{"id":990151,"date":"2024-05-27T14:58:13","date_gmt":"2024-05-27T14:58:13","guid":{"rendered":"https:\/\/babelgroup.com\/?p=990151"},"modified":"2025-07-24T16:50:09","modified_gmt":"2025-07-24T14:50:09","slug":"ciberseguranca-industrial-e-nis2-a-fase-de-planificacao-identificacao-de-ativos-e-analise-do-seu-estado","status":"publish","type":"post","link":"https:\/\/babelgroup.com\/pt-pt\/ciberseguranca-industrial-e-nis2-a-fase-de-planificacao-identificacao-de-ativos-e-analise-do-seu-estado\/","title":{"rendered":"Ciberseguran\u00e7a Industrial e NIS2. A fase de planifica\u00e7\u00e3o: Identifica\u00e7\u00e3o de ativos e an\u00e1lise do seu estado"},"content":{"rendered":"<div class=\"vgblk-rw-wrapper limit-wrapper\">\n<h2 class=\"wp-block-heading has-large-font-size\">Ciberseguran\u00e7a Industrial e NIS2. A fase de planifica\u00e7\u00e3o: Identifica\u00e7\u00e3o de ativos e an\u00e1lise do seu estado<\/h2>\n\n\n\n<p><a>Em artigos anteriores, discutimos a abordagem de conformidade com a NIS2 em ambientes OT\/IoT, que inclu\u00eda dois aspetos primordiais:<\/a><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/babelgroup.com\/pt-pt\/ciberseguranca-e-nis2\/\">Integra\u00e7\u00e3o dos aspetos comuns de outras regulamenta\u00e7\u00f5es e normas de seguran\u00e7a. [Artigo 1]<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/babelgroup.com\/pt-pt\/ciberseguranca-industrial-e-nis2-adotando-uma-abordagem-bottom-up\/\">Orienta\u00e7\u00e3o para a melhoria cont\u00ednua, baseada no ciclo de Deming PDCA (Plan-Do-Check-Act). [Artigo 2]<\/a><\/li>\n<\/ul>\n\n\n\n<p>Neste artigo, vamos iniciar a fase de planeamento da ciberseguran\u00e7a em ambientes OT\/IoT para cumprir com a NIS2, a base da implementa\u00e7\u00e3o.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Para planear, primeiro \u00e9 necess\u00e1rio identificar. O que n\u00e3o est\u00e1 identificado n\u00e3o ser\u00e1 protegido.<\/strong><\/p>\n\n\n\n<p>Para elaborar um bom plano de adapta\u00e7\u00e3o, a primeira a\u00e7\u00e3o \u00e9 identificar os elementos IT\/OT\/IoT afetados pela diretiva (ativos). <strong>Esta identifica\u00e7\u00e3o ser\u00e1 mais ou menos complexa dependendo da dimens\u00e3o do conjunto de ativos e do n\u00edvel de maturidade que a organiza\u00e7\u00e3o<\/strong> tem em termos de gest\u00e3o de ativos IT\/OT\/IoT. Neste sentido, podemos encontrar uma variedade de situa\u00e7\u00f5es: organiza\u00e7\u00f5es em que os invent\u00e1rios est\u00e3o &#8220;nas cabe\u00e7as&#8221; de alguns t\u00e9cnicos, organiza\u00e7\u00f5es em que existem invent\u00e1rios realizados manualmente, mas n\u00e3o necessariamente completos ou atualizados; e outras organiza\u00e7\u00f5es, as mais maduras, em que existem invent\u00e1rios formais, ou seja, completos e atualizados.<\/p>\n\n\n\n<p>Caso os ativos n\u00e3o sejam identificados, \u00e9 poss\u00edvel que sejam exclu\u00eddos do plano, ou seja, o que n\u00e3o for identificado agora n\u00e3o ser\u00e1 protegido depois (e o que n\u00e3o for protegido depois pode resultar em n\u00e3o conformidades, para n\u00e3o mencionar poss\u00edveis incidentes de ciberseguran\u00e7a).