Nuevo ENS, como abordar las principales novedades
Há 13 anos, a Espanha deu um passo muito importante no âmbito da cibersegurança, publicando um Decreto Real que a colocou numa posição de destaque na Europa. A publicação no Boletín Oficial del Estado (BOE) do Sistema Nacional de Segurança (ENS) em Espanha, em 2010, deu um impulso à realização de uma transformação em matéria de segurança para se adaptar às ameaças tecnológicas que estavam a começar a surgir.
No ano passado, foi publicado o Decreto Real 311/2022, que procedeu a uma atualização significativa do Sistema de Segurança Nacional (ENS).
Era necessária essa evolução?
Sim, efetivamente. Estes anos desde a primeira publicação assistimos a um avanço tecnológico considerável, mas também a mudanças significativas em matéria de cibersegurança. As ameaças evoluíram e a cibercriminalidade escalou a um ritmo considerável. Embora uma ligeira revisão do ENS tenha sido realizada em 2015, a levada a cabo com a publicação do novo Decreto Real em 2022 é muito mais profunda, tanto no âmbito como no conceito.
Quais são as mudanças mais significativas?
Antes de mais, a um nível estratégico, alinhar o próprio Sistema com a Estratégia Nacional de Cibersegurança de 2019 e o seu plano associado. Dar um maior impulso à capacidade preventiva e à vigilância. Ser capaz de proteger-se e antecipar ameaças, bem como alargar essa proteção para além do clássico perímetro defensivo de uma organização: a cadeia de fornecimento entra em jogo de uma forma muito significativa.
Existem muitos conceitos que se mantêm ou que são ligeiramente adaptados. É o caso da manutenção dos níveis de segurança, da necessidade de uma gestão organizacional baseada em papéis e responsabilidades ou da existência de elementos essenciais como a política de segurança ou a análise de risco como espinha dorsal.
Em contraste, há uma profunda revisão no Anexo II relativa às medidas de segurança. Algumas das questões mais importantes que podem ser extraídas da revisão do Sistema são as seguintes:
- Maior flexibilidade no momento de aplicar medidas. O aumento da proteção baseado em níveis de segurança é implementado através de reforços, que podem ser combinados para obter as melhores condições viáveis. O aumento da proteção baseado em níveis de segurança é implementado através de reforços, que podem ser combinados para obter as melhores condições viáveis.
- Designação dos perfis de conformidade específicos para entidades ou setores específicos. Estes perfis estabelecem uma declaração de aplicabilidade, bem como a especificação das medidas a implementar. Um exemplo claro é o das Universidades definida através do guia CCN-STIC-881, no qual encontramos funções como Responsável do Sistema e Responsável de Segurança da informação do centro educativo.
- Aumento das medidas que são aplicáveis a partir do nível médio, quando anteriormente só eram necessárias num nível elevado. Por exemplo, a utilização de componentes certificados.
- Alinhamento com serviços prestados em cloud e medidas-chave sobre questões críticas de superfície de exposição, como uma diferenciação nas medidas de autenticação quando se realiza o processo em serviços publicados externa ou internamente. Por exemplo, nem sempre requer o duplo fator de autentificação e só é requerida em situações específicas.
- A incorporação de novas medidas de segurança envolvendo outros intervenientes, tais como a OP.EXT.3, relacionadas especificamente com a cadeia de fornecimento.
As ameaças evoluíram e a cibercriminalidade escalou em um ritmo considerável
Por conseguinte, em Espanha, as organizações devem ter em conta que existem muitas medidas a considerar e a pôr em prática a fim de respeitarem adequadamente o Sistema Nacional de Segurança.
Qual é o prazo para se adaptar?
Em Espanha, o próprio Regulamento estabelece o prazo através da disposição transitória única de adaptação. Os novos sistemas de informação que se encontram sob a proteção do Sistema Nacional de Segurança estarão sujeitos à aplicação direta do novo Decreto Real.
Os já existentes, incluindo os fornecedores do setor privado, terão 24 meses para se adaptarem a partir da publicação do Decreto Real. A sua entrada em vigor foi estabelecida no dia seguinte ao da sua publicação no BOE. Isto teve lugar a 3 de maio de 2022.
Parece haver tempo suficiente, mas há questões relevantes a considerar que podem levar tempo a atingir a adequação correta. A aplicação de certas medidas deve ser devidamente avaliada, uma vez que podem implicar certos impactos, incluindo, evidentemente, no tempo para realizar a adaptação.
Como o podemos ajudar?
