SegInfocast #33 – Livro “Segurança de Automação Industrial e SCADA”

SegInfocast #33 – Faça o download aqui.

Neste episódio, recebi pela primeira vez Marcelo Branquinho, fundador e CEO da TI Safe Segurança da Informação, para uma conversa sobre SCADA e automação industrial.

Qual o significado do termo SCADA? 

SCADA é o acrônimo para Supervisory Control and Data Acquisition, ou seja, sistemas de controle e supervisão e aquisição de dados, que embora não estejam visíveis ao grande publico são utilizados  na gerência de infraestruturas críticas muito importantes para as cidades como energia elétrica, purificação de água, sinalização de trânsito, tráfego aéreo e outros.

Qual a importância da preocupação com segurança em sistemas SCADA?

Esses sistemas controlam serviços fundamentais e muitos deles são antigos, criados nos anos 90, sem a preocupação com segurança lógica, somente com a física. Porém com o advento da internet, os riscos de ataques se tornaram mais visíveis, aumentando a preocupação com a segurança. Há um outro agravante: aqueles que deveriam ser os sistemas mais protegidos, são os mais negligenciados, colocando em risco a vida de milhares de pessoas, em caso de comprometimento. Alguns exemplos reais de ataque dados por Marcelo Branquinho: o incidente em uma usina de energia, que deixou milhares de pessoas sem luz na Ucrânia durante seis horas e o envenenamento de água de uma cidade norte-americana através da invasão do sistema de distribuição.

Seguranca-de-Automacao-Industrial-e-SCADA

Quais foram as motivações para escrever o livro “Segurança de Automação Industrial e SCADA”?

Branquinho diz que o livro procura descrever o que são esses sistemas de automação e a sua importância para a sociedade. Hoje, os sistemas SCADA são vitais para o funcionamento das grandes cidades, porém o nível de segurança ainda precisa melhorar, especialmente em tempos de guerra cibernética – que já foi tema do episódio 21 do SegInfocast, através do livro “Guerra Cibernética – A próxima ameaça à segurança e o que fazer a respeito“.

Quem deveria ler esse livro?

Security Officers, profissionais de TI, Segurança da Informação e de Tecnologia de Automação são o público alvo do livro.

Marcelo Branquinho é Engenheiro Eletricista com especialização em sistemas de computação e MBA em Gestão de Negócios. É fundador e CEO da TI Safe Segurança da Informação, além de ser especialista em sistemas SCADA com mais de 15 anos de experiência no ramo de infraestruturas críticas. É também o coordenador da formação em segurança em automação industrial. Membro sênior da ISSA Internacional.

Violações de cibersegurança impactam 9 em cada 10 organizações no Brasil

Erros humanos são os que mais contribuem para o risco à segurança, é o que mostra pesquisa realizada pela CompTIA, com mais de 1.500 executivos em 12 países.

Nove em cada 10 organizações no Brasil foram atingidas, por pelo, menos uma violação de segurança no ano passado, sendo que a maioria das violações foram classificadas como graves, de acordo com o novo relatório divulgado pela CompTIA, associação do setor de TI, sem fins lucrativos e reconhecida mundialmente como referência em certificações vendor-neutral.

O relatório Tendências Internacionais em Segurança Cibernética também revela que as organizações estão alterando as práticas e políticas de segurança devido a maior dependência da computação em nuvem e soluções de tecnologia móvel.

Mais de 1.500 executivos de negócios e de tecnologia em 12 países foram pesquisados. O relatório inclui dados da Austrália, Brasil, Canadá, Alemanha, Índia, Japão, Malásia, México, África do Sul, Tailândia, Emirados Árabes Unidos (EAU) e Reino Unido (UK). No Brasil, 126 executivos foram pesquisados.

A pesquisa aponta que 73% das organizações relataram alguma brecha no ano passado. Na comparação com os demais países pesquisados, o Brasil ficou entre os mais vulneráveis a riscos de segurança. “Apenas 13% das empresas brasileiras afirmaram não ter tido qualquer tipo de experiência com violação de segurança”, destacou a executiva de negócios da CompTIA, Tatiana Falcão.

