Nível de aderência da proteção da rede industrial

3.3.1. Proteção Física

A figura 18 destaca que 28,95% das empresas possuem proteção física como item Estabelecido, 26,32% como item Executado, e outros 21,05% como item Previsível/Gerenciado, isto denota um grande grau de amadurecimento no controle sobre a proteção física do ambiente.

Figura 17: Frequência do nível de aderência sobre proteção física

A Tabela 8 apresenta o detalhamento dos resultados da Figura 17, bem como a pergunta realizada e as alternativas de resposta.

Tabela 8: Frequência do nível de aderência sobre proteção física

12 - A proteção física da rede industrial é muito importante para evitar acessos não autorizados e sabotagens. O NIST recomenda uma série de medidas que podem contribuir tais como o monitoramento físico, acompanhamento de visitantes, CFTV, luzes de emergência, controle de temperatura e umidade do ambiente, dentre outros. Baseando-se nos exemplos de proteção citados como está a proteção física no ambiente de automação de sua empresa? (NIST 800-82 seção 6.2.11)

N %

Proteção ou controle de acesso físico inexistente no ambiente de automação da empresa. 0 0,00% Existem algumas boas práticas para controle de acesso físico ao ambiente de automação da empresa,

mas somente nos centros de controle maiores localizados em grandes capitais. Não existe segurança física e de acesso em localidades remotas.

10 26,32% Existem algumas boas práticas para controle de acesso físico ao ambiente de automação da empresa nos

centros de controle maiores localizados em grandes capitais e em localidades remotas. 8 21,05% A maior parte dos itens das normas de segurança cibernética referentes à segurança para controle de

acesso físico ao ambiente de automação da empresa estão implementados, mas somente nos centros de controle maiores localizados em grandes capitais. Não existe segurança física e de acesso em localidades remotas.

11 28,95%

A maior parte dos itens das normas de segurança cibernética referentes à segurança para controle de acesso físico ao ambiente de automação da empresa estão implementados nos centros de controle maiores localizados em grandes capitais e em localidades remotas.

8 21,05% A maior parte dos itens das normas de segurança cibernética referentes à segurança para controle de

acesso físico ao ambiente de automação da empresa estão implementados nos centros de controle

3.3.2. Redundância de Equipamentos

A figura 18 destaca que 39,47% das empresas possuem equipamentos sobressalentes para substituição, porém não existe um procedimento para a rápida substituição em caso de falha o que pode contribuir consideravelmente para um tempo alto de retorno em caso de falha.

Figura 18: Frequência do nível de aderência sobre redundância de equipamentos

A tabela 9 apresenta o detalhamento dos resultados da figura 18, bem como a pergunta realizada e as alternativas de resposta.

Tabela 9: Frequência do nível de aderência sobre redundância de equipamentos 13 - Um equipamento para o qual não exista redundância ativa é considerado um "ponto único de falha" que está sujeito a paradas e a sua troca/substituição/correção pode levar a uma indisponibilidade, mesma que de forma isolada, na rede de automação. Existe uma preocupação em ter redundância para equipamentos importantes no funcionamento da rede de automação? (NIST 800-82 seção 5.12)

N %

Não existe redundância para nenhum equipamento da rede de automação. 1 2,63%

Existem máquinas guardadas em armários para substituir rapidamente equipamentos defeituosos, mas não existe backup das configurações dos equipamentos atuais e nem o procedimento para a rápida substituição do equipamento defeituoso.

15 39,47%

Existem máquinas guardadas em armários para substituir rapidamente equipamentos defeituosos, é feito o backup da configuração das máquinas em produção e existe um plano para a rápida substituição das máquinas defeituosas.

5 13,16%

Existem máquinas configuradas em cold stand by na rede e prontas para substituir rapidamente os equipamentos defeituosos. As máquinas em redundância possuem configuração atualizada e existe um plano para rápida ativação das mesmas em caso de necessidade.

6 15,79%

Existem máquinas configuradas em hot stand by na rede e prontas para substituir rapidamente os equipamentos defeituosos. As máquinas em redundância possuem configuração atualizada e são ativadas automaticamente em caso de necessidade.