Na Sidertia Solutions, como a área de cibersegurança do grupo Izertis, temos uma vasta experiência no Sistema de Segurança Nacional. Temos participado ativamente em múltiplas ações relacionadas com esta norma. Mas também operámos em outras que não são tão comuns e que nos permitiram ter uma visão muito significativa da necessidade desta norma e da sua aplicação. Exemplos incluem a experiência das equipas de trabalho em cenários de proteção de informações sensíveis, o apoio prestado ao Centro Nacional de Criptologia na elaboração dos guias CCN-STIC ou o desenvolvimento conjunto de aplicações tais como ANA ou CLARA.
Tendo em conta estas questões na Sidertia, e contando com toda a força operacional das diferentes áreas tecnológicas da Izertis, preparámos uma offering para o ajudar a adaptar-se a esta norma:
Análise GAP do novo ENS
Se atualmente já possui a certificação de conformidade com o Sistema de Segurança Nacional, já sabe que tem um determinado tempo para se adaptar à nova norma. Evidentemente, todo o esforço realizado até à data é um caminho muito importante, mas cabe saber o que precisa para se adaptar.
Através deste serviço de análise em que podemos acompanhá-lo, poderá conhecer a sua situação inicial e qual é o objetivo a alcançar, ou seja, quais são os elementos em que tem de concentrar os seus esforços para se alinhar com a nova revisão do sistema e podemos preparar um caminho conjunto para alcançar o sucesso tomando como referência inicial o que já existe.
Diagnóstico ENS e RoadMap
Se, por outro lado, for confrontado com a situação de ter de realizar o cumprimento do zero, seja por causa de uma nova necessidade ou porque decidiu explorar essa possibilidade de se alinhar com o sistema, e não conhece nem o impacto nem o esforço envolvido, podemos ajudá-lo.
Podemos realizar um diagnóstico para determinar a sua necessidade de alinhamento com o ENS, uma primeira avaliação da categorização das informações tratadas e dos serviços prestados, juntamente com uma primeira versão da aplicabilidade na organização. Desta forma, saberá como levar a cabo a adequação e nós ajudá-lo-emos a estabelecer uma estratégia que maximize os recursos que a sua organização já possui.
Auditoria da segurança ENS
A conformidade com o Sistema Nacional de Segurança implica também uma avaliação constante do alinhamento da norma, a que chamamos "melhoria contínua". Embora o processo de certificação signifique que uma entidade acreditada possa verificar a adequação do sistema de gestão de segurança alinhado ao sistema, a própria normativa recorre ao processo de auditoria interna. Como indicado no artigo 31 do ENS, esta auditoria deve ser diferenciada da auditoria de certificação indicada no artigo 38. Tal como indicado na norma, estas auditorias de segurança podem ser exigidas pelo próprio responsável de segurança da organização ou pelo Centro Nacional de Criptologia.
Contar com assessoria especializada ajudar-nos-á a evitar um esforço técnico excessivo, que no final terá um impacto negativo no tempo e nos custos
Na Sidertia, através da nossa equipa de inspeção, realizamos diferentes análises de auditoria em conformidade com o guia CCN-STIC-303, incluindo a realização de auditorias de segurança de conformidade ENS. Connosco encontrará não só uma equipa de auditoria, mas também uma equipa de acompanhamento para encontrar as melhores soluções para resolver os problemas identificados e estar adequadamente preparado para a auditoria de certificação.
Adequação do ENS
A realização de uma conformidade ENS completa a partir do zero pode ser algo exequível ou, pelo contrário, difícil de realizar se não for abordado da forma correta. Infelizmente, temos visto organizações que quase desistiram nas suas primeiras tentativas de lidar com a conformidade ENS por conta própria e depois, com o apoio certo, conseguiram alcançar o objetivo. No entanto, estão conscientes de que perderam tempo valioso e fizeram muitas vezes esforços pessoais consideráveis. Contar com assessoria especializada ajudar-nos-á a evitar um esforço técnico excessivo, que no final terá um impacto negativo no tempo e nos custos.
Além disso, não existe um manual fixo sobre adaptação. Cada organização tem as suas particularidades, os seus serviços, os seus processos, os seus produtos, ... e tudo deve estar devidamente alinhado. Explorar o caminho da ENS não é simplesmente elaborar quatro procedimentos e fazê-los parecer serem seguidos. Trata-se de algo mais profundo. Mas uma vez bem-sucedido, a organização terá avançado na maturidade da cibersegurança. Estará consciente do seu próprio ambiente tecnológico e estará muito melhor preparada para lidar com as ciberameaças que se estão a tornar cada vez mais comuns.
Deixe-nos acompanhá-lo neste caminho e com a experiência da Sidertia em ENS e toda a força do Grupo Izertis para trabalhar lado a lado no desenvolvimento tecnológico da organização, este caminho será muito mais suportável.