Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desastres

2,599 views
2,507 views

Published on

Apresentação: Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desastres, mostrada no XIII Encontro Nacional de Estudos Estratégicos, que ocorreu nos dias 26 e 27 de setembro de 2013, no Rio de Janeiro, por Marcos Allemand, do SEPRO.
Veja matéria em: http://ow.ly/pEeD4

Published in: News & Politics
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,599
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
70
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desastres

  1. 1. PAINEL 3 SEGURANÇA E DEFESA CIBERNÉTICA: GERENCIAMENTO DE RISCOS E RECUPERAÇÃO DE DESASTRES XIII Encontro Nacional de Estudos Estratégicos Rio de Janeiro, 26.09.13 Marcos Allemand marcos.allemand@serpro.gov.br
  2. 2. Finalidade do Painel  Discutir a importância do gerenciamento de riscos nas infraestruturas de TIC que compõem as infraestruturas críticas / estratégicas, e  Debater a eficiência das estratégias adotadas para garantir a capacidade de resiliência dessas infraestruturas nas situações de incidentes;  Subtema específico - Estudo de caso: a atuação do SERPRO no setor público
  3. 3. Agenda  SERPRO – Visão geral  Linha do tempo – evolução dos incidentes  Infraestrutura crítica (IC)  SERPRO no contexto da IC  Gerenciamento de riscos  Recuperação de desastres  Considerações finais
  4. 4. Empresa pública vinculada ao Ministério da Fazenda. Nosso negócio é a prestação de serviços em Tecnologia da Informação para o setor público. Desenvolvemos soluções que, além de contribuírem para a modernização e eficácia da Administração Pública, buscam estreitar a relação entre cidadãos e Governo. A EMPRESAVisão geral
  5. 5. A EMPRESA 11 Regionais Brasília, Belém, Fortaleza, Recife, Salvador, Belo Horizonte, Rio de Janeiro, São Paulo, Curitiba, Florianópolis e Porto Alegre 26 Escritórios Presença nacional
  6. 6. CENTRO DE DADOS  Utilização de tecnologias para contingência de recursos alocados aos serviços de missão crítica  Balanceamento de carga como instrumento de gestão de alta disponibilidade e desempenho  Redundância e contingência de ambientes de gerenciamento (hardware e software)  Espelhamento de dados, automação de processos de produção, monitoração e gerenciamento, além de salas cofres  3 Data Centers: SPO, BSB e RJO  2 Serviços - Mainframe (19.719MIPS)  Mais de 1.400 servidores de plataforma baixa (Risc, Cisc e Epic) entre máquinas físicas e virtuais  6 Fitotecas automatizadas com capacidade de 2 petabytes de armazenamento  1.353 petabytes de armazenamento (discos) sendo 945TB em SPO, 51TB em RJO e 357TB em BSB  12 bilhões de transações on-line processadas por ano  Múltiplos Bancos de Dados (Adabas, DB2, Oracle, SQL Server, My SQL, PostgreSQL, Lotus Notes, BRSearch, MS Accessm Sybase, INFORMIX, ZopePlone)  64.407 Microcomputadores Outros serviços  Housing  Hosting  Colocation Centro de dados
  7. 7. LINHAS DE NEGÓCIO  Infraestrutura de última geração, com abrangência nacional  Transmissão e disponibilização de informações: dados, voz ou imagem, com segurança e Confiabilidade  Atendimento às necessidades do governo no relacionamento com o cidadão para o uso de seus sistemas de informação Rede de comunicação
  8. 8. CLIENTES E SERVIÇOSClientes e serviços
  9. 9. 1965 1969 ARPANET 1970 PROTÓTIPO DE COMP. PESSOAL 1970 19791975 MICROSOFT 1976 APPLE 1981 BITNET 1976 BBS 1981 19851984 CIBERESPAÇO 1988 CUCKOO’S EGG MORRIS WORM CERT/CC 199219901989 HTTP 1993 MOSAIC 1994 19971995 1996 BS7799-1 PCCIP 2000 2001 2002 20031998 1999 BACK ORIFICE BS7799-2 MELISSA Y2K LOVELETTER 9/11 (NY, WASH) ENRON NIMDA CODE RED OECD 2004 2005 2007 2008 2009 2010 2011 BOTNET SASSER MADRID ISO 27001 AGOBOT/SERPRO LONDRES ISO 27002 BS 15999 ESTONIA CONFICKER WORM GEORGIA CYBERSECURITY STRATEGY NC (BR) CIP -> CIR STUXNET WIKILEAKS BL ACIDENTES ANORMAIS (IAN MITROFF) ACIDENTES NORMAIS (CHARLES PERROW) GLOBALIZAÇÃO – WWW – MUNDO INTERCONECTADO – MOBILIDADE – REDES SOCIAIS – COMPLEXIDADE DOS SISTEMAS – INTERDEPENDÊNCIA DE SISTEMAS – TERRORISMO - ... Linha do tempo – evolução dos incidentes MICHELANGELO 2013 NSA-SPY SNOWDEN SLAMMER