8 21,05%

Existe um site de contingência pronto para entrar em atividade em caso de falha do site principal. Todas as máquinas possuem redundância e existe um plano para a ativação imediata do site de contingência em caso de falha do site principal.

3 7,89%

Figura 19: Síntese gerencial do nível de aderência do pilar Proteção da Rede Industrial

Os resultados indicam que a maior parte das empresas está na fase de consolidação. Os resultados apontam também que existe uma taxa muita baixa de empresas no nível crítico, sendo que no item Proteção Física não há empresas neste nível.

3.4 Controle de Malware

A figura 20 apresenta o nível de aderência do controle de malware quanto às recomendações do NIST. Os resultados indicam: média = 1,79; moda = 0; e mediana = 1, ou seja, grande parte das empresas estão com o nível de aderência entre item incompleto e gerenciado.

Figura 20: Nível de aderência do controle de malware

A figura 21 aponta que 28,95% das empresas não possui controle contra malware implementado. Outras 26,32% possui proteção implementada, porém não é realizada a atualização periódica da base de dados desta solução o que em ambos os casos as torna suscetíveis a ataques já conhecidos e divulgados.

Figura 21: Frequência do nível de aderência sobre medidas de proteção contra malware

A Tabela 10 apresenta o detalhamento dos resultados da figura 22, bem como a pergunta realizada e as alternativas de resposta.

Tabela 10: Frequência do nível de aderência sobre medidas de proteção contra malware 14 - Incidentes por Malware em redes industriais podem rapidamente comprometer uma grande quantidade de equipamentos. Para mitigar estes riscos, mecanismos como antivírus, isolamento de aplicações (Whitelisting), inspeção de conteúdo, sistema de prevenção de intrusão e firewalls na própria estação (HIDS) ajudam na prevenção. Existem medidas de prevenção contra malware implantadas na rede de automação da sua empresa? (NIST 800-83 seção 3)

N %

Não existem nenhuma medida de controle para mitigar o risco de malware. 11 28,95%

Existe uma solução de antivírus instalada de acordo com as recomendações do fabricante, mas ela

não é (ou nunca foi) atualizada. 10 26,32%

Existe uma solução de antivírus instalada de acordo com as recomendações do fabricante e ela está

atualizada através de uma conexão direta com a Internet. 2 5,26%

Existe uma solução de antivírus instalada de acordo com as recomendações do fabricante e ela está

atualizada através de soluções adequadas de conectividade com a Internet. 8 21,05%

Existe uma completa solução para controle de malware incluindo Antivírus, Whitelisting, HIPS (Host Intrusion Prevention System) e outros instalada de acordo com as recomendações do fabricante, mas sem as atualizações necessárias.

5 13,16%

Existe uma completa solução para controle de malware incluindo Antivírus, Whitelisting, HIPS e outros

instalada de acordo com as recomendações do fabricante e totalmente atualizada. 2 5,26%

Total 38 100%

Figura 22: Síntese gerencial do nível de aderência do pilar Controle de Malware

As respostas indicam que mais da metade das empresas está na fase de consolidação. Os resultados apontam também que existe 28,95% de empresas que não tem este controle implementado.

3.5 Segurança de Dados

A figura 23 apresenta o nível de aderência da segurança de dados quanto às recomendações do NIST. Para análise deste nível foi considerado a média aritmética, a moda (valor mais frequente) e a mediana (valor central):

 _{Autenticação (média = 1,37; moda = 0; mediana = 1). Estes resultados indicam que entre as} empresas analisadas o nível de aderência encontra-se entre o item executado e o item gerenciado.

 Backup e armazenamento seguro (média = 1,84; moda = 1; mediana = 1). Estes resultados indicam que entre as empresas analisadas o nível de aderência encontra-se entre o item executado e o item gerenciado.

Figura 23: Nível de aderência da segurança de dados

3.5.1. Autenticação

A figura 24 indica que 31,58% das empresas não possui nenhum tipo de autenticação para o acesso às máquinas da rede de supervisão, enquanto 23,68% tem autenticação fraca, o que que indica uma fragilidade no acesso à rede de supervisão.

Figura 24: Frequência do nível de aderência sobre autenticação forte

A Tabela 11 apresenta o detalhamento dos resultados da figura 24, bem como a pergunta realizada e as alternativas de resposta.

