SEGURANÇA DE INFRAESTRUTURAS
CRÍTICAS NA PERSPETIVA DA RESILIÊNCIA E
CONTINUIDADE DE NEGÓCIO
Cristina Alberto
Agenda
1. Riscos Globais do Século XXI
2. Proteção de Infraestruturas Críticas
3. Segurança e Continuidade de Negócio
3
Quando afectam ICs são uma ameaça para a
segurança e o bem-estar económico e social
Infraestrutura Crítica (IC)
Componente, sistema ou parte deste situado em território nacional que é
essencial para a manutenção de funções vitais para a sociedade, a saúde, a
segurança e o bem-estar económico ou social, e cuja perturbação ou
destruição teria um impacto significativo, dada a impossibilidade de continuar
a assegurar estas funções.
Fonte: Dec Lei nº 62/2011 Protecção de Infraestruturas Críticas
5
As catástrofes naturais têm uma grande
visibilidade e cobertura nos Media
6
E a rapidez de recuperação é vital para o bem
estar da população e para a economia
Mas existem outras ameaças menos evidentes
e igualmente perigosas
Prevenção
Nível de
Serviço
Incidente
Resposta
Recuperação
100% (Normal)Reduzir impacto
Acelerar a
recuperação
Resiliente Não Resiliente
Tempo
Resiliência
capacidade de resistir, absorver, recuperar ou adaptar-se à adversidade
Uma entidade Resiliente:
•
reduz o impacto do incidente,
através de iniciativas de
Prevenção
• acelera a recuperação, através do
Planeamento da Resposta e Recuperação
Para enfrentar os riscos globais do século XXI
é necessário desenvolver a resiliência…
Como assegurar a Resiliência
das Empresas detentoras de ICs?
…ao nível do Estado
e das Empresas detentoras de ICs
10
Resiliência
dos Estados
Proteção
Infraestruturas
Críticas
Resiliência
das Empresas
Segurança e
Continuidade
de Negócio
Programas Nacionais de
Programa Europeu de Protecção de
Infra-estruturas Críticas (Energia e Transportes)
1. In June 2004 the European Council asked for the preparation of an overall strategy to protect critical infrastructures.
2. In December 2005 the Justice and Home Affairs Council called upon the Commission to make a proposal for a
European
programme for critical infrastructure protection ("EPCIP")
and decided that it should be based on an all-hazards
approach while countering threats from terrorism as a priority. Under this approach,
man-made, technological threats
and natural disasters
should be taken into account in the critical infrastructure protection process, but the threat of
terrorism should be given priority.
3. In April 2007 the Council adopted conclusions on the EPCIP in which it reiterated that
it was the ultimate responsibility
of the Member States to manage arrangements for the protection of critical infrastructures within their national
borders
while welcoming the efforts of the Commission to develop a European procedure for the identification and
designation of European critical infrastructures ("ECIs") and the assessment of the need to improve their protection.
4. This Directive constitutes a first step in a step-by-step approach to identify and designate ECIs and assess the need to
improve their protection. As such,
this Directive concentrates on the energy and transport sectors
and should be
reviewed with a view to assessing its impact and the need to
include other sectors within its scope, inter alia, the
information and communication technology ("ICT") sector.
5. The primary and ultimate
responsibility for protecting ECIs falls on the Member States and the owners/operators of
such infrastructures.
Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical
infrastructures and the assessment of the need to improve their protection
Em Portugal, a Directiva da CE foi transposta
pelo Decreto-Lei nº 62/2011, de 9 de Maio
O Programa Nacional de Protecção de ICs é
liderado pela ANPC em colaboração com o SG
Prevenção
• Segurança Física
• Segurança de Informação
• Segurança das Pessoas
Gestão de Risco
• Identificar ameaças
• Identificar vulnerabilidades
• Analisar impacto no negócio
Resposta e Recuperação
• Planos de Evacuação
• Gestão de Incidentes
• Soluções de Recuperação
Comunicação
• Acções de Sensibilização
• Inquéritos
• Formação em boas práticas
Fonte: Protecting against Terrorism, CPNI (Centre for the Protection of National Infrastructure)
Plano de Segurança para ICs
Plano de Segurança dos Operadores de ICs
Fonte: Dec Lei nº 62/2011 Protecção de Infraestruturas Críticas
Plano de Segurança dos Operadores de ICEs
Identifica os elementos das ICEs e as soluções de
segurança a executar para sua protecção, incluindo:
a)
A identificação dos elementos importantes;
b)
Uma
análise de risco
baseada em cenários de
ameaça grave, na vulnerabilidade de cada elemento
e nos impactos potenciais;
c)
A identificação, selecção e prioridade de
contra-medidas e procedimentos de segurança
permanentes, incluindo:
I.
