Vemos quantos profissionais com vasta experiência em Segurança da Informação, empresas industriais que atuam, consultores renomados em segurança cibernética, organizações governamentais e desenvolvedores de tecnologia erram (de longe) na definição dos objetivos de sua estratégia em segurança cibernética industrial. Definir metas claramente é o primeiro grande passo antes de iniciar essa grande mudança.

Incorreto e insuficienteTomando decisões ruins. Prioridades incorretas.

  • A maioria das organizações trabalha com uma hipótese de trabalho errada, assumindo que "Se eles protegem os ativos cibernéticos, então protegem as pessoas, o meio ambiente, etc." Esta hipótese de trabalho está incorreta.
  • As bases do Programa de Cibersegurança Industrial estão estruturadas nas colunas erradas.
  • É como plantar uma grande árvore (que vai crescer) em um pequeno vaso. Vai cair sob o seu próprio peso.
  • Priorizando ações de segurança da maneira errada.
  • Não sabendo o que você quer ou deve proteger.

Correto e suficienteSegurança por Design

  • Identifique todos os destinatários do risco, caso os ativos cibernéticos sejam comprometidos.
  • Defina uma metodologia de avaliação de risco que permita decisões com base nas consequências que podem afetar todos os destinatários do risco.
  • Reprojete ou projete sistemas e plantas industriais que sejam suficientemente resilientes para que, mesmo que os ativos cibernéticos estejam comprometidos, eles não possam afetar os receptores de risco, a segurança desde o projeto.

O que estamos protegendo? Protegemos os ativos cibernéticos? Certo?

Errado: muitos acreditam que, se protegermos os ativos cibernéticos, protegemos as pessoas, o meio ambiente e assim por diante. Esta hipótese de trabalho está incorreta e muito distante da realidade. Ameaças à segurança da informação são em grande parte causadas pelo homem. Em suma, os ciber-ativos do homem estão sendo protegidos. Ativos cibernéticos estão recebendo maior prioridade do que vidas humanas. Eles pensam sobre isso e projetam a partir da perspectiva de negócios errada.

Corrija: protege todos os destinatários do risco. Evite que as consequências ocorram mesmo que os ativos cibernéticos sejam comprometidos. Em outras palavras, crie infraestruturas tecnológicas resistentes, robustas, tolerantes, adaptáveis ​​e resilientes a todos os tipos de ameaças. Em uma situação extrema, estamos dispostos a perder um ativo cibernético, mas não estamos dispostos a perder uma vida humana. Pelo menos é assim que deve ser.

É um erro que a grande maioria dos profissionais, principalmente os especialistas em segurança da informação, comete. Infelizmente, eles influenciaram demais governos e CEOs de empresas na tomada de decisões erradas e criaram regulamentações que não servem para proteger os destinatários dos riscos ou são insuficientes. Eles protegem os ativos cibernéticos do homem, em vez de protegê-los de ativos cibernéticos vulneráveis.


fechar






VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor:

Eduardo Kando

Gerente WiseGroup

Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.

Por que queremos ou devemos lidar com a Cibersegurança Industrial?

Errado: Estamos fazendo tudo isso para proteger os ativos cibernéticos, porque os ativos cibernéticos, as informações e os dados que estão dentro dos ativos cibernéticos são os mais importantes para minha organização. Isso pode ser correto para sistemas corporativos de uma perspectiva de negócios. Essa é a norma para profissionais de segurança da informação. Está errado do ponto de vista dos processos industriais.

CorrijaEstamos fazendo tudo isso para proteger todos os destinatários do risco e para evitar que ocorram consequências no mundo físico. Os efeitos dos ativos cibernéticos industriais, uma vez comprometidos, podem ter consequências fora dos ativos cibernéticos e não dentro dos ativos cibernéticos. Na grande maioria das vezes, as informações e dados que estão nos ativos cibernéticos industriais são irrelevantes.

Ativos cibernéticos industriais estão imersos em um mundo físico, onde o que queremos e devemos proteger está fora dos ativos cibernéticos. OT é o domínio da segurança física. TI é o domínio da segurança da informação. Existem muitas diferenças significativas entre TI e OT. Problemas diferentes requerem soluções diferentes. Muito diferentes!


fechar






VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor:

Eduardo Kando

Gerente WiseGroup

Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.

O que devemos alcançar como resultado?

Errado: os erros que vemos frequentemente são muito variados. Na maioria das vezes, vemos que sua intenção é impedir que ativos cibernéticos de ameaças cibernéticas sejam comprometidos. Eles protegem os ativos cibernéticos das mesmas ameaças que afetam os sistemas de informação. Eles priorizam ativos cibernéticos de uma perspectiva de negócios. Eles abordam a segurança cibernética industrial da mesma forma que a segurança da informação. Eles priorizam aqueles ativos cibernéticos que se conectam à rede ou a redes. Esses são alguns dos erros mais comuns.

