Newsroom
subscrever o boletim informativo

Resiliência como prioridade para entidades críticas

8 minutos de leitura
etiquetas:
escrito por:
Andrea Monteleone
Andrea Monteleone
Resiliência para entidades críticas

A resiliência pode ser descrita como a capacidade de antecipar, identificar, responder, absorver e recuperar de contratempos. É algo que reconhecemos como um traço positivo nas pessoas, mas está agora a ser exigido pela lei como um atributo das organizações que desempenham um papel na prestação de serviços e recursos vitais para a sociedade e o funcionamento das economias. Neste artigo, analisamos os motivos pelos quais a resiliência tem de ser incorporada nas operações de entidades críticas e em todas as respetivas cadeias de valor.

As formas como as operações de qualquer organização podem ser interrompidas são inúmeras e crescem a cada dia. 

A proliferação de ciberataques, impulsionada pela "comercialização" do ransomware, é outro exemplo óbvio. Mas nem todas as potenciais interrupções resultam de intenções criminosas. O erro humano e os acidentes continuam a ser a causa mais comum da interrupção operacional.

A escassez de matérias-primas e a perturbação das cadeias de distribuição globalmente interligadas também podem ter um impacto imediato. Tenho a certeza de que todos nos lembramos do caos causado quando o navio de carga Ever Given ficou preso no Canal do Suez durante seis dias, em 2021. A lista continua com problemas tão abrangentes como falhas em máquinas e processos chave, conflitos geopolíticos, guerras comerciais e muito mais.

Por isso, a necessidade de resiliência tornou-se uma prioridade para todas as organizações. No entanto, para aqueles que intervêm em qualquer aspeto da infraestrutura crítica de uma nação, a resiliência tornou-se tão importante que se transformou num imperativo regulamentar. 

Por este motivo, o foco foi alargado da "infraestrutura crítica" para "entidades críticas", abrangendo, assim, qualquer organização que desempenhe um papel, por mais pequeno que seja, no apoio a uma lista crescente de indústrias definidas como centrais para o bem-estar económico ou social de uma nação.

As crescentes exigências regulamentares para entidades críticas

Na Europa, a Diretiva NIS2 focada na cibersegurança e a Diretiva de Resiliência de Entidades Críticas (CER) mais ampla estão agora a ser promulgadas como lei nos Estados-Membros da UE. Ambas impõem exigências significativas às organizações definidas como "entidades críticas". Estas são as organizações de alguma forma envolvidas na prestação do que são considerados como serviços essenciais para a manutenção das principais funções sociais, o apoio à economia, a garantia da saúde e segurança públicas e a preservação do meio ambiente.

As duas diretivas estão profundamente ligadas. É a primeira vez que duas diretivas afetam a mesma lista claramente definida de entidades críticas. Não só isso, mas as leis também se aplicam a toda a cadeia de distribuição destas organizações, alargando consideravelmente o impacto das diretivas.

Definir (e comprovar) "resiliência"

A Diretiva CER da Comissão Europeia define a resiliência como "a capacidade de uma entidade crítica prevenir, proteger contra, responder a, resistir, mitigar, absorver, acomodar e recuperar de um incidente".

A própria definição realça a amplitude dos requisitos. Além disso, quando a variedade e o número de causas para a potencial interrupção das operações também são considerados, junto com a necessidade de garantir que a cadeia de distribuição de uma organização suporta esta definição de resiliência, a escala do desafio torna-se clara.

A um nível fundamental, as entidades críticas devem demonstrar que têm uma compreensão abrangente de todos os potenciais riscos aos quais estão expostas. Estes riscos abrangem desde um ataque físico à infraestrutura até à falha de uma peça crítica de maquinaria ou componente, e tudo o que se encontre entre eles. 

Avaliações de risco abrangentes e o custo potencial das violações

As entidades críticas têm de realizar avaliações de risco à evolução desses riscos a cada quatro anos, avaliando novamente todos os riscos relevantes que possam perturbar a prestação dos seus serviços essenciais. 

