a economia em portugal 2018 digital 1.4 Cybersecurity | Privacy 56 A DRDR adotou um programa dedicado aos controlos de cibersegurança, implementando um sistema integrado e automatizado que permite identificar vários cenários de risco Gfi CiberSegurança - Programa de Sistema de Gestão de Segurança da Informação Automatização de processos de segurança da informação Com a ambição de promover uma estratégia comum de proteção de dados em todas as áreas competentes, a Direção Regional de Desenvolvimento Rural (DRDR) desenvolveu um projeto de cibersegurança, integrado no seu programa de Sistema de Gestão de Segurança da Informação. Sendo um dos ativos de maior valor para as organizações, e face aos múltiplos e recentes incidentes de segurança e violação de dados, é fundamental garantir a proteção da confidencialidade, integridade e disponibilidade da informação. Neste contexto, a segurança da informação deverá constituir uma política transversal a qualquer organização, de modo a garantir uma prática adequada de proteção dos dados, considerando o custo/benefício dos controlos a adotar e tendo em conta a importância da consciencialização dos seus profissionais. Adicionalmente, devem ser analisados todos os possíveis pontos de intrusão, de forma a deter uma visão completa e integrada sobre os seus sistemas. Importante relembrar que, não obstante a relevância dada ao tema da cibersegurança, 86% das empresas não estão preparadas para ataques virtuais e poucas são as organizações que endereçam este tópico de uma maneira sustentada. No setor público emPortugal, os impactos de um ataque informático podem atingir proporções inesperadas e de enorme risco, não só pelos dispositivos a que estão ligados os sistemas de informação, como pela interligação entre as várias entidades. Por exemplo, no caso da DRDR, pode atingir o sistema de pagamento de apoios aos agricultores, podendo, consequentemente, provocar um colapso na região. Atualmente, nas diferentes áreas de atuação da DRDR, a implementação de controlos de cibersegurança é efetuada de forma individual, sem regras ou práticas comuns. Este foi o principal motivo pela qual a DRDR implementou um programa dedicado aos controlos de cibersegurança, implementando um sistema integrado e automatizado que crie valor para o setor e permita identificar os diferentes cenários de risco (ex: FLUXO DE GESTÃO DE INCIDENTES DE CIBERSEGURANÇA EIP.E04 INCIDENTE FECHADO ANR ANÁLISE DE RISCO EIP.E01 CONTACTO DE UTILIZADOR TIC EIP.A01 Criar pedido de alteração EIP.E02 EVENTO TIC DETETADO EIP.E03 PEDIDO DE ALTERAÇÃO CRIADO EIP.A02 Criar pedido de alteração GEA GESTÃO DE EVENTOS E ALARMES EIP.D01 É NECESSÁRIO CRIAR PEDIDO DE ALTERAÇÃO SIM NÃO EIP.D02 TRATA-SE UM INCIDENTES GRAVE? GIT GESTÃO DE INCIDENTES TIC EIPA02 Análise da informação NÃO SIM EIP.D04 TRATA-SE UM PROBLEMA? NÃO SIM SIM NÃO EIP.E06 GEP GESTÃO DE PROBLEMAS EIP.D03 TRATA-SE UM INCIDENTE DE SEGURANÇA DA INFORMAÇÃO? EIP.E05 PROBLEMA RESOLVIDO Fonte: Gfi
57 a economia digital terramotos, falha de comunicação entre ilhas, perda de dados, roubo, acesso indevido). Suportado na norma ISO 27001 de suporte à governação e gestão dos sistemas de informação, este programa permite alinhar os objetivos estratégicos das diferentes entidades, contemplar as dimensões de risco, fornecer as ferramentas de gestão e apoiar na sua execução. Para assegurar uma abordagem consistente e escalável, o projeto foi iniciado com a avaliação e o desenho do Sistema de Gestão de Segurança de Sistemas de Informação da DRDR. SISTEMA DE GESTÃO DE INCIDENTES Fonte: Gfi em portugal 2018 1.4 Cybersecurity | Privacy DESAFIOS Para assegurar a automatização dos processos de segurança de informação e um controlo total sobre os potenciais riscos ou falhas de segurança, foi implementado um sistema de gestão de incidentes e adotadas práticas comuns em todas as áreas competentes da DRDR. Desenvolvido também um novo fluxo de gestão de incidentes que permite deter uma visão global sobre o sistema e suas dependências, permitindo compreender quais as consequências reais de um ataque numa determinada área do seu sistema. Tecnologia Sistema de Gestão de Incidentes de cibersegurança desenvolvido internamente (ver gráfico); Novo fluxo de gestão de incidentes de cibersegurança (ver quadro do Sistema de Gestão de Incidentes); Dashboard para monitorização e acompanhamento do estado do sistema (ver exemplo). Resultados Controlo total sobre os incidentes de segurança de informação, permitindo antecipar ou prever futuros ataques; EXEMPLO DE UM DASHBOARD DE MONITORIZAÇÃO E ACOMPANHAMENTO Adoção de práticas e métricas comuns em todas as áreas competentes da DRDR; Maior coordenação e partilha de recursos relacionados com a governação, gestão de riscos e segurança de informação; Maior contribuição do it para a criação de valor, através da otimização dos riscos. Coordenação/Autoria: Francisco Gaspar, Gfi e Fonte: Gfi António Pires, Direção Regional do Desenvolvimento Rural A imagem da ferramenta é um print feito à ferramenta desenvolvida internamente. A última imagem é um print da ferramenta de monitorização instalada na DRDR. No setor público emPortugal, os impactos de um ataque informático podem atingir proporções inesperadas
