Valutazione indipendente Cybersecurity (ICA)
COS'È UNA MISSIONE DI SICUREZZA INFORMATICA?
In un mondo sempre più connesso e digitale, l'industria del trasporto ferroviario e urbano si basa sulle tecnologie dell'informazione e della comunicazione. La sicurezza dei sistemi di trasporto può avere un impatto sulla sicurezza operativa e sull'efficienza dell'industria ferroviaria in caso di minacce informatiche. In questo contesto fluttuante, gli operatori ferroviari e gli industriali devono avere un approccio globale tenendo conto di questi nuovi rischi. Per farlo, devono identificare questi rischi di sicurezza informatica e mettere in atto sistemi di gestione della sicurezza informatica per mitigarli, dare fiducia nel controllo del loro livello di vulnerabilità e garantire un servizio sicuro e affidabile.
Pertanto, poiché il mercato ferroviario si sposta da un'industria tradizionale, meccanica e pesante a un ambiente più connesso, diventa necessario fare affidamento su nuovi documenti e standard di riferimento. Anche se esistono alcuni testi di altri paesi e settori come ISO 2700X, IEC 62443 o le pubblicazioni del NIST (National Institute of Standards and Technology), attualmente non esiste un documento di riferimento unificato (norme,...) adattato al settore ferroviario.
CERTIFER ha concentrato i suoi sforzi nella definizione del quadro di valutazione indipendente della sicurezza informatica, facendo riferimento e analizzando i testi più riconosciuti utilizzati in altri settori e in alcuni paesi. CERTIFER è ora in grado di definire un metodo specifico che può soddisfare tutte le esigenze dei nostri clienti, con soluzioni su misura.
Come richiesto dalle norme che includono anche i fattori umani, la valutazione indipendente della sicurezza informatica può essere eseguita su qualsiasi attrezzatura o parte del sistema ferroviario, inviando o ricevendo dati per garantire che questi dati non siano stati alterati, corrotti o intercettati per un uso inappropriato.
Lo standard ISO 27005 (Information technology - Security techniques - Information security risk management) è usato come linea guida principale per gestire e mitigare i rischi a un livello accettabile. CERTIFER è in grado di effettuare un servizio di Cybersecurity dall'inizio delle attività di progettazione (revisione dei piani di gestione della cybersecurity, valutazione degli asset, gestione degli incidenti,...) alle attività di test (valutazione dei test white / grey / black box), revisione degli scenari di attacco e delle loro conseguenze.
QUAL È IL RUOLO DEL VALUTATORE INDIPENDENTE DI SICUREZZA INFORMATICA?
CERTIFER è in grado di eseguire le seguenti attività, tra le altre:
- Revisione dei piani di gestione della sicurezza informatica;
- Revisione dei processi di gestione del rischio;
- Revisione della politica di gestione degli incidenti;
- Revisioni di documenti (specifiche tecniche, diagrammi architettonici, specifiche di testo e rapporti...);
- Valutazione delle contromisure e del loro impatto per mitigare i rischi;
- …