Becolve Digital
Select Page

Normas de cibersegurança. O que são e para que servem.

Falamos sobre normas de cibersegurança, o que são e para que servem e por que são de grande ajuda em OT.

Becolve Digital
Lista de blogs

O que é uma norma?

A normalização ou estandardização tem como objetivo a elaboração de uma série de especificações técnicas – NORMAS – que são utilizadas de modo voluntário. A legislação (Artigo 8 da Lei 21/1992 de Indústria) define norma como “a especificação técnica de aplicação repetitiva ou continuada cuja observância não é obrigatória, estabelecida com participação de todas as partes interessadas, que aprova um Organismo reconhecido, a nível nacional ou internacional, pela sua atividade normativa.”

Quem as elabora?

As normas e conteúdos das normas em geral – e as de cibersegurança em concreto – são aprovados por organismos reconhecidos através de comités técnicos que se encarregam de definir e justificar que normas incluir nas diferentes versões das normas. À medida que o tempo passa e as ameaças e tecnologias evoluem, estes comités encarregam-se de rever as normas para adaptá-las à realidade atual.

Para citar alguns exemplos de organismos reconhecidos:

  • UNE – A Asociación Española de Normalización é o único organismo de normalização em Espanha, designado pelo Ministério da Economia, Indústria e Competitividade perante a Comissão Europeia
  • ISA – International Society of Automation.
  • IEC – International Electrotechnical Commision.
  • SO – International Organization for Standardization.
  • NIST – National Institute of Standards and Technology.
  • UAE National Electronic Secutiry Authority.
  • API – American Petroleum Institute.
  • AWWA – American Water Works Association.
  • NERC – North american Electri Reliability Counci

entre outras…

entidades cibersegurança

 

Os grupos de trabalho destes organismos encarregam-se de estudar, analisar, propor, rever, definir e decidir os diferentes aspetos das normas que criam e que nos podem ajudar a ser competitivos, a cumprir com regulamentos e obrigações do nosso setor e/ou ajudar-nos a definir o design da arquitetura dos nossos sistemas.

Por que nos ajuda em OT?

A evolução da indústria e do tipo de tecnologias que emprega para os seus processos leva-nos ao conceito de “Indústria 4.0” onde nos encontramos atualmente. Este conceito caracteriza-se pela incorporação massiva da tecnologia da informação (TI) a toda a cadeia de valor dos processos relacionados com a indústria manufatureira e infraestruturas críticas.

A ideia subjacente é que a integração desta tecnologia se traduzirá na otimização dos processos de investigação, desenvolvimento, design, produção, logística e a prestação de serviços associados:

  • Possibilitar a recolha de dados sobre o uso real dos produtos nos clientes e obter uma informação valiosa que pode realimentar os processos de desenvolvimento de novos produtos mais adaptados às necessidades reais.
  • Otimizar os processos eliminando tempos mortos, intervenções manuais lentas, adicionar flexibilidade aos processos de fabricação, em definitiva, permitir uma transição de fabricar grandes lotes de produtos iguais para a fabricação de produtos individuais e personalizados a um preço competitivo.

A transição para a Indústria 4.0 é um desafio complexo. Para começar, é preciso centrar-se naqueles aspetos tecnológicos que são fundamentais para o sucesso da sua implementação, além de que a integração das novas tecnologias não são só vantagens, mas incorporam outros fatores de risco a considerar, por exemplo, a cibersegurança.

A utilização massiva de TI nos processos industriais trará enormes vantagens, mas traz consigo a necessidade de garantir a proteção da informação e privacidade. O uso de Cloud Computing, modelos de desenvolvimento colaborativo, IoT, novas formas de pagamento e outras novas tecnologias fazem com que parte da informação vital da empresa se encontre em mãos de terceiros. Garantir a confidencialidade, integridade e disponibilidade num mundo hiperconectado é um desafio em si mesmo.

Aqui é justo onde as normas de cibersegurança nos podem ajudar. Estes desafios já foram enfrentados noutros setores onde já incorporaram TI e existem normas internacionais que ajudam a começar com bom pé:

  • ISO/IEC 27000: Gestão da segurança da informação (SGSI).
  • ISO/IEC 27032: Diretrizes para a cibersegurança.
  • ISO/IEC 27033: Segurança das redes.
  • ISO/IEC 27034: Segurança das aplicações.
  • ISO/IEC 27035: Gestão de incidentes de segurança de TI.
  • ISO/IEC 27036: Gestão da segurança da informação em relações com terceiros.
  • ISA/IEC 62443-1-1: Redes de comunicações industriais: segurança da rede e do sistema.
  • ISA/IEC 62443-2-1: Estabelecimento de um programa de gestão de cibersegurança para IACS (sistemas de controlo e automatização).
  • ISA/IEC 62443-2-3: Gestão de patches em ambiente IACS.
  • ISA/IEC 62443-2-4: Requisitos do programa de segurança para os fornecedores de serviços IACS.
  • ISA/IEC 62443-3-1: Tecnologias de segurança para IACS.
  • ISA/IEC 62443-3-2: Avaliação do risco de segurança e design de sistema.
  • ISA/IEC 62443-3-3: Requisitos de segurança para IACS.
  • IEC 61158: Comunicações industriais. Especificações para buses de campo e redes de tempo real.
  • IEC 61784-3: Segurança funcional de buses de campo.
  • ISO 10219-1: Requisitos de segurança para robots industriais.
  • ISO 20218-2: Requisitos de segurança para a integração de robots industriais.

Existe muita documentação onde se detalha de forma pormenorizada O QUE é preciso fazer para alcançar níveis de cibersegurança aceitáveis ou de como melhorar o nosso nível de maturidade em cibersegurança.

O que fica ao seu critério é definir o COMO :). No seguinte link propomos uma série de atividades para saber como começar:

Como começar?

Postagens Relacionadas