Sala de imprensa
assinar boletim informativo

Resiliência como prioridade para entidades críticas

8 minutos de leitura
tags:
escrito por:
Andrea Monteleone
Andrea Monteleone
Resiliência para entidades críticas

A resiliência pode ser descrita como a capacidade de antecipar, identificar, responder, absorver contratempos e de se recuperar deles. É algo com o qual estamos familiarizados como um traço positivo nas pessoas, mas que agora está sendo exigido pela lei como um atributo de organizações que desempenham um papel no fornecimento de serviços e recursos vitais para a sociedade e o funcionamento das economias. Nesta publicação, analisamos os motivos pelos quais a resiliência precisa ser incorporada nas operações de entidades críticas e por toda suas cadeias de valor.

As maneiras pelas quais as operações de qualquer organização podem ser interrompidas são inúmeras e crescem a cada dia. 

A proliferação de ataques cibernéticos impulsionados pela "comercialização" de ransomware é outro exemplo óbvio. Mas, nem todas as potenciais interrupções vêm da intenção criminosa. O erro humano e os acidentes continuam a ser a causa mais comum de interrupção operacional.

Uma escassez de matérias-primas e a interrupção de cadeias de suprimento globalmente interconectadas também podem ter um impacto imediato. Tenho certeza de que todos nos lembramos do caos causado quando o navio de carga Ever Given ficou preso no Canal de Suez por seis dias em 2021. A lista continua com questões tão amplas quanto falhas em máquinas e processos essenciais, conflitos geopolíticos, guerras comerciais e muito mais.

A necessidade de resiliência tornou-se, portanto, uma prioridade para todas as organizações. Para aqueles que fornecem qualquer aspecto da infraestrutura crítica de uma nação, no entanto, a resiliência tornou-se tão importante que passou a ser uma exigência regulamentar. 

Por essa razão, o foco se expandiu de "infraestrutura crítica" para "entidades críticas", abrangendo assim qualquer organização que desempenha um papel, por pequeno que seja, no suporte a uma crescente lista de indústrias definidas como centrais para o bem-estar econômico ou social de uma nação.

As crescentes exigências regulatórias para entidades críticas

Na Europa, a Diretiva NIS2 focada em cibersegurança e a Diretiva de Resiliência de Entidade Crítica (CER), mais ampla, estão agora sendo promulgadas como lei nos estados membros da UE. Ambas impõem exigências significativas sobre as organizações definidas como "entidades críticas". Estas são as organizações envolvidas de qualquer forma na prestação do que é considerado como serviços essenciais na manutenção das principais funções sociais, apoio à economia, garantia da saúde e segurança públicas e preservação do meio ambiente.

As duas diretrizes estão profundamente conectadas. É a primeira vez que duas diretrizes estão afetando a mesma lista claramente definida de entidades críticas. Não só isso, mas as leis também se aplicam a toda a cadeia de suprimento dessas organizações, estendendo consideravelmente o impacto das diretrizes.

Definindo (e comprovando) "resiliência"

A Diretiva CER da Comissão Europeia define a resiliência como a "Capacidade de uma Entidade Crítica de prevenir, proteger contra, responder a, resistir, mitigar, absorver, acomodar um incidente e de se recuperar dele."

A própria definição destaca a amplitude dos requisitos. Além disso, quando a variedade e o número de causas para a possível interrupção das operações também são considerados, adicionados à necessidade de garantir que a cadeia de suprimento de uma organização suporte essa definição de resiliência, a escala do desafio fica clara.

Em um nível fundamental, as entidades críticas devem mostrar que têm um entendimento abrangente de todos os riscos potenciais aos quais estão expostas. Esses riscos variam desde um ataque físico à infraestrutura até a falha de uma peça crítica de maquinário ou componente, e tudo o que há entre eles. 

Avaliações de risco abrangentes e o custo potencial de violações

As entidades críticas precisam realizar avaliações de risco da evolução desses riscos a cada quatro anos, avaliando novamente todos os riscos relevantes que possam interromper a prestação de seus serviços essenciais. 

Inevitavelmente, as próprias avaliações de risco realizadas pelas entidades críticas também destacarão o papel na resiliência de suas próprias cadeias de suprimento. Isso criará um "efeito cascata" das avaliações de risco, pois os próprios esforços das entidades críticas para atender às demandas das diretrizes em relação à resiliência exigem que seus fornecedores demonstrem uma abordagem igualmente robusta.

Caso ocorra um incidente que interrompa o fornecimento de serviços essenciais, as entidades críticas devem provar que tomaram as medidas apropriadas para evitar, responder e se recuperar do incidente. 

Se violações forem identificadas por parte dessas entidades essenciais ou se não tiverem considerado e se preparado adequadamente para todos os riscos, as penalidades potenciais são significativas. A NIS2 define multas potenciais de até 10 milhões de euros ou 2% da receita anual mundial total para o ano fiscal anterior da empresa mãe ou do grupo ao qual a entidade crítica pertence, o que for maior. As penalidades por violações da CER serão definidas pelos estados-nação individuais, mas podem ser facilmente de tamanho semelhante às da NIS2.

A abertura na comunicação é outra exigência das diretrizes. Qualquer incidente precisa ser relatado e os relatórios devem ser compartilhados de forma aberta e transparente sobre a natureza do incidente, a resposta e a resolução. Isto visa que outras organizações aprendam com a experiência e possam ajustar suas próprias abordagens para mitigar riscos.

Suporte à necessidade de resiliência com tecnologias de rede

Ao atender à necessidade de resiliência, as entidades críticas estão repensando o uso das tecnologias baseadas em IP que já possuem — incluindo câmeras de monitoramento de vídeo, dispositivos de áudio, soluções de controle de acesso, intercomunicadores, sensores ambientais e muito mais — além de capacidades analíticas cada vez mais avançadas.

