Fernando martins seguranca holistica
description
Transcript of Fernando martins seguranca holistica
Segurança Holística O todo será maior que a soma das partes, quando cada um
sabe, que é o que é, porque todos nós somos
Fernando Martins ONI Telecom Physical Security Strategy [email protected]
Índice
• Introdução
– 11 de Setembro de 2001
– Segurança V. Holísmo V. Ubuntu
– Tripés de Segurança
– A Segurança está onde?
• Inteligência
• Redução de Riscos
• Filmes antigos e realidades novas
• Casos Práticos
11 de Setembro de 2001
Evento de impacto mundial que chamou a atenção dos especialistas de segurança para a lacuna existente entre sistemas de segurança física e informática
Dados acerca da segurança física de edifícios, portos, aeroportos, incluindo projetos e diagramas de sistemas e cablagem passaram a ser uma informação com caráter de elevada confidencialidade pelo que têm de ser protegidos de acordo com as melhores práticas da segurança informática
11 de Setembro de 2001
Relatório GAO-02-687T (2002)
“Os ataques terroristas de 11 de Setembro aumentaram as preocupações acerca da segurança física dos edifícios federais e da necessidade de proteger aqueles que lá trabalham e seus visitantes. (...) Estão disponíveis comercialmente diversas soluções técnicas que podem ser aplicadas, desde torniquetes a cartões de acesso inteligentes e sistemas biométricos. Apesar destas tecnologias permitirem um elevado controlo técnico, a segurança global vai depender de processos de gestão de risco robustos e na implementação de três conceitos no processo de segurança holística: proteção, deteção e reação.”
Segurança V. Holísmo V. Ubuntu
• SEGURANÇA: sentimento, vulnerável, relacionado com perceção de se estar protegido contra perigos, o que é difícil de atingir e muito fácil de fragilizar
• HOLÍSMO: "the tendency in nature to form wholes that are greater than the sum of the parts through creative evolution“ (Jan Smuts)
• UBUNTU (palavra Zulu/Xhosa): "I am what I am because of who we all are.“ (Leymah Gbowee) “Ubuntu does not mean that people should not enrich themselves. The question therefore is: Are you going to do so in order to enable the community around you to beable to improve?” (Nelson Mandela)
Tripés de Segurança
INTEGRIDADE
CONFIDENCIALIDADE DISPONIBILIDADE
Outra perspetiva, como se viu atrás: PROTEÇÃO, DETEÇÃO e REAÇÃO
Perspetiva Comercial: INOVAÇÃO, DIFERENCIAÇÃO, RETORNO DO INVESTIMENTO
Na prática a Segurança está onde? • presença ou ausência de energia?
• firewall, vpn e ids?
• sistemas operativos, bases de dados, apps?
• canais de comunicação cobre/fibra/wireless?
• sensores e barreiras de proteção físicas?
• vídeo proteção e análise de vídeo?
Tudo isto é baseado em DECISÕES, que são baseada em INFORMAÇÃO, que é necessária para definir uma ESTRATÉGIA, para isso é preciso INTELIGÊNCIA
As FERRAMENTAS TECNOLÓGICAS, como os recursos humanos, são apenas uma pequena parte da equação, que define um sistema de segurança, para pessoas, bens ou informação
Índice
• Introdução
• Inteligência
– Falar com o Povo
– Adivinhar perigos
– Agentes
– Ciclo de Informações
• Redução de Riscos
• Filmes antigos e realidades novas
• Casos Práticos
Inteligência
Enquadrar o termo: Política, Estratégica ... Pensar antes de fazer, informar-se antes de decidir, analisar antes de desenhar a solução técnica Serviços de Inteligência = Serviços de Informações de Segurança e Defesa do Estado Serviços de Inteligência Privada? Data Warehouse?
Inteligência
“O teu espírito só poderia melhorar se tivesses diante de ti homens
livres cujas resistências vencerias pela única arma da inteligência ou
que te levariam a modificar as tuas opiniões, a alcançar porventura
uma visão mais nobre e mais vasta da vida universal; a inteligência
tem de incluir aquilo que não consegue eliminar. (...) O grande defeito
dos intelectuais portugueses tem sido sempre o só lidarem com
intelectuais. Vão para o povo. Vejam o povo. Vejam como eles
refletem, como ele entende a vida, como eles gostariam que a vida
fosse para eles.”
Agostinho da Silva
Inteligência
«Tal há-de ser quem quer, co dom de Marte,
Imitar os Ilustres e igualá-los:
Voar co pensamento a toda parte,
Adivinhar perigos e evitá-los,
Com militar engenho e sutil arte,
Entender os imigos e enganá-los,
Crer tudo, enfim; que nunca louvarei
O capitão que diga: “Não cuidei.”»
