Cumprir com os mínimos. Não nos enganemos a nós própios

Um aspeto fundamental para cumprir as novas normas de segurança da informação que estão a ser implementadas pelos legisladores é a necessidade de aplicar medidas que limitem os possíveis riscos de cibersegurança enfrentados pelas organizações. Um dos mecanismos possíveis é alinhar-se com um framework ou norma de segurança consolidada e, no caso de Espanha, isso pode ser feito através do Esquema Nacional de Segurança (ENS), que propõe uma versão integral da cibersegurança. O objetivo das normas é que as entidades demonstrem a aplicação de medidas que limitem os riscos de cibersegurança das organizações.

Mas aqueles de nós que estão neste campo há algum tempo também sabem que quando uma organização decide cumprir a ENS ou a certificação ISO 27001, o âmbito é determinado pela própria organização. Isto implica que, embora existam elementos que são aplicáveis a toda a entidade, ou assim se espera, outras medidas são específicas para prestar determinados serviços ou tratar determinadas informações.

A que isto conduz? Bem, que, por vezes, procura-se um subterfúgio para o “simples cumprimento”. A conformidade apenas como parte de uma formalidade para obter um selo não acrescenta o que é necessário à realidade organizacional. No entanto, não será a primeira nem a última vez que se realiza uma reunião com uma organização em que esta diz “quero fazer isto no mais curto espaço de tempo possível, por isso vamos facilitar ao máximo”. É claro que isso é possível, mas nesse caso o objetivo de conformidade está longe de ser a inspiração essencial da norma.

A Diretiva SRI 2 deve ser entendida como um compromisso para com uma maior

É aqui que dizemos para se ter cuidado com o que se faz quando se trata de conformidade. As certificações acima mencionadas podem realizar-se em algo muito específico e, muitas vezes, longe da atividade principal. Verifica-se que estas organizações não optam pela certificação convencidas da sua necessidade. Fazem-no porque é um requisito do seu cliente ou como um mecanismo para se poderem candidatar a um concurso da administração pública. E, embora mais recentemente, comecemos a ver em alguns concursos que não só é exigido um determinado nível, mas também que o objeto do serviço é incluído como tal na aplicabilidade da norma para a entidade, não é ainda uma prática generalizada.

A Diretiva NIS 2 deve ser entendida enquanto uma aposta estratégia para o serviço essencial. Não é a inspiração que as entidades tenham um papel que diga que cumprem simplesmente as normas. Querem um cumprimento efetivo. Uma implementação real naquilo que é efetivamente o objeto da função essencial da organização, sejam os serviços que presta ou a informação que trata.

Além disso, as mentiras têm pernas muito curtas. Implementar um SGSI pela metade demonstrou uma total inconsistência aquando do primeiro incidente cibernético grave. É certo que tal anda de mãos dadas com a maturidade, mas quando algo é feito pela metade, é possível ver na gestão e na segurança efetivamente implementada. E aí não vai ser suficiente, quando terceiros ou autoridades vierem a responder pela situação, dizer que tenho uma ou outra certificação. Vão precisar de demonstrar efetivamente a segurança que existe. E, logicamente, leva tempo, especialmente numa situação de tensão como a causada por um ciberincidente, torna-se impossível sem uma base solidamente estabelecida. E não se trata apenas de tecnologia. Tem a ver também com responsabilidades, processos, pessoas, ... É algo que envolve toda a organização e, como tal, deve ser demonstrado.

O próprio texto do anteprojeto de lei, que transporá a NIS 2, inclui a necessidade de demonstrar o cumprimento no que respeita à aplicação de medidas de gestão dos riscos de cibersegurança. “As entidades essenciais e importantes deverão demonstrar o cumprimento das obrigações referidas no presente artigo. No caso das entidades essenciais, o cumprimento deverá ser comprovado através da obtenção e manutenção de um certificado de conformidade acreditado. As entidades importantes poderão optar entre essa certificação ou uma autoavaliação da postura de segurança.
As entidades essenciais ou importantes que estejam expressamente incluídas no âmbito de aplicação do Real Decreto 311/2022, de 3 de maio, deverão cumprir o disposto no presente decreto em matéria de Certificação de Conformidade com o Esquema Nacional de Segurança”.

E dentro da rigidez estabelecida por uma lei do seu âmbito, são oferecidas algumas margens de manobra. Por exemplo, o anteprojeto, na alínea j) do artigo 15.º sobre a aplicação de medidas gerais, para a implementação da autenticação multifactor, estabelece uma frase que esperamos que não acabe por ser distorcida “sempre que adequado”. Ambiguidade? Não! Apenas alguma flexibilidade.
É mais ou menos claro para todos nós quando um sistema de dois fatores é necessário e quando não é. Basta compreender o que um adversário está a fazer, e isso levá-lo-á às razões para implementar um sistema de autenticação multifactor. Se não for o caso, uma boa análise de risco deve dizer-lho. E se não o fizer, talvez não seja a análise de risco adequada.

Se alguém na área da cibersegurança, e talvez ainda reste algum, ainda não sabe porque é que a autenticação de dois fatores deve ser utilizada, é porque em 2020 e 2021, em particular, enterrou a cabeça na areia como uma avestruz. Quantos ataques derivaram de senhas corporativas roubadas de computadores pessoais, quando as pessoas não tinham outro meio de fazer os seus negócios enquanto estavam confinadas? E, infelizmente, este continua a ser um dos mecanismos de entrada utilizados por vários grupos de cibercrime atualmente. A evolução dos últimos anos e as situações que surgiram deixaram uma marca profunda que, naturalmente, se refletiu nos diferentes regulamentos que surgiram nos últimos anos e que ainda estão para vir.

As entidades que já trabalharam para obter classificação máxima na certificação ENS terão mais facilidade em demonstrar a conformidade com a NIS 2, tal como as que possuem a certificação ISO 27001. Embora, neste caso, seja necessário cobrir uma certa GAP, uma vez que as medidas técnicas não têm necessariamente de estar totalmente alinhadas com a NIS 2. As entidades que não seguiram este caminho terão uma tarefa um pouco mais complexa, mas não é impossível, se houver vontade. Mas, por favor, não nos enganemos a nós próprios procurando atalhos que, na verdade, não levam a lado nenhum.