Uma vez identificados os ativos e analisada a sua situação de cibersegurança (maturidade, risco, vulnerabilidades), ou seja, a situação atual (AS-IS), o próximo passo será avaliar estes níveis. Para realizar esta avaliação, será necessário compará-los com níveis aceitáveis (TO-BE) dentro de cada escala de valorização.
Escala de valorização do AS-IS. Avaliação de níveis de maturidade e risco.
A decisão final sobre os níveis aceitáveis dependerá do negócio, embora o pessoal técnico e de cibersegurança possa participar como conselheiro, sobretudo informando sobre as implicações que os níveis objetivos têm em termos de equilíbrio entre o esforço e o benefício.
Uma vez comparado o estado atual (AS-IS) com o objetivo (TO-BE) na avaliação, o próximo passo será identificar as ações para cobrir este GAP, que poderão ter diferentes propósitos:
• Implementar medidas que ainda não existam.
• Melhorar a maturidade das medidas existentes.
• Tratar riscos inaceitáveis.
• Corrigir vulnerabilidades identificadas com as ferramentas de análise.
Do AS-IS ao TO-BE: Identificação das ações para cobrir o GAP.
Este plano será o nosso roadmap para as fases seguintes, que explicaremos nos próximos capítulos, e cobrirá diferentes aspetos, tais como:
• Controlo de acessos e autenticação.
• Gestão de atualizações e patches.
• Backup e restauração de dados.
• Monitorização e registo de eventos.
• Proteção contra malware.
• Resposta a incidentes.
• Segurança física.
• Gestão de fornecedores.
Aceda ao Guia completo sobre a Nova Diretiva NIS2
Outros artigos relacionados com o tema: