segurança e defesa cibernética: gerenciamento de riscos e recuperação de desastres
Upload: sae-secretaria-de-assuntos-estrategicos-da-presidencia-da-republica
Post on 04-Jun-2015
2.341 views
DESCRIPTION
Apresentação: Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desastres, mostrada no XIII Encontro Nacional de Estudos Estratégicos, que ocorreu nos dias 26 e 27 de setembro de 2013, no Rio de Janeiro, por Marcos Allemand, do SEPRO. Veja matéria em: http://ow.ly/pEeD4TRANSCRIPT
PAINEL 3
SEGURANÇA E DEFESA CIBERNÉTICA:
GERENCIAMENTO DE RISCOS E RECUPERAÇÃO DE
DESASTRES
XIII Encontro Nacional de Estudos Estratégicos Rio de Janeiro, 26.09.13 Marcos Allemand [email protected]
Finalidade do Painel
Discutir a importância do gerenciamento de riscos nas infraestruturas de TIC que compõem as infraestruturas críticas / estratégicas, e
Debater a eficiência das estratégias adotadas para garantir a capacidade de resiliência dessas infraestruturas nas situações de incidentes;
Subtema específico - Estudo de caso: a atuação do SERPRO no setor público
Agenda
SERPRO – Visão geral
Linha do tempo – evolução dos incidentes
Infraestrutura crítica (IC)
SERPRO no contexto da IC
Gerenciamento de riscos
Recuperação de desastres
Considerações finais
Empresa pública vinculada ao Ministério da Fazenda. Nosso negócio é a prestação de serviços em Tecnologia da Informação para o setor público. Desenvolvemos soluções que, além de contribuírem para a modernização e eficácia da Administração Pública, buscam estreitar a relação entre cidadãos e Governo.
A EMPRESA Visão geral
A EMPRESA
11 Regionais
Brasília, Belém, Fortaleza, Recife, Salvador, Belo Horizonte, Rio de Janeiro, São Paulo, Curitiba, Florianópolis e Porto Alegre
26 Escritórios
Presença nacional
CENTRO DE DADOS
Utilização de tecnologias para contingência de recursos alocados aos serviços de missão crítica
Balanceamento de carga como instrumento de gestão de alta disponibilidade e desempenho
Redundância e contingência de ambientes de gerenciamento (hardware e software)
Espelhamento de dados, automação de processos de produção, monitoração e gerenciamento, além de salas cofres
3 Data Centers: SPO, BSB e RJO
2 Serviços - Mainframe (19.719MIPS)
Mais de 1.400 servidores de plataforma baixa (Risc, Cisc e Epic) entre máquinas físicas e virtuais
6 Fitotecas automatizadas com capacidade de 2 petabytes de armazenamento
1.353 petabytes de armazenamento (discos) sendo 945TB em SPO, 51TB em RJO e 357TB em BSB
12 bilhões de transações on-line processadas por ano
Múltiplos Bancos de Dados (Adabas, DB2, Oracle, SQL Server, My SQL, PostgreSQL, Lotus Notes, BRSearch, MS Accessm Sybase, INFORMIX, ZopePlone)
64.407 Microcomputadores
Outros serviços
Housing
Hosting
Colocation
Centro de dados
LINHAS DE NEGÓCIO
Infraestrutura de última geração, com abrangência nacional
Transmissão e disponibilização de informações: dados, voz ou imagem, com segurança e Confiabilidade
Atendimento às necessidades do governo no relacionamento com o cidadão para o uso de seus sistemas de informação
Rede de comunicação
1965 1969
ARPANET
1970
PROTÓTIPO DE
COMP. PESSOAL
1970 1979 1975
MICROSOFT
1976
APPLE
1981
BITNET
1976
BBS
1981 1985 1984
CIBERESPAÇO
1988
CUCKOO’S EGG MORRIS WORM
CERT/CC
1992 1990 1989
HTTP
1993
MOSAIC
1994 1997 1995 1996
BS7799-1
PCCIP
2000 2001 2002 2003 1998 1999
BACK ORIFICE BS7799-2
MELISSA
Y2K LOVELETTER
9/11 (NY, WASH) ENRON NIMDA
CODE RED
OECD
2004 2005 2007 2008 2009 2010 2011
BOTNET SASSER MADRID
ISO 27001 AGOBOT/SERPRO
LONDRES
ISO 27002 BS 15999 ESTONIA
CONFICKER WORM GEORGIA
CYBERSECURITY STRATEGY
NC (BR)
CIP -> CIR STUXNET
WIKILEAKS
BL
ACIDENTES ANORMAIS (IAN MITROFF)
ACIDENTES NORMAIS (CHARLES PERROW)
GLOBALIZAÇÃO – WWW – MUNDO INTERCONECTADO – MOBILIDADE – REDES SOCIAIS – COMPLEXIDADE DOS SISTEMAS – INTERDEPENDÊNCIA DE SISTEMAS – TERRORISMO - ...