Tabela 11: Frequência do nível de aderência sobre autenticação forte

15 - A autenticação representa um processo fundamental na identificação das atividades executadas pelo usuário. O guia NIST recomenda uma autenticação forte, com duplo fator, para acesso às redes de automação. Como é protegido o acesso às redes de automação de sua empresa? (NIST 800-82 seção 6.2.7)

N %

A rede de automação não é integrada a um sistema de diretórios (como o Microsoft Active Directory,

por exemplo), e nenhuma autenticação é pedida para o acesso às máquinas da rede. 12 31,58% A rede de automação é integrada a um sistema de diretórios (como o Microsoft Active Directory, por

exemplo), mas as senhas para acesso às máquinas são fracas. 9 23,68%

A rede de automação é integrada a um sistema de diretórios (como o Microsoft Active Directory, por exemplo) e as senhas para acesso às máquinas são fortes, mas são compartilhadas entre os usuários da rede.

11 28,95% A rede de automação é integrada a um sistema de diretórios (como o Microsoft Active Directory, por

exemplo), as senhas para acesso às máquinas são fortes e não são compartilhadas entre os usuários da rede.

4 10,53% A rede de automação é integrada a um sistema de diretórios (como o Microsoft Active Directory, por

exemplo), as senhas para acesso às máquinas são fortes, não são compartilhadas entre os usuários da rede e existe segundo fator de autenticação, porém sem gestão centralizada.

1 2,63%

A rede de automação é integrada a um sistema de diretórios (como o Microsoft Active Directory, por exemplo), as senhas para acesso às máquinas são fortes, não são compartilhadas entre os usuários da rede e existe segundo fator de autenticação com gestão centralizada.

1 2,63%

Total 38 100%

3.5.2. Backup

A figura 25 indica que 44,74% das empresas realiza backup das máquinas e sistemas críticos, porém ainda de maneira manual, além de não haver testes de restauração.

Figura 25: Frequência do nível de aderência sobre backup e armazenamento seguro

A Tabela 12 apresenta o detalhamento dos resultados da figura 25, bem como a pergunta realizada e as alternativas de resposta.

Tabela 12: Frequência do nível de aderência sobre backup e armazenamento seguro 16 - O backup das máquinas e sistemas críticos das redes de automação com o armazenamento seguro de mídias é necessário para evitar extravio de informações sensíveis e a continuidade do funcionamento em caso de incidentes. Existe um processo definido e implementado para o backup e o armazenamento seguro de mídias na empresa (fitas de backup, CD/DVD, HD Externo, etc.)? (NIST 800-82 seção 6.2.10)

N %

Não existem procedimentos para o backup das máquinas e sistemas críticos da rede de automação. 4 10,53% Existem procedimentos para o backup das máquinas e sistemas críticos da rede de automação, porém

feitos sem planejamento e de forma manual e nunca são testados. As mídias são armazenadas no mesmo prédio da rede de automação.

17 44,74% Existem procedimentos para o backup das máquinas e sistemas críticos da rede de automação e são

feitos de forma manual com testes periódicos para garantir a recuperação se necessário. As mídias são armazenadas no mesmo prédio da rede de automação.

7 18,42%

Existem procedimentos automatizados para o backup das máquinas e sistemas críticos da rede de automação, porém nunca são testados. As mídias são armazenadas no mesmo prédio da rede de automação.

5 13,16%

Existem procedimentos automatizados para o backup das máquinas e sistemas críticos da rede de automação, com testes periódicos para garantir a recuperação se necessário. As mídias são armazenadas no mesmo prédio da rede de automação.

1 2,63%

Existem procedimentos automatizados para o backup das máquinas e sistemas críticos da rede de automação, com testes periódicos para garantir a recuperação se necessário. As mídias são armazenadas em local seguro fora da empresa, com uma cópia de urgência dentro do prédio da rede de automação.

4 10,53%

Total 38 100%

Figura 26: Síntese gerencial do nível de aderência do pilar Segurança dos dados

Os resultados indicam que mais da metade das empresas está na fase de consolidação. Os resultados apontam também que existe uma taxa de 31,58% de empresas em que a rede de automação não é integrada a um sistema de diretórios, e nenhuma autenticação é pedida para o acesso às máquinas da rede.

