{"id":7531,"date":"2022-02-02T15:25:06","date_gmt":"2022-02-02T15:25:06","guid":{"rendered":"https:\/\/eurodefense.pt\/?p=7531"},"modified":"2023-02-20T18:04:44","modified_gmt":"2023-02-20T18:04:44","slug":"ciberesiliencia-estar-preparado-para-tudo","status":"publish","type":"post","link":"https:\/\/eurodefense.pt\/ciberesiliencia-estar-preparado-para-tudo\/","title":{"rendered":"Ciberesili\u00eancia – estar preparado para tudo!"},"content":{"rendered":"\n

\u00c9 cada vez mais comum ouvir-se falar de ciberesili\u00eancia no dom\u00ednio da ciberseguran\u00e7a. A ideia de resili\u00eancia n\u00e3o \u00e9, nem de longe, uma ideia inovadora<\/span><\/strong><\/p>\n\n\n\n

Podemos identificar comportamentos de resili\u00eancia na natureza, nos exemplos mais simples, como o dobrar de uma \u00e1rvore perante a for\u00e7a do vento, que depois regressa \u00e0 posi\u00e7\u00e3o inicial, mas tamb\u00e9m em organismos bem mais complexos, como o corpo humano, que tem a capacidade de resistir e se adaptar quando atacado por um v\u00edrus. As pr\u00f3prias organiza\u00e7\u00f5es, tamb\u00e9m elas sistemas das nossas sociedades, em especial aquelas que t\u00eam opera\u00e7\u00f5es de gest\u00e3o de infraestruturas cr\u00edticas e que prestam servi\u00e7os essenciais, h\u00e1 muito que compreendem a necessidade de manter operacionais os seus ativos f\u00edsicos e humanos face a eventos adversos, como no caso de ocorr\u00eancia de m\u00e1s condi\u00e7\u00f5es climat\u00e9ricas ou mesmo uma situa\u00e7\u00e3o pand\u00e9mica.<\/p>\n\n\n\n

A ciberesili\u00eancia trata, portanto, de trazer este conceito de resili\u00eancia para o mundo digital. Existem muitas defini\u00e7\u00f5es para ciberesili\u00eancia. Uma, particularmente interessante, porque une as principais capacidades atribu\u00eddas \u00e0 ciberesili\u00eancia com a ideia da constru\u00e7\u00e3o de sistemas em engenharia, \u00e9 a seguinte: \u201cA capacidade de construir sistemas capazes de antecipar e contornar acidentes, sobreviver a interrup\u00e7\u00f5es atrav\u00e9s da aprendizagem apropriada e adapta\u00e7\u00e3o, e recuperar de interrup\u00e7\u00f5es retornando o mais pr\u00f3ximo poss\u00edvel ao estado anterior \u00e0 interrup\u00e7\u00e3o\u201d[1]<\/span><\/strong><\/a>. Na pr\u00e1tica a ciberesili\u00eancia \u00e9 a capacidade de estar preparado para tudo o que possa ocorrer no espa\u00e7o digital, atrav\u00e9s do desenho, constru\u00e7\u00e3o e opera\u00e7\u00e3o de sistemas, segundo os princ\u00edpios de engenharia, sendo a resili\u00eancia uma das propriedades dos sistemas!<\/p>\n\n\n\n

Compreender a necessidade de adotar ciberesili\u00eancia nas nossas organiza\u00e7\u00f5es n\u00e3o requer grandes racioc\u00ednios ou reflex\u00f5es. A realidade atual mostra- -nos, por um lado, que os ciberataques s\u00e3o cada vez em maior n\u00famero e sofistica\u00e7\u00e3o, com consequ\u00eancias tamb\u00e9m elas mais gravosas, enquanto que, por outro, decorrente do progresso, a nossa depend\u00eancia tecnol\u00f3gica vai crescendo e os sistemas evoluindo, abrindo espa\u00e7o para o surgimento de mais vulnerabilidades, assim como as motiva\u00e7\u00f5es para a explora\u00e7\u00e3o das mesmas por agentes mal-intencionados. Trata-se, portanto, de ter a coragem de assumir que os sistemas modernos s\u00e3o complexos e muito interligados e, como tal, os ambientes operacionais onde funcionam, assim como as cadeias de fornecimento, sempre ter\u00e3o falhas e fraquezas que os advers\u00e1rios poder\u00e3o explorar, porque n\u00e3o existe risco zero e seguran\u00e7a absoluta capaz de proteger de todas as amea\u00e7as.<\/p>\n\n\n\n