Quase todos os aspectos da definição de resiliência podem ser apoiados por essas tecnologias, incluindo as próprias avaliações de risco iniciais. Os dados e metadados criados por vídeos em rede e outros dispositivos e sensores conectados podem ser analisados para criar consciência de quase todas as situações que possam apresentar um risco, um fator essencial para fornecer a prova de resiliência exigida pela regulamentação.

Graças aos avanços na qualidade das imagens e aos recursos analíticos baseados em IA, a capacidade de identificar com mais precisão problemas de todos os tipos com antecedência foi significativamente melhorada. O fluxo digital de informações criadas, quando devidamente gerenciadas, aumenta a conscientização geral, o que é fundamental para antecipar e evitar problemas. Os alertas automatizados permitem uma resposta rápida e ação focada, o que significa que ameaças e problemas potenciais podem ser abordados antes que se tornem incidentes. 

Mitigação de todo o panorama de risco

Embora os casos de uso de segurança tradicionais sejam um exemplo óbvio de onde o monitoramento por vídeo teve um papel central, uma melhor compreensão e capacidade de analisar o ambiente apoia inúmeros casos de uso em saúde e segurança e eficiência operacional

Empregados para adicionar uma camada extra de transparência nas áreas de produção, a combinação de sensores de vídeo, de áudio e térmicos, pode dar aviso antecipado de problemas em ativos críticos, como máquinas ou processos essenciais. Isso permite a correção antes de uma falha em potencial, e os dados coletados ao longo do tempo apoiarão a manutenção preditiva de ativos críticos.

Falhas na adesão a processos relevantes de saúde e segurança também representam um risco significativo, e qualquer incidente com probabilidade de causar uma interrupção das operações.  O controle de acesso robusto, garantindo que somente pessoal autorizado seja admitido em áreas sensíveis de um local, além dos dados analíticos para garantir que as medidas apropriadas de saúde e segurança estejam sendo cumpridas, são apenas dois exemplos de como a tecnologia de rede pode ajudar a mitigar riscos internos.

Ataques físicos por partes externas costumam ser os principais destaques, mas a maioria dos incidentes que causam interrupções nas operações são o resultado de ações ou falhas internas, geralmente inocentes, mas às vezes deliberadas. Por exemplo, estudos demonstraram consistentemente que o erro humano é responsável pela grande maioria dos ataques cibernéticos, e o mesmo acontece frequentemente com incidentes de saúde e segurança, falhas em máquinas ou gargalos na cadeia de suprimentos.

A segurança cibernética continua sendo uma área de risco fundamental

É essencial que qualquer tecnologia usada por entidades críticas apoiem a postura geral de segurança da organização e ajudem a reduzir o risco de ataques cibernéticos. Um dispositivo projetado para proteger um aspecto das operações de uma entidade crítica não deve apresentar um risco ou vulnerabilidade em si. Os dispositivos devem ser seguros por meio do design e ter processos implementados para mantê-los o mais seguros possível ao longo de sua vida útil, com o fornecedor e a entidade crítica trabalhando em estreita parceria. 

Isso está sendo cada vez mais exigido por regulamentação, tanto ampla quanto específica. Isso inclui a Lei Europeia de Resiliência Cibernética, que se aplica a qualquer dispositivo eletrônico conectado direta ou indiretamente a uma rede, desde um alto-falante inteligente em casa até um servidor em um centro de dados, até aqueles como CER e NIS2 com relevância mais específica para entidades críticas. É essencial trabalhar com fornecedores que demonstrem um compromisso claro com a transparência em torno da segurança cibernética.

A resiliência agora é um dever e não uma opção

Toda organização deve ter interesse em aumentar a resiliência. Na melhor das hipóteses, qualquer interrupção nas operações pode ter um impacto de curto prazo na rentabilidade. No pior dos casos, pode ameaçar todo o negócio da organização. Os custos podem ser diretos e indiretos, tangíveis e intangíveis, previsíveis e imprevisíveis. O custo para a reputação de uma organização a longo prazo pode superar o impacto financeiro de curto prazo.

Em relação a entidades críticas, da saúde às financeiras, do tratamento de água à energia, os reguladores reconheceram a gravidade do impacto potencial das interrupções no fornecimento desses serviços. Uma ameaça à rentabilidade é uma coisa: uma ameaça à saúde pública é totalmente outra.

As novas diretrizes devem ser vistas como positivas, mas o trabalho necessário para atendê-las não pode ser subestimado. Embora entidades e organizações críticas maiores tenham iniciado a jornada, muitas outras em toda a cadeia de suprimentos de infraestrutura crítica não o fizeram. As diretrizes abrangem um grande número de pequenas e médias empresas, muitas das quais podem não ter o conhecimento, a especialização e a capacidade de cumprir com elas. O conhecimento e as habilidades de terceiros estão disponíveis para ajudar, mas a demanda por eles pode muito rapidamente superar a oferta. Agora é o momento de agir.

Saiba mais sobre nossas soluções para infraestrutura crítica.
Infraestrutura crítica

Andrea Monteleone

Andrea Monteleone é Gerente de Desenvolvimento de Segmento da EMEA para a Axis, com foco em Infraestrutura Crítica. Ele colabora para definir as estratégias de longo prazo da Axis para esse segmento específico e apoia as organizações de vendas e marketing em toda a EMEA para atender às necessidades dos clientes. Nos últimos 15 anos, Andrea foi Gerente de Vendas de muitas empresas no mercado de segurança, entrando para a Axis em 2016. Em seu tempo livre, você pode encontrá-lo escalando, esquiando ou parapenteando no coração dos Alpes italianos.

Ler mais postagens de Andrea
Andrea Monteleone
To top