Inevitavelmente, as próprias avaliações de risco realizadas pelas entidades críticas também destacarão o papel na resiliência das suas próprias cadeias de distribuição. Isto criará um "efeito cascata" das avaliações de risco, uma vez que os próprios esforços das entidades críticas no sentido de cumprir as exigências das diretivas relativas à resiliência exigem que os seus fornecedores demonstrem uma abordagem igualmente robusta.

Caso ocorra um incidente que interrompa a prestação de serviços essenciais, as entidades críticas devem provar que tomaram as medidas adequadas para evitar, responder e recuperar do incidente. 

Caso se considere que essas entidades violaram ou não foram capazes de analisar e preparar-se adequadamente para todos os riscos, as potenciais sanções são significativas. A NIS2 define potenciais multas de até 10 milhões de euros, ou 2% do total das receitas anuais mundiais para o exercício financeiro anterior da empresa-mãe ou do grupo a que a entidade crítica pertence, o que for superior. As penalizações por violações das CER serão definidas pelos estados-nação individuais, mas poderão ser facilmente de dimensão semelhante às da NIS2.

A abertura na comunicação é outra exigência das diretivas. Quaisquer incidentes têm de ser comunicados e os relatórios partilhados de forma aberta e transparente relativamente à natureza do incidente, à resposta e à resolução. O objetivo é que as outras organizações aprendam com a experiência e sejam capazes de ajustar as suas próprias abordagens para mitigar os riscos.

Apoiar a necessidade de resiliência com tecnologias de rede

Ao satisfazer a necessidade de resiliência, as entidades críticas estão a repensar a utilização das tecnologias baseadas em IP que já têm em vigor - incluindo câmaras de videovigilância, dispositivos de áudio, soluções de controlo de acessos, intercomunicadores, sensores ambientais e muito mais - juntamente com capacidades de análise cada vez mais avançadas.

Quase todos os aspetos da definição de resiliência podem ser apoiados por tais tecnologias, incluindo as próprias avaliações de risco iniciais. Os dados e metadados criados pelo vídeo em rede e outros dispositivos e sensores conectados podem ser analisados para criar consciência de quase todas as situações que possam apresentar um risco, um fator essencial para fornecer a prova de resiliência exigida pela regulamentação.

Graças aos avanços na qualidade da imagem e à análise baseada em IA, foi muito melhorada a capacidade de identificar antecipdamente, e com mais precisão, problemas de todos os tipos. O fluxo digital de informação criado, quando devidamente gerido, aumenta a consciencialização geral, o que é essencial para antecipar e evitar problemas. Os alertas automatizados permitem uma resposta rápida e uma ação focada, o que significa que as ameaças e os potenciais problemas podem ser abordados antes de se tornarem incidentes. 

Mitigação de todo o panorama de risco

Embora os casos de utilização de segurança tradicionais sejam um exemplo óbvio de onde a videovigilância teve um papel central, uma melhor compreensão e capacidade de analisar o ambiente suporta inúmeros casos práticos de utilização em saúde e segurançae eficiência operacional

Utilizados para adicionar uma camada extra de transparência nas áreas de produção, a combinação de sensores - vídeo, áudio e térmicos - pode fornecer um aviso precoce de problemas em ativos críticos, como maquinaria ou processos chave. Isto permite a correção antes de uma falha potencial, e os dados recolhidos ao longo do tempo irão apoiar a manutenção preditiva de ativos críticos.

As falhas no cumprimento dos processos relevantes de saúde e segurança também representam um risco significativo, com a probabilidade de qualquer incidente causar uma interrupção das operações.  Um controlo de acessos robusto - garantindo que apenas o pessoal autorizado é admitido em áreas sensíveis de um local - juntamente com análises para garantir que as medidas adequadas de saúde e segurança estão a ser cumpridas, são apenas dois exemplos de como a tecnologia de rede pode ajudar a mitigar os riscos internos.