“Nossa pesquisa também constatou que 90% das empresas brasileiras esperam que cibersegurança torne-se uma prioridade mais elevada ao longo dos próximos dois anos”, disse Tatiana. Ainda segundo a executiva, existe uma forte tendência no País de direcionamento de recursos para o aprimoramento do desenvolvimento profissional dos funcionários. A CompTIA tem realizado grandes volumes de investimentos no Brasil e a procura pelas certificações duplicou no último ano, esse aumento também reflete a demanda crescente sobre cibersegurança no Brasil.

No Brasil 87% das organizações disseram que experimentaram pelo menos uma violação de segurança cibernética ou incidente nos últimos 12 meses.

Oitenta e um por cento das empresas brasileiras relatam violações de segurança cibernética relacionadas a dispositivos móveis, tais como dispositivos perdidos, malware móvel e ataques de phishing, além da desativação dos recursos de segurança pelos funcionários. Os erros humanos são os que mais causam riscos à segurança cibernética com 58%, contra 42% de erros tecnológicos.

Mudanças nas operações de TI, quer devido a uma maior dependência da tecnologia móvel, pelo uso de soluções baseadas em nuvem ou algum outro fator, são os principais caminhos para alterar as abordagens à segurança cibernética, de acordo com as empresas brasileiras pesquisadas para o relatório.

As organizações estão tomando medidas para avaliar e melhorar o conhecimento sobre cibersegurança entre os seus empregados. As práticas incluem orientação a novos funcionários, programas de formação contínua, cursos on-line e auditorias de segurança aleatória.

Mas os resultados até agora têm sido mistos. Apenas 27% das organizações avaliam sua educação sobre cibersegurança e seus métodos de treinamento como extremamente eficazes. Fazer o treinamento de funcionários ser obrigatório, entregar uma formação mais abrangente e mais frequente, com a combinação de testes e avaliações são algumas das medidas que melhorem a eficácia, disseram executivos.

Os principais pontos que necessitam de atenção na abordagem da cibersegurança no Brasil são:

  • Mudanças nas operações de TI;
  • Mudanças nas operações comerciais ou na base de clientes;
  • Adquirir conhecimento por meio de treinamento e certificação;
  • Foco em uma nova indústria vertical;
  • Relatórios de violações na cibersegurança de outras empresas.

Nove em cada 10 executivos e gerentes no Brasil acreditam que é importante testar o funcionário após o treinamento de segurança cibernética para confirmar os ganhos de conhecimento, enquanto que 93% indicam que as certificações para profissionais de TI são valiosas ou muito valiosas como uma forma de validar conhecimentos e habilidades relacionadas à segurança cibernética.

O relatório International Trends in Cybersecurity é baseado em uma pesquisa online com 1.509 executivos de negócios e de tecnologia realizada em janeiro e fevereiro de 2016. Para baixar o relatório visite https://www.comptia.org/resources/international-trends-in-cybersecurity.

Sobre a CompTIA

A Computing Technology Industry Association (CompTIA), é uma associação sem fins lucrativos que atua como a voz da indústria de tecnologia da informação. Com cerca de 2.000 empresas associadas, 65.000 usuários registrados, 3.000 parceiros acadêmicos e de treinamento e mais de dois milhões de certificações de TI emitidas, a CompTIA é dedicada ao avanço e crescimento da indústria por meio de programas de ensino, pesquisa de mercado, eventos, certificações profissionais e defesa de políticas públicas.  Para conhecer mais, visite CompTIA online, Facebook, LinkedIn e Twitter.

E-Book gratuito: Introducing Windows Server 2016 Technical Preview

WindowsServer2016TechnicalPreviewMais uma dica de e-book gratuito e leitura indispensável para todos os que acompanham este blog. Se trata do Introducing Windows Server 2016 Technical Preview, disponibilizado pela Microsoft Press.  O Windows Server 2016 que será lançado ainda neste ano, está atualmente na versão Technical Preview 5.

Vou começar nesta semana uma série de vídeos sobre o Windows Server 2016. Aguardem!

SegInfocast #32 – A importância de desenvolver sistemas seguros, do projeto à produção

seginfocast-logo-novo_150SegInfocast #32 – Faça o download aqui.

