Webinar promovido pela Abiquim discutiu Segurança Cibernética

A Abiquim promoveu nesta quarta-feira, 24 de agosto, o sétimo webinar em comemoração aos 30 anos do Programa Atuação Responsável. Dois especialistas falaram sobre A Gestão da Segurança de Processos e a Interface com a Segurança Cibernética e sua integração com a segurança nos processos industriais.

André Passos Cordeiro, Diretor de Relações Institucionais e Presidente Executivo em exercício da Abiquim, abriu o webinar, lembrando que essa sequência de lives vai culminar no 18º Congresso do Atuação Responsável, em 5 de outubro. Segundo ele, o objetivo do programa é tornar todos os parceiros da Abiquim ambientalmente responsáveis e a indústria química brasileira como uma das mais sustentáveis do mundo.

O primeiro palestrante foi o especialista em tecnologia da informação e professor da Universidade de Brasília, Rafael Rabelo Nunes, que falou sobre a importância da cibersegurança para as empresas e entidades público-privadas. Segundo ele, desde o início da pandemia os incidentes de segurança vêm acontecendo com grande repercussão. “Várias marcas e organizações foram impactadas com incidentes de grandes proporções desde 2020. Isso acontece porque tudo está caminhando para ser inteligente”, alertou. Temos cidades inteligentes, carros inteligentes, agronegócio inteligente, casa inteligente e isso também ocorre na indústria: sensores coletam dados sobre temperatura, pressão, acionam válvulas, e isso exige uma rede interconectada e essa rede tem a mesma tecnologia da rede de computadores que usamos. Esses sensores coletam informações, geram dados e isso é viabilizado pela tecnologia 5G. “Se tenho condição de fazer o controle remoto, existe também a possibilidade de haver incidentes”, alertou.

O risco cibernético é a classe de risco que mais preocupa os gestores de riscos corporativos, seguido por riscos de compliance, operacionais, de resiliência das operações e riscos financeiros. Os atacantes são hackers, nome genérico para designar a pessoa que tem habilidade para invadir sistemas. Em geral são excelentes programadores e conhecedores da arquitetura de redes, computadores, sistemas.

Segundo Nunes, a origem das vulnerabilidades pode ser muito intrigante. “No Log4Shell os hackers aproveitaram a vulnerabilidade extremamente crítica desse componente Java, muito utilizado até em segurança. Essa vulnerabilidade permite ter acesso de ?administrador-root? no servidor que hospeda o serviço. Ele foi descoberto no final de 2021. Era uma vulnerabilidade existente há décadas”.

Segurança da informação é a proteção da integridade, da disponibilidade, da confidencialidade da informação. A integridade significa que só pessoas autorizadas podem modificar a informação; a disponibilidade é estar acessível quando ela for necessária. A segurança cibernética é o espaço cibernético, é um ambiente complexo resultante da interação de pessoas, ressaltou o professor da Universidade de Brasília.

Nunes indicou o site www.cybok.org onde se pode obter gratuitamente orientações a respeito do tema. “São tópicos como segurança nos dispositivos móveis, na web, segurança de redes, criptografia, aspecto humano e regulação, privacidade, gerenciamento de riscos e muitos outros conteúdos com o que precisa ser feito para se atingir a segurança na área industrial.” Segundo ele, deve-se encarar a segurança cibernética como mais uma área de risco, já que não existe 100% de segurança.

Os controles mínimos a serem implementados estão em normas como a ISO 27.000 e CIS Controls V8. Para Nunes, o mínimo que se deve fazer em termos de segurança é: 1) Manter todos os softwares atualizados; 2) Fazer o hardening (mapeamento) de todos os sistemas e dispositivos para mitigar os riscos de ataques; 3) Melhorar os processos de identificação e autenticação em serviços e sistemas.

O segundo palestrante foi o engenheiro eletrônico e Consultor da RSE Consultoria, Ruy Carvalho de Barros, que falou sobre as ferramentas de análise de risco. Ele disse que no cenário atual vê-se o crescimento no número de ataques às infraestruturas críticas, particularmente às instalações industriais. Para o especialista, vivemos ainda a indústria 3.0, em que sistemas de controle e de automação rodam em sistemas operacionais muitas vezes antigos, em que não se consegue fazer atualizações. E daí todos os sistemas têm vulnerabilidades.

“Quando falo de infraestruturas críticas falo dos segmentos industriais ligados à energia elétrica, de transportes, de produção de petróleo, gás natural, áreas de comunicação e TI, e em todas temos sistemas de controle e de supervisão que possuem vulnerabilidades”, disse Barros. Segundo ele, essas áreas de infraestruturas críticas são o alvo principal dos hackers/crackers. Antes os invasores queriam demonstrar que podiam invadir os sistemas, mas hoje é diferente. “Hoje o conceito da invasão é tirar algum proveito, fazer solicitação de pagamento de resgate em troca de infraestrutura, e durante a pandemia isso aconteceu de forma mais intensa”.

