SEGURANÇA DE INFRAESTRUTURAS CRÍTICAS NA PERSPETIVA DA RESILIÊNCIA E CONTINUIDADE DE NEGÓCIO

Transcrição

1 SEGURANÇA DE INFRAESTRUTURAS CRÍTICAS NA PERSPETIVA DA RESILIÊNCIA E CONTINUIDADE DE NEGÓCIO Cristina Alberto KPMG Advisory Consultores de Gestão, SA

2 Agenda 1. Riscos Globais do Século XXI 2. Proteção de Infraestruturas Críticas 3. Segurança e Continuidade de Negócio 2

3 No século XXI, os riscos são globais 3

4 Quando afectam ICs são uma ameaça para a segurança e o bem-estar económico e social Infraestrutura Crítica (IC) Componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar estas funções. Fonte: Dec Lei nº 62/2011 Protecção de Infraestruturas Críticas 4

5 5 As catástrofes naturais têm uma grande visibilidade e cobertura nos Media

6 6 E a rapidez de recuperação é vital para o bem estar da população e para a economia

7 Mas existem outras ameaças menos evidentes e igualmente perigosas

8 Para enfrentar os riscos globais do século XXI é necessário desenvolver a resiliência Resiliência capacidade de resistir, absorver, recuperar ou adaptar-se à adversidade Nível de Serviço Recuperação Resposta Prevenção 100% (Normal) Reduzir impacto Incidente Acelerar a recuperação Uma entidade Resiliente: reduz o impacto do incidente, através de iniciativas de Prevenção acelera a recuperação, através do Planeamento da Resposta e Recuperação Resiliente Não Resiliente Tempo

9 Como assegurar a Resiliência das Empresas detentoras de ICs?

10 ao nível do Estado e das Empresas detentoras de ICs Resiliência dos Estados Proteção Infraestruturas Críticas Resiliência das Empresas Segurança e Continuidade de Negócio 10

11 Programas Nacionais de Protecção de Infraestruturas Críticas

12 Programa Europeu de Protecção de Infraestruturas Críticas (Energia e Transportes) Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection 1. In June 2004 the European Council asked for the preparation of an overall strategy to protect critical infrastructures. 2. In December 2005 the Justice and Home Affairs Council called upon the Commission to make a proposal for a European programme for critical infrastructure protection ("EPCIP") and decided that it should be based on an all-hazards approach while countering threats from terrorism as a priority. Under this approach, man-made, technological threats and natural disasters should be taken into account in the critical infrastructure protection process, but the threat of terrorism should be given priority. 3. In April 2007 the Council adopted conclusions on the EPCIP in which it reiterated that it was the ultimate responsibility of the Member States to manage arrangements for the protection of critical infrastructures within their national borders while welcoming the efforts of the Commission to develop a European procedure for the identification and designation of European critical infrastructures ("ECIs") and the assessment of the need to improve their protection. 4. This Directive constitutes a first step in a step-by-step approach to identify and designate ECIs and assess the need to improve their protection. As such, this Directive concentrates on the energy and transport sectors and should be reviewed with a view to assessing its impact and the need to include other sectors within its scope, inter alia, the information and communication technology ("ICT") sector. 5. The primary and ultimate responsibility for protecting ECIs falls on the Member States and the owners/operators of such infrastructures.

13 Em Portugal, a Directiva da CE foi transposta pelo Decreto-Lei nº 62/2011, de 9 de Maio

14 O Programa Nacional de Protecção de ICs é liderado pela ANPC em colaboração com o SG do SSI e com as Empresas de cada sector

15 Plano de Segurança dos Operadores de ICs Plano de Segurança dos Operadores de ICEs Identifica os elementos das ICEs e as soluções de segurança a executar para sua protecção, incluindo: a) A identificação dos elementos importantes; b) Uma análise de risco baseada em cenários de ameaça grave, na vulnerabilidade de cada elemento e nos impactos potenciais; c) A identificação, selecção e prioridade de contramedidas e procedimentos de segurança permanentes, incluindo: I. A instalação de meios de detecção, controlo do acesso, protecção e prevenção II. Procedimentos de alerta e gestão de crises III. Medidas de controlo e verificação IV. Comunicação, sensibilização e formação V. Segurança dos Sistemas de Informação VI. Medidas de minimização de danos e impactos e de reposição da normalidade Prevenção Segurança Física Segurança de Informação Segurança das Pessoas Plano de Segurança para ICs Gestão de Risco Identificar ameaças Identificar vulnerabilidades Analisar impacto no negócio Comunicação Acções de Sensibilização Inquéritos Formação em boas práticas Resposta e Recuperação Planos de Evacuação Gestão de Incidentes Soluções de Recuperação Fonte: Dec Lei nº 62/2011 Protecção de Infraestruturas Críticas Fonte: Protecting against Terrorism, CPNI (Centre for the Protection of National Infrastructure)

