Anatel publica diretrizes para auditoria da Política de Segurança Cibernética de fornecedores de equipamentos
29/11/2024
Procedimento Operacional com diretrizes para auditoria da política de segurança cibernética de fornecedores de produtos
A Superintendência de Outorga e Recursos à Prestação da Agência Nacional de Telecomunicações (Anatel) publicou, em 26 de novembro, o Procedimento Operacional com diretrizes para auditoria da política de segurança cibernética de fornecedores de produtos e equipamentos de telecomunicações para prestadoras (Ato nº 16417, de 22 de novembro de 2024).
As diretrizes de auditoria, que foram disponibilizadas para avaliação e contribuição da sociedade por meio da Consulta Pública nº 75/2023, foram desenvolvidas dentro do Subgrupo Técnico de Equipamentos, Fornecedores e Requisitos do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT- Ciber), em cumprimento ao § 2º do art. 7º do R-Ciber (Res. nº 740/2019).
O Subgrupo Técnico, coordenado pela Gerência de Certificação e Numeração do órgão regulador, conta com cerca de 160 integrantes, representando prestadoras de serviços, indústria, academia, centros de pesquisa, laboratórios de ensaio, Organismos de Certificação Designados, além de servidores da Anatel.
As diretrizes de auditoria têm aplicação conjunta com a Política de Segurança Cibernética de fornecedores de produtos e equipamentos de telecomunicações para as prestadoras, aprovada pelo Despacho Decisório nº 16/2023/COQL/SCO, que também foi elaborada pelo referido Subgrupo Técnico.
As regras definidas nos dois documentos visam garantir que os fornecedores de equipamentos para as prestadoras de serviços de telecomunicações possuam uma política de segurança cibernética robusta, que seja submetida a auditorias periódicas, conforme estabelecido pelo art. 7º do R-Ciber.
Os fornecedores de equipamentos desempenham um papel crucial na infraestrutura de redes de telecomunicações das prestadoras, fornecendo dispositivos essenciais, como roteadores e switches, que operam no núcleo dessas redes. Nesse contexto, as práticas de segurança adotadas pelos fornecedores devem ser rigorosas, constantemente atualizadas e adaptadas às novas ameaças emergentes.
Uma política de segurança cibernética bem estruturada e alinhada ao R-Ciber demonstra o compromisso do fornecedor com a proteção dos seus equipamentos ao longo de todo o ciclo de vida do produto, desde as fases iniciais de desenvolvimento até o final de sua vida útil, passando pelas atualizações de segurança.