Título

CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO DE SEGURANÇA DA INFORMAÇÃO PARA AUTOMAÇÃO

CONCEPT AND DESIGN OF INTEGRATED PROGRAM OF INFORMATION SECURITY FOR AUTOMATION

Autoria

Vinicius Andres Strey; Luiz Frederico de Freitas Kümmel

DOI

10.5151/2237-0234-25506

Downloads

Baixar Artigo 355 Downloads

Resumo

Segurança da informação é um tema crescente dentro do ambiente de Tecnologia de Automação. Da mesma forma que para outras rupturas que ocorreram, as grandes empresas desempenham um papel de vanguarda também quando se fala em segurança da informação. Grandes empresas, no geral, possuem diversas instalações. Neste caso, em se tratando de segurança da informação, é fundamental que os riscos sejam identificados e os controles sejam definidos e implantados de maneira integrada, de modo que vulnerabilidades quando exploradas não afetem o negócio como um todo. Desta forma, recomenda-se fortemente a adoção de um programa de segurança da informação com a participação das diversas instalações em vez de projetos isolados. Este trabalho apresenta a estratégia para o desenvolvimento deste programa através da adaptação de boas práticas e frameworks de referência, como ISA-62443 e NIST SP 800-82. As fases de concepção e desenho do programa estão contempladas, tomando como caso de referência o Programa de Cyber Security para Sistemas de Automação Industrial da Vale. Este programa foi concebido para ser abrangente nos aspectos de segurança da informação, considerando a situação individual de cada mina, usina ou porto envolvido, e estruturado de maneira a ser expandido facilmente para outras instalações.

 

Information security is a growing subject within the Operational Technology environment. Just as for other breaches that occurred, large companies perform a leading role also when it comes to information security. Large companies, in general, have different facilities. In this case, when it comes to information security, it is essential that risks be identified and controls be defined and deployed in an integrated manner, so that vulnerabilities when exploited do not affect the business as a whole. Thus, it is strongly recommended the adoption of a program of information security with the participation of various facilities instead of isolated projects. This paper presents a strategy for the development of this program by adapting best practices and frameworks of reference, such as ISA-62443 and NIST SP 800-82. The phases of conception and design of the program are covered, taking as reference case the Program Cyber Security for Industrial Automation Systems of Vale. This program is designed to be comprehensive in the aspects of information security, considering the individual situation of each mine, plant or port involved, and structured so as to be easily expanded to other facilities.

Palavras-chave

Segurança da Informação; Programa de Segurança; Tecnologia de Automação

Information Security; Security Program; Operational Technology