Os ataques físicos por elemenntos externos costumam ser os principais destaques, mas a maioria dos incidentes que causam interrupções nas operações são o resultado de ações ou falhas internas, geralmente inocentes, mas por vezes deliberadas. Por exemplo, estudos demonstraram consistentemente que o erro humano é responsável pela grande maioria dos ciberataques, e o mesmo acontece frequentemente com incidentes de saúde e segurança, falhas em máquinas ou estrangulamentos na cadeia de distribuição.

A cibersegurança continua a ser uma área de risco importante

É essencial que quaisquer tecnologias utilizadas por entidades críticas apoiem a postura de segurança geral da organização e ajudem a reduzir o risco de ciberataques. Um dispositivo concebido para proteger um aspeto das operações de uma entidade crítica não deve apresentar um risco ou vulnerabilidade por si mesmo. Os dispositivos devem ser originalmente seguros e ter processos implementados para os manter o mais seguros possível ao longo da respetiva vida útil, com o fornecedor e a entidade crítica a trabalharem em estreita parceria. 

Isto está a ser cada vez mais exigido pela regulamentação, tanto alargada como específica. Esta inclui a Lei Europeia de Resiliência Cibernética, que se aplica a qualquer dispositivo eletrónico ligado direta ou indiretamente a uma rede, desde um altifalante inteligente em casa a um servidor num centro de dados, até aos regulamentos como CER e NIS2 com relevância mais específica para entidades críticas. É essencial trabalhar com fornecedores que demonstrem um compromisso claro com a transparência em torno da cibersegurança.

A resiliência é obrigatória, não uma opção

Todas as organizações devem ter interesse em aumentar a resiliência. Na melhor das hipóteses, qualquer interrupção das operações pode ter um impacto a curto prazo na rentabilidade. No pior dos casos, pode ameaçar todo o negócio da organização. Os custos podem ser diretos e indiretos, tangíveis e intangíveis, previsíveis e imprevisíveis. O custo para a reputação de uma organização a longo prazo pode superar de longe o impacto financeiro a curto prazo.

Em relação a entidades críticas - desde os cuidados de saúde às finanças, do tratamento da água à energia - os reguladores reconheceram a gravidade do potencial impacto das interrupções no fornecimento destes serviços. Uma coisa é a ameaça à rentabilidade: outra coisa completamente diferente é uma ameaça à saúde pública.

As novas diretivas devem ser vistas como positivas, mas o trabalho necessário para as cumprir não pode ser subestimado. Embora entidades e organizações críticas de maior dimensão já tenham dado início ao processo, muitas outras em toda a cadeia de distribuição de infraestruturas críticas ainda não o fizeram. As diretivas abrangem um vasto número de pequenas e médias empresas, muitas das quais podem não ter o conhecimento, a experiência e a capacidade para cumprir as mesmas. Estão disponíveis os conhecimentos e as competências de terceiros para ajudar, mas a procura dos mesmos pode, em breve, ultrapassar a oferta. Este é o momento para agir.

Saiba mais sobre as nossas soluções para infraestruturas críticas.
Infraestruturas críticas

Andrea Monteleone

Andrea Monteleone é Segment Development Manager EMEA para a Axis, com foco em Infraestruturas críticas. Colabora para definir as estratégias a longo prazo da Axis para esse segmento específico e apoia as organizações de vendas e marketing em toda a EMEA, para satisfazer as necessidades dos clientes. Nos últimos 15 anos, foi Sales Manager de muitas empresas no mercado da segurança, juntando-se à Axis em 2016. Nos tempos livres, pode ser encontrado a escalar, a esquiar ou a fazer parapente no coração dos Alpes italianos.

Ler mais publicações de Andrea
Andrea Monteleone
To top