seguranÇa cibernÉtica aplicada aos centros de …€¦ · plano de recuperação melhoria...
TRANSCRIPT
SEGURANÇA CIBERNÉTICA APLICADA
AOS CENTROS DE OPERAÇÃO
GOVERNANÇA CIBERNÉTICA
CENOCON 2018
INDÚSTRIA 4.0produção em massa individualizada
TELHADOS SOLARES DA TESLA
O Setor Elétrico Mundial está atualmente sujeito a pressões para mudanças em seu quadro regulatório, comercial e operacional. Tais pressões são exercidas por fenômenos tecnológicos e socioambientais que representam condições de contorno para o funcionamento da indústria elétrica e por fricções nos modelos de negócio hoje prevalentes.
Relatório consolidado da Consulta Pública 33 (CP33)
1. Incentivo à eficiência energética nas decisões empresariais de agentes individuais como vetor de modicidade tarifária, segurança de suprimento e sustentabilidade socioambiental;
2. Sinalização econômica como vetor de alinhamento entre interesses individuais e sistêmicos;
3. Alocação adequada de riscos para permitir sua gestão individual, com responsabilidades bem definidas;
4. Remoção de barreiras de participação de agentes no mercado;
5. Respeito aos contratos vigentes e observância dos requisitos formais e dos papeis de cada instituição
Relatório consolidado da Consulta Pública 33 (CP33)
CONSUMIDOR no centro das decisões com os aprimoramentos planejados para o setor elétrico
Gestão de Energia
MEDIÇÃO INTELIGENTE E GESTÃO DE ENERGIA
Os medidores inteligentes fornecem a interface Smart Grid entre você e seu fornecedor de energia. Instalado no lugar do seu antigo medidor, mecânica, estes medidores operam digitalmente, e permitir que as transferências automáticas e complexas de informações entre sua casa e seu fornecedor de energia.
Em sua casa inteligente, muitos de seus aparelhos serão ligados em rede, permitindo que você acesse e operá-los através do seu smartphone ou tablet.
O Smart Grid, com seu sistema de controles e medidores inteligentes, permite que o excedente de energia gerado com painéis fotovoltaicos sejam repassados para a concessionária.
Big DataIoTInteligência Artificial
Cada vez mais coisas vão ficar “inteligentes” com o passar do tempo, dando espaço para a Internet das Coisas e os algoritmos de inteligência artificial em chips de praticamente todos os dispositivos tecnológicos.
Removendo redundâncias dos algoritmos, também foi possível rodar o sistema de detecção de imagem no Raspeberry Pi sem perda de precisão
Switch Programável Máquina de
Controle
Plano de Controle
Plano de Dados
Switch
Rede Tradicional Rede Definida por Software (Software-defined Networking)
Arquitetura do Big Data
Blocos de Dados
GOVERNANÇASegurança cibernética aplicada aos Centros de Operações
O objetivo do modelo Electricity Subsector Cybersecurity Capability Maturity Model (ES-C2M2) é apoiar o desenvolvimento e medir os níveis de segurança no setor elétrico através de quatro objetivos:
Reforçar as medidas de segurança cibernética do setor de eletricidade;
Permitir que os concessionários avaliem de forma eficaz e consistente suas ações de segurança e compará-las com outras empresas do setor;
Compartilhar conhecimentos, melhorar as práticas e obter referências relevantes para melhorar a segurança cibernética;
Permitir que as concessionárias priorizem suas ações e investimentos para melhorar a segurança cibernética.
Arquitetura da Segurança da Informação
Identificador da Função
Função Categoria
Gestão de AtivosAmbiente de NegóciosGovernançaAvaliação de RiscoEstratégia da Gestão de RiscoControle de AcessoConscientização e TreinamentoSegurança dos DadosProcessos e procedimentos de proteção da informação
ManutençãoTecnologia de ProteçãoAnomalias e EventosMonitoração Contínua de SegurançaProcessos de DetecçãoPlano de RespostaComunicaçãoAnáliseMitigaçãoMelhoria ContínuaPlano de RecuperaçãoMelhoria ContínuaComunicação
DetecçãoDE
RespostaRS
RecuperaçãoRC
IdentificaçãoID
ProteçãoPR
Estrutura de Cibersegurança
Função Categoria Subcategoria Referencias informativas
Dispositivos físicos e sistemas são inventariados
CCS CSC 1 COBIT 5 BAI09.01, BAI09.02 ISA 62443-2-1:2009 4.2.3.4ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8
Plataformas de software e aplicações são inventariadas
CCS CSC 2COBIT 5 BAI09.01, BAI09.02, BAI09.05 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8
Comunicação e fluxo de dados são mapeados
CCS CSC 1 COBIT 5 DSS05.02 ISA 62443-2-1:2009 4.2.3.4 ISO/IEC 27001:2013 A.13.2.1 NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8
Sistemas de informação externos são catalogados
COBIT 5 APO02.02 ISO/IEC 27001:2013 A.11.2.6 NIST SP 800-53 Rev. 4 AC-20, SA-9
Recursos (hardware, dispositivos, dados e software) são priorizados baseados criticidade e valor para o negócio
COBIT 5 APO03.03, APO03.04, BAI09.02 ISA 62443-2-1:2009 4.2.3.6 ISO/IEC 27001:2013 A.8.2.1NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14
Papeis e responsabilidades de cibersegurança internos e externos (fornecedores, clientes e parceiros) são estabelecidos
COBIT 5 APO01.02, DSS06.03 ISA 62443-2-1:2009 4.3.2.3.3 ISO/IEC 27001:2013 A.6.1.1
Gestão de AtivosDados, pessoal, dispositivos,
sistemas e facilidade que permitem a organização atingir seus objetivos de
negócios devem ser identificados e gerenciados de forma consistente dentro da sua importância para os
objetivos de negócio e estratégia de risco da
organização
Identificação (ID)
Níveis de maturidade em cibersegurança da organização:
A ferramenta FMEA (Análise de Modos e Efeitos de Falhas) é eficaz para assegurar uma visão detalhada dos impactos de modos potenciais de falha
do processo/produto sobre os clientes.
