Documento do ONS lista procedimentos para reforçar a segurança cibernética no dia a dia
Estatísticas mostram que setores de infraestrutura e de energia estão entre os mais visados para ataques cibernéticos. Como forma de reduzir esses riscos, o Operador Nacional do Sistema Elétrico (ONS) elaborou a Rotina Operacional RO-CB.BR.01 Controles Mínimos de Segurança Cibernética para o Ambiente Regulado Cibernético.
O documento está em vigor desde julho de 2021 e estabelece controles de segurança cibernética que devem ser adotados nos centros de operação e nos equipamentos de infraestrutura. Desde então, agentes que operam esses sistemas vêm sendo obrigados a cumprir os requisitos estabelecidos pelo ONS, seguindo os prazos determinados no próprio documento.
Na opinião do especialista de Segurança Cibernética do ONS, Geraldo Fonseca, a Rotina Operacional de Segurança Cibernética ajuda a elevar o nível de segurança cibernética de toda a operação, contribuindo para que os agentes e o ONS criem políticas de segurança alinhadas às boas práticas mundiais e aos procedimentos de rede estabelecidos. "É um importante marco para o setor elétrico."
O documento do ONS define como Ambiente Regulado Cibernético (ARCiber) o conjunto de redes e equipamentos composto por: centros de operação dos agentes; equipamentos que participam da infraestrutura de envio ou recebimento de dados e voz para ambientes operativos do ONS ou para centros de operação de outros agentes; e o ambiente operativo do ONS.
A arquitetura tecnológica para o ambiente é um aspecto considerado. São citadas as seguintes diretrizes: as redes devem ser segregadas em zonas de segurança, de acordo com a sua função; o Ambiente Regulado Cibernético (ARCiber) não deve ser diretamente acessível através da internet, mesmo que protegido por um ou mais firewalls; o acesso ao ARCiber a partir de redes externas à organização (como, por exemplo, a internet) somente deve ser permitido para o desempenho de atividades autorizadas; soluções antimalware devem ser implementadas no ARCiber e mantidas atualizadas.
Também é recomendado que se planeje a governança da segurança da informação, com adoção das seguintes medidas: nomeação de pelo menos um gestor e um suplente, para que fiquem responsáveis pela segurança cibernética do ARCiber e atuem como ponto de contato externo; e definição de papéis e responsabilidades em relação à segurança cibernética do ARCiber.
Outros procedimentos citados no documento são a realização de inventário de ativos a cada 24 meses pelo menos; normas para o armazenamento seguro desse inventário; e padrões para uma configuração segura. Também são citados os passos necessários para uma "gestão de vulnerabilidades", para uma "gestão de acessos" e para o monitoramento e resposta a incidentes, entre outras orientações e normas complementares.
Para a íntegra do documento, acesse: Manual de Procedimentos da Operação