<\/p>\n\n\n\n<p>E como realizaremos o invent\u00e1rio? Algumas boas pr\u00e1ticas s\u00e3o:<\/p>\n\n\n\n<ol class=\"wp-block-list\" start=\"1\">\n<li><strong>Inventariar as diferentes classes de ativos<\/strong>, n\u00e3o apenas o hardware ou software, ou seja, os dados, redes, suportes de informa\u00e7\u00e3o e, claro, os elementos OT\/IoT como PLCs, c\u00e2maras e elementos de climatiza\u00e7\u00e3o inteligente, entre outros. At\u00e9 mesmo os locais f\u00edsicos e as pessoas, pois ambos s\u00e3o suscet\u00edveis a ataques. Ou seja, \u00e9 necess\u00e1rio inventariar tudo o que for suscet\u00edvel a ataques.<\/li>\n\n\n\n<li>Inventariar os ativos intang\u00edveis, ou seja, os processos de neg\u00f3cio ou servi\u00e7os e suas depend\u00eancias com os ativos tang\u00edveis, j\u00e1 que os riscos dos tang\u00edveis ter\u00e3o impacto nos intang\u00edveis.<\/li>\n\n\n\n<li><strong>Definir e completar informa\u00e7\u00f5es relevantes para cada ativo<\/strong>. Pelo menos, o respons\u00e1vel por cada ativo deve ser registado no invent\u00e1rio, entre outros dados.<\/li>\n\n\n\n<li>Utilizar t\u00e9cnicas de invent\u00e1rio manuais (principalmente para ativos intang\u00edveis) e autom\u00e1ticas (com ferramentas).<\/li>\n\n\n\n<li>Definir e implementar um <strong>procedimento de atualiza\u00e7\u00e3o do invent\u00e1rio<\/strong>.<\/li>\n\n\n\n<li>No que diz respeito \u00e0s t\u00e9cnicas autom\u00e1ticas de invent\u00e1rio, \u00e9 necess\u00e1rio considerar as diferen\u00e7as entre ambientes IT e OT\/IoT. Em IT, podem ser utilizadas ferramentas baseadas em agentes (como SNMP ou outros), mas em ambientes OT\/IoT nem sempre essa op\u00e7\u00e3o \u00e9 vi\u00e1vel. Neste sentido, existem ferramentas de gest\u00e3o de ativos OT\/IoT no mercado que identificam os dispositivos numa rede atrav\u00e9s da an\u00e1lise do tr\u00e1fego, conseguindo fazer um invent\u00e1rio n\u00e3o intrusivo.<\/li>\n<\/ol>\n\n\n\n<p>Uma vez identificados os ativos, o pr\u00f3ximo passo ser\u00e1 analisar a maturidade das medidas indicadas na NIS2. Como mencionado em cap\u00edtulos anteriores, as medidas da NIS2 (principalmente no artigo 21) abrangem uma s\u00e9rie de \u00e1reas que j\u00e1 existem noutras regulamenta\u00e7\u00f5es e normas, como a ISO 27001, o Centro Nacional de Ciberseguran\u00e7a (CNCS), o framework de ciberseguran\u00e7a CSF NIST ou a ISO 62443 (espec\u00edfica para ambientes industriais). <\/p>\n\n\n\n<p>Portanto, <strong>ser\u00e1 realizada uma an\u00e1lise que integre os requisitos da NIS2, integrando os aspetos comuns com a regulamenta\u00e7\u00e3o aplic\u00e1vel<\/strong>. Ser\u00e1 dada especial aten\u00e7\u00e3o \u00e0 an\u00e1lise da arquitetura de rede como parte dessa an\u00e1lise.<\/p>\n\n\n\n<p>Al\u00e9m de medir a maturidade das medidas implementadas, os riscos devem ser analisados, ou seja, o grau de exposi\u00e7\u00e3o \u00e0s diferentes amea\u00e7as de seguran\u00e7a que podem afetar os ativos, causando impacto. Atualmente existem metodologias\/ferramentas de an\u00e1lise de riscos que contemplam especificamente os ambientes OT\/IoT, como por exemplo, o MAGERIT\/PILAR.