8 aspetos-chave para desenvolver os Planos de Segurança do Operador (PSO) e os Planos de Proteção Específicos (PPE)

Como foi comentado em publicações anteriores, dentro do quadro normativo associado à cibersegurança industrial, tem especial importância em Espanha a Lei de Proteção de Infraestruturas Críticas (Lei PIC 8/2011) complementada pelo Decreto Real 704/2011 e sucessivas disposições adicionais (a última de 18 de setembro de 2015).

Os dois grandes objetivos desta norma são catalogar o conjunto de infraestruturas que prestam serviços essenciais à nossa sociedade e conceber um planeamento que contenha medidas de prevenção e proteção eficazes contra as possíveis ameaças a tais infraestruturas, tanto no plano da segurança física como no da segurança das tecnologias da informação e das comunicações.

Não há dúvida de que, após as últimas notícias publicadas num jornal de tiragem nacional, no qual se descrevia que se tinham produzido 63 ‘ciberataques’ no decorrer do ano contra infraestruturas críticas do Estado, esta Lei se está a converter num quadro de atuação obrigatório para as empresas designadas como operadores críticos e num conjunto de melhores práticas a implementar para qualquer empresa que esteja preocupada em proteger os seus ativos.

Como é sabido, as empresas que são designadas como operadores críticos têm a obrigação de apresentar, num prazo de seis meses, um Plano de Segurança do Operador (PSO) e, após a sua aprovação pela Secretaria de Estado ou órgão delegado após relatório do CNPIC, um Plano de Proteção Específico (PPE).

A elaboração dos PSO e dos PPE é uma tarefa complexa que requer a coordenação e o envolvimento de diferentes áreas de uma organização. Além disso, embora o prazo proporcionado para apresentar os referidos planos (6 meses para os PSO e 4 meses para os PPE) pareça razoável, as tarefas quotidianas vinculadas ao operador crítico podem fazer com que os referidos planos não sejam realizados no tempo determinado ou com o alcance mais completo e adequado.

Por este motivo, nesta publicação, queremos apresentar oito aspetos-chave que, do nosso ponto de vista, têm de ser tidos em conta no momento em que um operador crítico realiza o processo de desenvolvimento e entrega do Plano de Segurança do Operador (PSO) e do Plano de Proteção Específico (PPE).

• O desenvolvimento dos PSO e dos PPE é um processo, não é um projeto. O quadro normativo convida a realizar um ciclo de melhoria contínua baseado no processo PDCA. Além disso, os planos devem ser revistos a cada 2 anos, obrigando a uma atualização quase constante.
• Deve ter-se em conta o carácter integral da segurança. Segurança física e lógica (IT e OT).
• O envolvimento da alta direção é obrigatório. De facto, a Lei ajuda a aproximar a segurança dos máximos decisores das organizações.
• As pessoas assumem responsabilidades específicas ao assinar os conteúdos dos PSO e dos PPE. Por este motivo, é imprescindível realizar ações de formação prévias ao início do processo.
• A formação e a consciencialização são um aspeto-chave. Para a equipa que realiza os PSO e os PPE e para todas as pessoas envolvidas em aumentar a segurança das infraestruturas críticas designadas.
• A identificação de serviços essenciais e interdependências é uma tarefa muito importante. Sobretudo a parte de interdependências é fundamental no processo.
• A metodologia de análise de riscos utilizada é uma pedra angular para que os conteúdos dos PSO e dos PPE sejam os adequados. Neste sentido, a Lei aponta para que as ameaças com baixa probabilidade de ocorrência e alto impacto devam ser tratadas de uma forma singular.
• As medidas a adotar para a prevenção de ataques devem ser de diferente natureza. Técnicas, operacionais e organizativas

Para mais informações sobre como a Logitek Industrial Cybersecurity by Logitek ajuda os operadores críticos a desenvolver os Planos de Segurança do Operador (PSO) e os Planos de Proteção Específicos (PPE) associados ao cumprimento da Lei 8/2011 de Proteção de Infraestruturas Críticas, pode aceder ao nosso whitepaper.