Sua empresa está protegida?

Sua empresa está protegida?

Mais operações conectadas podem representar mais ameaças à segurança. Saiba como uma abordagem holística à segurança industrial pode ajudar a reduzir riscos.

Por Daniel Deyoung, Diretor de Desenvolvimento de Mercado, Rockwell Automation

Instalações industriais e de produção estão operando de maneiras difíceis de imaginar há algumas décadas.

Maior conectividade e compartilhamento de informações estão transformando as empresas e suas operações. Elas estão convertendo os sistemas de TI e TO (tecnologia de operações) e usando novas tecnologias, como dispositivos móveis, análises, nuvem e virtualização, para fazer muito mais do que antes.

Entretanto, assim como mudou a natureza das operações industriais e de produção, também mudaram os riscos de segurança. Mais operações conectadas podem criar mais pontos de entrada potenciais para ameaças à segurança. Essas ameaças podem ter várias formas diferentes — físicas ou digitais, internas ou externas, maliciosas ou não intencionais.

Consequentemente, a segurança industrial deve ser holística. Ela deve estender-se pela empresa em todo o nível da fábrica e até fora, para os dispositivos finais, e prever riscos vindos e pessoas, processos e tecnologias. Também deve envolver a colaboração entre o pessoal de TI e TO. Ambos os lados exercem funções vitais.

Uma abordagem holística

Três peças chave de uma abordagem holística para segurança incluem:

  1. Avaliação de segurança: Avaliar toda a instalação para entender as áreas de risco e potenciais ameaças.
  2. Abordagem de defesa profunda: Implementar uma abordagem de segurança em várias camadas que estabeleça várias fontes e camadas de defesa.
  3. Fornecedores confiáveis: Verificar se os fornecedores de automação seguem os princípios básicos de segurança ao projetar seus produtos.

Avaliação de segurança

Desenvolver e implementar um programa de segurança industrial eficaz requer primeiro o entendimento dos riscos e das áreas de vulnerabilidade existentes na empresa.

Uma avaliação de segurança ajudará a entender sua postura de segurança atual a respeito de software, redes, sistema de controle, políticas e procedimentos, até mesmo o comportamento dos funcionários. Esse deve ser o ponto de partida para qualquer política de segurança.

No mínimo, uma avaliação de segurança deve incluir o seguinte:

  • Um inventário dos dispositivos e software autorizados e não autorizados.
  • Observação e documentação detalhadas do desempenho do sistema.
  • Identificação dos limites de tolerância e indicações de risco/vulnerabilidade.
  • Priorização de cada vulnerabilidade, de acordo com o impacto e o potencial de exploração.

O resultado final de toda avaliação de segurança deve incluir uma lista documentada e acionável das técnicas de redução necessárias para levar a operação para um estado de risco aceitável.

Segurança de defesa profunda

A segurança industrial é melhor implementada como um sistema completo em suas operações, e uma estrutura de segurança de defesa profunda (DiD) suporta essa abordagem. De acordo com a noção de que um ponto de proteção pode e provavelmente será ameaçado ou violado, a segurança DiD estabelece várias camadas e proteção por meio de uma combinação de proteções físicas, eletrônicas e de procedimentos.

Uma abordagem de segurança DiD consiste em seis componentes principais (veja a figura), incluindo: políticas e procedimentos definidos, segurança física, infraestrutura de rede, computador/software, aplicação e a identificação e autenticação de dispositivos.

Uma abordagem de segurança de defesa profunda consiste em seis componentes principais. [Clique para ampliar]

Fornecedores confiáveis

Os fornecedores de automação também são essenciais para ajudar a alcançar seus objetivos de segurança, quanto suas metas de produção, qualidade e segurança.

Antes de selecionar os fornecedores, solicite que eles descrevam as políticas e práticas de segurança. Considere se os vendedores de automação seguem os cinco princípios básicos de segurança quando projetam produtos usados em um sistema de controle. Esses princípios são:

  • Uma infraestrutura de rede segura. Os fornecedores podem ajudar a manter as informações na camada de automação segura e confidencial. Por exemplo, a tecnologia embutida pode validar e autenticar dispositivos antes que eles obtenham acesso a uma rede.
  • Gestão de autenticação e políticas. As políticas da empresa determinam os níveis de acesso aos dados por parte dos funcionários. Os produtos de automação podem atender essas políticas usando listas de controle de acesso para gerenciar o acesso de usuários aos dispositivos e aplicações.
  • Proteção do conteúdo. A propriedade intelectual é a essência de suas operações. As soluções de automação podem ajudar a protegê-la atribuindo senhas a rotinas e instruções add-on, e usando a gestão de direitos digitais para limitar a capacidade do usuário de exibir e editar dados de dispositivos.
  • Detecção de violações. A detecção de violações integrada pode detectar qualquer atividade no sistema não autorizada e alertar o pessoal certo. Também pode registrar detalhes essenciais, como e onde a intrusão ocorreu e se alguma coisa foi modificada.
  • Solidez. Uma abordagem de segurança de fornecedor sólido inclui fornecer treinamento de segurança aos funcionários, usar práticas de desenvolvimento de projeto para segurança e testar os produtos conforme os padrões de segurança globais. Isso também inclui conduzir revisões de segurança finais antes de liberar os produtos, verificar se os processos atendem aos padrões e tecnologias atuais e ter um plano estabelecido para resolver as vulnerabilidades.

Monitorar e evoluir

As ameaças à segurança não dão trégua. Elas continuam a evoluir tanto quanto as indústrias mudam suas práticas de segurança ou implementam novas defesas. A estratégia de gestão de risco deve manter o ritmo, deve ser contínua e evoluir juntamente ou à frente do cenário instável de ameaças.

Com a evolução contínua de operações que oferecem mais conectividade, a imensidão de preocupações com segurança atuais pode ser assustadora. As abordagens destacadas aqui podem ajudar a alinhar sua empresa às melhores práticas industriais para proteger a propriedade intelectual, as instalações, os ativos, os funcionários e as vantagens competitivas.

The Journal From Rockwell Automation e Our PartnerNetwork™ são publicados pela Putman Media, Inc.

Subscreva-se na nossa newsletter

A Rockwell Automation e parceiros oferecem conhecimentos excepcionais para ajudar você a projetar, implementar e dar suporte ao investimento em automação.

Subscrição

Receba as últimas novidades sobre as tendências tecnológicas e soluções da Rockwell Automation.