3.6 Treinamento e Conscientização

A figura 27 apresenta o nível de aderência quanto às recomendações do NIST. Para análise deste nível foi considerado a média aritmética, a moda (valor mais frequente) e a mediana (valor central):

 Treinamento e documentação (média = 2,37; moda = 1; mediana = 2). Estes resultados indicam que entre as empresas analisadas o nível de aderência encontra-se entre item gerenciado e item estabelecido.

 _{Conscientização em segurança (média = 1,21; moda = 1; mediana = 1). Estes resultados} indicam que entre as empresas analisadas o nível de aderência encontra-se entre item executado e item gerenciado.

Figura 27: Nível de aderência do treinamento e conscientização

3.6.1. Treinamentos

A figura 28 indica que 31,58% das empresas tem documentação embora não esteja atualizada e outras 10,53% estão no nível otimizado, ou seja, tem documentação atualizada, com um ciclo de melhoria.

Figura 28: Frequência do nível de aderência sobre treinamento periódico e documentação atualizada

A Tabela 13 apresenta o detalhamento dos resultados da figura 28, bem como a pergunta realizada e as alternativas de resposta.

Tabela 13: Frequência do nível de aderência sobre treinamento periódico e documentação atualizada 17 - Em um sistema de TI (Tecnologia da Informação) um erro de operação pode gerar perdas financeiras,

mas quando se trata de um ambiente de automação, tais incidentes de operação podem custar vidas e danos ambientais irreversíveis. Existe documentação atualizada e treinamento periódico para operadores e outras funções que lidam com os sistemas de supervisão e controle no intuito de minimizar erros operacionais e prevenir incidentes? (NIST 800-82 seção 6.2.2 / NIST 800-50 seção 2)

N %

Não existe documentação sobre a operação dos sistemas de supervisão e controle e os operadores

não tem nenhum tipo de treinamento periódico sobre a correta operação destes sistemas. 3 7,89% Existe documentação desatualizada sobre a operação dos sistemas de supervisão e controle e os

operadores não tem nenhum tipo de treinamento periódico sobre a correta operação destes sistemas.

12 31,58%

Existe documentação atualizada sobre a operação dos sistemas de supervisão e controle e os operadores não tem nenhum tipo de treinamento periódico sobre a correta operação destes sistemas.

7 18,42%

Existe documentação atualizada sobre a operação dos sistemas de supervisão e controle e os

operadores possuem treinamento insuficiente sobre a correta operação destes sistemas. 4 10,53% Existe documentação atualizada sobre a operação dos sistemas de supervisão e controle e os

operadores possuem treinamento sobre a correta operação destes sistemas, mas de forma não planejada.

8 21,05%

Existe documentação atualizada sobre a operação dos sistemas de supervisão e controle e existe um plano anual de treinamento e atualização tecnológica dos operadores cumprido à risca pela empresa.

4 10,53%

3.6.2. Conscientização

A figura 30 indica que mais da metade (63,16%) tem um esforço ainda em fase inicial sobre conscientização em segurança, este é um nível muito baixo para este item e geralmente reflete a visão da empresa a respeito do tema Segurança da informação.

Figura 29: Frequência do nível de aderência sobre conscientização em segurança da informação

A Tabela 14 apresenta o detalhamento dos resultados da Figura 30, bem como a pergunta realizada e as alternativas de resposta.

Tabela 14: Frequência do nível de aderência sobre conscientização em segurança da informação 18 - A conscientização sobre normas de segurança cibernética ajuda no caráter preventivo de

incidentes. Como é realizada a conscientização do pessoal da automação sobre temas como engenharia social, proteção contra malware, respostas a incidentes e normas de segurança cibernética em infraestruturas críticas? (NIST 800-82 seção 6.2.2)

