seguridad industrial
Manuel Estévez GRC Manager

Segurança (também) Industrial

Durante os últimos anos, no desenvolvimento dos diferentes aspetos que envolve a segurança da informação e a gestão de riscos em ambientes clássicos IT, temos assistido a muitos processos de convergência: tecnologias, modelos de riscos, metodologias, ferramentas ou métricas, entre outros.

A convergência apresenta vantagens como a integração da gestão, a automatização (reduzindo os tempos de resposta ao negócio) a visibilidade transversal e completa dos elementos convergentes, a escalabilidade a par da eficiência na utilização de recursos e, finalmente, a melhor rastreabilidade na gestão e operação.

Em ambientes industriais, onde a segurança da informação foi introduzida mais tarde do que em ambientes IT tradicionais, muitas organizações enfrentam o dilema de saber se a gestão de riscos em ambos os ambientes, IT e OT, pode convergir para um único modelo, ou se se devem manter dois modelos paralelos e completamente separados.

A convergência não deve ser confundida com a homogeneização. A convergência significa tratar da mesma forma os que são iguais, e de forma diferente os que são diferentes.

Na Izertis trabalhamos apartir de um modelo de convergência para o governo da segurança, da gestão de riscos e da conformidade que permite o desenvolvimento mais eficiente dessas funções em ambos os ambientes.

Quadros de referência 

O quadro de referência mais utilizado para desenhar e implementar um modelo de gestão de segurança IT é a norma ISO 27001. Esta norma especifica os requisitos para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), também conhecido como Information Security Management System (ISMS), que inclui a identificação dos ativos de informação, a avaliação de riscos, a implementação de medidas de segurança, a monitorização e a melhoria contínua.

A última versão foi publicada em outubro de 2022 e, a pesar de incorporar novidades, no geral, estas estão destinadas a facilitar a sua integração com outros sistemas de gestão, mantendo a sua estrutura e forma sem variações substanciais.

Da mesma família é a norma ISO 27002, um guia abrangente que inclui uma ampla variedade de objetivos e medidas de segurança ("controlos") para ajudar as organizações a proteger a sua informação. Na recente atualização de 2022, a norma está dividida em 4 secções, cada uma delas centrada numa área específica da gestão da segurança da informação:

  • Controlos organizacionais (37) 
  • Controlos relacionados com o pessoal (8) 
  • Controlos físicos (14) 
  • Controlos tecnológicos (34) 

As normas ISO 27001 e 27002 estão estritamente relacionadas e complementam-se entre si. A norma ISO 27001 estabelece os critérios e requisitos para a implementação de um Sistema de Gestão da Segurança da informação (SGSI) e a sua certificação, enquanto que a norma ISO 27002 proporciona um guia completo de boas práticas e recomendações para a gestão da segurança da informação que facilitam a conformidade dos requisitos estabelecidos na norma ISO 27001. As duas normas trabalham conjuntamente para proporcionar às organizações um quadro integral e completo de gestão da segurança da informação.

As normas ISO 27001 e 27002 trabalham conjuntamente para proporcionar às organizações um quadro integral e completo de gestão da segurança da informação

Relativamente à gestão da segurança OT, a principal referência é a norma internacional de segurança para sistemas e aplicações industriais UNE/IEC 62443, que inclui a gestão de identidades, acessos, encriptação, monitorização e contingência.

A estrutura da norma é hierárquica, em termos de requisitos, e é composta por três tipos de requisitos: os Requisitos Fundamentais (RF), os Requisitos de Sistemas (RS) e os Requisitos de Melhoria (RM). Cada requisito fundamental contém diferentes requisitos de sistema e estes, por sua vez, contêm requisitos de melhoria. O objetivo é cobrir todas as situações que ocorrem durante o ciclo de vida de um sistema.

Os grupos de requisitos fundamentais são os seguintes:

  • Identificação e Controlo de Autenticação (ICA). 
  • Controlo de Utilização (UC).
  • Integridade do Sistema (IS). 
  • Confidencialidade dos Dados (CD). 
  • Restrição do Fluxo de Dados (RFD). 
  • Tempo de Resposta a Eventos (TRE). 
  • Disponibilidade de Recursos (DR).

 Como se pode verificar, as normas ISO 27001 e 27002 vão além do domínio puramente tecnológico (apenas 36% dos controlos desta última norma pertencem a esse segmento) e proporcionam uma base sólida sobre a qual se pode desenvolver um Sistema de Gestão da Segurança da Informação (SGSI).  

A norma IEC 62443, por outro lado, foca-se no domínio específico das tecnologias operacionais, no modo de identificar bens, de os agrupar e definir as medidas técnicas de segurança necessárias para a sua proteção.

Convergência

A norma ISO 27002 e a norma IEC 62443 são semelhantes de vários pontos de vista e visam contribuir essencialmente para o mesmo objetivo: preservar a segurança, confidencialidade e disponibilidade dos serviços ou do negócio. Ambas as normas incluem conceitos semelhantes como a importância da gestão da segurança da informação, a necessidade de políticas e procedimentos de segurança, e a importância da avaliação e melhoria contínua. Incluem também a importância da identificação e avaliação dos riscos, a implementação de medidas de segurança adequadas para mitigar esses riscos, e a necessidade de testes e auditorias para assegurar a eficácia das medidas de segurança implementadas.

Por último, atualmente não se pode ignorar que existe uma área de sobreposição, cada vez mais extensa e relevante, entre os dois ambientes: a dos sistemas informáticos que controlam, monitorizam ou apoiam elementos OT e que são imprescindíveis para o correto (ou ótimo) funcionamento dos elementos de supervisão, controlo e processo OT. 

A integração da gestão da segurança em ambientes industriais com sistemas de gestão da segurança baseados na norma ISO 27001, significa garantir que todos os aspetos da segurança são abordados de forma sistemática e sistematizada. A norma ISO 27001 estabelece um quadro de gestão da segurança que pode ser aplicado a qualquer tipo de organização, incluindo ambientes industriais.

Por outro lado, a norma IEC 62443 proporciona orientações para a implementação de controlos de segurança em sistemas industriais, incluindo a identificação de riscos e a implementação de medidas de segurança adequadas. A integração dos controlos definidos pela norma IEC 62443 no sistema de gestão de segurança baseado na norma ISO 27001, assegurará uma gestão adequada e eficaz da segurança em ambientes industriais.

Em suma, a integração da gestão da segurança em ambientes industriais com os sistemas de gestão da segurança baseados na norma ISO 27001 e a integração dos controlos definidos pela norma IEC 62443 no sistema de gestão são essenciais para assegurar uma proteção adequada e eficaz da segurança em ambientes industriais.