Segurança Operacional na EDP; porque importa vigiar
a segurança da infra-estrutura IT
Direção de Sistemas de Informação
30 de Janeiro, 2013
Contexto da Segurança na EDP
2
O contexto da Segurança na EDP
> 10K
Colaboradores
> 10K Laptops e
Workstation
Prestadores de
Serviços Externos
> 200 Aplicações
Outsourcing
> 2K Impressoras
> 10K equipamentos
Móveis
Multi-Geografias
Cultura pouco adaptada
ao Mundo IT
Redes de
Controlo/SCADA
e Corporativas
Aplicações na Cloud
3
Dois Paradigmas de Segurança numa Energy Utility
TÓPICO
Rede IT Corporativa
Rede SCADA/CONTROLO
Anti-virus & Protecção
Contra Código Móvel
Uso Comum e Generalizado
Pouco comum e difícil de
implementar
Tempo de vida da
tecnologia
3-5 anos
Até 20 anos
Actualização de Patches
Regulares/Agendadas
Lentas (dependem do
fabricante)
Change management
Regulares/Agendadas
Não previsto ou pouco ágil
Atrasos na comunicação
de dados
Atrasos são aceitáveis
Criticos
Prioridade de Segurança
Confidencialidade e
Inegridade
Disponibilidade
Recursos a Proteger
Informação de Negócio
Infraestrutura Eléctrica e Vidas
Humanas
Arquitectura
Centralizada
Distribuída, com equipamentos
inteligentes nos extremos
Segurança Fisíca
Segura por norma
Alguns locais remotos são
desprotegidos
4
Missão e Alinhamento com o Negócio
Missão DSI/Segurança:
Gerir a Segurança e Continuidade de Serviço para os sistemas de informação corporativos do Grupo, cobrindo
todas as fases desde a prevenção, detecção, recuperação e análise, com o objectivo de proteger a informação de
ataques à sua confidencialidade, integridade, autenticidade e disponibilidade, em alinhamento com a estratégia
e objectivos de negócio.
Pilares Estratégicos do
Grupo EDP
Risco
Controlado
Eficiência
Superior
Pilares Estratégicos para
a Segurança
Compromissos do Grupo EDP
• Cumprimento de requisitos
regulatórios
• Controlo da exposição ao risco
do activo informação
• Incorporação da segurança na
concepção e aquisição de
sistemas e serviços IT
Compromisso
com
sustentabilidade
Compromisso
com clientes
Compromisso
com resultados
Compromisso
com pessoas
•Operacional - Capacidade de
monitorização, reacção e análise
de incidentes de segurança de
informação
5
Áreas de Actuação
Eixos de actuação da Segurança de Informação
Liderança –Suporte e patrocínio, ao nível da gestão de topo, dos
planos estratégicos e directores para a segurança de informação.
Cooperação – Entende-se como actuação no relacionamento entre
as diversas equipas, quer ao nível interno, entre colaboradores,
quer ao nível externo (outras empresas e organizações).
Competência – O reforço das competências especificas na área da
segurança para os colaboradores.
Cultura – Processos, comportamentos e atitudes em relação à
segurança de informação.
Continuidade de Serviço IT – Processos e actividades que têm
como objectivo assegurar a continuidade de serviço IT.
Eixos de actuação
• Liderança
•Competência
•Continuidade
Serviço IT
•Segurança Física
•Politica e Normas
• Gestão de
Identidades e
Acessos
Eixos de actuação
Cumprimento
requisitos
regulatórios
•Liderança
•Competência
•Cultura
•Continuidade Serviço
IT
•Segurança Física
•Segurança
Logica/Aplicacional
•Gestão de
Controlo de
identidades e
exposição ao
acessos
risco do activo
informação
Segurança Física – Reforço da segurança de instalações que
albergam os sistemas de informação do Grupo EDP (ex: CPDs).
Segurança Lógica/Aplicacional – Projectos tecnológicos e soluções
de segurança que têm como objectivo a diminuição do risco
relacionado com a segurança de informação.
Monitorização de Segurança – Competências de monitorização e
reacção em tempo real a eventos de segurança; gestão de
incidentes de segurança e análise forense (ex: solicitações legais).
Politicas e Normas – Actividades relacionadas com o
desenvolvimento e gestão de politicas, normas e procedimentos
corporativos para a segurança de informação.