<\/p>\n\n\n\n<p>Por fim, como complemento \u00e0 an\u00e1lise da situa\u00e7\u00e3o, podem ser realizadas an\u00e1lises de vulnerabilidades com ferramentas. <strong>No caso dos ativos OT\/IoT, as pr\u00f3prias ferramentas de invent\u00e1rio mencionadas anteriormente podem ter funcionalidades de dete\u00e7\u00e3o de vulnerabilidades, fornecendo um elemento adicional de informa\u00e7\u00e3o sobre o risco dos ativos.<\/strong><\/p>\n\n\n\n<p>Na Babel apostamos no lema de que cumprir com a legisla\u00e7\u00e3o de ciberseguran\u00e7a protege o neg\u00f3cio, sobretudo, no caso da NIS2, onde poder\u00e1 haver repercuss\u00f5es diretas para colaboradores em cargo de dire\u00e7\u00e3o e para infra\u00e7\u00f5es. <strong>Atrav\u00e9s da nossa equipa de especialistas podemos ajudar os nossos clientes na adapta\u00e7\u00e3o a esta nova normativa<\/strong>, desde a realiza\u00e7\u00e3o da an\u00e1lise de situa\u00e7\u00e3o at\u00e9 \u00e0 sua implementa\u00e7\u00e3o e manuten\u00e7\u00e3o posterior.<\/p>\n\n\n\n<p><a href=\"https:\/\/babelgroup.com\/wp-content\/uploads\/2024\/05\/Ciberseguranca-e-NIS2.Babelpt.pdf\">Aceda ao Guia completo sobre a Nova Diretiva NIS2<\/a><\/p>\n\n\n\n<p>Outros artigos relacionados com o tema:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/babelgroup.com\/pt-pt\/ciberseguranca-e-nis2\/\">Ciberseguran\u00e7a e NIS2: Setores afetados e requisitos de caracter t\u00e9cnico-organizativo<\/a><\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/babelgroup.com\/pt-pt\/ciberseguranca-industrial-e-nis2-adotando-uma-abordagem-bottom-up\/\">Ciberseguran\u00e7a e NIS2: Adotar uma abordagem eficaz<\/a><\/li>\n<\/ul>\n\n\n\n<p><\/p>\n<\/div><!-- .vgblk-rw-wrapper -->","protected":false},"excerpt":{"rendered":"<p>Ciberseguran\u00e7a Industrial e NIS2. A fase de planifica\u00e7\u00e3o: Identifica\u00e7\u00e3o de ativos e an\u00e1lise do seu estado Em artigos anteriores, discutimos a abordagem de conformidade com a NIS2 em ambientes OT\/IoT, que inclu\u00eda dois aspetos primordiais: Neste artigo, vamos iniciar a fase de planeamento da ciberseguran\u00e7a em ambientes OT\/IoT para cumprir com a NIS2, a base&#8230;<\/p>\n","protected":false},"author":17,"featured_media":1030082,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[150],"tags":[],"class_list":["post-990151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sem-categoria"],"acf":[],"_links":{"self":[{"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/posts\/990151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=990151"}],"version-history":[{"count":5,"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/posts\/990151\/revisions"}],"predecessor-version":[{"id":1030086,"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/posts\/990151\/revisions\/1030086"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/media\/1030082"}],"wp:attachment":[{"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=990151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/categories?post=990151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/babelgroup.com\/pt-pt\/wp-json\/wp\/v2\/tags?post=990151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}