Avaliação Independente de Cibersegurança (ICA)
O que é uma missão de ciber-segurança?
Em um mundo cada vez mais conectado e digital, a indústria ferroviária e de transporte urbano depende de tecnologias de informação e comunicação. A segurança dos sistemas de transporte pode ter um impacto sobre a segurança operacional e a eficiência da indústria ferroviária em caso de ameaças cibernáticas. Neste contexto de flutuação, os operadores ferroviários e industriais devem ter uma abordagem global, levando em conta estes novos riscos. Para fazer isso, eles precisam identificar esses riscos de segurança cibernética e criar sistemas de gerenciamento de segurança cibernética para mitigá-los, dar confiança no controle de seu nível de vulnerabilidade e garantir um serviço seguro e confiável.
Portanto, à medida que o mercado ferroviário passa de uma indústria tradicional, mecânica e pesada para um ambiente mais conectado, torna-se necessário confiar em novos documentos e normas de referência. Embora existam alguns textos de outros países e setores como as publicações ISO 2700X, CEI 62443 ou NIST (National Institute of Standards and Technology) nenhum documento de referência unificado (normas,...) está atualmente disponível e adaptado para o setor ferroviário.
A CERTIFER concentrou seus esforços na definição da esrtutura independente de avaliação da cibersegurança, referenciando e analisando os textos mais reconhecidos utilizados em outros setores e em alguns países. A CERTIFER é agora capaz de definir um método específico que pode atender todas as necessidades de nossos clientes, com soluções sob medida.
Conforme exigido pelas normas que também incluem fatores humanos, a avaliação independente da segurança cibernética pode ser realizada em qualquer equipamento ou parte do sistema ferroviário, enviando dados de processamento ou recebimento para garantir que esses dados não tenham sido alterados, corrompidos ou interceptados por uso inadequado.
A norma ISO 27005 (Tecnologia da informação - Técnicas de segurança - Gerenciamento de riscos de segurança da informação) é usada como uma diretriz principal para gerenciar e mitigar os riscos a um nível aceitável. A CERTIFER é capaz de realizar um serviço de Cibersegurança desde o início das atividades de projeto (revisão dos planos de gerenciamento de cibersegurança, avaliação de ativos, gerenciamento de incidentes,...) até as atividades de teste (avaliação de teste de caixa branca / cinza / preta), revisão dos cenários de ataque e suas consequências.
qual é o papel do avaliador independente da ciber-segurança ?
A CERTIFER é capaz de realizar as seguintes atividades, entre outras:
- Exame dos planos de gestão da ciber-segurança;
- Revisão dos procesos de gestão de riscos;
- Revisão da politica de gestão de incidentes;
- Revisão de documentários (especificações tecnicas, esquemas arquiteturais, especifição de textos e relatórios…);
- Avaliação das contramedidas e seus impactos para atenuar os riscos;
- …