Titulo Estágio
Elaboração de Ponto de Situação e preparação para a migração/atualização com vista à compliance com a NIS 2
Local do Estágio
Área de Cibersegurança e Direção de Sistemas de Informação da CP
Enquadramento
A CP dispõe de um SOC, estabelecido na Direção de Proteção e Segurança, área de Cibersegurança que exerce a sua atividade em articulação com as diferentes áreas da Direção de Sistemas de Informação.
A diretiva (EU) 2016/1148 (NIS I), transposta para a legislação portuguesa pela Lei 46/2018 obriga a CP, enquanto Operadora de Serviços Essenciais a cumprir as medidas técnicas e organizativas, adequadas e proporcionais para gerir os riscos e evitar os incidentes de segurança das redes e dos sistemas de informação utilizados para a prestação dos seus serviços essenciais e reduzindo ao mínimo o seu impacto e assegurando a continuidade desses serviços.
Após a publicação da diretiva NIS I em 2016, a EU, considerando a evolução dos riscos e das ameaças provenientes do ciberespaço, publicou a 14 de dezembro de 2022, a Diretiva NIS2 vem substituir a Diretiva NIS, reforçando as obrigações da CP no que toca a análises de risco, governação e tratamento de incidentes de segurança informática.
A CP dispõe neste momento de um conjunto de ferramentas de segurança, operadas a partir do SOC ou da Direção de Sistemas de Informação, assim como um conjunto de medidas organizativas e processuais que, operando em conjunto, constituem as diversos linhas de defesa da CP e garantem a conformidade com as atuais exigências regulamentares e legislativas.
Objetivo
Pretende-se que o Estagiário, no final do seu período na empresa, possa de forma autónoma, garantir o funcionamento de qualquer posição do SOC da CP, desde o TIER 1 ao TIER.
Plano de Trabalhos - Semestre 1
A CP – comboios de Portugal, E.P.E. entende este estágio como uma oportunidade para, de acordo com os órgãos envolvidos, aumentar o seu nível de confiança nas suas proteções contra ameaças provenientes do Ciberespaço, identificar e sugerir medidas de correção de vulnerabilidades e fraquezas na atual arquitetura de segurança informática e simultaneamente dar a conhecer os requisitos de segurança informática necessários as entidades abrangidas pelas diretivas NIS I e NIS II.
Os objetivos do estágio, serão os seguintes:
• Identificação dos requisitos atuais de conformidade regulamentar e legal a que a CP está sujeita a nível de segurança informática;
• Levantamento das ferramentas de segurança informática utilizadas no SOC da CP e na Direção de Sistemas de Informação, assim como as componentes processuais e humanas e a forma como se interligam;
• Identificação de vulnerabilidades e fraquezas de segurança informática ao longo de toda a CP e, de acordo com os órgãos envolvidos, sugestão de medidas de correção;
• Análise da Diretiva NIS 2 relativamente aos seus requisitos para entidades Operadoras de Serviços essenciais e produção de um framework de proposta(s) de ação para futura compliance com o NIS 2.
Plano de Trabalhos - Semestre 2
No primeiro semestre:
• Análise da NIS I e da legislação nacional relacionada, na parte que abrange as empresas de transportes/operadoras de serviços essenciais, com produção de documento descritivo dos requisitos atuais;
• Levantamento das ferramentas de segurança informática utilizadas no SOC da CP e na Direção de Sistemas de Informação, assim como as componentes processuais e humanas e a forma como se interligam;
No segundo semestre:
• Análise da NIS II e de documentação relacionada entretanto disponível, na parte que abrange as empresas de transportes/operadoras de serviços essenciais, atualização do documento criado no primeiro semestre;
• Identificação de vulnerabilidades e fraquezas de segurança informática ao longo de toda a CP e, de acordo com os órgãos envolvidos, sugestão de medidas de correção;
• Elaboração de documentação útil para a CP para a migração/atualização de tecnologias/processos e recursos humanos com vista à futura compliance com o NIS 2 e possível legislação nacional relacionada.
Condições
O candidato deverá obedecer aos seguintes requisitos:
• esteja matriculado num programa de mestrado relacionado com a área de Cibersegurança, segurança da informação ou campos afins;+
• Tenha um mínimo de 2 anos de experiencia de operação num SOC;
• Tenha conhecimentos sólidos do funcionamento da operação ferroviária e dos sistemas de segurança utilizados;
• Possua conhecimentos sólidos em cibersegurança, incluindo princípios de segurança, ameaças cibernéticas, técnicas de mitigação de riscos, criptografia, segurança de redes, governanção de segurança e conformidade regulatória.
• esteja familiarizado com as tecnologias utilizadas na área de cibersegurança, como sistemas de detecção e prevenção de intrusões (IDS/IPS), firewalls, antivírus, SIEM (Security Information and Event Management), análise de logs, entre outros
• Tenha conhecimento em gestão de riscos de segurança da informação, incluindo identificação de riscos, análise de impacto, avaliação de vulnerabilidades e definição de estratégias de mitigação;
• Esteja familiarizado com as regulamentações de segurança da informação relevantes, como o Regime Jurídico de Segurança do Ciberespaço, o Regulamento Geral de Proteção de Dados (GDPR) e a norma ISO 27001.
Observações
A CP oferece ao estagiário, durante a duração do estágio, a possibilidade e acompanhar o dia a dia de um SOC em operação, com acesso a recursos computacionais, tecnológicos e acessos a pessoas equipamentos e informações equivalentes aos disponibilizados aos elementos do SOC da CP.
Orientador
José Luís Parente Bernardino
jpbernardino@cp.pt 📩