Eixos de
actuação
• Liderança
•Competência
•Segurança Logica
Aplicacional
•Politicas e Normas
Incorporação
da Segurança
na aquisição e
desenho de IT
Operacional,
capacidade de
monitorização,
reacção e
análise
Eixos de
actuação
•Liderança
•Competência
•Cooperação
• Segurança Logica
Aplicacional
Gestão de Identidades e Acessos – Entende-se como toda a gestão
(processos mais ferramentas) das identidades e acessos dos
colaboradores do grupo EDP.
6
Objectivos Estratégicos
Maturidade 2008
Maturidade 2014
(avaliação da KPMG)
Plano
Director
Segurança
Acções Realizadas
- Plano de Sensibilização Segurança.
- Classificação de Informação.
- SOC (Security Operations Center).
- NAC (Network Access Control).
- Requisitos Mínimos de Segurança.
- Disaster Recovery (DR).
- Formação de colaboradores.
- Testes de Intrusão.
- Adesão ao CERT.PT.
- Logs.
- Processo de gestão de incidentes.
- Cifra de dados em equipamentos
portáteis.
Maturidade 2012
7
Organização
Funções da Área de
Segurança de Informação e
continuidade de serviço IT
CAE Grupo
EDP
Outras
Direcções (ex:
Auditoria)
Empresas (ex:
EDPD)
DSI (Direcção
Sistemas)
Outras Áreas
(ex: Gestão
Serviço)
Segurança de
Informação e
Continuidade
de Serviço IT
Gestão da
Segurança de
Informação
•Função de Gestão de área onde se inserem
as actividades de governance, risk officer ou
reporting.
Gestão de
Identidades e
Acessos
•Função com responsabilidade de gerir e
operacionalizar todos os processos e
tecnologias que suportam a gestão de
acessos no Grupo EDP.
Continuidade
de Serviço IT
• Função que tem como missão assegurar o
suporte aos planos de continuidade de
negócio do grupo, em concreto
providenciado soluções de continuidade de
serviço IT.
Segurança
Operacional
• Função que tem como missão implementar
e controlar uma estratégia de segurança
operacional no grupo EDP,
8
Segurança Operacional na EDP
9
Porquê Segurança Operacional na EDP?
Capacidade de controlar a prestação de
serviços do Outsourcer.
Possibilidade de controlar acessos e
acções de outros PSE à infra-estrutura IT.
É facilitadora para o cumprimento de
conformidades com normas e
regulamentos.
Capacidade de detecção, análise e
reacção a incidentes de segurança de
informação.
Contribui para a eficiência e optimização
da infra-estrutura.
Pilares Estratégicos
do grupo
Eficiência
Superior
Risco
Controlado
Segurança Operacional na EDP – Pontos Chave
Factores-Chave para a Segurança Operacional na EDP
Criação do SOC EDP (Security Operations Center):
• Definição do Modelo Organizativo
• Definição da Tecnologia
• Definição dos Serviços
Desenho e operacionalização de processos:
• Gestão de Incidentes de Segurança de Informação
• Gestão de Vulnerabilidades
SOC EDP – O que é?
Um SOC (Security Operations Center) é o alinhamento de pessoas, tecnologias e processos com o objectivo de
providenciar um leque de serviços de segurança que permitirão uma monitorização eficaz da segurança da
infra-estrutura de TI, assim como a capacidade de resposta e análise a incidentes de segurança de informação.
SOC
INFRA-ESTRUTURA
IT da EDP
Bases de
Dados
Acesso à rede
Análise Forense
IPS
Firewall
SIEM
Aplicações
Gestão de
Logs
Scan de
Vulnerabilidades
Sistemas
Operacionais
Reports
Routers
Equipa de
Resposta a
incidentes de
segurança
Consola de
Operação (7 x
24H)
SOC EDP – Modelo Organizacional
Serviços:
- Monitorização de
Segurança da Infraestrutura.
Elemento DSI
Coordenação SOC
SOC
Direcção
Elementos das Empresas (EDPD-EDPP-EDPR)
Coordenação SOC
Gestor Técnico
Coordenação SOC
Serviços:
- Gestão de Incidentes
Segurança de Informação.
- Análise Forense.