N %

Não existe conscientização sobre o tema para o pessoal da automação. 7 18,42%

Existe alguma conscientização sobre o tema devido ao esforço individual de algumas pessoas da

automação. 24 63,16%

Alguns treinamentos externos sobre o tema são realizados por pessoas da equipe de automação,

mas não são replicados internamente para o restante do grupo. 2 5,26%

Alguns treinamentos externos sobre o tema são realizados por pessoas da equipe de automação

que os replica internamente para o restante do grupo. 3 7,89%

Existe um planejamento anual de treinamento e conscientização sobre o tema desenvolvido

especificamente para a equipe de automação, cumprido parcialmente. 1 2,63%

Existe um planejamento anual de treinamento e conscientização sobre o tema desenvolvido

especificamente para a equipe de automação, cumprido integralmente. 1 2,63%

Total 38 100%

Figura 30: Síntese gerencial do nível de aderência do pilar Treinamento e Conscientização

Os resultados indicam que mais da metade das empresas está na fase de consolidação. O treinamento periódico está em nível consolidado em 31,58% das empresas.

4 CONCLUSÃO

Esta seção apresenta a conclusão gerencial do estado da segurança cibernética nas infraestruturas críticas brasileiras e algumas recomendações para implementar e/ou melhorar o nível de maturidade de segurança da informação diagnosticado nesta pesquisa. Cabe destacar que esta pesquisa considera uma amostra de análise, ou seja, os dados apontam a situação de um determinado conjunto de empresas, com uma determinada representatividade no contexto brasileiro.

A figura 31 indica o estado geral da segurança cibernética com nível de maturidade de 1,8 de média, 1,0 de moda e 1,0 de mediana. Esse resultado indica que grande parte das empresas, considerando os 13 itens de controle analisados, encontram-se entre a maturidade item de controle em desenvolvimento e executado, ou seja, nos níveis iniciais de maturidade.

Sempre que uma análise estatística é apresentada, deve-se lembrar que podem existir distorções de análise, principalmente quando existem resultados nos extremos de uma escala, os famosos outliers. Neste sentido a Figura 31 apresenta os diversos pilares de segurança da informação, com destaque para os pilares Segurança de Borda (Média = 2,1) e Proteção de Rede Industrial (Média = 2,4), que apresentaram itens de controle entre a maturidade em desenvolvimento (1,0) e Estabelecido (3,0) em grande parte das empresas analisadas.

Outro ponto de destaque é o pilar Controle de Malware (Média = 1,8 e Moda = 0), indicando que grande parte das empresas analisada (28,95%) se encontram com este item de controle na maturidade inexistente. Este item é muito importante, tendo em visto que este tipo de ataque costuma ser muito utilizado em ambientes industriais.

Para ilustrar claramente a questão dos oulliers observem o pilar Governança e Monitoramento (Média = 1,5, Moda = 1 e Mediana = 1), indica que grande parte das empresas estão entre a maturidade Executado (1,0) e Gerenciado (2,0). Destacando o item de controle (6) Política de Segurança (Tabela 14) pode-se observar que 23,68% das empresas encontram-se no estágio crítico, ou seja, na maturidade item Inexistente; 65,79% no estágio em Consolidação (item em desenvolvimento+ executado + estabelecido) e 10,53% no estágio consolidado (item gerenciado + otimizado).

Figura 31: Nível de maturidade das empresas pesquisadas

O relatório produzido pelo International Telecommunication Union (ITU) no ano de 2017, intitulado Global Cybersecurity Index (GCI), indica que o Brasil se encontra no nível de maturidade

Maturing, ou seja, um estado de amadurecimento (ITU, 2017). Os resultados apresentados na tabela 15 indicam que grande parte das empresas se encontram no processo de consolidação dos itens de controle da segurança cibernética industrial, o que corrobora com o estágio de amadurecimento em que o Brasil se encontra classificado conforme o indicador GCI 2017.

O estágio em amadurecimento refere-se a 77 países (por exemplo, GCI entre 50% e 89%) que tem compromissos avançados implementados e programas e iniciativas engajados em segurança cibernética. Tal comparação qualitativa com outro indicador é importante para validar a relevância dos resultados apresentados na tabela 15, considerando o tamanho da amostra da presente pesquisa.

