Para a Diretiva de segurança de dutos atualizada da TSA, consistência e colaboração são essenciais

Views: 207
0 0
Read Time:4 Minute, 50 Second

No final do mês passado, a Transportation Security Administration renovou e atualizou sua diretiva de segurança com o objetivo de aumentar a segurança cibernética dos oleodutos e gasodutos naturais. A orientação reeditada, conhecida como Diretiva de Segurança (SD) Pipeline-2021-02D ​​Pipeline Cybersecurity Mitigation, Actions, Contingency Planning, and Testing , aplica-se a proprietários e operadores de empresas críticas de pipeline e segue as diretrizes iniciais anunciadas pela agência em julho de 2021 e julho 2022 após o ataque de ransomware altamente divulgado e perturbador em Colonial Pipeline.

Esta atualização mais recente não invalida os requisitos previamente estabelecidos na simples busca da mudança. Tampouco mantém apenas o status quo. Em vez disso, a nova diretiva busca mudanças incrementais que se baseiam em requisitos anteriores, mas não os abandonam.

Mantendo o que funciona

À medida que o governo Biden continua a expandir os requisitos regulatórios de segurança cibernética para infraestrutura crítica, como os oleodutos do país, é digno de nota que a TSA manteve os controles orientados pela comunidade identificados na diretiva anterior emitida em 2022, conhecida como SD-02C, e aumentou os requisitos com apenas atualizações secundárias amplamente focadas em relatar e exercer os objetivos do plano de resposta a incidentes.

No ano passado, após consultar especialistas do setor privado, a TSA melhorou significativamente as diretivas anteriores de segurança de oleodutos, que foram criticadas por partes interessadas do setor que não foram consultadas adequadamente.

A atualização de 2023 mantém o foco em medidas baseadas em desempenho, em vez de prescritivas, para apoiar as diferentes necessidades e desafios do setor e de empresas individuais. Em seus planos de implementação de segurança cibernética (CIP), proprietários e operadores têm a flexibilidade de alavancar vários padrões do setor (como o NIST Cybersecurity Framework (CSF), API 1164 e a série ISA/IEC 62443), permitindo que eles desenvolvam planos de implementação acionáveis ​​em torno de seus ambientes utilizando um conjunto mais amplo de orientação, experiência e soluções e alcance resultados estratégicos de segurança cibernética e para acomodar diferenças em sistemas e operações.

Mais importante ainda, eles têm a flexibilidade de estruturar planos de implementação para seus ambientes OT devido ao seu perfil de risco específico que é exclusivo do ambiente de TI. Além disso, o foco no monitoramento contínuo e no exercício para avaliar a obtenção de resultados, bem como a aprovação para usar controles de compensação, representa uma grande melhoria para todos os proprietários e operadores de dutos.

Como os proprietários e operadores de infraestrutura são os especialistas em seus próprios sistemas, eles estão bem posicionados para fornecer informações valiosas que permitem os melhores resultados de segurança possíveis do processo regulatório. É imperativo que eles façam parte do diálogo com o governo no desenvolvimento de novos padrões e regulamentos para colocar as empresas de infraestrutura de nosso país em uma posição melhor para manter a resiliência diante do ambiente de ameaças cibernéticas em evolução.

Consistência sem complacência

Além de reter elementos informados pelo setor, a consistência do SD-02D com versões anteriores de diretivas de segurança também demonstra um entendimento por parte da TSA de que a conformidade tem um custo. As organizações não devem sacrificar dinheiro em segurança para atender aos requisitos de conformidade; eles devem ser um e o mesmo. Requisitos bem informados e baseados em desempenho ajudam a manter o foco na segurança real, não apenas em listas de verificação de conformidade.

Requisitos consistentes e baseados em desempenho que são aprimorados de forma iterativa com informações de consultas do setor são um modelo de como desenvolver estruturas regulatórias para lidar com o ambiente de ameaças em evolução, permitindo que as organizações realmente mantenham o foco na segurança. Mantenha o que funciona. Melhore o que não funciona. Preencher as lacunas.

Com a atualização mais recente da diretiva de segurança de pipeline, a TSA aumentou gradualmente os requisitos para incluir a avaliação de planos de avaliação de segurança cibernética e o teste de planos de resposta a incidentes. No futuro, à medida que continuam a atualizar e melhorar essas e outras diretrizes de segurança, será essencial que a TSA continue a se envolver com o setor privado e especialistas do setor para garantir os melhores resultados de segurança possíveis.

Manter o foco na segurança por meio da harmonização regulatória

O governo Biden se comprometeu a aprimorar a segurança cibernética da infraestrutura crítica de nosso país por meio de regulamentação expandida, incluindo a Estratégia Nacional de Segurança Cibernética e o Plano de Implementação associado , ambos lançados no início deste ano.

Empregando uma abordagem setor por setor, o governo permitiu que os regulamentos fossem adaptados às indústrias afetadas. Também causou involuntariamente uma teia de requisitos sobrepostos e às vezes duplicados para organizações que operam em vários setores ou são cobertas por mais de um órgão de supervisão.

Para reduzir a carga sobre os proprietários e operadores de infraestrutura crítica que estão sujeitos a várias autoridades reguladoras e permitir que as organizações se concentrem na verdadeira segurança, será imperativo que a Administração faça progressos significativos na harmonização regulatória, uma prioridade tanto na Estratégia Nacional de Segurança Cibernética quanto na Implementação Plano. Requisitos regulatórios diferentes e às vezes conflitantes combinados com vários fluxos de requisitos de relatórios desviam a atenção dos resultados de segurança e resiliência.

À medida que a administração aborda a harmonização regulatória, ela deve fazê-lo em consulta com a indústria para entender completamente o custo total e a carga de requisitos duplicados e simplificar com mais eficiência sem sacrificar a segurança e a resiliência. Da mesma forma, é essencial que a TSA continue a se envolver com especialistas do setor e partes interessadas para avaliar e melhorar futuras diretivas de segurança para obter os melhores resultados de segurança possíveis.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS

O que são worms de computador?

No mundo digital interconectado de hoje, empresas enfrentam ameaças constantes de cibercriminosos que exploram vulnerabilidades em sistemas, redes e dispositivos.

Ler mais