Luis de Camões
Gen. Pedro Cardoso Gen. Rodolfo Begonha
Pêro da Covilhã
Inteligência
«Os agentes vivos são aqueles que voltam com informações. Escolhem-se homens espertos, talentosos, inteligentes e com fácil acesso àqueles que privam com o soberano ou elementos da nobreza. (…) Tratam-se de pessoas que podem ir e voltar apresentando relatórios. Para agentes vivos temos de contratar homens inteligentes que pareçam estúpidos, que se mostrem moles, mas sejam de coração duro, e ainda ágeis, vigorosos, resistentes e corajosos, conhecedores de coisas baixas, capazes de aguentar a fome o frio, a porcaria e a humilhação.»
A Arte da Guerra, Sun Tzu
Inteligência
DIREÇÃO E PLANEAMENTO
PESQUISA E RECOLHA
PROCESSAMENTO E ANÁLISE
DISSEMINAÇÃO E EXPLORAÇÃO
Índice
• Introdução
• Inteligência
• Redução de Riscos
– Vulnerabilidade e Nível de Risco
– Evolução Tecnológica V. Envolvimento RH
– Evolução Tecnológica V. Evolução de Risco
– Ciclo da Integração
• Filmes antigos e realidades novas
• Casos Práticos
Redução de Riscos
Evolução Tecnológica V. Envolvimento RH
Envolvimento de RH
Evolução Tecnológica
Ex-Polícias
Vigilantes treinados
Técnico de Electrónica
Técnico de Informática
Analista de Risco
Redução de Riscos
Evolução Tecnológica V. Evolução de Risco
Elementos em Risco
Evolução Tecnológica
Pessoas e Valores
Edifícios
Equipamentos
Informação
Comércio Electrónico Pessoas Informação Instalações Equipamentos
Redução de Riscos
Vulnerabilidade Qualquer fraqueza intrínseca, induzida ou provocada no bem a proteger, que possa ser explorada pela ameaça para produzir um dano.
Risco = Probabilidade x Consequência Probabilidade = Ameaça x Vulnerabilidade Ameaça = Intenção x Capacidade x Oportunidade Nível de Risco = Ameaça x Vulnerabilidade x Consequência
Redução de Riscos
MANUTENÇÃO
MONITORIZAÇÃO
AUDITORIA
PROJETO
INSTALAÇÃO
CLIENTE
TECNOLOGIA E OUTROS RECURSOS
INTEGRAÇÃO
ROI E VALOR HOLÍSTICO
Índice
• Introdução
• Inteligência
• Redução de Riscos
• Filmes antigos e realidades novas
– Relações entre as áreas da Defesa e Segurança - física, eletrónica, informática, humana
• Casos Práticos
Ataques a SCADA (Supervisory Control And Data Acquisition)
HACKERS (1995)
DIE HARD 4 (2007)
WARGAMES (1983)
Explosão de Pipeline na Sibéria. O evento resultante é supostamente a maior explosão não nuclear na história (1982)
Interrupção de abastecimento de água em Springfield (Illinois, USA, 2011)
Vladimir Vetrov a.k.a. Farewell
Ataques a SCADA (Supervisory Control And Data Acquisition)
Under attack: The water plant in Springfield, Illinois, where a pump stopped working
Stuxnet (2005-2012)
Ataques a SCADA (Supervisory Control And Data Acquisition)
Duqu (2011) – novo worm, aparentemente, uma evolução do Stuxnet Flame (2012) – novo worm, outra evolução, aparentemente ainda relacionado com ataques ao Irão
Ataques a SCADA (Supervisory Control And Data Acquisition)
Ataques a SCADA (Supervisory Control And Data Acquisition)
Iranian Hackers targeting US oil, gas, and electric companies May 26, 2013 (thehackernews.com)
Hackers Iranianos conseguiram acesso a sistema SCADA nos EUA.
Foi encontrado Malware que pode danificar diversas instalações.
Os alvos foram diversas infraestruturas de petróleo, gás e eletricidade, não identificadas.
É reconhecido que o objetivo seria sabotagem e não espionagem.
Ataques a SCADA (Supervisory Control And Data Acquisition)
Membro do Chaos Computer Club que descobriu a clonagem de cartões telefónicos. Aos 26 anos de idade foi encontrado enforcado num parque público em Berlim
Testosterona V. Profissionalismo
The problem is a lot more complex then just people with green hair and body piercing, that can solve puzzles where people with computer engineering backgrounds can't solve.
Hackers get caught, because they end up in the headlines. They're not professionals. They are out for the adventure. They are out for bragging rights. They are out for exploration.
The professionals, the person from Intelligence, they're not going to get caught. And when they are detected, the people who detect them are not going to want to acknowledge that they've been there.
