Mais burocracia ou uma Europa mais segura?

Uma vez implementada a NIS 2 em cada entidade, se nada de muito profundo acontecer, então não se cumpre o verdadeiro objetivo do Diretiva Europeia que procura precisamente o fortalecimento da cibersegurança na UE, cuja robustez será equivalente ao elo mais fraco do seu ecossistema, com especial atenção a setores essenciais e setores chave.

A Europa tem legislado para o reforço da cibersegurança no espaço europeu e, com esse movimento, surge a NIS 2, com as transposições nacionais a ocorrerem até meados de outubro. Em Portugal, a publicação do Aviso n.º 1517/2024 - Projeto de regulamento relativo à implementação do Regime Jurídico da Segurança do Ciberespaço na Administração Pública – define a classificação atribuída a cada entidade e consequente âmbito de aplicação, bem como  as respetivas medidas técnicas e organizativas que lhes está subjacente.

E existem duas abordagens possíveis face ao desafio: cumprir e fazer cumprir nos mínimos da exigência, preenchendo de forma administrativa e burocrática os diversos quadros e tabelas que qualquer pacote de modelos de documentos deste tipo (comprados na Internet) poderá oferecer, ou, implementar de facto medidas que contribuam para a resiliência e confiança digitais de todos os intervenientes, apostando em processos, em tecnologia e principalmente em pessoas, num ciclo de melhoria continuada.

Tardam as iniciativas de uma séria discussão acerca do real e efetivo aproveitamento desta legislação (cujo endurecimento das medidas procura responder ao crescimento exponencial das ameaças) para que, no futuro mais ou menos próximo, surjam instituições com maior resiliência digital e, com isso, de maior confiança! Não é apenas de “papelada digital”, composta por bonitos, aparentemente complexos e longos documentos que se deve tratar, mas sim de um verdadeiro efeito regenerador na abordagem das organizações ao risco digital e, por consequência, da transformação digital das últimas décadas, ao próprio risco na sua atividade!

Vejamos os grandes desideratos, objetivos e passos a dar:

GESTÃO DE RISCO - Gestão de risco de segurança; aprovação das medidas de gestão dos riscos de cibersegurança e medidas de gestão dos riscos de cibersegurança.

SEGURANÇA REDES E SISTEMAS - Garantir a segurança dos sistemas de rede e informação que utilizam nas suas atividades; aplicação de ciber-higiene com políticas de  Zero Trust, atualização de software, configuração de dispositivos, segmentação da rede, gestão da identidades e acesso, gestão de vulnerabilidades (incluindo avaliações periódicas) e testes de intrusão, internos e externos.

Por sua vez, identificam-se como ativos a testar os físicos, com testes dos controlos físicos e digitais; pessoas, através de campanhas de phishing e exfiltração de informação; Cloud, recorrendo a scans de vulnerabilidades e OSINT; aplicação Web e Mobile, validando a segurança das aplicações, das APIs e interfaces, do código e da cadeia de fornecimento e, por fim, infraestruturas.

Nestes capítulo, são ainda dados merecidos destaques à criptografia (encriptação de dados) e à autenticação multifator (MFA), por se tratar de tecnologias que acrescentam segurança e proteção dos dados e de outros ativos.

FORNECEDORES - Gestão de risco de segurança da cadeia de fornecimento.

PESSOAS - Gestão de acessos, na entrada e saída. Formação em cibersegurança, começando por conhecer a maturidade e o contexto da organização relativamente à Segurança da Informação, recolhendo indicadores, produzindo ou selecionando os conteúdos mais adequados e organizando ações de formação (remotas e/ou presenciais), aumentando a sensibilização para as ciberameaças, através de testes/simulacros de «phishing» e/ou de técnicas de engenharia social. Assegurar a existência de um Manual de utilização aceitável (se aplicável) e incluir informação transversal de boas práticas na proteção de informação física, vulnerabilidades e violações de locais de acesso restrito, passwords, teletrabalho, processamento de informação sensível, “esta situação é uma violação de segurança?” ou “pode gerar um incidente? O que devo fazer?”, “Fui alvo de ataque de segurança? Quais as ações que devo tomar?”

RESILIÊNCIA - Notificação e tratamento de Incidentes. Gestão de incidentes disruptivos. Gestão de cópias de segurança, recuperação de desastres, gestão de crises.

SEGURANÇA FÍSICA - Segurança física e ambiental dos sistemas de rede e da informação.

No fundo, incrementar a confiança e resiliência digital das instituições é o grande objetivo da NIS 2, num desafio que junta processos, tecnologias e pessoas, onde os 22 anos de experiência da SECURNET a endereçar todas estas valências através das diversas unidades de negócio muito podem contribuir para o sucesso, superação e fortalecimento!

Para mais informações, contate-nos em [email protected]

Últimos artigos