Serviços de segurança cibernética
Serviços de segurança cibernética
A frequência e sofisticação dos ataques cibernéticos à infraestrutura de energia está crescendo constantemente. As proteções de perímetro da rede não são suficientes para proteger os sinais de controle e os dados sensíveis. A S&C compreende que a engenharia de segurança eficaz requer uma aplicação multidisciplinar de gestão de risco para garantir a resiliência ao longo do ciclo de vida do sistema. Sistemas de energia são sistemas de sistemas de vários fornecedores que requerem coordenação de diversas partes interessadas para garantir que a postura de segurança seja projetada, implementada e mantida corretamente. A S&C projeta a segurança cibernética em nossos produtos para obter resiliência e defesa em profundidade.
A S&C oferece também um conjunto robusto de serviços de segurança cibernética para liderara integração holística de segurança da rede e do sistema. A S&C fornece excelente valor aos nossos clientes acoplando serviços de segurança cibernética com nossas soluções de sistemas de energia e nossos serviços de engenharia, mas também oferecemos consultoria e serviços isolados de segurança cibernética. Isso dá aos nossos clientes que não possuem uma equipe de segurança cibernética o suporte deque eles precisam para conformidade, e garante que seus sistemas e seus ambientes de rede permaneçam seguros.
Com experiência profunda de consultoria e serviços de segurança cibernética para o Departamento de Defesa dos EUA (DoD), nossa equipe pode oferecer uma ampla variedade de serviços de segurança cibernética e de rede para nossos clientes federais, comerciais e concessionárias. A equipe detém certificações de segurança cibernética aprovadas pelo DoD (por exemplo, CISSP, Security+CE, GICSP, GPEN). Saiba mais sobrea experiência de segurança cibernética do DoD da S&C…
Avaliações de segurança cibernética
Os serviços de segurança cibernética da S&C estão preparados para aproveitar a nossa forte experiência cibernética federal e do DoD para atender às necessidades dos nossos clientes concessionárias e comerciais. A S&C fornece avaliações de segurança cibernética personalizadas para aumentar a segurança do sistema de energia e para gestão de risco. As avaliações de segurança cibernética da S&C se baseiam em estruturas e padrões, tais como NERC-CIP, NIST IR 7628 e NIST 800-53.
As atividades específicas de avaliação incluem, entre outras:
- Inventário de hardware e software
- Avaliação de ameaças
- Avaliação e varredura de vulnerabilidade de sistema e rede
- Conformidade com NERC CIP
- Conformidade com estrutura de segurança cibernética ou gestão de risco da NIST
- Documentação de conclusões e recomendações de mitigação
- (Futuro) suporte a auditorias de Cybersecurity Maturity Model Certification (CMMC) do DoD
Avaliação do Risk Management Framework federal
Avaliação do Risk Management Framework federal
Os sistemas de informações federais, incluindo a infraestrutura de energia, devem ser projetados, protegidos e monitorados em conformidade com o Risk Management Framework (RMF) e a política e diretrizes relacionadas. A S&C compreende os desafios enfrentados pelos proprietários de sistemas de energia e sistemas de controle relacionados a instalações do Departamento de Defesa (DoD) na implementação de segurança cibernética e na obtenção de autorização para operar (ATOs).
A S&C segue um enfoque de solução de problema para o planejamento e execução de RMF enfocando o alívio de pontos problemáticos do cliente (proprietário do sistema), mantendo os custos baixos e garantindo um caminho possível e oportuno para garantir uma ATO. Os serviços de segurança cibernética da S&C orientarão o proprietário do sistema ao longo do processo de RMF com base em nossa profunda experiência prática com planejamento e execução de RMF para microrredes do exército, marinha, força aérea e fuzileiros navais.
A equipe da S&C fornece alguns dos maiores valores na implementação de controles de segurança de RMF. Não apenas nós somos experientes na proteção de componentes do sistema de energia da S&C, mas também aplicamos a segurança cibernética e a gestão de riscos a qualquer dispositivo de outros fornecedores no sistema ou rede de energia ou conectado a ele. A implementação do controle de segurança inclui política de segurança organizacional e planejamento de procedimentos. Nós fornecemos suporte total aos proprietários de sistemas em cada etapa de RMF, incluindo:
- Etapa 0 do RMF: A S&C define o palco desde o início, identificando e envolvendo indivíduos que preencherão as principais funções do RMF e o registro do sistema nos repositórios do DoD.
- Etapa 1 do RMF: A S&C fornece uma categorização de segurança recomendada do sistema, completa com uma descrição do conceito de operações (CONOPS), tipos de informações processadas e níveis de impacto para confidencialidade, integridade e disponibilidade. Também desenvolvemos artefatos de acompanhamento, como listas preliminares de hardware/software e limites de rede e diagramas de fluxo de dados.
