A Política de Segurança Cibernética é o documento que estabelece os conceitos, diretrizes e responsabilidades sobre a segurança cibernética, com o objetivo de preservar as informações quanto a:
◘ Confidencialidade
◘ Integridade
◘ Disponibilidade
◘ Conformidade
Muitas empresas do setor energético sofrem ou já sofreram ataques cibernéticos, com a intenção do roubo de informações para exigir informações como forma de resgate. Esse tipo de acontecimento pode causar a interrupção do fornecimento de energia de uma região e causam danos não somente a prestação de serviço, mas também para a imagem das empresas.
Ter ferramentas de segurança cibernética robustas faz toda a diferença para o negócio e por isso foi estabelecida a obrigatoriedade do uso de boas práticas estipulados pela Política de Segurança dos dados Cibernéticos. que acabou de ser divulgada através da Resolução Normativa Aneel n°964/2021.
Resolução normativa Aneel nº 964, de 14 de dezembro de 2021
A resolução da Política de Segurança Cibernética foi aprovada pela Agência Nacional de Energia Elétrica- Aneel, em dezembro de 2021 para os agentes do setor de energia elétrica, mas só entrou em vigor em 1º de julho de 2022.
As diretrizes para as políticas de segurança cibernética serão implantadas pelos agentes do setor responsável pela operação do sistema, pela comercialização de energia elétrica e pela gestão de recursos dos encargos setoriais.
Essa nova resolução tem como objetivo prevenir incidentes e os riscos de ataques cibernéticos. E considera a necessidade de implementação de políticas de segurança compatíveis com o porte da empresa e com sua gestão de segurança, tal como a segmentação de redes de operação da rede de TI e da internet.
Ficou definido que as empresas são responsáveis pela segurança das instalações, na prestação do serviço e também pelos problemas que podem surgir com a adaptação de seus sistemas. A seguir, detalhamos o que entra em vigor com essa Resolução e quais as suas responsabilidades.
O que são incidentes cibernéticos?
Conforme definido na Resolução da Política de Segurança, os incidentes cibernéticos, são aqueles que comprometem as informações e que constituem violação das normas ou políticas de uso.
Esses incidentes podem ser estabelecidos conforme o grau de severidade que consta no processo de gestão de risco de segurança da informação do agente. As informações têm impacto negativo sobre a prestação de serviços à população.
Além disso, deve haver cooperação entre os agentes envolvidos para mitigar os riscos cibernéticos.
O que são as políticas de segurança cibernética?
As políticas são normas que os agentes devem seguir. Tem como objetivo prevenir, detectar e reduzir que os incidentes cibernéticos fiquem vulneráveis.
Elas estabelecem como cada empresa deve estruturar suas políticas e reagir em caso de incidentes cibernéticos relevantes entre os agentes e a agência. Essas ações devem abranger:
A implementação e capacitação dos funcionários quanto às políticas de segurança cibernética;
Estabelecimento de um plano de ação com as medidas de conscientização dos usuários sobre a segurança cibernética.
Tais políticas devem ser compatíveis com a relevância da instalação e serem disseminadas pelos profissionais e colaboradores de diversas áreas. Ela também devem estabelecer as responsabilidades pela aplicação da política com a identificação de pessoas e áreas competentes.
Diretrizes da Política de Segurança Cibernética
A Resolução traz a regulamentação das diretrizes, os parâmetros mínimos a serem adotados, assim como orientações sobre melhores práticas para o setor elétrico. Entre os requisitos estabelecidos, destacamos que passa a ser obrigatórias as seguintes ações:
O compartilhamento de incidentes cibernéticos relevantes entre os agentes e entre os agentes e a Aneel em casos de crise de segurança cibernética;
Aplicação periódica da metodologia de avaliação de maturidade regulatória;
Segmentação das redes de operação de TI e de Internet;
Tenha procedimentos de resposta rápida para contenção de incidentes; e
Processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.
Responsabilidade dos Agentes do setor de energia elétrica
Os agentes são responsáveis por fazer atuar a política de segurança. Deverão atuar em caso dos incidentes cibernéticos, criando obrigações de notificações, compartilhando as informações e manutenção do sistema. Esses profissionais tem como função:
Adotar as normas para garantir as boas práticas em segurança cibernética;
Atuar com responsabilidade e zelar pela transparência;
Utilizar de forma segura as redes e serviços de energia elétrica;
Fazer a identificação dos incidentes e riscos cibernéticos, para enfim fazer a recuperação e nas estruturas estabelecidas pelo agente.
O Compartilhamento das informações
Os agentes devem adotar alguns procedimentos sobre o compartilhamento de informações sobre as ameaças e outras informações sobre a segurança cibernética, de forma sigilosa. Não podem ser restritos às empresas do mesmo grupo societário.
A responsabilidade dos agentes do setor elétrico
De acordo com as Políticas de Segurança Cibernética, é de responsabilidade dos agentes do setor elétrico, sendo adotado e executado os princípios deste Regulamento.
Ou seja, eles devem manter todos os dados registrados e enviar para a ANEEL as seguintes informações:
Os resultados dos modelos de maturidade aplicados;
Os riscos cibernéticos identificados;
Os dados das equipes de prevenção, tratamento e a resposta aos incidentes cibernéticos.
Os agentes devem avaliar os tratamentos dos riscos de segurança cibernética e para contenção de incidentes.
Parceria Teho & Kryptus
Fazendo frente a nova regulamentação da Aneel, a Teho e a Kryptus, a partir do detalhamento destas novas exigências, preparou soluções para diagnosticar (assessment), planejar, complementar e consolidar as diversas soluções de segurança cibernética para as ferramentas de automação em uso pelos principais atores deste mercado.
Entre em contato com nosso time para uma apresentação das soluções de segurança cibernética disponíveis para sua infraestrutura.
Assuntos Relacionados
Comments