  10. 10. Riscos globais 2013 – WEF Fonte: http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2013.pdf
  11. 11. Principais cenários considerados Fonte: Gartner Group – Improve your IT DRP and your ability to recover from disaster. Jun/2012
  12. 12. Infraestrutura Crítica do Brasil (IC)  A IC abrange as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade; Infraestrutura crítica de informações (ICI)  Subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade.  Consideram-se ativos de informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso. Infraestrutura crítica no Brasil Fonte: Portaria 34 de 5/8/2009 publicada no DOU n. 149/2009
  13. 13. SERPRO no contexto da IC PROCESSO PRINCIPAL DE NEGÓCIO SMC 1 SMC nSMC 2 SISTEMA1 SISTEMA2 SISTEMA3 SISTEMA4 SISTEMA5 SISTEMA6 SISTEMA8 SISTEMA9 ... ... HW / SW / INST. GOVERNO CIDADÃO EMPRESA AMEAÇAS VULNERABIL. IMPACTOS RISCO Sistemas Estruturantes
  14. 14. Gerenciamento de riscos  Metodologia estabelecida em 1998  Decisão de Diretoria  Atualizações periódicas  Empregados capacitados  Pré-requisito para entrada em produção  Necessidade de ampliar o escopo – IRM
  15. 15. Processo de segurança
  16. 16. Processo de continuidade de negócios
  17. 17. Alta disponibilidade ALTA DISPONIBILIDADE RECUPERAÇÃO DE DESASTRES GESTÁO DE CONTINUIDADE
  18. 18. Recuperação de desastres
  19. 19. SIEM Evento disparador Acionamento dos Planos de Contingência Limite do Plano de Contingência Pontos de inflexão no surgimento de uma Crise Potencial para crise contido Crise gerada Espaço de problemas Gestão de incidentes Gestão de Continuidade de negócios Gestão de crise Operação do Centro de Dados Operação de rede Monitoração de eventos Monitoração e Controle [centro de comando ] PROCESSO DE DESENV, DE SISTEMASCLIENTES PROCESSO PRODUTIVO Requisiitos de sist: - Confidencialidade - Integidade - Disponibilidade - Monitoração - ... R1 R2 SDLC BIA + Planos Contin. Ambiente de desenvolv. PROCESSOS CORPORATIVOS Gestão das Instalações PROCESSOS SETORIAIS CSIRT SNOC???? Juntando as “peças”
  20. 20. Considerações finais Resiliência é a capacidade de: • Mudar (adaptação, expansão, conformidade) quando uma força é aplicada; • Funcionar adequadamente ou minimamente enquanto a força é efetiva; e, • Retornar a um estado normal (esperado e pré-definido) quando a força se torna ineficaz ou é retirada. Fonte: Caralli, R. Introducing the CERT Resiliency Engineering Framework: Improving the Security and Sustainability Process. Carnegie Mellon University, Software Engineering Institute, 2007
  21. 21. Considerações finais Fonte: Jackson, S. Architecting Resilient Systems – Accident avoidance and survival and recovery from disruptions. Wiley, 2009
  22. 22. Fonte: CERT-RMM (Resilient Management Model) Considerações finais
  23. 23. Comitê Gestor das Atividades Ciber & TI • CGI • SLTI • Considerar as ações que estão sendo conduzidas pela OCDE, ENISA, …
  24. 24. • As regards your work on awareness raising, you may be interested by the European Network and Information Security Agency (ENISA) guide: "How to raise Information Security Awareness Raising" as well as other work carried out by this agency such as a survey on EU member countries activities which includes a lot of examples: • http://enisa.europa.eu/pages/05_01.htm • http://enisa.europa.eu/doc/zip/aw_info_package.zip • http://enisa.europa.eu/doc/pdf/FACsheets/New_Fact_Sh eet_on_Awareness_Raising.pdf ENISA
  25. 25. 25 • “OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”, julho/2002. • “Proceedings of the OECD Global Forum on Information Systems and Network Security: Towards a Culture of Security”, fevereiro/2004. • “Summary of responses to the survey on the implementation of the OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”, setembro/2004. • “Implementation plan for the OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”. Julho/2003. • “OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”. Questions and answers. Evolução das ações (OCDE)
  26. 26. Obrigado

×