Ainda estamos a tempo de usar a NIS2 como catalisador para algo de que há muito precisamos, investindo em práticas estruturadas e transformando-a em resiliência operacional. Ganhando vantagem competitiva! Outrossim será uma oportunidade perdida.
|
Muito se tem debatido sobre as implicações da NIS2 mas, numa visão mais descomplexada, quase sempre a partir dos interlocutores errados. Têm sido as áreas tecnológicas a alertar e pressionar a gestão de topo para a preparação necessária. Pergunta-se, não deveria ser precisamente esta a questionar as suas áreas tecnológicas e operacionais sobre o estado de maturidade e prontidão? Sensibilização ou otimismo? Há muito que ninguém ousa questionar que qualquer organização e setor de atividade dependem das tecnologias de informação para sobreviver. Ora, os infelizes acontecimentos no nosso País, de há um ano a esta parte, do apagão energético às tempestades, trouxeram à evidência que a ausência de um plano de resposta a incidentes, de quaisquer tipos de incidentes, poderá trazer consequências irreversíveis. Muito provavelmente e também por isso, a NIS2 é hoje mais bem compreendida pelos gestores nacionais, o que terá levado 63% dos inquiridos a afirmar acreditar no prazo de 12 meses para a cumprir, segundo um estudo muito recente da IDC e Microsoft. Mas será sensibilização ou otimismo? Será que já houve uma “inversão na mesa” e a pergunta já passou de “quanto custa fazer?” para “quanto pode custar não fazer?” Será que as lideranças já estão conscientes de que a cibersegurança deixou de ser uma questão técnica e passou a um risco empresarial? A NIS2 e a sua preparação devem ser um processo partilhado. Também compete aos gestores das áreas tecnológicas adaptarem o discurso e linguagem no diálogo com o topo das organizações, levando impacto financeiro e exposição por serviço crítico, dependência de terceiros e consequências, capacidade real de recuperação ou outro tipo de métricas de negócio em detrimento de tecnologia. E a mudança só acontece com métricas e perguntas certas. Não se exigem discussões tecnológicas na gestão de topo, nem tão pouco ferramentas ou orçamentos, exigem-se decisões informadas.
A maturidade não começa com ferramentas, começa com clareza. Sobre o que é crítico, quem decide e como se recupera. No fundo muito daquilo que já antes da NIS2 devia estar assegurado. Se a diretiva servir para criar essa clareza, já terá cumprido um papel transformador. As organizações (ainda) estão a tempo de usar a NIS2 como ponto de partida em vez de objetivo final e usar o seu verdadeiro valor como catalisador para algo que há muito precisavam de fazer. De cumprir a pressão regulatória investindo em práticas estruturadas, transformando-a em resiliência operacional e competitividade ou, de outra forma, serão recursos e oportunidades desperdiçadas. Os recursos humanos e não só Sempre que se abordam questões de TI e em especial cibersegurança (numa visão de engenharia) surge o tema da ausência de recursos humanos em número bastante e suficientemente qualificados. Mas não estarão as organizações a pedir respostas aos interlocutores errados? Serão áreas de engenharia as mais habilitadas e a quem são exigíveis respostas como as necessárias no contexto da NIS2? Na SECURNET, acreditamos que “sem cultura a compliance resume-se a uma checklist e sem tecnologia a cultura é vulnerável”. É precisamente por isso que é a unidade de consultoria que autonomamente endereça as temáticas de governação, do risco e de compliance, como a NIS2, em paralelo com as áreas de engenharia. Acreditamos que conseguir, no final, entregar o melhor serviço e soluções quando se juntam estes dois mundos. A importância de ter planos O problema não é cumprir a NIS2, não começa por aí, mas sim nas bases estratégicas da gestão de riscos. E ter planos! De implementação da diretiva, de resolução de problemas identificados, de continuidade de negócio e de resposta a incidentes. Comecemos pelos planos de implementação e de resolução de problemas identificados, dividindo- o em três fases: visibilidade, redução de risco imediato e governação. Uma vez cumprido, e o processo não é necessariamente longo, já estarão dados importantes passos rumo aos objetivos iniciais. Na primeira fase - visibilidade, um inventário de ativos e serviços com identificação clara de serviços críticos para a organização, identificação dos fornecedores críticos e nomeação do responsável. Na fase seguinte - redução de risco imediato, com implementação de multifator de autenticação (MFA), revisão de privilégios reduzindo-os aos mínimos necessários, backups imutáveis (realmente testados) e desenho de guia de resposta a incidentes (um pouco mais demorado). Não será exagerado afirmar que se neste momento a organização não usa multifator de autenticação nos acessos e um bom e eficaz sistema de backups tinha já um problema de gestão, ainda que tecnológico, por resolver muito antes da NIS2. Por fim, a última fase desta etapa - governação, com o envolvimento da gestão de topo da organização (administração ou gerência), a formalização de um roadmap realista, faseado e dotado dos meios necessários para ser concretizado (recursos humanos e financeiros) e o estabelecimento de métricas básicas para avaliação. É bom relembrar que o mais importante (nesta fase) é demonstrar (com verdade) diligência e um plano estruturado. A importância de testar A diretiva NIS2 estabelece prazos curtos para a notificação de incidentes, mas não serão necessários prazos ainda mais curtos de reação a bem da sobrevivência das organizações? Aqui há claramente um caminho a percorrer face ao reduzido número de entidades com guias de resposta preparados e fundamentalmente testados, com equipas treinadas (do IT mas não só), canais de comunicação e cadeia de decisão definidos. Será necessário estudar e preparar respostas num caminho que começa muito antes e a montante para que, no “dia D”, haja o sucesso possível a jusante. Testar, falhar, rever, melhorar, treinar e voltar a testar são passos de um ciclo contínuo fundamental. No tal “dia D” não bastará ter políticas não testadas, planos nunca treinados, backups nunca restaurados, nem inquéritos a fornecedores sem qualquer validação. Será necessário ter passado por exercícios regulares, testes de recuperação, revisão e ajuste de privilégios e métricas bem definidas sobre resiliência. Quando se invoca o azar, fala-se que o diabo está atrás da porta. E já agora, nos pormenores… Conclusão Para além daquilo que é o mais importante, o próprio negócio e as próprias organizações, e é assim que deve ser encarado este desafio como foi até agora explanado, a NIS2 é também muito acerca de gestão do risco e de evidências. Se na gestão de risco exige-se que seja adequada ao contexto, sem complexidade desnecessária, quanto às evidências nem tudo se audita, nem tudo tem de ser auditado, antes de acordo e proporcionalmente à sempre presente gestão do risco. Em dois meses não se atinge maturidade, mas consegue-se assegurar o controlo da situação. Lembre-se, “o essencial é demonstrar governação, consciência de risco e plano estruturado“ e para isso pode contar com a SECURNET como seu parceiro de redução de risco, que o ajude na definição de parâmetros de governação, um integrador pragmático focado em resiliência, não apenas em tecnologia! Mais informações através de [email protected] ou [email protected]
Conteúdo co-produzido pela MediaNext e pela Securnet |
Receba todas as novidades na sua caixa de correio!