- Etapa 2 do RMF: A S&C desenvolve o plano de segurança do sistema (SSP) com base na categorização de segurança aprovada e ajusta a linha de base do controle de segurança com sobreposições aplicáveis e controles herdados ou não aplicáveis.
- Etapa 3 do RMF: A S&C fornece suporte total para a autoavaliação dos proprietários do sistema com a implementação de requisitos de segurança, incluindo configuração prática e política de segurança e desenvolvimento de artefatos.
- Etapa 4 do RMF: A S&C participa integralmente da visita ao local das equipes de validação de terceiros, fornecendo suporte prático para a validação do sistema. A equipe de serviços de segurança cibernética da S&C conduzirá o pacote RMF nos processos de controle e aprovação de pacote, incluindo atividades de varredura/correção/varredura e conclusão de artefato.
- Etapas 5 e 6 do RMF: A equipe da S&C continua dando suporte total para obter autorização por meio do retrabalho contínuo do pacote e da conclusão do treinamento e da transferência do sistema. O enfoque de RMF da S&C não termina na ATO. A manutenção contínua do RMF e o monitoramento contínuo do sistema são essenciais para a segurança e resiliência da microrrede e são programados nas políticas e procedimentos desenvolvidos com e para o proprietário do sistema. Uma oferta de serviço completa para este suporte é oferecida sob um contrato (separado).
Leia mais sobre a experiência de RMF federal e do DoD da S&C
S&C e histórico de IPERC
A aquisição pela S&C da IPERC, o fornecedor de controles de microrrede e líder de segurança cibernética para o 2015 Smart Power Infrastructure Demonstration for Energy, Reliability and Security (SPIDERS) e outros projetos do DoD, trouxe o Sistema de Controle de Microrrede GridMaster® Microgrid no estado da arte e experênci em RMF para a equipe da S&C. Nossa equipe ajudou clientes governamentais a obter os primeiros ATOs de sistemas de controle de microrrede, primeiro no Camp Smith Hawaii dos Fuzileiros Navais para o Naval Facilities Engineering Command (NAVFAC), e pois oaa o Fort Carson, Colorado do exército, Department of Public Works.
A S&C é versada em padrões e orientações relativos a RMF para sistemas de controle industriais (por exemplo, sistemas de controle de microrrede e sistemas de controle), incluindo processos e formatos esespecíficos de serviço do DoD, incluindo, entre outros:
- Unified Facilities Criteria (UFC) 4-010-06, Cybersecurity of Facility-Related Control Systems, alteração 1, 18 de janeiro de 2017
- Unified Facilities Guidance Specification (UFGS) 25 05 11, Cybersecurity for Facility‐ related Control Systems, 1 de novembro de 2017
- DoD Instruction 8500.01, Cybersecurity, 14 de março de 2014
- DoD Instruction 8510.01, Risk Management Framework (RMF) for DoD Information Technology (IT), alteraçao 2, 28 de julho de 2017
- National Institute of Standards and Technology (NIST) Special Publication (SP) 800-82, Guide to Industrial Control Systems (ICS) Security, revisão 2, maio de 2015
- NIST SP 800-53, revisão 5, Security and Privacy Controls for Information Systems and Organizations
- NIST SP 800‐60, Information Security, revisão 1, Volumes I & II, Information Security,
Agosto de 2008
- NIST SP 800‐171, revisão 1, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, dezembro de 2016, atualizado em 7 de junho de 2018
- NAVFAC Echelon II RMF Business Rules for Facility-Related Control Systems (FRCS), versão 1.0, 4 de outubro de 2019
- Air Force Civil Engineering Center (AFCEC)’s Guide for Cybersecurity Requirements for Vendors on FRCS, atualizado em 25 de agosto de 2020
- Army Material Command (AMC) Cyber Security Division (CSD) Standard Operating Procedures (SOPs) for RMF
- DFARS Clause 252.204‐7012, Safeguarding Unclassified Controlled Technical Information
Projeto e configuração de rede segura
Nossa equipe tem experiência profunda em projeto e configuração de rede completa e de segurança para clientes federais, comerciais e de concessionárias. A equipe de especialistas da S&C pode avaliar a segurança cibernética e arquiteturas de rede para sistemas existentes ou para uma nova construção, desde o projeto conceitual da rede até o comissionamento final. A S&C pode servir como consultora para operadores e pessoal de segurança do cliente, e/ou executar configuração prática dos dispositivos em rede para garantir que os sistemas de energia permaneçam seguros e em conformidade com requisitos de segurança aplicáveis.
Os serviços de configuração de segurança da S&C incluem implementação e documentação de uma linha de base de segurança, varredura de vulnerabilidade e conformidade, mitigação de conclusões e nova varredura. A instalação, proteção e testes apropriadas da rede e dos equipamentos são essenciais e deve ser feitas por analistas de segurança preparados. Nós podemos fornecer esse serviço completo de projeto e configuração de rede segura para atender às necessidades dos seus clientes no cenário de segurança cibernética em constante mudança.
