SEGURANÇA DE INFRAESTRUTURAS CRÍTICAS NA PERSPETIVA DA RESILIÊNCIA E CONTINUIDADE DE NEGÓCIO

SEGURANÇA DE INFRAESTRUTURAS

CRÍTICAS NA PERSPETIVA DA RESILIÊNCIA E

CONTINUIDADE DE NEGÓCIO

Cristina Alberto

Agenda

1. Riscos Globais do Século XXI

2. Proteção de Infraestruturas Críticas

3. Segurança e Continuidade de Negócio

3

Quando afectam ICs são uma ameaça para a

segurança e o bem-estar económico e social

Infraestrutura Crítica (IC)

Componente, sistema ou parte deste situado em território nacional que é

essencial para a manutenção de funções vitais para a sociedade, a saúde, a

segurança e o bem-estar económico ou social, e cuja perturbação ou

destruição teria um impacto significativo, dada a impossibilidade de continuar

a assegurar estas funções.

Fonte: Dec Lei nº 62/2011 Protecção de Infraestruturas Críticas

5

As catástrofes naturais têm uma grande

visibilidade e cobertura nos Media

6

E a rapidez de recuperação é vital para o bem

estar da população e para a economia

Mas existem outras ameaças menos evidentes

e igualmente perigosas

Prevenção

Nível de

Serviço

Incidente

Resposta

Recuperação

Reduzir impacto

Acelerar a

recuperação

Resiliente Não Resiliente

Tempo

Resiliência

capacidade de resistir, absorver, recuperar ou adaptar-se à adversidade

Uma entidade Resiliente:

•

reduz o impacto do incidente,

através de iniciativas de

Prevenção

• acelera a recuperação, através do

Planeamento da Resposta e Recuperação

Para enfrentar os riscos globais do século XXI

é necessário desenvolver a resiliência…

Como assegurar a Resiliência

das Empresas detentoras de ICs?

…ao nível do Estado

e das Empresas detentoras de ICs

10

Resiliência

dos Estados

Proteção

Infraestruturas

Críticas

Resiliência

das Empresas

Segurança e

Continuidade

de Negócio

Programas Nacionais de

Programa Europeu de Protecção de

Infra-estruturas Críticas (Energia e Transportes)

1. In June 2004 the European Council asked for the preparation of an overall strategy to protect critical infrastructures.

2. In December 2005 the Justice and Home Affairs Council called upon the Commission to make a proposal for a

European

programme for critical infrastructure protection ("EPCIP")

and decided that it should be based on an all-hazards

approach while countering threats from terrorism as a priority. Under this approach,

man-made, technological threats

and natural disasters

should be taken into account in the critical infrastructure protection process, but the threat of

terrorism should be given priority.

3. In April 2007 the Council adopted conclusions on the EPCIP in which it reiterated that

it was the ultimate responsibility

of the Member States to manage arrangements for the protection of critical infrastructures within their national

borders

while welcoming the efforts of the Commission to develop a European procedure for the identification and

designation of European critical infrastructures ("ECIs") and the assessment of the need to improve their protection.

4. This Directive constitutes a first step in a step-by-step approach to identify and designate ECIs and assess the need to

improve their protection. As such,

this Directive concentrates on the energy and transport sectors

and should be

reviewed with a view to assessing its impact and the need to

include other sectors within its scope, inter alia, the

information and communication technology ("ICT") sector.

5. The primary and ultimate

responsibility for protecting ECIs falls on the Member States and the owners/operators of

such infrastructures.

Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical

infrastructures and the assessment of the need to improve their protection

Em Portugal, a Directiva da CE foi transposta

pelo Decreto-Lei nº 62/2011, de 9 de Maio

O Programa Nacional de Protecção de ICs é

liderado pela ANPC em colaboração com o SG

Prevenção

• Segurança Física

• Segurança de Informação

• Segurança das Pessoas

Gestão de Risco

• Identificar ameaças

• Identificar vulnerabilidades

• Analisar impacto no negócio

Resposta e Recuperação

• Planos de Evacuação

• Gestão de Incidentes

• Soluções de Recuperação

Comunicação

• Acções de Sensibilização

• Inquéritos

• Formação em boas práticas

Fonte: Protecting against Terrorism, CPNI (Centre for the Protection of National Infrastructure)

Plano de Segurança para ICs

Plano de Segurança dos Operadores de ICs

Fonte: Dec Lei nº 62/2011 Protecção de Infraestruturas Críticas

Plano de Segurança dos Operadores de ICEs

Identifica os elementos das ICEs e as soluções de

segurança a executar para sua protecção, incluindo:

a)

A identificação dos elementos importantes;

b)

Uma

análise de risco

baseada em cenários de

ameaça grave, na vulnerabilidade de cada elemento

e nos impactos potenciais;

c)

A identificação, selecção e prioridade de

contra-medidas e procedimentos de segurança

permanentes, incluindo:

I.

