Avaliação de riscos NIS2: Um quadro estruturado para identificar e dar prioridade às suas lacunas cibernéticas

O artigo 21.º da NIS2 exige que as entidades essenciais e importantes adoptem uma abordagem da cibersegurança baseada no risco. Mas a diretiva não prescreve uma metodologia específica. As organizações devem selecionar e implementar um quadro adequado à sua dimensão, exposição e sector. Este guia apresenta uma metodologia estruturada em seis etapas, alinhada com a norma ISO 27005:2022 (Gestão de Riscos de Segurança da Informação) e com as orientações da ENISA, adaptada às organizações sujeitas à NIS2.

Porque é que uma estrutura estruturada é importante

As medidas de segurança ad hoc, por muito bem intencionadas que sejam, não cumprem a norma NIS2. O artigo 21.º exige medidas adequadas e proporcionadas, o que implica uma justificação documentada para cada decisão de segurança. Um quadro estruturado de avaliação dos riscos fornece essa justificação. Garante que os recursos são afectados aos riscos de maior impacto, que os riscos residuais são conscientemente aceites pela gestão e que a conformidade pode ser demonstrada às autoridades de supervisão.

O quadro aqui apresentado segue seis etapas sequenciais. Cada etapa produz resultados documentados que alimentam a etapa seguinte, criando um processo de gestão do risco abrangente e auditável.

Passo 1: Identificação e avaliação de activos

Antes de poder avaliar o risco, tem de saber o que está a proteger. A identificação de activos cria um inventário abrangente dos activos de informação, sistemas de rede e de informação e infra-estruturas de suporte no âmbito do seu NIS2.

Categorias de bens a inventariar:

• Activos de informação: bases de dados de clientes, propriedade intelectual, registos de empregados, dados financeiros, dados operacionais
• Activos de hardware: servidores, estações de trabalho, equipamento de rede, dispositivos IoT, dispositivos móveis
• Activos de software: sistemas operativos, aplicações, middleware, firmware
• Activos de rede: Infraestrutura LAN/WAN, firewalls, VPNs, conetividade em nuvem
• Activos de serviço: serviços em nuvem, plataformas SaaS, serviços geridos, APIs de terceiros
• Pessoal: funções-chave e respectivos níveis de acesso

Cada ativo deve ser avaliado com base na sua importância crítica para as suas operações e na sensibilidade dos dados que contém. A norma ISO 27005 recomenda a atribuição de um valor de impacto comercial (por exemplo, baixo, médio, alto, crítico) com base nas potenciais consequências do comprometimento da confidencialidade, integridade e disponibilidade.

Etapa 2: Análise de ameaças

A análise de ameaças identifica as potenciais fontes e eventos que podem comprometer os seus activos. As ameaças podem ser categorizadas como:

• Deliberado: ciberataques direcionados, ransomware, ameaças internas, espionagem, hacktivismo
• Acidental: erro humano, configurações incorrectas, erros de software, falhas de hardware
• Ambiente: catástrofes naturais, cortes de eletricidade, perturbações na cadeia de abastecimento

Utilize fontes de informação sobre ameaças para calibrar a sua análise. A ENISA publica um relatório anual sobre o panorama das ameaças que identifica as principais ameaças que as organizações europeias enfrentam. Os ISACs (Centros de Análise e Partilha de Informações) específicos do sector fornecem informações relevantes para a indústria. A sua análise deve considerar tanto a probabilidade de cada ameaça como as capacidades dos agentes de ameaças relevantes.

Etapa 3: Avaliação da vulnerabilidade

A avaliação da vulnerabilidade identifica os pontos fracos dos seus sistemas, processos e controlos que podem ser explorados pelas ameaças identificadas na Etapa 2. Isto inclui:

• Vulnerabilidades técnicas: software não corrigido, configurações fracas, portas abertas, encriptação em falta
• Vulnerabilidades organizacionais: políticas de segurança inadequadas, formação insuficiente, responsabilidades pouco claras
• Vulnerabilidades físicas: controlos de acesso inadequados, falta de proteção ambiental
• Vulnerabilidades da cadeia de abastecimento: software de terceiros não testado, APIs inseguras, práticas de segurança fracas dos fornecedores

As ferramentas automatizadas de análise de vulnerabilidades fornecem uma base de referência, mas devem ser complementadas por testes manuais (testes de penetração) e análises de processos. O n.º 2, alínea e), do artigo 21.º da NIS2 exige especificamente capacidades de tratamento e divulgação de vulnerabilidades.