Propósitos gerais do FMEA:• Melhorar a qualidade, confiabilidade e segurança dos produtos e serviços
avaliados;• Reduzir tempo e custo de desenvolvimento de processos e produtos;• Documentar e localizar ações tomadas para reduzir riscos;• Auxiliar no desenvolvimento de um plano de controle robusto;• Auxiliar na elaboração de um plano de verificação de um projeto robusto;• Ajudar a equipe de melhoria contínua a priorizar e focalizar falhas no
processo/produto e desenvolver ações para evitar novas ocorrências de falhas;
• Melhorar a satisfação do cliente.
A documentação FMEA deve ser atualizada após cada mudança implementada ao processo. Isso significa que o FMEA é um documento vivo e um instrumento de trabalho.
GERENCIAMENTO ÁGIL DE PROJETOSSegurança cibernética aplicada aos Centros de Operações
BacklogPRODUCT BACKLOG
Lista ordenada de requisitos para desenvolvimento de um produto.
Tudo o que deve ser feito para entregar com sucesso um produto viável.
O Product Owner classifica os Itens de Product Backlog (PBIs) com base em considerações como risco, valor do negócio, dependências e data necessária.
Tem a avaliação da equipe sobre o esforço de desenvolvimento, pontuando cada história e qualquer outro item que entregue valor para os stackholders.
Scrum Poker
SCRUM POKER
Os membros da equipe fazem estimativas jogando cartas numeradas viradas para baixo, em vez de falarem em voz alta
Os cartões são revelados e as estimativas são discutidas.
Evita o viés cognitivo de ancoragem, onde o primeiro estabelece um precedente para as estimativas subsequentes.
A sequência de Fibonacci é onde o próximo número é a soma dos dois precedentes.
0, 1, 1, 2, 3, 5, 8, 13, 21, 34, ...
Sprint PlanningSPRINT BACKLOG
Lista de trabalhos do próximo Sprint (conjunto de itens a serem entregues em um prazo determinado)
A lista é do Product Backlog em ordem de prioridade até atingir o limite de esforço da equipe.
O Product Owner classifica os itens de Product Backlog (PBIs) com base em considerações como risco, valor do negócio, dependências e data necessária.
Deve-se levar em conta o desempenho passado como uma linha guia de quanto 'esforço' foi necessário para completar as atividades.
SPRINT PLANNING
Time-box: limite de quatro horas para o planejamento de um sprint de duas semanas.
Durante a primeira metade, toda a equipe seleciona os Itens do Product Backlog que podem ser desenvolvido na Sprint.
Na fase seguinte, a equipe decompõe os itens de trabalho (tarefas) necessários para entregar os itens do Product Backlog, confirmando o Sprint.
Alguns itens do Procuct Backlog podem ser reprioritizados se o trabalho identificado não for possível na Sprint
Scrumban
SCRUM + KANBAN = SCRUMBAN
Estrutura de gerenciamento para equipes que usam o Scrum para trabalhar e o Kanban para gestão e melhoria contínua dos processos. Usa o número de Cards para medir o esforço do trabalho.
STORY NOT STARTED IN PROGRESS COMPLETED BLOCKED
SEENOWDO – Serviço na nuvem para gerenciamento com Scrumban
Gráfico Burndown
BURN DOWN
O gráfico mostra o trabalho restante no Sprint Backlog.
Atualizado todos os dias, dá uma visão simples do progresso do Sprint.
O eixo horizontal do gráfico mostra os dias em um Sprint.
