Escolar Documentos
Profissional Documentos
Cultura Documentos
Mas pior do que essa situação são os problemas associados aos prazos de entregas de
ativos, nomeadamente de hardware;
“o decreto de lei exige um inventário dos ativos essenciais para a prestação dos
respetivos serviços, não sendo necessário fazer um inventário de todos os ativos”. Por
ativo, o decreto refere-se a “todo o sistema de informação e comunicação”, que inclui
os “equipamentos e demais recursos físicos e lógicos essenciais, que suportam direta ou
indiretamente um ou mais serviços”,
O Nosso mindset está mais preocupado com os preços dos bens essências e do gasóleo…
DESTINATÁRIOS
Administração Pública;
OBJETIVO
DURAÇÃO
As sessões de sensibilização terão uma duração de quatro (4) horas e serão ministradas
presencialmente durante uma manhã ou uma tarde.
Estas iniciativas terão como principais conteúdos programáticos os requisitos de segurança das
redes e sistemas de informação e as regras para a notificação de incidentes.
As sessões irão decorrer nas capitais de distrito e ilhas, segundo a distribuição regional contida na
imagem seguinte. Consulte todos os detalhes das sessões aqui.
O Decreto-Lei 65/2021, de 30 de julho, veio regulamentar alguns aspetos que teriam ficado por
regular na Lei 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do
Ciberespaço, transpondo a Diretiva europeia 2016/1148, do Parlamento e do Conselho Europeu, de
6 de julho de 2016 – que pretende garantir um elevado nível comum de segurança das redes e dos
sistemas de informação em toda a UE – mais conhecida por Diretiva SRI. Em particular, o Decreto-
Lei assentou sob as obrigações de aplicação de requisitos de segurança das redes e sistemas de
informação e as regras para notificação de acidentes para as entidades no seu âmbito de aplicação.
É de notar que a Lei 65, que constitui um passo relevante para a cibersegurança em Portugal,
estabelece que o Centro Nacional de Cibersegurança (CNCS) é a Autoridade Nacional de Certificação
da Cibersegurança, e garante a conformidade com um Quadro Nacional de Certificação da
Cibersegurança, através do qual é estabelecido o “enquadramento institucional necessário à
produção de vários esquemas nacionais de certificação de cibersegurança, sendo que o CNCS já tem
vindo a desenvolver algum trabalho nesta área, nomeadamente com a preparação de um esquema
relativo à certificação de conformidade com o Quadro Nacional de Referência em Cibersegurança
(QNRC)”, explicou o CNCS em comunicado no site oficial.
Os detalhes quanto ao decreto ainda não foram todos acertados, contudo, sabe-se que a sua
aplicação diz respeito à Administração Pública, aos operadores de infraestruturas críticas, aos
operadores de serviços essenciais e aos prestadores de serviços digitais. As medidas e o impacto do
decreto tem sido desafiante para as organizações.
“o decreto de lei exige um inventário dos ativos essenciais para a prestação dos respetivos serviços,
não sendo necessário fazer um inventário de todos os ativos”. Por ativo, o decreto refere-se a “todo
o sistema de informação e comunicação”, que inclui os “equipamentos e demais recursos físicos e
lógicos essenciais, que suportam direta ou indiretamente um ou mais serviços”
Mais, a informação no inventário deve ser baseada nas melhores técnicas do Quadro Nacional de
Referência de Cibersegurança, elaborado pelo CNCS. A informação deve incluir o serviço suportado,
o nome do equipamento ou do software, o modelo ou versão, o endereço IP e o fabricante.
Mais, deve incluir uma estatística trimestral de todos os incidentes, com indicação da quantidade e
do tipo de incidentes, recomendações de atividades, de medidas ou de práticas que promovam a
melhoria de segurança na sequência de incidentes, e qualquer outra informação relevante.
O relatório deverá, posteriormente, ser enviado pelo responsável de segurança nos seguintes
parâmetros: até ao ultimo dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil da
atividade, quando esta tenha tido início no primeiro semestre; ou até ao último dia do mês de
janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido
início no segundo semestre.
Além disso, o relatório nomeia dois tipos de análise - análise dos riscos de âmbito global ou análise
de riscos de âmbito parcial – feitas em relação a todos os ativos que garantam a continuidade de
funcionamento das redes e dos sistemas de informação.
“não basta ter a análise feita; é importante garantir que está completamente documentada desde a
preparação, à execução e à apresentação dos resultados da análise dos riscos”.
No caso de ocorrer um incidente, a notificação deve ser feita ao CNCS – no próprio site, por email ou
por telefone –, no momento em que é identificado; novamente no fim do impacto relevante ou
substancial; e no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se
verificar.
Os principais elementos de Zero Trust do NIST fornecem uma estrutura prática para construir uma
arquitetura de Zero Trust. Não faltam definições de Zero Trust flutuando por aí. Você ouvirá termos
como princípios, pilares, fundamentos ou dogmas. Embora não haja uma definição única de Zero
Trust, é útil ter um entendimento global de um conceito. Por esse motivo, o Instituto Nacional de
Padrões e Tecnologia (NIST) publicou a arquitetura NIST SP 800-207 Zero Trust, que descreve os
sete princípios de confiança zero a seguir.