Marc Maiffret a.k.a. Chameleon
Kevin Mitnick a.k.a. Condor
Richard Power (CSI/FBI)
Índice
• Introdução
• Inteligência
• Redução de Riscos
• Filmes antigos e realidades novas
• Casos Práticos
– Infraestruturas Críticas Nacionais
• Consultoria de Segurança
• Segurança Física
Legislação para ICN/ICE em Portugal: MINISTÉRIO DA DEFESA NACIONAL Decreto-Lei n.º 62/2011 de 9 de Maio
Consultoria de Segurança Análise Estratégica de Infraestrutura Crítica
Porto Marítimo no Hinterland do Zambeze
Consultoria de Segurança
Algumas das Disciplinas em Análise
Caracterização da História e Geoestratégia
Caracterização do regime jurídico, em termos de Direito Internacional e Direito Interno
Caracterização da Regulamentação de Segurança a aplicar, para a construção de Políticas de Segurança, que enquadrem o Porto no contexto da sua realidade como plataforma logística internacional e uma fronteira desse país com o exterior.
Consultoria de Segurança
Plano Estratégico
Para quê? Qual o objetivo
Contra quem? Qual o adversário
Contra o quê? Caracterização da ameaça
Com quê? Meios a utilizar
Quando? Momento para desenvolver a ação, duração da implementação da estratégia, duração da ação, momento em que os efeitos da estratégia se começam a sentir
Como? Como se aplica a estratégia, considerando a geografia, a proporção e credibilidade dos recursos a usar, tendo em conta as questões diplomáticas e políticas, os procedimentos de informação e ação e de solidariedade com outras entidades
Consultoria de Segurança
Controlos de segurança a implementar no âmbito do ISPS (SOLAS – Safety Of Life At Sea)
Acesso público controlado e restrito, com a implementação de sistemas automáticos de controlo de acessos e videovigilância
Delimitação e sinalização de áreas para equipamentos, com a implementação de sistemas automáticos de controlo de acessos e videovigilância
Identificação de pontos sensíveis e vulnerabilidades, através de processos de análise de risco e medidas consequentes para a sua mitigação e controlo, para a segurança de pessoas, bens e informação
Existência de Iluminação de emergência
Existência de Informação centralizada para apoio a tomadas de decisão, como a existência de uma sala de segurança e receção de alarmes.
Consultoria de Segurança
Controlos de segurança complementares a implementar
• Segurança da Informação segundo a norma ISO 27001
• Segurança Física segundo a parte correspondente da norma ISO 27001
• Segurança Eletrónica segundo as normas EN 50131
• Monitorização de Segurança eletrónica segundo a norma BS 8418
• Gestão de Continuidade de Negócio segundo a norma ISO 22301
PREVENÇÃO & SEGURANÇA
Segurança Física
3 Centros de Monitorização 61 Câmaras (CCTV) 826 Detetores de Incêndio (SDI) Extinção Automática Compartimentação de Incêndio Comunicações VLAN em Fibra Ótica Barreiras Físicas Vigilância Humana
Poço e Galeria de
Drenagem (P0)
Vídeo Vigilância
Segurança Física
Turbinas (P4)
Extinção Automática
de Incêndio (CO2)
Outros:
Aspiração c/Laser
Aspiração p/Ótico
Segurança Física
Poço da Turbina (P5)
SDI / Vídeo Vigilância
Segurança Física
Central Hidroelétrica
Sala de Máquinas (P6)
. CCTV
. SDI
. 3x SDI p/Aspiração
Segurança Física
Sala de Comando
(P7)
Segurança Física
Compartimentação
de Incêndio (P9-0)
Segurança Física
Captação de Água
Vídeo Vigilância
Segurança Física
Vedação da barragem (montante)
Segurança Física
Vedação acesso ao túnel (jusante)
Portão de Acesso à Central Hidroelétrica
Controlo de Acessos
Sala de Comando
(Perímetro)
Segurança Física
Tratamento de Água
Vídeo Vigilância
Segurança Física
Bombagem de Água
Vídeo Vigilância
Segurança Física
Sala de Telecomando Sede a 13Km da barragem
. SCADA Supervisory Control And Data Acquisition
. PSIM Physical Security Information Management
. VMS Video Management System
. CRA Central Recetora de Alarmes
Segurança Física
Obrigado
Fernando Martins ONI Telecom
Physical Security Strategy
http://www.oni.pt (site corporativo)
http://www.enterprisecloud.oni.pt (site dedicado à oferta de Cloud Computing com simulador on-line)
http://municipiosseguros.oni.pt (microsite de evento - posterior disponibilização de vídeo de workshop técnico de vídeo analítico)