O sistema em consideração (SUC) corresponde a um termo amplamente utilizado pelo comitê do ISA99 para se referir a um sistema que está sendo analisado ou deve ser submetido à avaliação de risco cibernético. Este termo (e conceito) tem um uso muito amplo fora do mesmo comitê.

Sistema em Consideração ou também denominado Solução em Consideração (SUC), na série de normas ISA / IEC-62443-1-2 é definido como: coleção de ativos para fins de avaliação de risco cibernético. Um SUC consiste em um conjunto de uma ou mais zonas e seus conduítes relacionados em que todos os ativos de um SUC estão dentro de uma zona ou conduíte.

Uma zona: é um conjunto de entidades que representam a segmentação de um sistema em consideração que pode ser definido a partir de uma relação funcional, lógica ou física (localização). Uma área tem um delineamento claro definido por seu perímetro ou borda.

Um conduíte: é uma coleção ou agrupamento de Cyber-Ativos que representam um canal de comunicação, que serve para que duas ou mais áreas se comuniquem entre si.

Para poder realizar uma avaliação de risco cibernético de forma prática, é necessário definir o seu escopo. Para efeitos de organização do serviço ou projeto é conveniente identificar cada um dos diferentes SUCs.

As plantas industriais podem ter seguido critérios de projeto diferentes.

Existem plantas industriais que foram concebidas com uma única sala de controle centralizada responsável por todos os diferentes processos e setores em um único sistema de controle principal. Embora muitos fabricantes muitas vezes coexistam aqui, existe um sistema de controle responsável pela operação, supervisão da planta como um todo. Nesse caso, podemos estar lidando com um único SUC (às vezes muito grande).

Existem plantas que possuem múltiplas salas de controle, e múltiplos SUCs, onde de cada uma delas é operado, supervisionado e controlado um setor da planta industrial ou uma série de processos industriais. Neste tipo de planta, sem dúvida, nos depararemos com mais de um SUC, possivelmente vários. Esses tipos de plantas industriais geralmente possuem sistemas de controle de diferentes marcas e fornecedores.

Para organizar o trabalho de avaliação de risco cibernético, é conveniente segmentar a planta na menor quantidade de SUC, mas de forma prática para o usuário final. Segmentar excessivamente costuma ser contraproducente. Para definir cada SUC e a quantidade de SUC, diferentes critérios podem ser usados. Por exemplo: podem ser segmentados por setores da fábrica, por grandes processos, salas de controle independentes ou com diferentes tecnologias, entre outros.

É razoável que muitos se perguntem por onde começar? Apesar do que muitos acreditam, é aconselhável começar com os SUCs mais complexos e críticos, ou aqueles que “presumivelmente” atendam à maior variedade de situações. Esses SUCs mais críticos ou importantes serão certamente os que apresentarão mais riscos cibernéticos para a organização. É conveniente começar aqui. As lições aprendidas serão muito mais benéficas para a organização e, dessa forma, ela estará pronta para mitigar os maiores riscos primeiro, deixando os sistemas de menor risco por último.

No final das contas, é necessário analisar todos os sistemas, estejam eles em rede ou totalmente isolados. Você tem que avaliar todos eles. A definição ou agrupamento do SUC permite organizar o projeto em partes mais controláveis. Cada uma destas partes (ou SUC) pode ser analisada em série, uma a seguir à outra, ou em paralelo, pelo mesmo grupo de trabalho ou mesmo por diferentes grupos de trabalho, tanto do lado do utilizador como do lado do fornecedor, indistintamente.

Importância do SUCÉ muito importante identificar o SUC bem antes de analisar os riscos industriais

Uma vez que o SUC tenha sido definido, durante a sua avaliação, é extremamente importante identificar adequadamente cada um dos Sistemas em Consideração com todos os Ciber-Ativos (Hardware, Firmware, Software) que dele fazem parte. Fazê-lo errado ou incompleto transportará o erro para todas as outras atividades, e você correrá o risco de fazer uma avaliação de risco ruim e, portanto, de tomar decisões erradas ou insuficientes. A norma ISA / IEC-62443 é muito clara quanto ao que deve ser considerado como escopo e como identificar cada um dos Ciber-Ativos, em suas Zonas e Conduítes.

Erros Freqüentes... que as empresas tendem a se comprometer ao compreender os sistemas

Um dos erros mais comuns, que vemos com frequência, é baseado em uma definição inadequada de escopo, limitando a avaliação a certos tipos de ativos virtuais. Ou seja, realiza uma identificação parcial do SUC, com uma lista parcial do próprio Inventário. Caso 1: apenas os Cyber-Assets que se conectam a uma rede TCP / IP são levados em consideração e deixados fora do alcance de todos os outros, inclusive aqueles que estão isolados das redes ou não têm conexão. Caso 2: Definição incorreta do que se entende por Cyber-Ativo. Caso 3: ao compreender o SUC, ele é omitido para coletar dados importantes.

Outro dos erros mais comuns, que vemos com frequência, é pré-julgar o risco cibernético. Muitas pessoas consideram que determinados ativos cibernéticos não são importantes antes de avaliar o risco cibernético com a metodologia apropriada. Há uma subestimação do risco e das capacidades que o Cyber-Ativo pode ter antes de analisá-lo. Adicionalmente, se um Cyber-Ativo não apresentar risco, este deve ser documentado e justificado com a metodologia correta.

Outro erro ainda mais comum, consiste na obsessão por encontrar vulnerabilidades tecnológicas em Cyber-Assets. Embora seja aconselhável incluir um estudo de vulnerabilidade, vemos quantas vezes as empresas de serviços concentram todos os seus esforços e recursos na avaliação da vulnerabilidade. Embora úteis, devem ser realizados com alguma razoabilidade e equilíbrio com as demais atividades e tarefas necessárias. Exemplo. Os famosos testes de penetração em sistemas de plantas são desnecessários e adicionalmente contraproducentes.

fechar

VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor: Maximillian Kon Gerente WiseGroup Em segurança cibernética Instrutor Qualificado ISA Membro dos Grupos ISA
CEO e diretor administrativo

Nenhuma pergunta encontrada