Com a crescente digitalização, os ciberataques estão a tornar-se cada vez mais frequentes e sofisticados. Para enfrentar estas ameaças digitais, a União Europeia desenvolveu a Diretiva NIS2 (“Network and Information Security 2”), que tem como objetivo melhorar a resposta a incidentes que comprometem a segurança da informação digital.
O que é a Diretiva NIS2?
A Diretiva NIS2, aprovada em dezembro de 2022 pela União Europeia, representa uma evolução da NIS de 2016, caracterizada por ter sido a primeira iniciativa europeia a criar uma estrutura legal na área da cibersegurança. Esta diretiva tem como finalidade proteger os sistemas de rede e de informação, garantindo que os serviços críticos mantêm o seu normal funcionamento, mesmo em caso de ciberataques.
Esta nova diretiva vem alargar o alcance da norma anterior e introduz regras mais rigorosas, exigindo às organizações de setores essenciais e importantes, como energia, transportes, saúde, telecomunicações, infraestruturas do mercado financeiro e administração pública, a implementação de medidas mais robustas de segurança. De acordo com a estratégia digital da União Europeia, a NIS2 também procura conciliar as obrigações de segurança entre os Estados-Membros, estabelecendo indicações mais claras para a proteção de infraestruturas críticas e cooperação em caso de ciberataques.
Os novos desafios da segurança digital
Nenhuma organização está imune a tentativas de ciberataques e a tendência é que sejam cada vez mais frequentes. Segundo os últimos dados do Centro Nacional de Cibersegurança (CNCS), as autoridades registaram em 2023, 2.512 crimes informáticos, mais 13% do que em 2022.
É, por isso, urgente que as organizações estejam preparadas para esta nova realidade e assegurem a proteção dos seus ativos e informação. Deste modo, partilhamos três medidas que vão fomentar a resposta a ciberataques.
1.Políticas de análise de riscos e de segurança dos sistemas de informação
A Diretiva NIS2 reforça a necessidade das organizações colocarem em prática uma abordagem sistemática para a gestão de riscos, o que inclui a implementação de políticas que identifiquem, avaliem e mitiguem potenciais ameaças. As políticas de análise de riscos devem incluir a identificação de ativos críticos e vulnerabilidades, a avaliação de ameaças internas e externas, a definição de medidas de segurança consoante a classificação dos riscos (pouco, muito ou extremamente grave, por exemplo) e a monitorização contínua e revisão periódica das políticas de segurança.
Implementando estes mecanismos e processos, as organizações irão garantir que apenas as pessoas autorizadas tenham acesso à informação relevante, assegurando a integridade e confidencialidade dos dados. No caso de uma situação de violação de segurança, devem ser aplicados os procedimentos definidos na política para minimizar os danos e garantir as operações da organização.
Uma das certificações de segurança internacionalmente reconhecidas, é a norma ISO 27001. Esta norma é uma das principais referências para garantir a segurança dos sistemas de informação, assegurar que os dados estão protegidos e evitar violações de segurança e o seu cumprimento assegura que a Organização tem processos para planear, atuar e melhorar os seus processos relacionados com a segurança da informação.
2. Plano de continuidade de negócio
O desenvolvimento e implementação de um plano de continuidade de negócio é essencial para garantir que as organizações conseguem manter a sua atividade durante interrupções inesperadas, entre as quais os ciberataques. Este plano identifica os processos críticos de uma organização e define as ações a executar em caso de interrupção, assegurando a disponibilidade, integridade e confidencialidade dos processos envolvidos.
A elaboração de um plano deste tipo envolve definir o âmbito do plano, identificar áreas e funções de negócio essenciais, determinar o tempo máximo de inatividade aceitável e estabelecer estratégias para manter a sua atividade. No contexto da NIS2, torna-se ainda mais fundamental a implementação de um plano de continuidade de negócio robusto, uma vez que esta diretiva visa reduzir vulnerabilidades e melhorar todos os processos associados à segurança das organizações na União Europeia.
3. Segurança no desenvolvimento de sistemas
A segurança não deve ser um elemento secundário no desenvolvimento de sistemas, deve sim, ser uma prioridade desde a fase inicial do projeto. As organizações necessitam de incorporar requisitos de segurança desde a análise dos requisitos até à implementação dos sistemas. É altamente recomendado assegurar algumas boas práticas como a autenticação em dois passos para controlo de acessos, encriptação de dados sensíveis e testes de segurança regulares.
Os testes e auditorias regulares são igualmente importantes para identificar e corrigir potenciais vulnerabilidades, prevenindo possíveis ataques a estes sistemas. A adoção destas práticas permite aumentar a resistência das organizações face a ameaças digitais e garantir a conformidade com os novos regulamentos.
Se procura um fornecedor tecnológico que domine e já tenha implementado as recomendações da Diretiva NIS2, a Opensoft é o parceiro indicado para assegurar a segurança da informação dos sistemas da sua organização. Entre em contacto para agendar uma conversa com a nossa equipa!