Já se foi o tempo em que se considerava apenas dispositivos ou servidores de usuários finais como
recursos. As redes hoje consistem em uma matriz dinâmica de dispositivos, desde itens tradicionais,
como servidores e terminais, até serviços de computação em nuvem mais dinâmicos, como os de
função como serviço (FaaS), que podem ser executados com permissões específicas para outros
recursos em seu ambiente.
Para todos os dados e recursos de computação em seu ambiente, você deve garantir que possui
controles de autenticação básicos e, quando exigidos, garantir a implementação dos avançados, bem
como controles de acesso de privilégio mínimo. Alimentando os princípios subsequentes, todos esses
recursos estão se comunicando até certo ponto e podem fornecer um contexto de sinal para ajudar a
conduzir as tomadas de decisões pelos componentes arquitetônicos em confiança zero, que são
discutidos no princípio 7.
Em um ambiente ZTNA, a política de acesso é, em vez disso, um padrão de negar o acesso é usado
como base de tudo. O acesso explícito deve ser concedido a recursos específicos. Além disso, os
usuários que operam em ambientes ZTNA não terão conhecimento dos aplicativos e serviços dentro
dos ambientes sem a existência dessas concessões explícitas de acesso. É difícil girar para algo que
você não sabe que existe.
A força de trabalho geograficamente dispersa de hoje, ainda mais exacerbada pela pandemia COVID,
tornou o princípio 2 ainda mais crítico para as organizações, que agora têm grande parte de sua força
de trabalho acessando recursos internos de muitos locais e dispositivos.
“Assim como as estações do ano, as pessoas mudam.” Esse ditado é ainda mais verdadeiro para as
identidades digitais. Na natureza dinâmica dos ambientes de computação distribuídos,
arquiteturas nativas da nuvem e uma força de trabalho distribuída constantemente exposta a uma
enxurrada de ameaças, a ideia de confiança não deve se estender além de uma única sessão.
Isso significa que só porque você confiou em um dispositivo ou identidade em uma sessão anterior,
não significa que você confia neles inerentemente para as sessões subsequentes. Cada sessão deve
envolver o mesmo rigor para determinar a ameaça representada pelo dispositivo e a identidade para o
seu ambiente. O comportamento anômalo associado a um usuário ou a mudança na postura de
segurança de um dispositivo estão entre algumas das mudanças que podem ter ocorrido e devem ser
usadas em cada sessão para ditar o acesso e em que extensão.
4. O acesso aos recursos é determinado pela política dinâmica – incluindo o estado observável
da identidade do cliente, aplicativo / serviço e o ativo solicitante – e pode incluir outros atributos
comportamentais e ambientais
Uma ótima maneira de visualizar isso é por meio dos diagramas de acesso condicional da Microsoft
ou Microsoft’s Conditional Access, por exemplo. As decisões de acesso e autorização devem levar os
tais sinais em consideração. Podem ser fatos como usuário e localização, dispositivo e sua postura de
segurança associada, risco em tempo real e contexto do aplicativo. Esses sinais devem apoiar os
processos de tomada de decisão, como concessão de acesso total, acesso limitado ou nenhum acesso.
Você também pode tomar medidas adicionais com base nos sinais para solicitar níveis mais altos de
garantia de autenticação, como autenticação multifatorial (MFA) e limitar o nível de acesso concedido
com base nesses sinais.
A partir dessa visão dinâmica e do monitorização da integridade e da postura de segurança dos ativos
pertencentes e associados, políticas e decisões podem ser tomadas em torno do nível de acesso
concedido, se for o caso.
Os ambientes de tecnologia estão sujeitos a inúmeras ameaças e as empresas devem manter uma
capacidade de monitoramento contínuo para garantir que estejam cientes do que está ocorrendo em
seus ambientes. A arquitetura de Zero Trust é composta de três componentes principais, conforme
mencionado no NIST 800-207 discutido anteriormente, bem como uma excelente postagem no blog
do Instituto de Engenharia de Software da Carnegie Mellon:
As informações coletadas do estado atual dos ativos, infraestrutura de rede e comunicações são usadas
por esses componentes arquitetónicos centrais para aprimorar a tomada de decisão e garantir que
aprovações de decisões arriscadas em relação ao acesso sejam evitadas.
Um erro comum que muitas organizações cometem é pensar em Zero Trust como um destino
facilmente alcançável. Por exemplo: achar que se apenas comprarem a ferramenta certa, terão
implementado Zero Trust em seus ambientes. Não é assim que funciona. Obviamente, as ferramentas
podem ajudar a implementar aspetos de Zero Trust e levar sua organização para mais perto de uma
arquitetura deste tipo, mas não são um remédio milagroso. Como a maioria das coisas em TI e
segurança cibernética, consiste em pessoas, processos e tecnologia.