REFLEXÃO SEGURANÇA DA INFORMAÇÃO

Ao mesmo tempo que impulsionam a inovação e a resiliência dos seus

negócios um pouco por todo o mundo, as organizações enfrentam cada vez
mais ataques sofisticados de ransomware.

Health and Digital Executive Agency (HaDEA)

Established by the European Commission
Unit HaDEA.A3 – Health Research

 O COVID veio aniquilar e banalizar a questão dos acessos e da segurança, e privacidade

da informação; criando um fosso de enorme de portais e aplicações paralelas para fazer
face às necessidades de um acompanhamento em tempo real das situações. Privacy e
Security by design deixou definitivamente de ser tema. Deixando de ser um tema
excitante logo no momento que as organizações se andavam a ajustar e a desenvolver os
seus PIAS.

 Esqueçam a implementação dos controlos sem Programa de gestão com comité de

acompanhamento regular;

 Mas pior do que essa situação são os problemas associados aos prazos de entregas de
ativos, nomeadamente de hardware;

 “o decreto de lei exige um inventário dos ativos essenciais para a prestação dos
respetivos serviços, não sendo necessário fazer um inventário de todos os ativos”. Por
ativo, o decreto refere-se a “todo o sistema de informação e comunicação”, que inclui
os “equipamentos e demais recursos físicos e lógicos essenciais, que suportam direta ou
indiretamente um ou mais serviços”,

 Espírito da nossa missão de capacitar as pessoas e organizações do planeta a alcançarem

mais, queremos contribuir para a consciencialização, informação e solução.

 Queremos antecipar as necessidades, reduzindo a complexidade em torno da segurança

e na proteção de todo o património digital das organizações.

O Nosso mindset está mais preocupado com os preços dos bens essências e do gasóleo…

Consulte os links: Cursos do INA

 Curso - RGPD para Cidadãos Atentos
 Curso - RGPD para Implementadores na Administração Pública

 7 Princípios de Zero Trust

 DIGITAL SKILLING. (quantos funcionários do CHUC, 4 sessões, 520 funcionários).
 Curso Cidadão Ciberseguro
 Curso Cidadao Cibersocial
 Curso Cidadao Ciberinformado

Regime Jurídico da Segurança do Ciberespaço e Decreto-

Lei n.º 65/2021
O Roadshow Nacional 2022, enquadramento relativo ao Regime Jurídico da Segurança do
Ciberespaço e respetiva regulamentação referida no Decreto-Lei n.º 65/2021, de 30 de julho.

 DESTINATÁRIOS

 Administração Pública;

 Operadores de infraestruturas críticas;

 Operadores de Serviços Essenciais;

 Prestadores de Serviços Digitais.

OBJETIVO

Dotar as entidades abrangidas no regime jurídico da segurança do ciberespaço da capacitação

necessária quanto às medidas constantes nos diplomas legais suprarreferidos, facilitando,
esclarecendo e apoiando o seu cumprimento.

DURAÇÃO

As sessões de sensibilização terão uma duração de quatro (4) horas e serão ministradas
presencialmente durante uma manhã ou uma tarde.

Estas iniciativas terão como principais conteúdos programáticos os requisitos de segurança das
redes e sistemas de informação e as regras para a notificação de incidentes.
As sessões irão decorrer nas capitais de distrito e ilhas, segundo a distribuição regional contida na
imagem seguinte. Consulte todos os detalhes das sessões aqui.