A instalação de meios de

detecção, controlo

do acesso, protecção e prevenção

II. Procedimentos de alerta e gestão de crises

III. Medidas de

controlo e verificação

IV. Comunicação

, sensibilização e formação

V. Segurança dos Sistemas de Informação

VI. Medidas de

minimização de danos e impactos

Ambientais Tecnológicos Humanos Organiz. S is m o In u n d a ç ã o D e rr o c a d a o u a lu im e n to In c ê n d io E x p lo s ã o … Fa lh a d e h a rd w a re Fa lh a d e s o ft w a re P e rd a d e b a c k u p s F a lh a d e S e g u ra n ç a In fo rm á ti c a … Ne g lig ê n c ia n a M a n u te n ç ã o M o d if ic a ç ã o in d e v id a d e h a rd w a re /s o ft w a re M o d if ic a ç ã o in d e v id a d e d a d o s R o u b o / In tr u s ã o … Gre v e F a lh a d e c o la b o ra d o re s c rí ti c o s … Edifício 1 - - - -Edifício 2 - - - - - - -Edifício 3 - - - -Edifício 4 - - - -Edifício 5 - - - -Edifício 6 - - - -Edifício 7 - - - -Edifício 8 - - - -Edifício 9 - - - -Edifício 10 - - - -… - - - -Elevado Médio Baixo Legenda: Exposição ao Risco

Ambientais

Tecnológicos

Humanos

Organiz.

S is m o In u n d a ç ã o D e rr o c a d a o u a lu im e n to In c ê n d io E x p lo s ã o … Fa lh a d e h a rd w a re Fa lh a d e s o f tw a re P e rd a d e b a c k u p s F a lh a d e S e g u ra n ç a In f o rm á ti c a … Ne g li g ê n c ia n a M a n u te n ç ã o M o d if ic a ç ã o i n d e v id a d e h a rd w a re /s o f tw a re M o d if ic a ç ã o i n d e v id a d e d a d o s R o u b o / In tr u s ã o … G re v e F a lh a d e c o la b o ra d o re s c rí ti c o s …

Edifício 1

-

-

-

-Edifício 2

-

-

-

-

-

-

-Edifício 3

-

-

-

-Edifício 4

-

-

-

-Edifício 5

-

-

-

-Edifício 6

-

-

-

-Edifício 7

-

-

-

-Edifício 8

-

-

-

-Edifício 9

-

-

-

-Edifício 10

-

-

-

-…

-

-

-

Risco / Ameaça

Aceitar, Transferir, Mitigar ou Eliminar

Gestão de Risco:

Prevenção:

Liderança

Programa

Políticas

Políticas, Normas e Procedimentos

Gestão Segurança

Gestão de Utilizadores

Segurança Tecnológica

Segurança de Aplicações, Bases de Dados, Sistemas Operativos, Redes e Comunicações

Segurança Física e Continuidade de Negócio

Patrocínio Estratégia

Estrutura Recursos e Competências

Gestão de Segurança Monitorização Segurança

Gestão de Acessos e

Identidades Consciência de Segurança

Segurança Física e Ambiental Plano de Continuidade de Negócio ● _{Patrocínio da função de segurança da informação ao nível dos órgãos}

de gestão.

● _{Estratégia de segurança, articulada com as estratégias de negócio e de} IT.

● _{Métricas de avaliação da eficácia dos mecanismos de segurança da} organização.

● _{Gestão do programa de segurança para assegurar o alinhamento} e integração de todas as iniciativas de segurança a desenvolver. ● _{Organização de segurança e respectiva formalização de}

responsabilidades e competências para gerir e manter a segurança da informação.

● _{Modelo de risco de segurança da informação.}

● _{Políticas, normas e procedimentos de segurança que reflectem o} posicionamento da organização relativamente à segurança da informação.

● _{Gestão das excepções ás políticas de segurança.}

● _{Implementação, monitorização e revisão das políticas de segurança.}

● _{Controlos de segurança física e ambiental para sistemas e} instalações; Controlo de acessos físicos a sistemas e instalações.

● _{Definição e teste formal de um plano de continuidade de} negócio em caso de desastre e de um plano de recuperação de TI.

● _{Classificação da informação.} ● _{Segurança com entidades terceiras.} ● _{Gestão de alterações em sistemas e aplicações} ● _{Gestão de vulnerabilidades de segurança.} ● _{Monitorização de segurança.}

● _{Gestão e reporte de incidentes de segurança.}

● _{Desenho e implementação de segurança no contexto da} infra-estrutura tecnológica da organização, incluindo o perímetro de segurança, redes e comunicações, computadores, sistemas operativos, aplicações e bases de dados.

● _{Configurações de segurança.} ● _{Gestão de acessos e identidades a sistemas e aplicações e processos de}

autenticação e autorização.

● _{Programas de formação e promoção da consciência de segurança dos} utilizadores.

Prevenção: Modelo de Competências de

Segurança de Informação

Pessoas

Pessoas

Substitutas

TI

Data Centres

Alternativos

Edifícios

Edíficios

Alternativos

Soluções de Continuidade de Negócio

Comunicações

Rede

Redundante

Fornecedores

Fornecedores

Redundantes

Resposta e Recuperação:

Gestão da Continuidade de Negócio

Resposta de

Emergência

Gestão de Crise

Recuperação

de Negócio

Recuperação

Tecnológica

Análise de Impacto no Negócio

para determinar os tempos de recuperação

e os recursos para recuperar actividades críticas

Comunicação:

Questões?

Cristina Alberto

calberto@kpmg.com

A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos

os possíveis para fornecer informação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for

recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com essa informação sem aconselhamento

profissional apropriado para cada situação específica.

© 2012 KPMG Advisory - Consultores de Gestão, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da

KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG,

o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”).