A instalação de meios de
detecção, controlo
do acesso, protecção e prevenção
II. Procedimentos de alerta e gestão de crises
III. Medidas de
controlo e verificação
IV. Comunicação
, sensibilização e formação
V. Segurança dos Sistemas de Informação
VI. Medidas de
minimização de danos e impactos
Ambientais Tecnológicos Humanos Organiz. S is m o In u n d a ç ã o D e rr o c a d a o u a lu im e n to In c ê n d io E x p lo s ã o … Fa lh a d e h a rd w a re Fa lh a d e s o ft w a re P e rd a d e b a c k u p s F a lh a d e S e g u ra n ç a In fo rm á ti c a … Ne g lig ê n c ia n a M a n u te n ç ã o M o d if ic a ç ã o in d e v id a d e h a rd w a re /s o ft w a re M o d if ic a ç ã o in d e v id a d e d a d o s R o u b o / In tr u s ã o … Gre v e F a lh a d e c o la b o ra d o re s c rí ti c o s … Edifício 1 - - - -Edifício 2 - - - - - - -Edifício 3 - - - -Edifício 4 - - - -Edifício 5 - - - -Edifício 6 - - - -Edifício 7 - - - -Edifício 8 - - - -Edifício 9 - - - -Edifício 10 - - - -… - - - -Elevado Médio Baixo Legenda: Exposição ao Risco
Ambientais
Tecnológicos
Humanos
Organiz.
S is m o In u n d a ç ã o D e rr o c a d a o u a lu im e n to In c ê n d io E x p lo s ã o … Fa lh a d e h a rd w a re Fa lh a d e s o f tw a re P e rd a d e b a c k u p s F a lh a d e S e g u ra n ç a In f o rm á ti c a … Ne g li g ê n c ia n a M a n u te n ç ã o M o d if ic a ç ã o i n d e v id a d e h a rd w a re /s o f tw a re M o d if ic a ç ã o i n d e v id a d e d a d o s R o u b o / In tr u s ã o … G re v e F a lh a d e c o la b o ra d o re s c rí ti c o s …
Edifício 1
-
-
-
-Edifício 2
-
-
-
-
-
-
-Edifício 3
-
-
-
-Edifício 4
-
-
-
-Edifício 5
-
-
-
-Edifício 6
-
-
-
-Edifício 7
-
-
-
-Edifício 8
-
-
-
-Edifício 9
-
-
-
-Edifício 10
-
-
-
-…
-
-
-
-Elevado Médio Baixo Legenda: Exposição ao Risco
Risco / Ameaça
Aceitar, Transferir, Mitigar ou Eliminar
Gestão de Risco:
Prevenção:
Liderança
Programa
Políticas
Políticas, Normas e Procedimentos
Gestão Segurança
Gestão de Utilizadores
Segurança Tecnológica
Segurança de Aplicações, Bases de Dados, Sistemas Operativos, Redes e Comunicações
Segurança Física e Continuidade de Negócio
Patrocínio Estratégia
Estrutura Recursos e Competências
Gestão de Segurança Monitorização Segurança
Gestão de Acessos e
Identidades Consciência de Segurança
Segurança Física e Ambiental Plano de Continuidade de Negócio ● Patrocínio da função de segurança da informação ao nível dos órgãos
de gestão.
● Estratégia de segurança, articulada com as estratégias de negócio e de IT.
● Métricas de avaliação da eficácia dos mecanismos de segurança da organização.
● Gestão do programa de segurança para assegurar o alinhamento e integração de todas as iniciativas de segurança a desenvolver. ● Organização de segurança e respectiva formalização de
responsabilidades e competências para gerir e manter a segurança da informação.
● Modelo de risco de segurança da informação.
● Políticas, normas e procedimentos de segurança que reflectem o posicionamento da organização relativamente à segurança da informação.
● Gestão das excepções ás políticas de segurança.
● Implementação, monitorização e revisão das políticas de segurança.
● Controlos de segurança física e ambiental para sistemas e instalações; Controlo de acessos físicos a sistemas e instalações.
● Definição e teste formal de um plano de continuidade de negócio em caso de desastre e de um plano de recuperação de TI.
● Classificação da informação. ● Segurança com entidades terceiras. ● Gestão de alterações em sistemas e aplicações ● Gestão de vulnerabilidades de segurança. ● Monitorização de segurança.
● Gestão e reporte de incidentes de segurança.
● Desenho e implementação de segurança no contexto da infra-estrutura tecnológica da organização, incluindo o perímetro de segurança, redes e comunicações, computadores, sistemas operativos, aplicações e bases de dados.
● Configurações de segurança. ● Gestão de acessos e identidades a sistemas e aplicações e processos de
autenticação e autorização.
● Programas de formação e promoção da consciência de segurança dos utilizadores.