Cibersegurança Industrial e NIS2: Implementando as ações do plano de adequação à NIS2

A execução gerida do plano como fator de sucesso

Uma vez identificados os ativos e analisada a sua situação de cibersegurança (maturidade, risco, vulnerabilidades), isto é, a situação atual (AS-IS), o passo seguinte será avaliar estes níveis. Para realizar a avaliação, será necessário compará-los com níveis aceitáveis (TO-BE) dentro de cada escala de avaliação.

Em artigos anteriores descrevemos o processo para desenhar e dispor do plano de adequação à NIS 2:

• A fase de planeamento: Identificação de ativos e análise do seu estado
• Desenhando o roteiro: do estado atual (AS-IS) ao objetivo (TO-BE)

 Uma vez definido o Plano de adequação, o passo seguinte será levar a cabo a sua execução. Para que esta execução seja realizada a tempo e com sucesso é necessária uma gestão e coordenação nos seguintes termos:

1. Desdobramento detalhado de tarefas. As ações do plano serão desdobradas num nível detalhado em tarefas e subtarefas que terão um caráter implementador, não necessitando de mais estudos ou investigações para poderem ser executadas. Estas tarefas incluirão calendários precisos de execução.
2. Atribuição de responsabilidades. Após o desdobramento, serão atribuídos executores e responsáveis. Neste sentido, recomenda-se a criação de uma matriz RACI (siglas em inglês de “Responsible, Accountable, Consulted, Informed”) como mecanismo de atribuição de responsabilidades na execução. Assim, para cada ação ou grupo de ações serão identificados os seguintes papéis:

· Responsável (Responsible). É a pessoa encarregada de realizar as tarefas em si e, caso uma tarefa tenha mais de uma pessoa, designar-se-á uma delas como Responsável, para que haja um único interlocutor.

· Aprovador (Accountable). Este papel é responsável pelo acompanhamento e supervisão da execução das tarefas, aprovando o resultado do trabalho. Para desenvolver o seu papel interagirá com o responsável que está atribuído à tarefa (R).

· Consultado (Consulted). Este papel corresponde à pessoa ou grupo de pessoas especialistas a quem se pode consultar por informação relacionada com as tarefas realizadas pelo responsável (R) e supervisionadas pelo aprovador (A). Portanto, deverão ter o suficiente conhecimento e experiência para poder opinar e aconselhar sobre tais tarefas.

· Informado (Informed). Será a pessoa ou grupo de pessoas a quem se informará sobre o andamento dos trabalhos (grau de avanço, resultados e mudanças, entre outros aspetos).

3. Pôr o plano em marcha. Uma vez atribuídos os papéis começaremos a executar o plano, que, além da própria execução realizada pelos responsáveis (R), terá uma componente contínua de acompanhamento (realizado pelos aprovadores A), de assessoria (realizada pelos consultados C) e reporting (aos informados I).

Neste sentido, recomenda-se a implementação de um escritório técnico, que aglutinará todas as funções anteriores, garantindo que não se implementem apenas as ações do plano mas que também existe uma gestão adequada.

As ações do plano poderão ser de diferentes tipologias

As ações a realizar no plano poderão ser de diferentes tipologias, pelo que a equipa executora será multidisciplinar, reunindo especialistas de cibersegurança, legais, de sistemas e comunicações entre outros. Dado que no respetivo âmbito poderão coexistir tanto sistemas de informação (IT) como de operações (OT e IoT) deveremos incluir especialistas em cibersegurança em ambos os ambientes, que deverão interagir e ter em consideração os aspetos comuns e integráveis.

As ações poderão ser de caráter documental, como por exemplo, desenvolver políticas e procedimentos. Também poderão ser de caráter técnico, como, por exemplo nos ambientes OT/IoT, instalar uma ferramenta de monitorização, da qual já se falou na etapa Plano para a identificação contínua de elementos OT/IoT e das suas vulnerabilidades. E, claro, também haverá ações de caráter organizativo, tais como as relacionadas com a gestão de fornecedores (cada vez mais ciberincidentes em ambientes OT/IoT são causados por vulnerabilidades na cadeia de fornecimento), a formação e a gestão de ciberincidentes.

A avaliação periódica da eficácia das medidas e tomada de ações de melhoria

Por último, e em linha com o ciclo de melhoria contínua (PDCA: Plan-Do-Check-Act), após a execução, ou em pontos intermédios da mesma, é importante que se realizem auditorias de NIS2 objetivas e imparciais e medição de indicadores (Check). Isto servirá para verificar a eficácia das medidas do Plano que estão a ser implementadas e a deteção de possíveis ações corretivas ou/preventivas, que deverão incorporar-se no Plano e ser executadas (Act).

Aceda ao Guia completo sobre a Nova Diretiva NIS2

Outros artigos relacionados com o tema:

• Cibersegurança e NIS2: Setores afetados e requisitos de caracter técnico-organizativo
• Cibersegurança e NIS2: Adotar uma abordagem eficaz
• A fase de planificação: Identificação de ativos e análise do seu estado
• Desenhando o roadmap: do estado de situação atual (AS-IS) ao objetivo (TO-BE)