Corrija: Controle o risco cibernético industrial até os limites toleráveis ​​pela organização. Evite a ocorrência de todas as consequências identificadas no domínio da segurança física que podem afetar todos os destinatários de riscos internos e externos da organização, incluindo o negócio. Não subestime nenhum ativo cibernético.

Todos os ativos que são ciberneticamente sensíveis devem ser analisados, estejam eles conectados ou desconectados das redes. Qualquer componente ciber-sensível deve ser analisado do ponto de vista dos destinatários do risco e não apenas do ponto de vista de negócios e segurança da informação.


fechar






VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor:

Eduardo Kando

Gerente WiseGroup

Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.

Nosso programa atende aos objetivos?

Errado: Como primeira medida, os objetivos devem ser bem definidos. Se os objetivos forem mal definidos, podemos cumprir os objetivos errados perfeitamente bem. Isso é o que geralmente acontece. Muitas vezes, observa-se que as organizações não entendem os padrões.

Corrija: Uma vez que os objetivos estejam bem definidos, será uma questão de fazer as coisas certas, regras corretas, procedimentos corretos, etc. Fazer as coisas bem.

Implemente as regras corretas corretamente.


fechar






VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor:

Eduardo Kando

Gerente WiseGroup

Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.

O que é um incidente cibernético industrial?

Errado: Este é um dos erros mais comuns e comuns. Quando um sistema de segurança da informação é implementado, os eventos cibernéticos são considerados incidentes. Isso está incorreto. Eventos cibernéticos ou incidentes normalmente considerados de uma perspectiva de segurança da informação são insignificantes e sem importância no domínio da segurança física. Muitos falsos positivos são gerados. Como consequência, muitas atividades desnecessárias e caras são realizadas e são inúteis. A confiança no programa é perdida.

Corrija: Incidentes cibernéticos industriais são apenas aqueles que têm algum potencial para causar uma consequência que afeta os destinatários do risco. Até as mesmas consequências. Requer a diferenciação entre eventos cibernéticos sem importância e incidentes cibernéticos. Priorize eventos cibernéticos de acordo com o risco real.

É muito importante que os incidentes cibernéticos tenham uma correlação com os eventos físicos e o comportamento físico da planta. Os incidentes de segurança cibernética industrial estão fora dos ativos cibernéticos e não dentro dos ativos cibernéticos, como ocorre na segurança da informação.


fechar






VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor:

Eduardo Kando

Gerente WiseGroup

Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.

Quanto risco estamos dispostos a tolerar?

Errado: Comece uma avaliação de risco com base no orçamento que você tem que gastar, deseja ou pode gastar. Vemos quantas empresas e organizações evitam os passos iniciais e passam a fazer as atividades da maneira errada.

Corrija: Realize uma avaliação de risco para tomar boas decisões com base no risco tolerável pela organização.

Depois de identificar a tolerância ao risco e a metodologia adequada para tomar boas decisões, comece com as avaliações de risco.


fechar






VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor:

Eduardo Kando

Gerente WiseGroup

Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.

Como estamos tomando decisões?

Errado: use a metodologia errada. Muitas organizações usam dados estatísticos e estudos de vulnerabilidade para tomar decisões de mitigação de riscos cibernéticos industriais. Ambos os critérios estão errados e levarão a decisões erradas, gastos de dinheiro e soluções insuficientes.

Corrija: use uma metodologia para tomar decisões que esteja em conformidade com os requisitos RAGAGEP e a série de padrões ISA / IEC-62443. Todos os riscos inaceitáveis ​​são mitigados por design com decisões de longo prazo, independentes de novas vulnerabilidades e novas ameaças.

A metodologia errada significa automaticamente tomar decisões erradas. Metodologia correta significa tomar boas decisões.


fechar






VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor:

Eduardo Kando

Gerente WiseGroup

Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.

A triste realidade:O que acaba acontecendo

  • Incidentes continuam acontecendo.
  • Priorização incorreta.
  • Eles gastam muito mais dinheiro do que o necessário.
  • Eles tomam medidas de segurança incorretas.
  • As ações de segurança são insuficientes.
  • Eles implementam soluções de curto prazo.
  • Eles não resolvem o problema.

O que seria:Alguns se eles estão fazendo isso

  • Consequências inaceitáveis ​​não podem mais ocorrer.
  • Eles priorizam ativos cibernéticos corretamente.
  • Eles investem o que é justo e necessário.
  • Eles tomam decisões corretas, eficazes e eficientes.
  • Ações de segurança suficientes.
  • Eles implementam soluções de longo prazo.
  • Eles resolvem o problema.
fechar

VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor: Eduardo Kando Gerente WiseGroup
Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.