10 medidas de segurança críticas exigidas pela SRI2

Base jurídica: Artigo 21.º da SRI2

O artigo 21.º da Diretiva SRI2 exige que as entidades abrangidas tomem «medidas técnicas, operacionais e organizacionais adequadas e proporcionadas para gerir os riscos para a segurança das redes e dos sistemas de informação».

Essas medidas devem levar em consideração:

• O estado da arte em segurança cibernética
• Normas aplicáveis (europeias ou internacionais)
• O custo da implementação em relação aos riscos
• O tamanho da entidade e a exposição ao risco
• A probabilidade e gravidade de incidentes potenciais

Medida 1: Avaliação de riscos e políticas de segurança da informação

Todas as entidades abrangidas pelo SRI2 devem estabelecer um quadro formal de gestão de riscos que inclua:

• Identificação e avaliação regulares dos riscos de cibersegurança
• Uma política de segurança da informação documentada e aprovada pela alta administração
• Ciclos periódicos de revisão e atualização (no mínimo anualmente ou após alterações significativas)
• Planos de tratamento de riscos que abordam lacunas identificadas

Na prática: Isso significa ir além das práticas de segurança ad hoc e adotar uma abordagem estruturada e documentada. Muitas organizações utilizam a ISO/IEC 27001 ou o NIST CSF como base de sua estrutura, adaptando-a aos requisitos da SRI2.

Medida 2: Tratamento de incidentes

As organizações devem ter procedimentos claramente definidos para detectar, analisar, conter e recuperar incidentes de segurança cibernética. Isso inclui:

• Uma função de Centro de Operações de Segurança (SOC), seja interna ou terceirizada
• Um plano de resposta a incidentes (IRP) testado pelo menos uma vez por ano
• Funções definidas e caminhos de escalonamento para gerenciamento de incidentes
• Um plano de comunicação que abranja as partes interessadas internas, as autoridades e (quando necessário) os clientes.

Na prática: O plano de resposta a incidentes também deve incorporar os prazos rigorosos de notificação da SRI2 (abordados em uma publicação separada). Simulados de incidentes e exercícios teóricos são altamente recomendados.

Medida 3: Continuidade dos negócios, backup e recuperação de desastres

A SRI2 exige que as entidades garantam que os serviços essenciais possam continuar ou ser rapidamente retomados após um incidente de cibersegurança perturbador. Isso envolve:

• Backups regulares e testados de dados armazenados separadamente dos sistemas de produção
• Um Plano de Continuidade de Negócios (BCP) que abrange os principais cenários operacionais
• Um Plano de Recuperação de Desastres (DRP) com RTO (Objetivo de Tempo de Recuperação) e RPO (Objetivo de Ponto de Recuperação) definidos
• Procedimentos de gestão de crises para incidentes graves

Na prática: Soluções de backup baseadas na nuvem e arquiteturas geograficamente redundantes estão se tornando cada vez mais comuns. Certifique-se de que sua documentação de BCP/DRP esteja atualizada e que os funcionários conheçam suas funções.

Medida 4: Segurança da cadeia de abastecimento

As organizações devem avaliar e gerenciar os riscos de segurança cibernética em toda a sua cadeia de suprimentos. Isso inclui fornecedores diretos, prestadores de serviços de TIC e, em alguns casos, subcontratados.

Os requisitos incluem:

• Avaliações de risco dos fornecedores como parte dos processos de aquisição
• Requisitos de segurança contratuais incluídos nos acordos com fornecedores
• Monitoramento contínuo da postura de segurança dos fornecedores
• Um processo para gerenciar e revogar o acesso de terceiros

Na prática: muitas violações têm origem em terceiros de confiança. Implemente um programa de gestão de riscos de terceiros (TPRM) e considere exigir que os fornecedores demonstrem a sua própria conformidade com a SRI2 ou a ISO 27001.

Medida 5: Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação

A segurança deve ser incorporada aos sistemas ao longo de todo o seu ciclo de vida, em vez de ser adicionada posteriormente:

• Práticas de desenvolvimento seguro (SSDLC, revisão de código, SAST/DAST)
• Programas de gerenciamento de vulnerabilidades que abrangem varreduras regulares e gerenciamento de patches
• Testes de penetração em sistemas críticos em intervalos regulares
• Requisitos de segurança definidos nas especificações de aquisição

Na prática: As organizações que desenvolvem software internamente devem adotar os princípios DevSecOps. Aquelas que dependem de produtos de terceiros devem aplicar SLAs de gerenciamento de patches e monitorar os avisos de segurança dos fornecedores.

