O uso correto da segurança cibernética é agora mais importante do que nunca. Devido às ameaças crescentes, o risco de ataques aumenta constantemente. O legislador também reconheceu isto e criou a diretriz NIS2. Axians dá dicas de como as empresas devem proceder agora.
Um quarto de milhão de variantes de malware recentemente descobertas, 2.000 vulnerabilidades identificadas em produtos de software por mês, 21.000 novos sistemas infectados todos os dias, 68 ataques de ransomware bem-sucedidos e duas tentativas por mês apenas em instalações municipais ou empresas municipais. Números alarmantes são mencionados no relatório atual sobre a situação da segurança cibernética do Escritório Federal de Segurança da Informação (BSI): O escritório alerta que os criminosos estão evoluindo. Hoje, os cibercriminosos profissionais estão amplamente conectados em rede e trabalham em uma divisão de trabalho. Eles usam inteligência artificial (IA) e outras tecnologias modernas para seus ataques.
Devido a estas condições no cenário da segurança cibernética, a UE emitiu a Diretiva NIS2. Os requisitos da diretiva estão atualmente a ser incorporados nas leis nacionais e devem ser codificados até 17 de outubro de 2024. Todas as instituições afetadas são então obrigadas a implementar uma série de medidas de segurança cibernética.
Que requisitos as empresas têm de cumprir para o NIS2?
Entre outras coisas, as empresas devem ter um conceito de gestão de risco, introduzir planos de emergência e reportar incidentes de segurança ao BSI. São necessárias medidas técnicas de proteção, como backup sistemático de dados, conceitos de controle de acesso, criptografia e gerenciamento de vulnerabilidades. Análoga à Lei de Segurança de TI 2.0, a NIS2 também estipula que as empresas devem ter em conta as vulnerabilidades das suas cadeias de abastecimento nos seus conceitos de segurança, para que os criminosos não possam invadir os sistemas através dos fornecedores. É importante finalmente implementar o estado da arte, incorporando padrões e processos de segurança que já eram recomendados como melhores práticas antes do NIS2.
Qualquer pessoa que tenha prestado atenção nos últimos anos à segurança dos seus negócios contra criminosos de acordo com as normas aplicáveis só precisa de fazer alguns ajustes para cumprir os requisitos. Mas as empresas e instituições que agora se enquadram pela primeira vez na área NIS2 e que anteriormente negligenciaram o tema da segurança cibernética enfrentam agora grandes desafios. Para se prepararem para os requisitos, as novas empresas devem tomar medidas de proteção antecipadamente. O caminho para a meta dá cinco passos.
A empresa é afetada pela legislação NIS2?
Em primeiro lugar, as empresas devem esclarecer se pertencem ao círculo alargado do regulamento SRI2. Existem dois grupos principais: operadores de instalações críticas e instalações “particularmente importantes” ou “importantes”. O que importa é se estas empresas operam em sectores económicos sujeitos a regulamentação. Ainda há muita incerteza aqui. Para maior clareza, as empresas devem colocar a si próprias as seguintes questões: Estou ativo num dos setores regulamentados? Minha empresa atende aos limites oficiais? A rotatividade é alta o suficiente e o número de funcionários está correto? Se a resposta a estas perguntas for sim, aplicam-se os requisitos de proteção NIS2. No entanto, é aconselhável que todas as empresas - independentemente de se enquadrarem ou não no NIS2 - coloquem à prova os seus próprios conceitos de segurança e verifiquem se correspondem ao estado da arte. Os responsáveis pela TI também não devem esquecer de determinar quais áreas da empresa precisam ser protegidas.
Quão segura é a infraestrutura de TI?
O próximo passo é descobrir onde estão os maiores pontos fracos. Como está estruturada a segurança cibernética na empresa? Qual é o nível de proteção atual? Uma avaliação de risco mostra onde começa melhor a estratégia de segurança - nomeadamente onde as empresas podem alcançar as melhorias mais rápidas. Depois, os usuários deverão repetir o processo em intervalos regulares. A avaliação contínua pode ajudar a aumentar gradualmente a resiliência da TI.
Qual é a segurança da cadeia de abastecimento?
Na avaliação de riscos obrigatória, não só os riscos da sua própria empresa devem desempenhar um papel, mas também os pontos fracos específicos da cadeia de abastecimento devem ser tidos em conta. Se forem identificadas vulnerabilidades, devem ser tomadas contramedidas para cumprir os requisitos regulamentares e proteger as interfaces. As varreduras de Superfície de Ataque Externa (EAS), por exemplo, podem ajudar com isso. É aconselhável agir proativamente e realizar uma análise de risco para identificar possíveis vulnerabilidades nas cadeias de abastecimento. As instalações afetadas podem então desenvolver um conceito de segurança comum com as empresas fornecedoras.
Qual sistema é adequado para detecção de ataques?
Para garantir a necessária segurança dos sistemas de informação, também são recomendados sistemas de detecção de ataques. Para muitas empresas, é aconselhável implementar uma solução de gestão de eventos e informações de segurança (sistema SIEM), pois constitui a base para a maioria dos sistemas de detecção de intrusão. O SIEM coleta dados que também podem ser avaliados em um centro de operações de segurança (SOC). Ele fornece informações úteis para operações de TI, como indicações de configurações incorretas. A variedade de opções de SIEM oferece inúmeras possibilidades para atender às necessidades da própria empresa. Por exemplo, as empresas podem decidir se utilizam um sistema SIEM autogerenciado ou os serviços de um SOC profissional. A gama de serviços oferecidos varia desde sua própria operação interna ou um SIEM cogerenciado até serviços SOC de TI/TO totalmente gerenciados de provedores de serviços de TIC externos, como a Axians.
Como é um conceito de segurança sensato para o NIS2?
É importante não apenas adquirir sistemas de segurança de TI compostos por hardware e software, mas também estabelecer regras e procedimentos que definam, gerenciem, monitorem, mantenham e melhorem continuamente a segurança da informação. As empresas podem proceder de acordo com o princípio modular: Primeiro, devem ser tomadas medidas que aumentem rapidamente o nível de segurança. A proteção pode então ser expandida nível por nível. Padrões de segurança como BSI-Grundschutz ou ISO 2700x, bem como uma arquitetura de confiança zero, podem servir de orientação. Em particular, a orientação do Compêndio de Proteção Básica oferece grande ajuda, pois contém um catálogo de melhores práticas de medidas de segurança.
A legislatura reconheceu a gravidade da situação e reforçou os requisitos com novos regulamentos. A crescente situação de ameaça mostra que as empresas devem abordar a implementação diretamente. Para não se perder em decisões técnicas detalhadas, você pode buscar suporte de prestadores de serviços de TIC experientes, como a Axians. Estes implementam sistemas para clientes diariamente, conforme exigido pelo regulamento NIS2. Avaliações profissionais, aconselhamento prévio e apoio contínuo ajudam a desenvolver rapidamente uma estratégia adequada e a aliviar a carga dos departamentos de TI nas empresas.
Mais em Axians.com
Sobre Axianos
A Axians apoia empresas privadas, instituições públicas, operadores de rede e prestadores de serviços na modernização das suas infraestruturas e soluções digitais. Quer sejam aplicações ou análises de dados, redes corporativas, espaços de trabalho partilhados, data centers, soluções cloud, infraestruturas de telecomunicações ou segurança na Internet.