Cibersegurança Industrial e NIS2. A fase de planificação: Identificação de ativos e análise do seu estado

Cibersegurança Industrial e NIS2. A fase de planificação: Identificação de ativos e análise do seu estado

Em artigos anteriores, discutimos a abordagem de conformidade com a NIS2 em ambientes OT/IoT, que incluía dois aspetos primordiais:

• Integração dos aspetos comuns de outras regulamentações e normas de segurança. [Artigo 1]
• Orientação para a melhoria contínua, baseada no ciclo de Deming PDCA (Plan-Do-Check-Act). [Artigo 2]

Neste artigo, vamos iniciar a fase de planeamento da cibersegurança em ambientes OT/IoT para cumprir com a NIS2, a base da implementação.

Para planear, primeiro é necessário identificar. O que não está identificado não será protegido.

Para elaborar um bom plano de adaptação, a primeira ação é identificar os elementos IT/OT/IoT afetados pela diretiva (ativos). Esta identificação será mais ou menos complexa dependendo da dimensão do conjunto de ativos e do nível de maturidade que a organização tem em termos de gestão de ativos IT/OT/IoT. Neste sentido, podemos encontrar uma variedade de situações: organizações em que os inventários estão “nas cabeças” de alguns técnicos, organizações em que existem inventários realizados manualmente, mas não necessariamente completos ou atualizados; e outras organizações, as mais maduras, em que existem inventários formais, ou seja, completos e atualizados.

Caso os ativos não sejam identificados, é possível que sejam excluídos do plano, ou seja, o que não for identificado agora não será protegido depois (e o que não for protegido depois pode resultar em não conformidades, para não mencionar possíveis incidentes de cibersegurança).

E como realizaremos o inventário? Algumas boas práticas são:

1. Inventariar as diferentes classes de ativos, não apenas o hardware ou software, ou seja, os dados, redes, suportes de informação e, claro, os elementos OT/IoT como PLCs, câmaras e elementos de climatização inteligente, entre outros. Até mesmo os locais físicos e as pessoas, pois ambos são suscetíveis a ataques. Ou seja, é necessário inventariar tudo o que for suscetível a ataques.
2. Inventariar os ativos intangíveis, ou seja, os processos de negócio ou serviços e suas dependências com os ativos tangíveis, já que os riscos dos tangíveis terão impacto nos intangíveis.
3. Definir e completar informações relevantes para cada ativo. Pelo menos, o responsável por cada ativo deve ser registado no inventário, entre outros dados.
4. Utilizar técnicas de inventário manuais (principalmente para ativos intangíveis) e automáticas (com ferramentas).
5. Definir e implementar um procedimento de atualização do inventário.
6. No que diz respeito às técnicas automáticas de inventário, é necessário considerar as diferenças entre ambientes IT e OT/IoT. Em IT, podem ser utilizadas ferramentas baseadas em agentes (como SNMP ou outros), mas em ambientes OT/IoT nem sempre essa opção é viável. Neste sentido, existem ferramentas de gestão de ativos OT/IoT no mercado que identificam os dispositivos numa rede através da análise do tráfego, conseguindo fazer um inventário não intrusivo.

Uma vez identificados os ativos, o próximo passo será analisar a maturidade das medidas indicadas na NIS2. Como mencionado em capítulos anteriores, as medidas da NIS2 (principalmente no artigo 21) abrangem uma série de áreas que já existem noutras regulamentações e normas, como a ISO 27001, o Centro Nacional de Cibersegurança (CNCS), o framework de cibersegurança CSF NIST ou a ISO 62443 (específica para ambientes industriais).

Portanto, será realizada uma análise que integre os requisitos da NIS2, integrando os aspetos comuns com a regulamentação aplicável. Será dada especial atenção à análise da arquitetura de rede como parte dessa análise.

Além de medir a maturidade das medidas implementadas, os riscos devem ser analisados, ou seja, o grau de exposição às diferentes ameaças de segurança que podem afetar os ativos, causando impacto. Atualmente existem metodologias/ferramentas de análise de riscos que contemplam especificamente os ambientes OT/IoT, como por exemplo, o MAGERIT/PILAR.

Por fim, como complemento à análise da situação, podem ser realizadas análises de vulnerabilidades com ferramentas. No caso dos ativos OT/IoT, as próprias ferramentas de inventário mencionadas anteriormente podem ter funcionalidades de deteção de vulnerabilidades, fornecendo um elemento adicional de informação sobre o risco dos ativos.

Na Babel apostamos no lema de que cumprir com a legislação de cibersegurança protege o negócio, sobretudo, no caso da NIS2, onde poderá haver repercussões diretas para colaboradores em cargo de direção e para infrações. Através da nossa equipa de especialistas podemos ajudar os nossos clientes na adaptação a esta nova normativa, desde a realização da análise de situação até à sua implementação e manutenção posterior.

Aceda ao Guia completo sobre a Nova Diretiva NIS2

Outros artigos relacionados com o tema:

• Cibersegurança e NIS2: Setores afetados e requisitos de caracter técnico-organizativo

• Cibersegurança e NIS2: Adotar uma abordagem eficaz