Durante o ano de 2022, as empresas do setor elétrico brasileiro se movimentaram para adotar o conteúdo mínimo de segurança de suas informações e, assim, se adequarem à Resolução Normativa 964, da Agência Nacional de Energia Elétrica (Aneel).
Algumas companhias saíram na frente, com planos de tecnologia voltados para segurança da informação elaborados anteriormente à regulação específica, na busca por soluções que possam reduzir riscos cibernéticos.
Neste contexto, o primeiro ponto a ser analisado é o da segurança cibernética como um tema a ser tratado dentro da gestão de riscos da empresa, tendo as iniciativas de implementação de mecanismos de proteção de dados não restritas ao setor de Tecnologia da Informação (TI) e sim incorporadas à visão estratégica das companhias.
Entendida essa fase, é hora de tratar dos mecanismos de monitoramento e proteção, usando tecnologias adequadas ao contexto do negócio. Manter um Centro de Operações de Segurança (SOC) é importante para que as organizações habilitem de maneira integrada e contínua a inteligência de dados à segurança da informação. O SOC alimenta cada etapa de defesa, desde o monitoramento, identificação e até nas respostas aos incidentes.
Trabalhar segurança no design dos projetos também é essencial. Na SPIC Brasil, por exemplo, temos a UHE São Simão que, atualmente, passa por um trabalho de modernização onde a segurança da informação é parte fundamental da digitalização da usina de quase 45 anos.
Uma tarefa que começa desde a identificação de fornecedores, passando por soluções e implementações, num serviço que envolve não só a TI (tecnologia da informação) voltada para a corporação como um todo, mas também a TO (tecnologia operacional), voltada para a operação.
A área de TI, naturalmente por ser o centro especialista e técnico das empresas, precisa estar preparada. Por isso, é necessário o setor ter um núcleo especializado na segurança da informação para possibilitar a convergência de ações e de requisitos a serem atendidos.
A prevenção é um aspecto fundamental para dirimir riscos, mas não suficiente. Sempre ressalto que é necessário manter uma estratégia de resposta e recuperação de sistemas (disaster recovery) já elaborada, testada e engatilhada.
Qualquer empresa vai precisar dessa estratégia em algum momento e, uma vez que esse plano envolve não apenas a TI, mas todo o negócio, a resposta requer um olhar de toda a organização, estabelecendo prioridades.
É preciso ampliar a visão, ir além do aspecto técnico, tratar outros pontos da organização, incluindo pessoas e processos críticos, identificando as prevalências do negócio conforme os impactos e os níveis de tolerâncias a falhas, e estabelecer as medidas necessárias de continuidade das operações após a ocorrência de um incidente.
Os procedimentos não podem ficar apenas no papel. É indispensável exercer a prática, envolvendo a simulação de um ciberataque para se obter aprendizado sobre pontos que não foram cobertos, ou que precisam de ajustes.
É imprescindível também validar as instalações através dos pentests, testes de invasão pontuais e controlados, por exemplo.
Estes são significativos para avaliar e colocar à prova as instalações da empresa no contexto de cibersegurança.
Como em todo negócio, o plano-B também deve estar à disposição, de forma a resguardar as atividades da companhia.
E isso envolve desde o básico, que é ter um lugar para operar, até atividades mais específicas, a exemplo do contingenciamento de links de comunicação.
Como disse logo no início, a cibersegurança exige uma visão estratégica da empresa, alinhada com o comitê executivo e os técnicos especialistas.
A segurança cibernética é como construir um muro. Todo dia é necessário fixar mais um tijolo, uma nova camada de proteção.
É uma reforma que protege todos os lados ao envolver a gestão de risco, com desdobramento em ações, capacitações e treinamentos.
Precisa estar incorporada à cultura das empresas, desde a gestão estratégica, até os usuários que lidam com as ameaças e riscos do dia a dia.