Ele citou também a questão relacionada à indústria 4.0 e sua integração com a tecnologia da automação (TO). Este processo de aumento da conectividade e integração, segundo Barros, funciona em ambientes de private clouds, de maneira que essa conexão em TO cada vez fica mais evidente e preocupante. E na medida em que isso ocorre o ambiente se torna mais propício a invasões.

Os mecanismos de ataque cibernético nas redes corporativas ocorrem por meio de conexões não autorizadas, firewalls mal configurados, laptops infectados, modems, drives USB, pela rede de PLCs, e por isso um plano de prevenção é fundamental.

O representante da RSE Consultoria mostrou gráficos com os impactos dos crimes cibernéticos, que vêm aumentando, principalmente nos últimos anos, e disse que diante desse novo cenário é importante entendermos que existe uma tarefa árdua a partir de agora: é preciso pensar no monitoramento e controle contínuo dos ciberataques nos sistemas de controle e automação, com o rastreamento de ações não oriundas da lógica do sistema. Outro ponto importante a ser pensado é que o projeto nasça inteligente, com soluções que permitam o crescimento dos sistemas de automação sem impacto na segurança dos processos da planta industrial.

Para o especialista, os Sistemas de Controle Industrial (SCIs) precisam ter uma preocupação em entregar essa solução. Ou seja, o fabricante tem que pensar numa arquitetura que preveja a possibilidade de ataques de hackers ou crackers, uma preocupação que ainda está fora do ambiente industrial.

Barros listou algumas normas, como ISA/IEC 62443, NIST 800-53, NERC CIP, ISO 27000, IEC 62351, IEC 61162-460 e informou que as diversas normas abrangem diferentes aspectos técnicos, detalhes de operação e mesmo a atuação dos prestadores de serviços. A ISA, sigla em inglês da Sociedade Internacional de Automação, foi a primeira a trabalhar com normas da segurança da automação e tem normas com grande abrangência, trabalhando também com certificação de produtos e na área de segurança.

Para o consultor, a norma mais importante em termos de cibersegurança é a ISA-99 /IEC/62443. Ele disse que já existem profissionais certificados no Brasil que podem refletir sobre o que suas instalações necessitam em termos de melhoria de projetos, e também melhorias nas redes de processos e redes corporativas.

Ao encerrar fez uma comparação entre duas normas: IEC 61508 com a IEC 62443. Mostrou a possibilidade de uso de ferramentas e diferentes camadas de segurança e camadas “não hackeáveis”. Ele concluiu a palestra alertando que a cibersegurança em sistemas de controle industrial complementa a segurança de processos e não a substitui.

A íntegra do webinar está disponível no Youtube.

Fonte: https://www.crq4.org.br/par_ciberseguranca

Please follow and like us:

Fibra debate segurança cibernética em micro e pequenas empresas

A Federação das Indústrias do Distrito Federal (Fibra) promoveu nesta quinta-feira, 7 de outubro, um bate-papo sobre desafios e cuidados em segurança digital e sobre como a tecnologia contribui para o aumento da produtividade das micro e pequenas empresas. O tema do encontro, que reuniu representantes dos governos local e federal, do setor produtivo e da academia, foi Segurança Cibernética nas MPEs. O evento ocorreu no formato híbrido, em que convidados participaram presencialmente e o público pode assistir pelo canal da Fibra no YouTube.07 10 2021 Reunião do Comitê Gestor Debate Segurança Cibernética Foto Victor Hugo Pessoa Capa

O objetivo da iniciativa foi identificar os principais desafios, gargalos e oportunidades em segurança no ambiente virtual, além de discutir e propor soluções efetivas. “No DF, 75,3% das indústrias são micro e 19,8% são pequenas empresas. A maioria desses negócios estão em ambientes virtuais e alguns têm fragilidades no sistema de segurança. Por isso, a necessidade de discutir o impacto de vazamento de dados”, disse o presidente da Federação, Jamal Jorge Bittar, na abertura do evento. Ele também alertou sobre a Lei Geral de Proteção de Dados. “Com a legislação, o empresário passa a ter uma preocupação maior, pois é responsabilidade dele cuidar das informações de seus públicos. Ferramentas de segurança contribuem para esse processo.”

No âmbito do setor público, a deputada distrital Júlia Lucy (Novo) elencou contribuições que a Câmara Legislativa pode prestar como “suporte para que pequenas empresas tenham acesso à profissionais do setor e aprimoramento da atual legislação”, afirmou a parlamentar, que é presidente da Comissão de Desenvolvimento Econômico Sustentável, Ciência, Tecnologia, Meio Ambiente e Turismo do órgão.