16 Sismo Inundação Derrocada ou aluimento Incêndio Explosão Falha de hardware Falha de software Perda de backups Falha de Segurança Informática Negligência na Manutenção Modificação indevida de hardware/software Modificação indevida de dados Roubo/ Intrusão Greve Falha de colaboradores críticos Sismo Inundação Derrocada o Incêndio Explosão Falha de ha Falha de so Perda de ba Falha de Se Inf ormática Negligência Manutenção Modif icação hardware/so Modif icação dados Roubo/ Intru Greve Falha de co críticos Gestão de Risco: Identificar ameaças, analisar vulnerabilidades Edifício Edifício Edifício Edifício Risco / Ameaça Aceitar, Transferir, Mitigar ou Eliminar Edifício Edifício Edifício Edifício Edifício Edifício Ambientais Tecnológicos Humanos Organiz Legenda: Exposição ao Risco Baixo Médio Elevado Edifício Edifício Edifício Edifício Edifício Edifício Edifício Edifício

17 Prevenção: Segurança Física, de Informação, das Pessoas

18 Prevenção: Modelo de Competências de Segurança de Informação Patrocínio da função de segurança da informação ao nível dos órgãos de gestão. Estratégia de segurança, articulada com as estratégias de negócio e de IT. Métricas de avaliação da eficácia dos mecanismos de segurança da organização. Políticas, normas e procedimentos de segurança que reflectem o posicionamento da organização relativamente à segurança da informação. Gestão das excepções ás políticas de segurança. Implementação, monitorização e revisão das políticas de segurança. Gestão de acessos e identidades a sistemas e aplicações e processos de autenticação e autorização. Programas de formação e promoção da consciência de segurança dos utilizadores. Controlos de segurança física e ambiental para sistemas e instalações; Controlo de acessos físicos a sistemas e instalações. Definição e teste formal de um plano de continuidade de negócio em caso de desastre e de um plano de recuperação de TI. Liderança Patrocínio Programa Recursos e Competências Estrutura Políticas Políticas, Normas e Procedimentos Gestão Segurança Gestão de Segurança Estratégia Gestão de Utilizadores Gestão de Acessos e Identidades Monitorização Segurança Consciência de Segurança Segurança Tecnológica Segurança de Aplicações, Bases de Dados, Sistemas Operativos, Redes e Comunicações Segurança Física e Continuidade de Negócio Segurança Física e Ambiental Plano de Continuidade de Negócio Gestão do programa de segurança para assegurar o alinhamento e integração de todas as iniciativas de segurança a desenvolver. Organização de segurança e respectiva formalização de responsabilidades e competências para gerir e manter a segurança da informação. Modelo de risco de segurança da informação. Classificação da informação. Segurança com entidades terceiras. Gestão de alterações em sistemas e aplicações Gestão de vulnerabilidades de segurança. Monitorização de segurança. Gestão e reporte de incidentes de segurança. Desenho e implementação de segurança no contexto da infraestrutura tecnológica da organização, incluindo o perímetro de segurança, redes e comunicações, computadores, sistemas operativos, aplicações e bases de dados. Configurações de segurança.

19 DRP BCP Resposta e Recuperação: Gestão da Continuidade de Negócio Resposta de Emergência Gestão de Crise Recuperação de Negócio Análise de Impacto no Negócio para determinar os tempos de recuperação e os recursos para recuperar actividades críticas Incidente Tempo Recuperação Tecnológica Soluções de Continuidade de Negócio Pessoas TI Comunicações Edifícios Fornecedores Pessoas Substitutas Data Centres Alternativos Rede Redundante Edíficios Alternativos Fornecedores Redundantes

20 Comunicação: Sensibilização e Formação

21 Questões? Cristina Alberto A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecer informação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica KPMG Advisory - Consultores de Gestão, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e cutting through complexity são marcas registadas da KPMG International Cooperative ( KPMG International ).