Ciberseguran\u00e7a e “confian\u00e7a zero” (zero trust)<\/span><\/strong><\/p>\n\n\n\n

\u00c9 importante aqui observar que adotar uma abordagem de ciberesili\u00eancia n\u00e3o significa a substitui\u00e7\u00e3o da ciberseguran\u00e7a por outro conceito ou que esta deixa de fazer sentido, ao contr\u00e1rio do que se pode subentender, perigosamente, em alguns artigos sobre o tema. A ciberseguran\u00e7a \u00e9 uma disciplina muito abrangente, incontorn\u00e1vel para a sobreviv\u00eancia das organiza\u00e7\u00f5es e das sociedades modernas, tendo como objetivos a integridade, autenticidade, confidencialidade e disponibilidade dos recursos de informa\u00e7\u00e3o, assentes nas capacidades de prevenir, detetar, responder e recuperar. A ciberesili\u00eancia complementa e aumenta o alcance dos objetivos da ciberseguran\u00e7a, potenciando algumas medidas implementadas por esta, para alcan\u00e7ar o seu pr\u00f3prio objetivo primordial, que \u00e9 o de assegurar uma continuidade operacional das fun\u00e7\u00f5es cr\u00edticas da organiza\u00e7\u00e3o, nomeadamente, perante a ocorr\u00eancia de eventos adversos.<\/p>\n\n\n\n

Mesmo quando nos referimos a abordagens de \u201cconfian\u00e7a zero\u201d (zero trust), estamos a falar de uma estrat\u00e9gia de ciberseguran\u00e7a normalmente assente em 3 princ\u00edpios, a saber: privil\u00e9gios m\u00ednimos (least privilege), verifica\u00e7\u00e3o constante (always verify) e assun\u00e7\u00e3o de compromisso dos nossos ativos (assume breach). Efetivamente, assumir o comprometimento dos recursos, curiosamente o \u00fanico princ\u00edpio que \u00e9 realmente novo porque os outros dois sempre existiram na ciberseguran\u00e7a, \u00e9 o princ\u00edpio comum com a ciberesili\u00eancia. Todavia, como j\u00e1 referido, esta tem um outro foco que \u00e9 o de assegurar a miss\u00e3o cr\u00edtica do neg\u00f3cio em situa\u00e7\u00f5es adversas.<\/p>\n\n\n\n

Capacidades e princ\u00edpio da ciberesili\u00eancia<\/span><\/strong><\/p>\n\n\n\n

Para melhor compreendermos a ciberesili\u00eancia podemos recorrer ao referencial NIST[2]<\/span><\/strong><\/a>, que identifica, de forma muito clara, as capacidades que s\u00e3o necess\u00e1rias assegurar para uma organiza\u00e7\u00e3o ciberesiliente: antecipar, resistir, recuperar e adaptar.<\/p>\n\n\n\n

De forma muito resumida, por antecipar entende- se a capacidade de manuten\u00e7\u00e3o de um estado de informa\u00e7\u00e3o, prepara\u00e7\u00e3o e alerta, que integre uma resposta planeada a eventos de seguran\u00e7a (ex: o alerta e resposta perante a descoberta de vulnerabilidades ou o comprometimento da cadeia de valor, ilustrado no Log4Shell, mas que poderia ser outra vulnerabilidade menos mediatizada proveniente de Threat Intelligence). No que diz respeito ao atributo da resist\u00eancia, esta revela-se na faculdade de manter em funcionamento as opera\u00e7\u00f5es e os servi\u00e7os essenciais na ocorr\u00eancia de um ataque (ex: utiliza\u00e7\u00e3o de t\u00e9cnicas como segmenta\u00e7\u00e3o de redes), consistindo a recupera\u00e7\u00e3o nas atividades de restabelecimento das fun\u00e7\u00f5es de neg\u00f3cio ap\u00f3s terem sido impactadas por um incidente (ex: t\u00e9cnicas de redund\u00e2ncias como backups de seguran\u00e7a). Finalmente, a adapta\u00e7\u00e3o reflete a mudan\u00e7a de configura\u00e7\u00e3o da organiza\u00e7\u00e3o ou sistemas perante a perce\u00e7\u00e3o de altera\u00e7\u00f5es nos dom\u00ednios tecnol\u00f3gicos, operacionais ou de cen\u00e1rios de amea\u00e7a \u00e0 organiza\u00e7\u00e3o (ex: t\u00e9cnica de reposta adaptativa, como o bloqueio autom\u00e1tico, com base em Threat Intelligence, de IPs que exploravam a vulnerabilidade Log4Shell).<\/p>\n\n\n\n