Linha do tempo – evolução dos incidentes
MICHELANGELO
2013
NSA-SPY SNOWDEN
SLAMMER
Principais cenários considerados
Fonte: Gartner Group – Improve your IT DRP and your ability to recover from disaster. Jun/2012
Infraestrutura Crítica do Brasil (IC)
A IC abrange as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade;
Infraestrutura crítica de informações (ICI)
Subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade.
Consideram-se ativos de informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
Infraestrutura crítica no Brasil
Fonte: Portaria 34 de 5/8/2009 publicada no DOU n. 149/2009
SERPRO no contexto da IC
PROCESSO PRINCIPAL DE NEGÓCIO
SMC 1 SMC n SMC 2
SIS
TE
MA
1
SIS
TE
MA
2
SIS
TE
MA
3
SIS
TE
MA
4
SIS
TE
MA
5
SIS
TE
MA
6
SIS
TE
MA
8
SIS
TE
MA
9
...
...
HW / SW / INST.
GOVERNO CIDADÃO EMPRESA
AM
EA
ÇA
S
VU
LN
ER
AB
IL.
IMP
AC
TO
S
RISCO
Sistemas Estruturantes
Gerenciamento de riscos
Metodologia estabelecida em 1998
Decisão de Diretoria
Atualizações periódicas
Empregados capacitados
Pré-requisito para entrada em produção
Necessidade de ampliar o escopo – IRM
SIEM
Evento disparador
Acionamento dos Planos de Contingência
Limite do Plano de
Contingência
Pontos de inflexão no surgimento de uma Crise
Potencial para crise contido
Crise gerada
Espaço de problemas
Gestão de incidentes
Gestão de Continuidade de negócios
Gestão de crise
Operação do Centro de
Dados
Operação de rede
Monitoração de eventos
Monitoração e Controle [centro de comando ]
PROCESSO DE DESENV,
DE SISTEMAS CLIENTES PROCESSO PRODUTIVO
Requisiitos de sist: - Confidencialidade - Integidade - Disponibilidade - Monitoração - ...
R1
R2
SDLC
BIA + Planos Contin.
Ambiente de desenvolv.
PROCESSOS CORPORATIVOS
Gestão das Instalações
PROCESSOS SETORIAIS
CSIRT
SNOC ????
Juntando as “peças”
Considerações finais
Resiliência é a capacidade de:
• Mudar (adaptação, expansão, conformidade) quando uma
força é aplicada;
• Funcionar adequadamente ou minimamente enquanto a
força é efetiva; e,
• Retornar a um estado normal (esperado e pré-definido)
quando a força se torna ineficaz ou é retirada.
Fonte: Caralli, R. Introducing the CERT Resiliency Engineering Framework: Improving the Security and Sustainability Process. Carnegie Mellon University, Software Engineering Institute, 2007
Considerações finais
Fonte: Jackson, S. Architecting Resilient Systems – Accident avoidance and survival and recovery from disruptions. Wiley, 2009
Comitê Gestor das Atividades Ciber & TI
• CGI • SLTI • Considerar as ações que estão sendo conduzidas pela
OCDE, ENISA, …
• As regards your work on awareness raising, you may be
interested by the European Network and Information
Security Agency (ENISA) guide: "How to raise
Information Security Awareness Raising" as well as
other work carried out by this agency such as a survey
on EU member countries activities which includes a lot
of examples:
• http://enisa.europa.eu/pages/05_01.htm
• http://enisa.europa.eu/doc/zip/aw_info_package.zip
• http://enisa.europa.eu/doc/pdf/FACsheets/New_Fact_Sh
eet_on_Awareness_Raising.pdf
ENISA
25
• “OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”, julho/2002.
• “Proceedings of the OECD Global Forum on Information Systems and Network Security: Towards a Culture of Security”, fevereiro/2004.
• “Summary of responses to the survey on the implementation of the OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”, setembro/2004.
• “Implementation plan for the OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”. Julho/2003.
• “OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”. Questions and answers.
Evolução das ações (OCDE)