O Decreto-Lei 65/2021, de 30 de julho, veio regulamentar alguns aspetos que teriam ficado por
regular na Lei 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do
Ciberespaço, transpondo a Diretiva europeia 2016/1148, do Parlamento e do Conselho Europeu, de
6 de julho de 2016 – que pretende garantir um elevado nível comum de segurança das redes e dos
sistemas de informação em toda a UE – mais conhecida por Diretiva SRI. Em particular, o Decreto-
Lei assentou sob as obrigações de aplicação de requisitos de segurança das redes e sistemas de
informação e as regras para notificação de acidentes para as entidades no seu âmbito de aplicação.
É de notar que a Lei 65, que constitui um passo relevante para a cibersegurança em Portugal,
estabelece que o Centro Nacional de Cibersegurança (CNCS) é a Autoridade Nacional de Certificação
da Cibersegurança, e garante a conformidade com um Quadro Nacional de Certificação da
Cibersegurança, através do qual é estabelecido o “enquadramento institucional necessário à
produção de vários esquemas nacionais de certificação de cibersegurança, sendo que o CNCS já tem
vindo a desenvolver algum trabalho nesta área, nomeadamente com a preparação de um esquema
relativo à certificação de conformidade com o Quadro Nacional de Referência em Cibersegurança
(QNRC)”, explicou o CNCS em comunicado no site oficial.
Os detalhes quanto ao decreto ainda não foram todos acertados, contudo, sabe-se que a sua
aplicação diz respeito à Administração Pública, aos operadores de infraestruturas críticas, aos
operadores de serviços essenciais e aos prestadores de serviços digitais. As medidas e o impacto do
decreto tem sido desafiante para as organizações.

“o decreto de lei exige um inventário dos ativos essenciais para a prestação dos respetivos serviços,
não sendo necessário fazer um inventário de todos os ativos”. Por ativo, o decreto refere-se a “todo
o sistema de informação e comunicação”, que inclui os “equipamentos e demais recursos físicos e
lógicos essenciais, que suportam direta ou indiretamente um ou mais serviços”

Mais, a informação no inventário deve ser baseada nas melhores técnicas do Quadro Nacional de
Referência de Cibersegurança, elaborado pelo CNCS. A informação deve incluir o serviço suportado,
o nome do equipamento ou do software, o modelo ou versão, o endereço IP e o fabricante.

Adicionalmente, o decreto implica a elaboração obrigatória de um relatório anual, em relação ao

ano civil reportado, que deverá conter uma descrição sumária das principais atividades
desenvolvidas em matéria de segurança das redes e serviços de informação,

Mais, deve incluir uma estatística trimestral de todos os incidentes, com indicação da quantidade e
do tipo de incidentes, recomendações de atividades, de medidas ou de práticas que promovam a
melhoria de segurança na sequência de incidentes, e qualquer outra informação relevante.

O relatório deverá, posteriormente, ser enviado pelo responsável de segurança nos seguintes
parâmetros: até ao ultimo dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil da
atividade, quando esta tenha tido início no primeiro semestre; ou até ao último dia do mês de
janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido
início no segundo semestre.

Além disso, o relatório nomeia dois tipos de análise - análise dos riscos de âmbito global ou análise
de riscos de âmbito parcial – feitas em relação a todos os ativos que garantam a continuidade de
funcionamento das redes e dos sistemas de informação.

“não basta ter a análise feita; é importante garantir que está completamente documentada desde a
preparação, à execução e à apresentação dos resultados da análise dos riscos”.

Na sequência da análise de riscos, as entidades devem adotar as medidas técnicas e organizativas

adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação
que utilizam, completa Ricardo Marques.

No caso de ocorrer um incidente, a notificação deve ser feita ao CNCS – no próprio site, por email ou
por telefone –, no momento em que é identificado; novamente no fim do impacto relevante ou
substancial; e no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se
verificar.

Ao incumprimento do decreto serão de aplicar as contraordenações previstas no Regime Jurídico da

Segurança do Ciberespaço (coimas de 500 euros a 50 mil euros), com a exceção de três casos,
relacionadas com a certificação da CNCS, punidos com coimas entre os mil euros e os 44 891,81
euros. Finalmente, é de ressalvar que o CNCS está a promover um Roadshow Nacional, no qual
deverá apresentar o decreto-lei e possíveis esclarecimentos das questões que ainda não foram
abrangidas.
NIST – 7 princípios de Zero Trust explicados

Os principais elementos de Zero Trust do NIST fornecem uma estrutura prática para construir uma
arquitetura de Zero Trust. Não faltam definições de Zero Trust flutuando por aí. Você ouvirá termos
como princípios, pilares, fundamentos ou dogmas. Embora não haja uma definição única de Zero
Trust, é útil ter um entendimento global de um conceito. Por esse motivo, o Instituto Nacional de
Padrões e Tecnologia (NIST) publicou a arquitetura NIST SP 800-207 Zero Trust, que descreve os
sete princípios de confiança zero a seguir.

1. Todas as fontes de dados e serviços de computação são consideradas recursos

Já se foi o tempo em que se considerava apenas dispositivos ou servidores de usuários finais como
recursos. As redes hoje consistem em uma matriz dinâmica de dispositivos, desde itens tradicionais,
como servidores e terminais, até serviços de computação em nuvem mais dinâmicos, como os de
função como serviço (FaaS), que podem ser executados com permissões específicas para outros
recursos em seu ambiente.

Para todos os dados e recursos de computação em seu ambiente, você deve garantir que possui
controles de autenticação básicos e, quando exigidos, garantir a implementação dos avançados, bem
como controles de acesso de privilégio mínimo. Alimentando os princípios subsequentes, todos esses
recursos estão se comunicando até certo ponto e podem fornecer um contexto de sinal para ajudar a
conduzir as tomadas de decisões pelos componentes arquitetônicos em confiança zero, que são
discutidos no princípio 7.

2. Todas as comunicações são protegidas, independentemente da localização da rede

Em ambientes de confiança zero é implementado o conceito de acesso à rede de confiança zero ou

Zero Trust Network Access (ZTNA). Isso contrasta com os paradigmas de acesso remoto tradicionais,
onde um usuário pode se autenticar em uma VPN e, em seguida, ter acesso irrestrito dentro / através
de uma rede.

Em um ambiente ZTNA, a política de acesso é, em vez disso, um padrão de negar o acesso é usado
como base de tudo. O acesso explícito deve ser concedido a recursos específicos. Além disso, os
usuários que operam em ambientes ZTNA não terão conhecimento dos aplicativos e serviços dentro
dos ambientes sem a existência dessas concessões explícitas de acesso. É difícil girar para algo que
você não sabe que existe.

A força de trabalho geograficamente dispersa de hoje, ainda mais exacerbada pela pandemia COVID,
tornou o princípio 2 ainda mais crítico para as organizações, que agora têm grande parte de sua força
de trabalho acessando recursos internos de muitos locais e dispositivos.

3. O acesso a recursos empresariais individuais é concedido por sessão

“Assim como as estações do ano, as pessoas mudam.” Esse ditado é ainda mais verdadeiro para as
identidades digitais. Na natureza dinâmica dos ambientes de computação distribuídos,
arquiteturas nativas da nuvem e uma força de trabalho distribuída constantemente exposta a uma
enxurrada de ameaças, a ideia de confiança não deve se estender além de uma única sessão.
Isso significa que só porque você confiou em um dispositivo ou identidade em uma sessão anterior,
não significa que você confia neles inerentemente para as sessões subsequentes. Cada sessão deve
envolver o mesmo rigor para determinar a ameaça representada pelo dispositivo e a identidade para o
seu ambiente. O comportamento anômalo associado a um usuário ou a mudança na postura de
segurança de um dispositivo estão entre algumas das mudanças que podem ter ocorrido e devem ser
usadas em cada sessão para ditar o acesso e em que extensão.

4. O acesso aos recursos é determinado pela política dinâmica – incluindo o estado observável
da identidade do cliente, aplicativo / serviço e o ativo solicitante – e pode incluir outros atributos
comportamentais e ambientais

Os ambientes de computação modernos são complexos e se estendem muito além do perímetro

tradicional de uma organização. Uma forma de lidar com essa realidade é usar o que chamamos de
“sinais” para tomar decisões de controle de acesso em seus ambientes.

Uma ótima maneira de visualizar isso é por meio dos diagramas de acesso condicional da Microsoft
ou Microsoft’s Conditional Access, por exemplo. As decisões de acesso e autorização devem levar os
tais sinais em consideração. Podem ser fatos como usuário e localização, dispositivo e sua postura de
segurança associada, risco em tempo real e contexto do aplicativo. Esses sinais devem apoiar os
processos de tomada de decisão, como concessão de acesso total, acesso limitado ou nenhum acesso.
Você também pode tomar medidas adicionais com base nos sinais para solicitar níveis mais altos de
garantia de autenticação, como autenticação multifatorial (MFA) e limitar o nível de acesso concedido
com base nesses sinais.

