novembro 12, 2024

[Segurança] Referências e Pesquisas sobre Segurança em Sistemas Industriais

Quer conhecer um pouco mais sobre o cenário atual de ameaças e como o setor industrial está preparado em termos de ciber segurança?

Tem vários sites sobre o assunto e diversos relatórios interessantes que fazem um raio X sobre esses temas. Espero que a lista abaixo seja útil, e pretendo mantê-la atualizada :)

Frameworks (para começar esse post com o pé direito)

   


Australian Cyber ​​Security Centre (ACSC)

Cybersecurity and Infrastructure Security Agency (CISA)

Claroty


Cloud Security Alliance
Ethos (Emerging Threat Open Sharing)


NIST

SANS Institute


Outras fontes






novembro 07, 2024

[Segurança] Manual de orientação sobre exercícios de cibersegurança

Recentemente a Fundação Getulio Vargas e o Exército Brasileiro lançaram um manual com orientações sobre como organizar exercícios de cibersegurança, que foi criado com base no Exercício Guardião Cibernético 6.0 que foi realizado entre 14 e 18 de outubro deste ano.

Segundo o documento, "Os exercícios de cibersegurança são atividades simuladas que podem ser realizadas em âmbito nacional, setorial ou das organizações para testar e/ou aprimorar a prontidão, as capacidades de resposta e a resiliência das medidas contra potenciais ameaças e ataques cibernéticos".

O manual é bem completo e detalha as principais fases e dicas para organizar um evento para testes de simulação de resposta a incidentes de segurança. ele traz dicas sobre como planejar, coordenar, preparar a logística e os aspectos técniucos do exercício e, ao final, como executá-lo.

O material é bem didático e foi feito com uma linguagem bem direta e acessível. Ele visa apoiar empresas e outras organizações da sociedade na compreensão e prática de exercícios de segurança cibernética.

Manual de Orientação sobre Exercícios de Cibersegurança pode ser baixado gratuitamente no site da FGV, em formato PDF.

O manual define dois tipos de exercícios de cibersegurança:

  • Simulação construtiva, realizada em formato de exercícios de discussão sobre cenários de incidentes hipotéticos ("tabletops"), realizado com o apoio de facilitadores;
  • Simulação virtual, mais técnico, composto por exercícios funcionais realizados em ambiente de simulação operacional (conhecidos como "cyber ranges").

Para saber mais:

novembro 01, 2024

[Segurança] Princípios para Cibersegurança em Tecnologia Operacional (OT)

No início de outubro, o Australian Signals Directorate's Australian Cyber ​​Security Centre (ASD's ACSC) em parceria com a Cybersecurity and Infrastructure Security Agency (CISA) e diversas organizações internacionais, lançou o guia Principles of Operational Technology Cyber Security, disponível gratuitamente online e em PDF.


Este guia apresenta os "princípios para cibersegurança em tecnologia operacional (OT)" e fornece orientações importantes sobre boas práticas e como criar e manter um ambiente de tecnologia operacional (OT) seguro e protegido.

Os seis princípios que orientam a criação e manutenção de um ambiente de OT de infraestrutura crítica seguro e protegido são:
  1. A segurança é primordial
  2. O conhecimento do negócio é crucial
  3. Os dados de OT são extremamente valiosos e precisam ser protegidos
  4. Segmente e segregue OT de todas as outras redes
  5. A cadeia de suprimentos deve ser segura
  6. As pessoas são essenciais para a segurança cibernética de OT
Os seis princípios acima, descritos no guia, têm como objetivo auxiliar as organizações a identificar como as decisões de negócios podem impactar negativamente a segurança cibernética de OT e os riscos específicos associados a essas decisões. Filtrar decisões que impactam a segurança de OT aprimorará a tomada de decisão abrangente que promove a segurança e a continuidade dos negócios.

A CISA incentiva as organizações de infraestrutura crítica a revisar as melhores práticas e implementar ações recomendadas que podem ajudar a garantir que os controles adequados de segurança cibernética estejam em vigor para reduzir o risco residual nas decisões de OT.

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.