Neste episódio recebi novamente Davidson Boccardo, instrutor da Academia Clavis Segurança da Informação, para uma conversa sobre Desenvolvimento Seguro.

Qual a importância do desenvolvimento seguro desde a concepção dos sistemas?

Atualmente, nota-se uma mudança no pensamento por parte das empresas e governos sobre o tema segurança de software. Antes visto como um acréscimo durante o desenvolvimento do software, hoje é visto como uma estratégia para maximizar o retorno sobre o investimento. Neste podcast Davidson evidencia as vulnerabilidades mais exploradas nos dias de hoje e enfatiza a importância do treinamento e conscientização em práticas de codificação segura de software como forma de mitigá-las.

Como os conceitos básicos de desenvolvimento seguro podem ser aplicados na vida real?

Davidson cita um exemplo de comércio eletrônico, onde graças a adequada implementação de controles de Segurança da Informação, informações pessoais de clientes não são revelados,  valores de produtos não são alterados e o site permanece disponível a qualquer hora que o cliente queira acessá-lo, mesmo em períodos de grande quantidade de acessos.

Quais as vulnerabilidades mais predominantes no momento?

O entrevistado enfatiza a importância da conscientização e treinamento mencionando e explicando cada um dos tópicos abordados no curso Secure Programming Foundation da EXIN.

Se você ficou interessado sobre o tema, veja também o Webinar #28 – Exploração de Vulnerabilidades em Softwares InSeguros (Parceria EXIN e Clavis).

Para inscrição no curso oficial à distância da EXIN Secure Programming Foundation, com voucher para a prova, acesse o link.

Davidson Boccardo é Doutor em Engenharia Elétrica pela faculdade de Engenharia de Ilha Solteiro com período na Universidade de Louisiana e especialista em análise de código malicioso. Atualmente é docente permanente da pós graduação de metrologia e qualidade do Instituto Nacional de Metrologia, Qualidade e Tecnologia. Possui certificado CHFI pela EC-Council e Secure Programming pela EXIN. É instrutor da Clavis Security na trilha de forense computacional e do curso Secure Programming Foundation.

Vídeo: Série Veeam – Conheça o Programa Veeam Vanguard

Olá pessoal,

Gravei este vídeo para que vocês saibam mais sobre o programa de influenciadores Veeam Vanguard.

Vejam e comentem!

 

Veeam Vanguard 2016 – Nomeação no programa – Único na América Latina

No último dia 04/04 eu tive o prazer e a alegria de receber um email do Rick Vanover (@RickVanover) da Veeam informando que fui um dos selecionados para fazer parte do programa Veeam Vanguard 2016.

veeam_vanguard

Paulo_veeam_vanguardO programa Veeam Vanguard foi criado no ano passado e é liderado pela equipe de marketing e evangelismo e apoiado por toda a empresa. Se trata de uma iniciativa similar  a outros programas, como por exemplo, MVP Microsoft, do qual faço parte, VMware vExpert, Citrix CTP, entre outros e reúne especialistas em produtos Veeam que atuem junto à comunidade técnica e neste ano conta com 53 integrantes de todo o mundo, a maioria blogueiros, sendo que sou o único da América Latina e do Brasil.

Além de ter acesso direto aos times de produto e poder utilizar e testar todas as soluções que a empresa oferece, também vou ter a oportunidade de participar do evento VeeamOn Forum em Londres, onde farei um treinamento avançado e exclusivo e trarei este conteúdo para o Brasil. Aguardem muitas novidades e conteúdo a respeito dos produtos da Veeam aqui no blog!

Para saber mais sobre o programa Veeam Vanguard, além do site do programa, acessem a conta oficial no Twitter @VeeamVanguard

 

 

 

E-book gratuito VMTurbo – The Public Cloud Guide – New Clouds, Same Challenges

ebookvmturbo

A VMTurbo, parceira deste blog, disponibilizou mais um e-book com um guia bastante útil sobre nuvens públicas. Faça o download e aprenda sobre a jornada para a nuvem, performance, custo entre outros itens bem interessantes. Não deixem de baixar.

Bons estudos!