Presente no encontro, o general de divisão do Sistema Defesa, Indústria e Academia de Inovação do Exército Brasileiro, Angelo Kawakami Okamura, falou sobre sua experiência à frente da instituição e citou um ponto primordial para uma organização está protegida. “As empresas que prestam serviços de tecnologia, como o de armazenamento de dados em nuvem, devem oferecer sistema de atualização. Não ter é uma porta de entrada para ataques, demostra fragilidade”, disse. Okamura comandou a defesa cibernética do Exército de 2016 a 2018.

O diretor de Inovação e Desenvolvimento Tecnológico da Fibra, Graciomario de Queiróz, que mediou o debate, falou sobre as novas profissões da indústria 4.0, as transformações causadas pela pandemia da covid-19 e explicou a necessidade de adequações diante dos crescentes ataques cibernéticos. “Há um déficit de profissionais de TI estimado em 403 mil para 2022, por isso a qualificação no setor se faz necessária. O acesso à internet aumentou e, consequentemente, os ataques cibernéticos cresceram, o que trouxe sérios prejuízos às empresas, em especial para as micro e pequenas, que geralmente não se preocupam ou não têm condições para implementar medidas de segurança robustas e contínuas. É necessário aplicar recursos financeiros em cibersegurança, pois negligenciar esse aspecto compromete a reputação da organização no mercado.”

07 10 2021 Reunião do Comitê Gestor Debate Segurança Cibernética Foto Victor Hugo Pessoa Capa2

Opinião
Na visão do professor doutor e membro da Comissão Acadêmica do Programa de Pós-graduação em Segurança Cibernética da Universidade de Brasília Rafael Rabelo Nunes há riscos que vão além das telas. “As empresas sofrem riscos trabalhistas e patrimoniais, pois são zonas que impactam o negócio. A segurança cibernética atinge um todo. Na universidade, preparamos o aluno para entender não só de tecnologia, mas também de processos de gestão. O profissional precisa de uma formação completa, que, aliás, envolve anos de estudo”, disse durante a segunda mesa de discussões.

Participaram também do debate o presidente da Associação Brasileira de Segurança Cibernética e CEO da Decript, Hiago Kin, a diretora de Relações Institucionais do Observatório dos Crimes Cibernéticos, Julieta Verleun, a líder do projeto de Segurança Cibernética da Agência Brasileira de Desenvolvimento Industrial (ABDI), Larissa Querino, e o fundador da Apura Cybersecurity Intelligence, Sandro Suffert.

Assista o evento completo no link.

Texto: Dayane dos Santos
Fotos: Victor Hugo Pessoa/Fibra
Assessoria de Comunicação da Fibra
Please follow and like us:

Cisnes Negros, Gestão de Riscos e Continuidade dos Negócios

Para quem não conseguiu assistir, a live já está disponível na íntegra no Youtube.
Nela, discutimos sobre Cisnes Negros, Gestão de Riscos e Continuidade dos Negócios nesse cenário de COVID-19.
Agradeço ao Prof. Geraldo Falcão pelo debate, a mediação e o convite do José Carlos Deotti, e do Antônio Loiola

https://www.youtube.com/watch?v=pbcSueqELsM&fbclid=IwAR2csk39wnFelppM9YxPX-dIIXd7iaNejIfTNvdgQDjR6Sl9yB1xJcOe-EI

Please follow and like us:

Cade: Nova turma de Introdução à Gestão de Riscos

No último dia 06 de abril de 2018, no auditório da ANTAQ, iniciou-se a segunda turma de Introdução à Gestão de Riscos, elaborada e ministrada especialmente para os servidores do Cade – Conselho Administrativo de Conselho Econômico pelo Prof. Rafael Rabelo.

Da mesma forma que a primeira turma, o objetivo principal do curso é  “uniformizar os conceitos básicos da Gestão de Riscos, capacitando os servidores a aplicar o processo de avaliação de riscos de acordo com a série de normas ISO 31.000”.

Nessa segunda turma, se ampliará o uso de metodologias ativas de aprendizagem. Assim, os servidores serão convidados a observarem a realidade do órgão, identificar os pontos chaves, teorizar sobre a Gestão de Riscos para então, realizar hipóteses de solução. Dessa forma, torna mais fácil aplicar à realidade do órgão e a cada uma de suas áreas, a gestão de riscos.

Segundo o Prof. Rafael, “O treinamento tende a ter um efeito mais útil quanto se utiliza metodologias ativas de aprendizagem. Eu espero que os servidores consigam já no final do curso, aplicar técnicas básicas de identificação, análise e avaliação de riscos e já saiam fazendo, e não apenas teorizando”.

A Gestão de Riscos é uma excelente forma de se gerenciar uma organização. Com essa abordagem, a organização define os seus objetivos e procura identificar, analisar e avaliar o que pode, de alguma forma, desviá-la desse objetivo.

Please follow and like us: