Fortalecimento da Segurança da Informação na Empresa Y, Gigante do Setor de Petróleo e Gás
Cliente: Empresa Y, uma das maiores empresas de petróleo e gás do Brasil, com sede no Rio de Janeiro
Setor: Petróleo e Gás
Desafio: Vulnerabilidades de segurança crítica, proteção de dados sensíveis e conformidade com regulamentações de cibersegurança no setor de energia
Serviços da LEÓN LISBOA Utilizados: Auditoria Cibernética, Consultoria em Segurança da Informação, Investigação e Inteligência Cibernéticas, Due Diligence Tecnológica, Treinamentos Corporativos em Segurança da Informação
Informações Preliminares
A LEÓN LISBOA optou por manter em sigilo o nome da empresa em questão, denominando-a de “Empresa Y”, devido ao contrato de sigilo com a mesma.
Introdução
A Empresa Y, líder no setor de petróleo e gás no Brasil, opera uma vasta e complexa rede de ativos digitais e infraestruturas, incluindo sistemas industriais e bases de dados que armazenam informações sensíveis e estratégicas. Com a crescente ameaça de ataques cibernéticos a empresas de infraestrutura crítica, a Empresa Y identificou a necessidade de uma parceria especializada para proteger seus ativos e garantir conformidade com regulamentações de segurança.
Desafios Enfrentados pela Empresa Y
Proteção de Sistemas de Controle Industrial (ICS/SCADA)
A Empresa Y utilizava sistemas de controle industrial (ICS) para gerenciar suas operações, mas estes sistemas eram vulneráveis a ataques direcionados, especialmente com a crescente digitalização das atividades. A segurança do sistema SCADA (Supervisory Control and Data Acquisition) também precisava de reforço para evitar possíveis interrupções em operações críticas.
Riscos de Exfiltração de Dados Sensíveis e Propriedade Intelectual
Sendo uma das líderes do setor, a Empresa Y possuía grandes quantidades de dados confidenciais, incluindo dados operacionais e propriedade intelectual, que estavam sujeitos a riscos de vazamento ou roubo por meio de espionagem cibernética.
Conformidade com Regulamentações Setoriais
A empresa estava sujeita a regulamentações nacionais e internacionais rigorosas, como as orientações da Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) e normas de segurança cibernética voltadas a setores críticos, sendo necessário um trabalho de adequação e cumprimento integral dessas normas.
Baixa Conscientização sobre Segurança entre os Colaboradores
Apesar de sua importância estratégica, muitos colaboradores da Empresa Y careciam de treinamentos adequados sobre práticas de segurança digital e prevenção contra ataques de engenharia social, como spear-phishing.
Estratégia da LEÓN LISBOA
Para resolver esses problemas críticos, a LEÓN LISBOA desenvolveu uma estratégia personalizada dividida em cinco etapas:
- Auditoria Cibernética e Due Diligence de Tecnologia
Em um primeiro momento, a LEÓN LISBOA realizou uma auditoria cibernética completa e uma Due Diligence de Tecnologia para avaliar o ambiente de tecnologia e os processos de segurança da Empresa Y. Esse trabalho envolveu:- Mapeamento de vulnerabilidades nos sistemas de controle industrial (ICS/SCADA), identificando pontos críticos suscetíveis a ataques de agentes maliciosos.
- Avaliação de riscos de exfiltração de dados e espionagem corporativa, para detectar possíveis brechas e falhas de segurança.
- Revisão do nível de conformidade com regulamentações setoriais, garantindo que todas as políticas internas estivessem alinhadas às exigências do setor de energia.
- Fortalecimento e Segmentação dos Sistemas de Controle Industrial (ICS/SCADA)
A segunda fase do projeto foi focada no fortalecimento da segurança dos sistemas ICS e SCADA da Empresa Y. As medidas adotadas incluíram:- Implementação de firewalls específicos para redes industriais, segmentando e protegendo os sistemas críticos de controle contra ameaças cibernéticas externas e internas.
- Aplicação de controles de acesso granular para limitar o acesso apenas a pessoas autorizadas e garantir a rastreabilidade de qualquer atividade suspeita nos sistemas de controle.
- Desenvolvimento de um plano de resposta a incidentes, especialmente desenhado para lidar com eventuais compromissos nos sistemas ICS/SCADA.
- Desenvolvimento e Implementação de Políticas de Segurança da Informação e Conformidade
Após a auditoria, a LEÓN LISBOA trabalhou em conjunto com o setor de compliance da Empresa Y para desenvolver e implementar políticas de segurança da informação. Esse processo incluiu:- Políticas de proteção de dados sensíveis e propriedade intelectual para prevenir exfiltrações e garantir a confidencialidade.
- Procedimentos de conformidade alinhados às regulamentações nacionais e internacionais, como normas de segurança cibernética da ANP e diretrizes de segurança digital de órgãos internacionais.
- Um plano de monitoramento contínuo e auditorias periódicas para assegurar que a empresa mantivesse o cumprimento das regulamentações.
- Treinamento de Conscientização em Segurança para Colaboradores e Equipes Técnicas
A LEÓN LISBOA ofereceu treinamentos corporativos para aumentar a conscientização sobre segurança entre os colaboradores e as equipes técnicas da Empresa Y. Este treinamento incluiu:- Workshops e simulações de ataques de engenharia social, como spear-phishing, para educar os colaboradores sobre como identificar ameaças e agir corretamente.
- Treinamentos específicos para o setor de ICS/SCADA, visando capacitar os técnicos e engenheiros a lidar com segurança cibernética em ambiente industrial.
- Criação de uma cultura de segurança que envolvesse todos os níveis da empresa, desde a alta direção até os operadores de campo.
- Investigação e Inteligência Cibernéticas
A LEÓN LISBOA também desenvolveu uma infraestrutura de inteligência cibernética para monitorar e investigar possíveis ameaças externas que pudessem impactar a Empresa Y. Isso incluiu:- Monitoramento de ameaças avançadas e espionagem voltadas para o setor de petróleo e gás, identificando possíveis vetores de ataque e mitigando riscos antes de qualquer tentativa de ataque.
- Integração de um sistema de alerta para manter a empresa informada sobre qualquer movimentação suspeita que pudesse representar uma ameaça direta à sua infraestrutura.
Resultados Alcançados
Após doze meses de implementação das soluções da LEÓN LISBOA, a Empresa Y obteve resultados expressivos:
- Redução de vulnerabilidades em 98% nos sistemas ICS/SCADA: Com os sistemas devidamente protegidos e segmentados, o risco de ataques cibernéticos a operações industriais foi praticamente eliminado.
- Melhoria significativa em conformidade regulatória: A empresa passou a cumprir plenamente com todas as regulamentações setoriais, evitando riscos de sanções ou penalidades.
- Aumento da conscientização sobre segurança: Todos os colaboradores, do operacional à alta gestão, demonstraram uma nova postura em relação à segurança, com procedimentos e boas práticas implementadas de forma sólida.
- Diminuição de tentativas de exfiltração e espionagem: Com o monitoramento contínuo, a Empresa Y conseguiu identificar e bloquear tentativas de invasão, garantindo a proteção de dados sensíveis.
Conclusão
A parceria entre a LEÓN LISBOA e a Empresa Y resultou em uma infraestrutura de segurança altamente fortalecida, com proteção adequada para ativos digitais e operações industriais. As soluções implantadas ajudaram a Empresa Y a atingir um nível de segurança e conformidade que sustenta sua posição de liderança e protege seus ativos estratégicos.
Depoimento do Cliente
“A experiência da LEÓN LISBOA em segurança da informação e cibersegurança foi crucial para transformar a maneira como protegemos nossos sistemas e dados. Hoje, temos confiança de que estamos preparados para enfrentar qualquer desafio cibernético sem comprometer a continuidade de nossas operações.”
Links
Conheça os livros do nosso CEO sobre “Segurança da Informação para Empresas“. Clique aqui.
Saiba mais sobre os serviços da LEÓN LISBOA para a sua empresa. Clique aqui !
Saiba mais sobre Cibersegurança para empresas de Petróleo e Gás (em inglês). Clique aqui !