Tabela 15: Síntese gerencial comparativa do nível de aderência. Pilares

Item de Controle Crítico Em

consolidação Consolidado Go ve rn an ça e M on ito ra m en to (6) Política de Segurança 23,68% 65,79% 10,53% (7) Plano de Contingência 10,53% 76,32% 13,16%

(8) Detecção de alterações não

autorizadas 42,11% 52,63% 5,26%

(9) Instalação Periódica de Atualizações 21,05% 63,16% 15,79%

(10) Controle de Auditoria de Logs 26,32% 65,79% 7,89%

Se gu ra nç a de Bo rd a (11) Segregação de Rede 15,79% 63,16% 21,05% Pr ot eç ão d a Re de In du st ria l (12) Proteção Física 0,00% 76,32% 23,68% (13) Redundância de Equipamentos 2,63% 68,42% 28,95% Co nt ro le d e M al w ar

e _{(14) Medidas de Proteção Contra}

Malware 28,95% 52,63% 18,42% Se gu ra nç a do s D ad os (15) Autenticação forte 31,58% 63,16% 5,26%

(16) Backup e Armazenamento Seguro 10,53% 76,32% 13,16%

Tr ei na m en to e Co ns ci en tiz aç

ão (17) Treinamento Periódico e

Documentação Atualizada 7,89% 60,53% 31,58%

(18) Conscientização em Segurança da

Informação 18,42% 76,32% 5,26%

5 REFERÊNCIAS

21 STEPS to Improve Cyber Security of SCADA Networks. President’s critical infrastructure protection

board and department of energy report, 2002. Disponível em

<https://www.energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf>. Acesso em: 6 abr. 2018.

ALCARAZ, C.; ZEADALLY, S. Critical infrastructure protection: Requirements and challenges for the 21st century. International Journal of Critical Infrastructure Protection, v. 8, p. 53–66, jan. 2015.

BRANQUINHO, Marcelo Ayres et al. Segurança da automação e SCADA. Rio de Janeiro. Elsevier, 2014. BRASIL, Presidência da República. Guia de referência para a segurança das infraestruturas críticas da informação. Gabinete de Segurança Institucional, Departamento de Segurança da Informação e Comunicações; organização Claudia Canongia, Admilson Gonçalves Júnior e Raphael Mandarino Junior. – Brasília: GSIPR/SE/DSIC, 2010.

CNAE, Classificação Nacional de Atividades Econômicas. Site da Comissão Nacional de Classificação – CONCLA/IBGE. 2018. Disponível em <https://cnae.ibge.gov.br/?view=estrutura>. Acesso em: 4 jan. 2018.

FREITAS, H. et al. O método de pesquisa survey. Revista de administração, [S.l.], v. 35, n. 3, p. 105–112, 2000.

ITU. Global Cybersecurity Index 2017. Geneva: International Telecommunication Union, 2017. Disponível em: <https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-PDF-E.pdf>.

JANG-JACCARD, J.; NEPAL, S. A survey of emerging threats in cybersecurity. Journal of Computer and System Sciences, v. 80, n. 5, p. 973–993, 2014.

KNOWLES, W. et al. A survey of cyber security management in industrial control systems. International Journal of Critical Infrastructure Protection, v. 9, p. 52–80, 2015.

SEBRAE. Qual a receita bruta e o número de empregados para MEI, ME e EPP?. 2017. Disponível em < http://blog.sebrae-sc.com.br/numero-de-empregados-receita-bruta-para-mei-me-epp/>. Acesso em: 4 jan. 2018.

SOUPPAYA, M.; SCARFONE, K. NIST Special Publication 800-83 Revision 1: Guide to Malware Incident Prevention and Handling for Desktops and Laptops. United States: National Institute of

STOUFFER, K. et al. NIST Special Publication 800-82: Guide to Industrial Control Systems (ICS) Security. United States: National Institute of Standards Technology (NIST), 2015.

SURVEYMONKEY. Calculadora de tamanho de amostra. Disponível em:

<https://pt.surveymonkey.com/mp/sample-size-calculator/>. Acesso em: 4 jan. 2018.

TI Safe. Site Institucional da TI Safe. 2018. Disponível em <https://www.tisafe.com/index.php/pt-br/>. Acesso em: 4 jan. 2018.

WILSON, M.; HASH, J. NIST Special Publication 800-50: Building an Information Technology Security Awareness and Training Program. United States: National Institute of Standards Technology (NIST), 2003.