Medida 6: Políticas e procedimentos para avaliar a eficácia

A SRI2 exige que as organizações sejam capazes de demonstrar que suas medidas de segurança são eficazes:

• Auditorias internas regulares dos controles de segurança cibernética
• Indicadores-chave de desempenho (KPIs) para operações de segurança
• Relatórios à administração sobre a eficácia das medidas de segurança cibernética
• Utilização de auditores externos ou certificações (por exemplo, ISO 27001) para validar a postura

Na prática: A coleta de evidências é fundamental. Os reguladores e auditores vão querer ver registros, relatórios, trilhas de auditoria e aprovações da administração que demonstrem que os controles estão funcionando.

Medida 7: Higiene e treinamento em segurança cibernética

O erro humano continua a ser a principal causa de incidentes de cibersegurança. A SRI2 exige:

• Treinamento regular de conscientização sobre segurança cibernética para todos os funcionários
• Formação especializada para pessoal de TI/segurança
• Uma cultura de conscientização sobre segurança incorporada aos processos organizacionais
• Programas de simulação de phishing e boletins informativos sobre segurança

Na prática: O treinamento deve ser específico para cada função — o que um funcionário do departamento financeiro precisa saber difere do que um administrador de sistemas precisa saber. Documente todas as atividades de treinamento para fins de auditoria.

Medida 8: Políticas e procedimentos sobre criptografia e encriptação

As organizações devem implementar controles criptográficos adequados:

• Criptografia de dados confidenciais em repouso e em trânsito
• Procedimentos documentados de gerenciamento de chaves, incluindo geração, rotação e revogação
• Utilização de algoritmos atuais, padrão da indústria (evite padrões obsoletos como SHA-1, MD5, DES)
• Certificados e procedimentos de gestão de PKI

Na prática: analise todos os fluxos de dados para identificar onde a criptografia está ausente ou desatualizada. Ferramentas como TLS 1.3 para trânsito, AES-256 para armazenamento e módulos de segurança de hardware (HSMs) para gerenciamento de chaves são as melhores práticas atuais.

Medida 9: Segurança dos recursos humanos, controle de acesso e gestão de ativos

As pessoas, o acesso e os ativos devem ser gerenciados de forma sistemática:

• Políticas de controle de acesso baseadas no princípio do privilégio mínimo
• Autenticação multifatorial (MFA) para todos os acessos administrativos e remotos
• Procedimentos para gerir o acesso ao longo do ciclo de vida dos funcionários que entram, mudam de função ou saem da empresa
• Inventário de ativos abrangendo hardware, software, dados e recursos em nuvem
• Procedimentos de verificação de antecedentes para funcionários com acesso a sistemas críticos

Na prática: as soluções de gerenciamento de acesso privilegiado (PAM) são cada vez mais consideradas essenciais para organizações que gerenciam infraestruturas críticas. Arquiteturas de confiança zero estão surgindo como a melhor prática.

Medida 10: Utilização da autenticação multifatorial (MFA) e comunicação segura

A SRI2 exige explicitamente o uso de:

• Autenticação multifatorial (MFA) ou autenticação contínua para acesso a sistemas críticos
• Comunicações criptografadas para troca de informações confidenciais
• Sistemas de comunicação de emergência que permanecem funcionais durante e após um incidente

Na prática: a MFA deve ser implementada, no mínimo, em todos os sistemas acessíveis externamente (VPN, e-mail, serviços em nuvem, desktop remoto). Sempre que possível, estenda a MFA aos sistemas internos que armazenam dados críticos ou confidenciais.

Proporcionalidade: não existe uma solução única para todos os casos

É importante compreender que a SRI2 não exige que todas as organizações implementem o mesmo nível de controlos. A diretiva exige explicitamente medidas proporcionais à organização:

• Tamanho e recursos
• Exposição ao risco e criticidade do setor
• Nível de maturidade atual

Um hospital deve tratar sua postura de segurança de maneira diferente de uma empresa de gestão de resíduos. No entanto, a obrigação de implementar todas as 10 categorias se aplica a todas as entidades abrangidas — o que varia é a profundidade e a sofisticação da implementação.