Etapa 4: Análise de impacto

Para cada par ameaça-vulnerabilidade plausível, avalie o impacto potencial se o risco se concretizar. O impacto deve ser avaliado em várias dimensões:

• Impacto operacional: interrupção do serviço, tempo de recuperação, perda de capacidades críticas
• Impacto financeiro: custos diretos (resposta a incidentes, correção), custos indirectos (perda de receitas, sanções contratuais)
• Impacto regulamentar: Sanções NIS2 (até 10 milhões de euros ou 2% do volume de negócios para entidades essenciais), coimas do RGPD se estiverem envolvidos dados pessoais
• Impacto na reputação: confiança dos clientes, exposição nos media, posicionamento competitivo
• Impacto na segurança: danos físicos (relevante para os sectores dos cuidados de saúde, energia e transportes)

Utilize uma escala de impacto coerente (por exemplo, negligenciável, menor, moderado, maior, catastrófico) com critérios definidos para cada nível. Isto assegura a comparabilidade entre riscos e apoia a definição de prioridades.

Etapa 5: Avaliação dos riscos e definição de prioridades

O risco é a combinação da probabilidade de uma ameaça explorar uma vulnerabilidade e o impacto se tal acontecer. Utilize uma matriz de risco para representar cada risco identificado:

Nível de risco = Probabilidade x Impacto. Classifique os riscos como: Crítico (ação imediata necessária), Elevado (ação necessária dentro de um prazo definido), Médio (monitorizar e programar a correção), Baixo (aceitar ou monitorizar).

É na fase de avaliação dos riscos que se concretiza a responsabilidade da direção nos termos do artigo 20º da NIS2. O órgão de direção deve rever e aprovar formalmente a avaliação dos riscos, aceitando os riscos residuais com plena consciência das suas potenciais consequências.

Etapa 6: Planeamento do tratamento dos riscos

Para cada risco acima da apetência pelo risco definida pela sua organização, selecione uma opção de tratamento:

• Mitigar: Implemente controlos para reduzir a probabilidade ou o impacto (o tratamento mais comum)
• Transferir: Transferir o risco para um terceiro, normalmente através de um seguro cibernético ou da subcontratação de um fornecedor especializado
• Evite: Elimine o risco interrompendo a atividade que o gera
• Aceite: Aceite conscientemente o risco quando os custos do tratamento excedem o impacto potencial (deve ser documentado e aprovado pela direção)

Para cada controlo de mitigação, documente a redução de risco esperada, o calendário de implementação, o proprietário responsável e os requisitos de recursos. Isto torna-se o seu plano de tratamento do risco, um documento vivo que orienta o seu investimento em cibersegurança e a definição de prioridades.

Estrutura do registo de riscos

O registo de riscos é o artefacto central da sua avaliação de riscos. Deve conter os seguintes campos para cada risco identificado:

• ID de risco: Identificador único
• Ativo: O(s) ativo(s) em risco
• Ameaça: A fonte e o evento da ameaça
• Vulnerabilidade: O ponto fraco que está a ser explorado
• Controlos existentes: Medidas actuais já em vigor
• Probabilidade: Probabilidade avaliada (por exemplo, escala 1-5)
• Impacto: Consequência avaliada (por exemplo, escala 1-5)
• Nível de risco inerente: Antes do tratamento adicional
• Opção de tratamento: Mitigar, transferir, evitar ou aceitar
• Controlos previstos: Medidas adicionais a implementar
• Nível de risco residual: Após o tratamento planeado
• Proprietário do risco: Pessoa responsável pela gestão deste risco
• Data de revisão: Próxima reavaliação programada

Alinhamento com a norma ISO 27005 e as orientações da ENISA

Esta metodologia de seis etapas alinha-se estreitamente com a ISO 27005:2022, que fornece a estrutura de referência para a gestão de riscos de segurança da informação num sistema de gestão ISO 27001. As organizações que pretendem obter a certificação ISO 27001 verificarão que uma avaliação de riscos bem executada segundo esta metodologia satisfaz os requisitos da cláusula 6.1.2 da ISO 27001.

A ENISA publicou vários recursos de apoio, incluindo o Guia de Implementação NIS2 e o Quadro Interoperável de Gestão de Riscos. Estes recursos fornecem cenários de risco específicos do sector, catálogos de ameaças e mapeamentos de controlo que podem ser utilizados para acelerar a sua avaliação de riscos.

Melhoria contínua

A avaliação do risco não é um exercício pontual. A alínea f) do n.º 2 do artigo 21.º da NIS2 exige políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança. Isto significa que:

• Reavalie os riscos pelo menos uma vez por ano e após qualquer mudança significativa (novos sistemas, mudanças organizacionais, ameaças emergentes)
• Monitorize a eficácia dos controlos implementados através de KPIs e métricas de segurança
• Realize exercícios de mesa e simulações para testar os seus cenários de risco
• Actualize regularmente as informações sobre ameaças
• Comunique os resultados da avaliação dos riscos à direção como parte do ciclo de governação NIS2

Uma avaliação de risco estruturada, documentada e regularmente actualizada não é apenas um exercício de conformidade. É a base de um programa eficaz de cibersegurança que protege a sua organização, os seus clientes e a sua posição competitiva num cenário de ameaças cada vez mais hostil.