No que diz respeito aos princ\u00edpios que fundamentam esta abordagem de ciberesili\u00eancia, conv\u00e9m referir que estes podem, e devem, ser aplicados nos diversos n\u00edveis da organiza\u00e7\u00e3o, desde as camadas de servi\u00e7os de neg\u00f3cio, aos processos que os suportam, at\u00e9 aos diferentes n\u00edveis l\u00f3gicos e f\u00edsicos da constru\u00e7\u00e3o e opera\u00e7\u00e3o dos seus sistemas. Os princ\u00edpios orientadores antes formulados devem ter por foco os ativos essenciais, a capacidade de assumir o comprometimento dos recursos pelos atacantes e que estes, de forma din\u00e2mica, est\u00e3o continuamente a fazer evoluir o n\u00edvel das suas amea\u00e7as. Para fazer face a este cen\u00e1rio \u00e9 necess\u00e1rio garantir a redu\u00e7\u00e3o da superf\u00edcie de ataque, assim como a ado\u00e7\u00e3o de uma atitude \u00e1gil e garantir o suporte de arquiteturas adaptativas.<\/p>\n\n\n\n

Conclus\u00e3o<\/span><\/strong><\/p>\n\n\n\n

A evolu\u00e7\u00e3o de uma vis\u00e3o centrada apenas na ciberseguran\u00e7a para um paradigma de ciberesili\u00eancia assume-se como um caminho incontorn\u00e1vel para podermos criar uma confian\u00e7a digital que sustentar\u00e1 um desenvolvimento social e econ\u00f3mico assente na tecnologia. Contudo, \u00e9 importante perceber que a ciberesili\u00eancia n\u00e3o se adquire num produto ou se conquista num projeto. Ela constitui um princ\u00edpio base, que deve estar sempre presente e orientar as decis\u00f5es das organiza\u00e7\u00f5es ao mais alto n\u00edvel. Quando se desenha o servi\u00e7o de um neg\u00f3cio, ou mesmo o processo que o suporta, nos dias de hoje inevitavelmente dependentes de tecnologia, dever\u00e1 sempre ser considerado o seu desenho levando em linha de conta os princ\u00edpios da engenharia de ciberesili\u00eancia que, fundamentalmente, nos dizem que \u2026 devemos estar preparados para tudo!<\/p>\n\n\n\n

\n\n\n\n

02 de fevereiro de 2022<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Paulo Moniz<\/strong>
Digital Global Unit Security & IT Risk da EDP, Membro da Dire\u00e7\u00e3o da CIIWA e Vogal da Dire\u00e7\u00e3o da EuroDefense-Portugal<\/em><\/p>\n\n\n\n

\n\n\n\n

[1]<\/strong><\/span><\/a> Madni, Azad M. and Jackson, Scott, \u201cTowards a Conceptual Framework for Resilience Engineering.\u201d IEEE Systems Journal, Vol. 3, No. 2, June 2009.<\/p>\n\n\n\n

[2]<\/span><\/strong><\/a> NIST: National Institute of Standards and Technology.<\/p>\n\n\n\n

\n\n\n\n

Artigo original publicado na revista IT-Security, dispon\u00edvel em: <\/p>\n\n\n\n

https:\/\/www.itsecurity.pt\/news\/expert\/ciberesiliencia—estar-preparado-para-tudo<\/span><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

\u00c9 cada vez mais comum ouvir-se falar de ciberesili\u00eancia no dom\u00ednio da ciberseguran\u00e7a. A ideia de resili\u00eancia n\u00e3o \u00e9, nem de longe, uma ideia inovadora Podemos identificar comportamentos de resili\u00eancia na natureza, nos exemplos mais simples, como o dobrar de uma \u00e1rvore perante a for\u00e7a do vento, que depois regressa \u00e0 posi\u00e7\u00e3o inicial, mas tamb\u00e9m… Ler mais »Ciberesili\u00eancia – estar preparado para tudo!<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":7533,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":""},"categories":[3],"tags":[],"_links":{"self":[{"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/posts\/7531"}],"collection":[{"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/comments?post=7531"}],"version-history":[{"count":5,"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/posts\/7531\/revisions"}],"predecessor-version":[{"id":8102,"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/posts\/7531\/revisions\/8102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/media\/7533"}],"wp:attachment":[{"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/media?parent=7531"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/categories?post=7531"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eurodefense.pt\/wp-json\/wp\/v2\/tags?post=7531"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}