O eixo vertical mostra a quantidade de trabalho restante por dia (representando tipicamente a estimativa de horas de trabalho restantes). Serviço na nuvem ScrumDO
Sprint ReviewDIRETRIZES
Revisa o trabalho que foi concluído e o trabalho planejado que não foi concluído
Apresenta o trabalho concluído para os Stakeholders
O trabalho incompleto não pode ser demonstrado
A duração recomendada é de duas horas para uma Sprint de duas semanas
SPRINT REVIEW
Retrospectiva do SprintDIRETRIZES
Reflete sobre o passado Sprint
Identifica e concorda com ações contínuas de melhoria de processos
Duas perguntas básicas: O que correu bem durante o Sprint? O que poderia ser melhorado no próximo Sprint?
A duração recomendada é de uma hora e meia para um Sprint de duas semanas
Este evento é facilitado pelo Scrum Master
RETROSPECTIVA DO SPRINT
GENTESegurança cibernética aplicada aos Centros de Operações
Característica de uma boa equipe
TranscendentesPossuem noção de propósito além do comum, permitindo sair do trivial e atingir o extraordinário.
AutônomasSão auto-organizadas e se autogerenciam, decidindo como executar o trabalho e com poder de fazer com que as decisões sejam executadas.
Multifuncionais Possuem todas as habilidades necessárias para completar um projeto.
Dominância cerebralLíder de Mercado
Assume Riscos | Rápido Crescimento
Seguidor de MercadoAvesso a Riscos | Maduro
Tático Útil
Estratégico Transformador
Define objetivosColeta dados
Analisa informações disponíveisTem clareza no entendimento das ações
Faz análise financeira das açõesFaz consideração técnicas acuradas
Assume riscosBusca novas oportunidadesTem visão de longo prazoUsa a intuiçãoTrabalha com correlaçõesSintetiza os problemas e projetos
Divide um problema em pequenas partesOrdena as ações para atingir os objetivos
Faz análise de risco para avaliar as consequência da abordagem adotada
Administra o planoImplementa o plano
Acompanha os resultados
Observa o ambiente de forma intuitivaConstrói cenáriosComunica eficazmente os planosConsegue apoio, aderência e entusiasmo da equipeTrabalha as questões humanasTem foco na satisfação dos clientes
Tamanho das equipes“Acrescentar mão de obra a um projeto atrasado faz com que ele atrase ainda mais.” Lei de Brooks
TAMANHO IDEAL DE UM EQUIPE
Estudos mostraram que equipes de 3 a 7 pessoas despendiam cerca de 25% do esforço das que tinham entre 9 e 20 pessoas.
Grandes grupos produzem menos.
RETENÇÃO DE INFORMAÇÃO PELO CEREBRO
A parte consciente do nosso só é capaz de guardar cerca de 4 itens distintos de cada vez.
n = número de pessoas de uma equipe
Cientistas de Dadosuma nova geração de especialistas analíticos que têm as habilidades técnicas para resolver problemas complexos – e a curiosidade de explorar quais são os problemas que precisam ser resolvidos
SUMÁRIOSegurança cibernética aplicada aos Centros de Operações
Mudanças no setor elétrico serão provocadas por questões regulatórias, comerciais e operacionais;O consumidor está no centro das decisões; Serão removidas barreiras para ampliar a participação dos agentes no
mercado; A infraestrutura e a operação da rede de distribuição ficará cada vez
mais complexa;O uso de novas tecnologias será a única forma de enfrentar os novos
desafios do setor elétrico, tais como: Big Data, IoT, Inteligência Artificial e Blockchain;Questões de segurança cibernética são críticas e é necessário
implantar um modelo de governança ágil e flexível; É necessário compor equipes transcendentes, autônomas e
multifuncionais para os centros de operações.
Mentores para apoiar transformações empresariais e acelerar startups, agregando tecnologias e modelos de negócios disruptivos e sustentáveis.
Trabalhamos com...
MENTORIA ESTRATÉGICAMENTORIA ESTRATMENTORIA ESTRATÉÉGICAGICA
WORKSHOPS DE PLANEJAMENTOWORKSHOPS DE PLANEJAMENTOWORKSHOPS DE PLANEJAMENTO
TREINAMENTOS PRESENCIAIS E ONLINETREINAMENTOS PRESENCIAIS E ONLINETREINAMENTOS PRESENCIAIS E ONLINE
DESENVOLVIMENTO DE PROJETOS DE P&DDESENVOLVIMENTO DE PROJETOS DE P&DDESENVOLVIMENTO DE PROJETOS DE P&D
Framework de Inovação
Workshop de avaliação do nível de maturidade cibernética das empresas do setor de energiaWorkshop “in company” com 3 horas de duração com 7 participantes para empresas do setor de energia para pré-diagnóstico do nível de maturidade cibernética. Custo: despesas de viagem e material de apoio ao workshopContato: Eduardo Mayer Fagundes, [email protected]
OBRIGADOEduardo Mayer Fagundes, [email protected]: www.efagundes.com