Para alcançar a conformidade com o NIS2, a segurança da identidade desempenha um papel crucial. Cinco dos dez requisitos podem ser atendidos com isso. A segurança da identidade é, portanto, também mencionada como uma ferramenta importante nas melhores práticas estabelecidas pela UE. SailPoint.
17 de outubro de 2024 é a data de entrada em vigor da política NIS2. Se as empresas ainda não começaram a implementá-lo, agora é a hora.
Análise de risco e segurança para sistemas de informação
O conceito de segurança para sistemas de informação deve conter regras para identidades, como
- o uso de contas nomeadas em oposição às contas gerais;
- controlar contas privilegiadas;
- a aplicação dos princípios de privilégio mínimo e confiança zero;
- Identificação proativa de indivíduos com acesso de risco que representam uma ameaça à organização.
A segregação de funções (SOD) também desempenha um papel importante no controle e prevenção de riscos comerciais. A eficácia destas regras deve ser medida em termos de redução de riscos. A segurança de identidade fornece informações sobre a realidade do acesso de TI e as ferramentas para detectar e corrigir desvios de política.
Segurança da cadeia de suprimentos
Outro aspecto importante do NIS2 é a segurança da cadeia de abastecimento. As empresas são cada vez mais ameaçadas indiretamente por ataques às identidades de não funcionários, como fornecedores, vendedores, parceiros, prestadores de serviços e outros. Um ataque bem-sucedido a um fornecedor pode resultar no comprometimento da própria empresa e, em alguns casos, na impossibilidade de agir. Este tipo de ataque à cadeia de abastecimento está a tornar-se mais comum do que os ataques de malware ou ransomware e deve ser levado muito a sério. É fundamental gerir e proteger todas as identidades, incluindo as de prestadores de serviços, fornecedores, consultores ou parceiros. É sempre importante garantir que você só tenha acesso aos recursos necessários no momento certo.
Eficácia das medidas de gestão de risco
As organizações muitas vezes têm dificuldade em avaliar a eficácia das suas medidas de segurança ou em identificar vulnerabilidades que persistem apesar dessas medidas. Muitas pessoas têm dificuldade em revogar imediatamente o acesso aos seus funcionários quando estes mudam de função ou saem da empresa. A Comissão Europeia recomenda que os operadores de infraestruturas críticas implementem estratégias de confiança zero e gestão de identidade e acesso. Tais abordagens implicam que as partes autorizadas só tenham acesso aos sistemas mais necessários – e com os direitos mais baixos possíveis. Isso pode ser essencial para gerenciar o acesso de parceiros e contratados.
Higiene cibernética básica
Para garantir uma higiene cibernética sólida, as empresas devem ter uma visão geral de todo o seu hardware e software – e de quem pode acessá-los. Isso também inclui higiene de senha. Para evitar que os funcionários utilizem a mesma palavra-passe para todas as contas, as empresas podem contar com a governação de identidade: Isto garante o acesso automatizado a um ambiente de TI em constante crescimento e mudança, ao mesmo tempo que reduz potenciais riscos de segurança e conformidade.
A política NIS2 também exige que os funcionários, parceiros e todos dentro da empresa sejam treinados e sensibilizados sobre segurança cibernética. De acordo com um relatório da IDC sobre a implementação do NIS2, três quartos das empresas europeias (72 por cento) ainda precisam de trabalhar na oferta da sua formação em segurança cibernética.
Controle de acesso e gerenciamento de ativos
A diretriz NIS2 também se refere à “segurança do pessoal”. Esta é uma área muito ampla, mas também mostra que a gestão de utilizadores é um aspecto importante da segurança cibernética. A segmentação de utilizadores é um método central para os cibercriminosos. O controlo de acesso baseado em funções - de identidades humanas e de máquinas - utiliza diferentes recursos e níveis de autorização para a função do respetivo utilizador. Isto permite que as empresas adotem uma abordagem de governança de identidade onde as políticas são desenvolvidas e implementadas proativamente usando IA e ML. Ao mesmo tempo, o contexto do usuário e do recurso acessado também pode ser incluído. Isso simplifica a carga de gerenciamento das equipes de TI e segurança e pode garantir que as vulnerabilidades sejam atenuadas antes que os cibercriminosos possam explorá-las.
“Insights em tempo real sobre o acesso do usuário podem criar indicadores avançados de postura de segurança de identidade. Isto é especialmente verdadeiro para contas sem proprietário ou compartilhadas, contas não desativadas ou aquelas com altos privilégios. Também ajuda com direitos não utilizados e acumulações de direitos de acesso que podem ser prejudiciais para a empresa”, afirma Klaus Hild, Estrategista Principal de Identidade da SailPoint. “Isso permite que situações de alto risco sejam identificadas e que ações corretivas sejam priorizadas. E o uso da IA ajuda a gerar insights adicionais e sugestões específicas para ações corretivas. O resultado são tempos de resposta significativamente mais curtos e um nível geral de segurança mais elevado. Se se souber mais sobre a realidade do acesso, melhores decisões de segurança de TI poderão ser tomadas.”
Mais em SailPoint.com
Sobre a SailPoint
A SailPoint é líder em segurança de identidade para empresas modernas. A segurança corporativa começa e termina com identidades e acesso a elas, mas a capacidade de gerenciar e proteger identidades agora está muito além das capacidades humanas. Alimentada por inteligência artificial e aprendizado de máquina, a SailPoint Identity Security Platform oferece o nível certo de acesso às identidades e recursos certos no momento certo.