A metodologia de avaliação de riscos cibernéticos industriais tem recebido muitos debates desde que o tema começou a ser discutido. No entanto, é altamente relevante para os industriais adotar a metodologia correta. Há quem tenha grande experiência em segurança da informação e busque aplicar as mesmas práticas e fórmulas do setor, e há quem saiba que essa abordagem é insuficiente e inadequada.

A metodologia de gestão de riscos é utilizada para tomar decisões, definir as ações que precisam ser implementadas para mitigar riscos e justificar os investimentos.

Pensamento: Se duas metodologias de gestão de risco sugerem decisões diferentes, então pelo menos uma delas está errada ou é insuficiente.

A metodologia proposta pela ISA / IEC-62443 está em conformidade com os requisitos RAGAGEP (Recognized And Globaly Accepted Good Engineering Practices). Como a segurança cibernética industrial está imersa no domínio da segurança física, com consequências e impactos sérios e muito perigosos no mundo físico, essa é uma questão de importância substancial.

Por sua vez, a Segurança Cibernética Industrial deve compartilhar os mesmos recursos que outras disciplinas múltiplas de risco industrial, como segurança funcional, segurança intrínseca, segurança ambiental, segurança pessoal, HACCP e FDA (Alimentos e Farmacêuticos) e muitos outros. de acordo com cada uma das indústrias.

É essencial que as ações de mitigação de risco sejam consistentes em todas essas disciplinas e não concorram entre si. Mas, ao contrário, eles devem ser aprimorados e não cancelados. Você não pode melhorar uma disciplina de risco em detrimento de outra. A segurança industrial não pode ser abordada assintoticamente ou sistematicamente como um processo de “tentativa e erro”. Vidas humanas estão em jogo, entre muitos outros perigos.

NIST, NERC, etc (TI tradicional)Segurança da informação

ISA / IEC-62443 (RAGAGEP)Segurança baseada em conseqüências

Uma abordagem baseada em dados estatísticos que leva em conta o número de incidentes de mercado, agrupados por segmento industrial, e uma avaliação da severidade das Vulnerabilidades, que não leva em consideração as necessidades das demais disciplinas de risco industrial.

Uma abordagem baseada nas consequências de cada processo e nos impactos potenciais para cada um dos destinatários do risco. Um processo multidisciplinar consistente com as outras disciplinas de risco industrial.

Ele se dirige à organização como um todo, sem diferenciar os processos mais críticos daqueles menos críticos. Ele considera todos os processos da mesma criticidade.

Aborde cada processo individualmente, particionando em Zonas e Dutos, tomando decisões com base na criticidade de cada processo individualmente. Priorize os processos mais críticos dos menos críticos.

(1) Processos menos críticos são carregados com medidas de segurança maiores do que o necessário, dedicando mais recursos do que o necessário. A contribuição para a redução do risco é baixa. O excesso de medidas de segurança nos processos menos críticos não reduz o risco.

(2) Os processos mais críticos são protegidos de menos, não contribuindo para a redução efetiva real e mínima necessária do risco.

(1) Nos processos mais críticos, são tomadas maiores medidas de segurança, proporcionais aos impactos potenciais.

(2) As contra-medidas podem ser tecnológicas, administrativas e físicas.

(3) É incorporado à segurança desde o projeto, onde a mitigação de um risco cibernético pode resultar em uma modificação física da planta.

Esta é uma metodologia de tomada de decisão que parece fazer sentido em estatística, mas na prática os recursos não são distribuídos de forma adequada. Você gasta demais onde não precisa e gasta demais onde realmente precisa.

A metodologia de tomada de decisões de segurança valoriza e incorpora a medição dos impactos potenciais para cada um dos receptores de risco e para cada um dos processos. Os esforços de segurança são distribuídos de maneira ideal com uma contribuição necessária e suficiente para a mitigação de riscos no domínio da segurança física.

Não leva em consideração todos os destinatários do risco para a tomada de decisão. Não se responsabiliza pela segurança das pessoas, segurança do meio ambiente, etc. Limita-se à segurança da informação e dos dados. Você não tem como medir o quanto suas decisões contribuem para a redução de risco para cada um dos tomadores de risco.

Considera e avalia todos os tipos de ameaças possíveis que possam comprometer a segurança da infraestrutura tecnológica industrial. Exemplos: Externo / Interno, Intencional / Não Intencional, Tecnológico, Humano e Natural.

Algumas observações adicionais:

1. A abordagem tradicional de TI não prioriza a disponibilidade da mesma forma que os sistemas industriais exigem. As tecnologias de informação mais críticas podem atingir um máximo de 4 a 5 noves, enquanto nos sistemas industriais mais críticos e perigosos a disponibilidade tem um mínimo de 7 noves. O mundo da TI não está acostumado a trabalhar com sistemas de natureza determinística e de altíssima disponibilidade, entre muitas outras diferenças.

2. Por outro lado, os sistemas de informação aceitam a cobertura de risco pela seguradora muito mais rapidamente. No campo industrial esta abordagem não é suficiente porque temos que lidar com a vida das pessoas, danos permanentes ao meio ambiente, entre muitos outros. Explicado de outra forma mais clara e concreta: Para o operador que deve ir trabalhar todos os dias na fábrica, não adianta a organização ter seguro. A tolerância ao risco cibernético é muito menor e não pode ser resolvida por aproximações sucessivas.

fechar

VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor: Maximillian Kon Gerente WiseGroup Em segurança cibernética Instrutor Qualificado ISA Membro dos Grupos ISA
CEO e diretor administrativo

Nenhuma pergunta encontrada