*Por Carlos Borella
A pandemia COVID-19 contribuiu para explosão dos casos e incidentes de cyber segurança no Brasil e mundo afora. Não citaremos os incidentes, pois o foco deste artigo será discutir a respeito das iniciativas desenvolvidas para elevar o nível de maturidade de segurança da informação dos mais diversos ecossistemas e ramos de atividade, desde o financeiro, elétrico, telecomunicações, historicamente altamente regulados, até mais recentemente a indústria automotiva.
Para entendermos melhor este último ecossistema, precisamos mencionar a IATF 16949.
Mas o que é a IATF 16949?
É um padrão global de sistema de gerenciamento de qualidade que incorpora a estrutura e os requisitos do padrão de qualidade ISO 9001, com requisitos adicionais da indústria automotiva. Este foi desenvolvido pela International Automotive Task Force (IATF), com o apoio da AIAG e exige a certificação por um auditor externo (organismo de certificação acreditado, similar aos processos de SGS (ISO20.000), SGSI (ISO27001), entre outros).
Ainda que a IATF 16949 tenha sido concebida inicialmente com o foco em qualidade, com a evolução dos sistemas, interconexão dos ambientes e a constante preocupação com ameaças digitais, naturalmente o tema de cyber segurança se tornou imprescindível para este padrão, uma vez que um possível interrupção pode impactar todo o ecossistema.
Neste sentido, a IATF 16949 incluiu o tema de cyber segurança em dois domínios (ou capítulos), o primeiro Continuidade de Negócios e o segundo Gestão de Riscos, com foco no planejamento e arquitetura das instalações e sistemas de manufatura.
Para a questão de Continuidade de Negócios, o objetivo é que as organizações que fazem parte do ecossistema tenham um plano de respostas e, consequentemente, continuidade operacional, caso tenham suas operações de manufatura ou logística, interrompidas por um cyber ataque, incluindo cenários de ransomware. Ainda em relação a Continuidade de Negócios, testes periódicos do plano de contingência devem ser realizados, de modo a garantir sua efetividade e, podem incluir uma simulação de um ataque cibernético, monitoramento regular para ameaças específicas, identificação e priorização de vulnerabilidades.
A Gestão de Riscos destaca a importância de se implementar controles de segurança, não somente em ambientes corporativos, mas também em setores de manufatura e produção, onde a existência de sistemas que coordenam e operam o ambiente de automação já são uma realidade e, possuem cada vez mais interdependência com sistemas corporativos, por exemplo, ERPs, Sistemas de Logística, entre outros.
Vale ressaltar que a IATF 16949, por ser um padrão, menciona a necessidade de controles e proteções, mas direciona ou detalha suas implementações. De modo resumido apresenta “o que” aplicar, mas não “como” aplicar. Desta forma a utilização de referências e boas práticas de cyber segurança, tais como: NIST, SANS, entre outros, devem continuar sendo utilizadas.
Por fim, é importante destacar que a estratégia de segurança já estabelecida pela organização deve ser apenas revisada, de modo que as iniciativas de cyber segurança convirjam para a cobertura e mitigação dos riscos, que se materializados, possam impactar suas operações.
Referência: IATF-16949-SIs_Oct2019.pdf (iatfglobaloversight.org)
— Carlos Borella é CEO and Cyber Security Lead Partner na [SAFEWAY]
Sobre a Safeway:
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!