Novo padrão de segurança da informação para a indústria de automação é lançado

A “International Instrument Users’ Association” (WIB) publicou hoje a segunda versão do “Process Control Domain — Security Requirements For Vendors“, definido como o “primeiro padrão internacional a descrever uma série de requisitos e melhores práticas de segurança da informação para fornecedores de sistemas de automação e controle”. O documento é o resultado de uma cooperação entre diversas empresas e organizações, como a Shell, BP, Saudi Aramco, Dow, DuPont e outras. No seu desenvolvimento, diversos padrões e melhores práticas, de diversos setores da automação industrial foram usados como referência. Material da ISA99, NIST 800-53, NISTIR 7628 e requisitos regulatórios como o NERC/CIP foram incorporados nas matrizes de requisitos e divididos e organizados conforme a metodologia SSE-CCM.

O resultado do trabalho é muito interessante, apesar de ter achado muito apelativo do ponto de vista comercial, fazendo referência desnecessárias e produtos de algumas empresas, que por sinal, são membros do comitê de desenvolvimento. Na minha opinião isso não tira a qualidade, mas impacta a neutralidade e independência que este tipo de trabalho deve ter. Por isso, avalie tudo com cuidado antes de qualquer coisa.

Aqui segue o link para o documento: http://www.wib.nl/reportindex/WIB_M2784_PCS_vendorsecurity_v2.pdf

Saudações!

Palestra na ISA Brazil Automation 2010 foi bem recebida

Minha palestra na ISA Brazil Automation 2010 foi muito bem recebida. Muito obrigado a todos que estiveram lá e mais uma vez, me desculpem pela velocidade. Muito assunto para falar em pouco tempo… A feira e congresso ISA Brazil 2010 está sendo realizada no ExpoCenter Norte em São Paulo. Tudo muito bem organizado e com bastante conteúdo, diversos expositores e muitos lançamentos. Se você é do setor, não deve perder: ela termina hoje, então ainda dá tempo de uma visita.

Voltando a palestra, eu queria reforçar que em nenhum momento estive lá com a intenção de denegrir a imagem de nenhuma empresa ou produto. Tudo que é software está sujeito a falhas e vulnerabilidades. É uma questão de estatística. O que difere uma empresa de outra quando o assunto é vulnerabilidades em seus produtos é sua postura em relação a divulgação e orientação dos seus clientes: ela pode optar por ignorar o problema, jogando para cima de outro ou assumir a responsabilidade e atuar de forma rápida para solucioná-lo. Leia o resto deste post »