Apoio Jurídico
Equipa Principal
CSIRT
Elemento CSIRT
Coordenador Técnico
Equipa de
Monitorização de
Segurança da
Infraestrutura
Equipa
Pró-Activa (Gestão
Vulnerabilidades;
alarmes e alertas)
Coordenação
Técnica
Coordenação
Técnica
Elemento CSIRT
EDP Distribuição
1 FTE para
Operação e
Monitorização de
Segurança
Elemento
Técnico
Elemento CSIRT
EDP Produção
1 Administrador
SIEM
Elemento CSIRT
EDP DSI
Elemento CSIRT
EDP Renováveis
Serviços:
- Gestão Vulnerabilidades
- Alarmes e Alertas
SOC EDP – Serviços
Monitorização de
Segurança em Tempo
Real
•Este serviço tem como objectivo recolher e relacionar eventos de segurança
provenientes de diversos componentes da infra-estrutura (aplicações, bases de
dados, firewall, IPS entre outros) de modo a controlar e detectar actividades
anómalas na infra-estrutura IT. Os alertas gerados por este serviço servirão de
entradas para outros serviços como a Gestão de Incidentes de Segurança de
Informação.
Gestão de Incidentes de
Segurança de
Informação
•Este serviço consiste na análise e resolução de Incidentes de Segurança, bem
como na adopção de medidas correctivas sempre que possível e a
elaboração de reports.
Gestão de
Vulnerabilidades
•Este serviço permitirá gerir as actividades de detecção, avaliação e correcção
das vulnerabilidades de segurança existentes na infra-estrutura IT da EDP,
potenciando a elaboração de planos para correcção das mesmas, permitindo
ainda uma actuação proactiva na melhoria da Segurança da Informação do
Grupo EDP.
Análise Forense
•Este serviço permitirá garantir a colecção, preservação, documentação e
análise de evidências sobre os incidentes de segurança de informação. Estas
acções são essenciais sempre que se necessite de apresentar provas em
tribunal ou possibilitar a investigação a entidades judiciais (ex: polícia judiciária).
Alertas e Avisos sobre
segurança
•Este serviço consiste em disseminar pela comunidade servida alertas e avisos
sobre segurança de informação tais como vulnerabilidades conhecidas, alertas
de intrusão, vírus ou ainda as melhores práticas em termos de segurança de
informação.
SOC EDP – Tecnologia
A selecção foi realizada sobre um leque de 3 tecnologias:
• ArcSight (HP)
• Enterasys (Q1 Labs)
• Envision RSA
A tecnologia que melhor satisfez os requisitos
tecnológicos, quer no que diz respeito à capacidade de
correlação; reporting e arquitectura foi a tecnologia
ArcSight.
O implementador seleccionado foi a Unisys!
SOC EDP – Projecto
Âmbito
O projecto está a ser conduzido com âmbito Ibérico.
Data de Início – Abril de 2012
Data de Conclusão – Junho de 2013
Principais Desafios:
•
•
•
A complexidade de implementação de um sistema SIEM resulta num plano de projecto
alargado no tempo, com fases bem definidas;
O nível de outsourcing existente na gestão dos sistemas EDP implica a articulação de mais
um player durante a implementação do sistema;
O facto de não existirem dois projectos iguais aliado à heterogeneidade da infra-estrutura
EDP torna impossível prever todas as dificuldades de implementação.
SOC EDP – Ponto de Situação
• Actualmente o SOC EDP está a funcionar numa base 8x5 com as fontes de
eventos previstas no plano de projecto;
• Foram criados diversos use cases adaptados às necessidades da EDP:
• Gestão de contas na AD, fora da ferramenta de gestão de identidades;
• Monitorização de actividades de operação pelo outsourcer;
• Alterações de regras de firewall fora do horário previsto no contrato;
• Relação infecções de vírus vs. máquinas com privilégios de administração;
• Para além da monitorização de segurança temos obtido benefícios ao nível da
optimização da infra-estrutura:
• Detecção de erros de configuração em aplicações;
• Actividade excessiva provocada por falhas de autenticação em scripts;
• Utilização da infra-estrutura de forma distinta do previsto no âmbito do
serviço;
• Reporting:
• Relatório diário para análise por parte da equipa SOC;
• Relatório mensal distribuído pela Direcção de Sistemas de Informação.
SOC EDP – Operacionalização
Instalações Físicas
O SOC EDP está localizado nas instalações da DSI em Lisboa.
Equipa
A equipa actual é constituída por elementos DSI, pretende-se no entanto construir uma
equipa interdisciplinar sendo que para tal foram efectuadas propostas de utilização da infraestrutura à EDP Produção, EDP Distribuição, EDP Renováveis e HC.
Monitorização Contínua
Pretende-se estabelecer em 2013 uma capacidade de monitorização contínua de
segurança (24x7). Actualmente temos 1 FTE a operar durante o expediente normal de
trabalho.
Transferência de Conhecimento
A equipa do SOC EDP terá capacidade para aumentar a abrangência de monitorização,
incorporando novas fontes de eventos e adaptando-se a novos contextos
FIM
19