5. A empresa monitoriza e mede a integridade e postura de segurança de todos os ativos

próprios e associados

No modelo de confiança zero, nenhum dispositivo ou ativo é inerentemente confiável. Cada

solicitação de recurso deve acionar uma avaliação da postura de segurança. Isso inclui monitorar
continuamente o estado dos ativos da empresa que têm acesso ao ambiente, sejam eles de propriedade
da organização ou de outra entidade, se eles tiverem acesso a recursos internos. Isso inclui a aplicação
rápida de patches e remediações de vulnerabilidade com base na percepção obtida com o
monitoramento e relatórios contínuos. Voltando ao exemplo anterior em relação ao acesso por sessão,
a postura do dispositivo pode ser examinada para garantir que não haja vulnerabilidades críticas
presentes ou que não tenham correções e patches de segurança importantes.

A partir dessa visão dinâmica e do monitorização da integridade e da postura de segurança dos ativos
pertencentes e associados, políticas e decisões podem ser tomadas em torno do nível de acesso
concedido, se for o caso.

6. Todos os recursos de autenticação e autorização são dinâmicos e estritamente aplicados antes

que o acesso seja permitido

Conforme discutido no exemplo anterior, o conceito de concessão de acesso e confiança está

ocorrendo de maneira dinâmica e contínua. Isso significa que é um ciclo contínuo de varredura de
dispositivos e ativos, usando sinais para insights adicionais e avaliando as decisões de confiança antes
de serem tomadas. Este é um processo dinâmico contínuo que não pára, mesmo quando um usuário
cria uma conta com permissões associadas aos recursos. É um processo iterativo com uma miríade de
fatores entrando em jogo com cada decisão de aplicação de política.
7. A empresa recolhe o máximo de informações possível sobre o estado atual dos ativos,
infraestrutura de rede e comunicações e as utiliza para melhorar sua postura de segurança

Os ambientes de tecnologia estão sujeitos a inúmeras ameaças e as empresas devem manter uma
capacidade de monitoramento contínuo para garantir que estejam cientes do que está ocorrendo em
seus ambientes. A arquitetura de Zero Trust é composta de três componentes principais, conforme
mencionado no NIST 800-207 discutido anteriormente, bem como uma excelente postagem no blog
do Instituto de Engenharia de Software da Carnegie Mellon:

O mecanismo de política, policy engine (PE)

O administrador da política, policy administrator (PA)

O ponto de aplicação da política, policy enforcement point (PEP)

As informações coletadas do estado atual dos ativos, infraestrutura de rede e comunicações são usadas
por esses componentes arquitetónicos centrais para aprimorar a tomada de decisão e garantir que
aprovações de decisões arriscadas em relação ao acesso sejam evitadas.

Jornada a arquitetura Zero Trust

Um erro comum que muitas organizações cometem é pensar em Zero Trust como um destino
facilmente alcançável. Por exemplo: achar que se apenas comprarem a ferramenta certa, terão
implementado Zero Trust em seus ambientes. Não é assim que funciona. Obviamente, as ferramentas
podem ajudar a implementar aspetos de Zero Trust e levar sua organização para mais perto de uma
arquitetura deste tipo, mas não são um remédio milagroso. Como a maioria das coisas em TI e
segurança cibernética, consiste em pessoas, processos e tecnologia.

Conforme estabelecido na publicação da Agência de Segurança Nacional dos Estados Unidos

(NSA), “Embracing a Zero Trust Security Model”, as principais recomendações incluem a
abordagem do Zero Trust com base em uma perspetiva de maturidade. Isso inclui a preparação
inicial e estágios básicos, intermediários e avançados de maturidade, conforme descrito pela NSA. É
uma jornada!
Como dito, o primeiro passo é preparar. Identificar onde você está, onde existem lacunas, como sua
arquitetura, práticas e processos se alinham com os princípios de Zero Trust apresentados acima e, em
seguida, criar um plano para resolvê-los – e o mais importante, aceitar que isso levará tempo.

Fonte: 7 tenets of zero trust explained