Infraestrutura crítica: requisitos e conformidade com a Lei PIC

A jornada na gestão de Infraestruturas Críticas começa com um e-mail como: “Olá, você foi designado pelo CNPIC (Centro Nacional de Proteção de Infraestruturas Críticas) como operador crítico em X centros“. Se isso for familiar para você, este artigo pode ser útil para você.

O CNPIC (Centro Nacional de Proteção de Infraestruturas Críticas) é o órgão do Ministério do Interior responsável por promover, coordenar e supervisionar todas as políticas e atividades relacionadas com a proteção das infraestruturas críticas espanholas.

Essas atividades são realizadas com o apoio da Equipe de Resposta a Emergências Informáticas (CERT/CSIRT), composta por especialistas em crimes relacionados à segurança cibernética, cuja missão é oferecer conselhos sobre a resolução de incidentes de segurança cibernética; e através do Gabinete de Coordenação Cibernética (OCC), que é o órgão de coordenação técnica em cibersegurança que serve de intermediário entre os CSIRT nacionais de referência e o Secretário de Estado da Segurança, que fornece um canal de alerta precoce contra ciberataques, permite o intercâmbio de informações entre diferentes intervenientes públicos/privados, além de oferecer mecanismos de resposta para incidentes cibernéticos.

Uma Infraestrutura Crítica é considerada uma instalação física ou virtual cujo funcionamento é indispensável para os interesses nacionais e sua interrupção parcial ou total causa sérias consequências para o desenvolvimento normal das atividades básicas e cotidianas dos cidadãos.

Nesse sentido, uma Infraestrutura Crítica pode englobar diferentes serviços dentro dos 12 setores estratégicos que garantem a prestação de serviços na Espanha, como os setores de energia, financeiro, tecnologia da informação, entre outros.

Se tiver sido designado como operador crítico pelo CNPIC, deve cumprir os requisitos estabelecidos na Lei 8/2011, que estabelece medidas de proteção das infraestruturas críticas, e no Real Decreto 704/2011, que permite a execução e desenvolvimento da referida Lei.

O objetivo da legislação PIC (Proteção de Infraestruturas Críticas) é definir uma estrutura e estratégia de segurança abrangente que permita a coordenação de ações comuns nos diferentes órgãos das Administrações Públicas, além de regular os requisitos que devem ser atendidos pelos operadores designados como críticos.

Portanto, como operador crítico, você é obrigado a desenvolver e documentar a estratégia aplicada em seu órgão ou instituição (pública ou privada) em relação à segurança abrangente, desde as Políticas de Segurança aplicadas, a análise de risco de segurança executada ou definindo as medidas de segurança organizacionais, processuais ou técnicas, entre outros pontos, mas como atender a esses requisitos?

O cumprimento da Lei 8/2011 e do R.D. 704/2011 exige a documentação do chamado Plano de Segurança do Operador e do Plano de Proteção Específica, por isso vamos detalhar as implicações de cada um deles.

Plano de Segurança do Operador (PSO)

Os Planos de Segurança do Operador, mais conhecidos como PSO, são um documento estratégico que compila as políticas gerais do operador crítico para garantir a segurança de todas as instalações ou sistemas pertencentes ou gerenciados. Entre os pontos que deve conter, podemos destacar os seguintes:

• Introdução: Identificação das medidas levadas a cabo pelo operador para a gestão da documentação relacionada com a proteção das infraestruturas críticas, que vão desde a nomeação de um responsável pela aprovação de documentos, identificação das unidades de armazenamento e distribuição da informação relativa aos PIC, bem como as medidas de segurança (lógicas e físicas) aplicadas para a sua salvaguarda.
• Política de Segurança e Estrutura de Governança: Requer o estabelecimento da política de segurança aplicada ao operador; representar e documentar os órgãos sociais do ponto de vista da segurança integral, bem como definir um Gestor e Ligação de Segurança, Delegados de Segurança, ou as ações de formação de segurança planeadas e executadas no operador.
• Lista de serviços essenciais prestados pela operadora: Exige uma documentação geral dos serviços essenciais prestados pelo operador aos cidadãos, documentando os impactos que seriam causados pela interrupção dos serviços (por exemplo, população afetada) e as relações existentes entre o operador e outros operadores críticos e/ou prestadores de serviços críticos relacionados com a segurança abrangente.
• Metodologia de Análise de Risco: O PSO deve definir a metodologia de análise de risco aplicada no operador para garantir a continuidade dos serviços prestados. Esta metodologia deve incluir critérios e mecanismos de avaliação dos riscos para cobrir as ameaças não assumidas pelo operador crítico.
• Critérios para a aplicação de medidas de segurança abrangentes: Identificar de forma geral as medidas Organizacionais ou de Gestão; Operacional ou Processual; Proteção ou técnicas que são aplicadas no operador para a salvaguarda de serviços críticos.
• Documentação Complementar: Envolve listar os regulamentos de segurança de riscos físicos, lógicos, pessoais, ambientais ou ocupacionais que afetam diretamente o operador crítico.

Note-se que, no prazo de seis meses a contar da notificação da resolução da sua designação como operador crítico, deve elaborar um Plano de Segurança do Operador e submetê-lo ao CNPIC, que o avaliará e informará sobre a sua aprovação ou alteração, se for caso disso, pelo Secretário de Estado da Segurança ou pelo organismo por este delegado.

Os Planos de Proteção Específicos são documentos operacionais onde devem ser definidas as medidas de segurança específicas adotadas pelo operador e as que devem ser adotadas para garantir a segurança abrangente (física e lógica) das infraestruturas designadas como críticas.

Ao contrário do PSO, que exige a documentação de um único documento com as medidas gerais de segurança do operador, os PPEs estão diretamente alinhados com as Infraestruturas Críticas, portanto, se um operador tiver sido designado 3 infraestruturas como críticas, ele deve preparar 3 EPI independentes, um para cada sede operacional.

Nesse sentido, os Planos de Proteção Específicos devem incluir todas as medidas de segurança aplicadas a cada um dos centros, sendo necessário cobrir as seguintes seções:

• Introdução: Identificação das medidas realizadas pelo operador para a gestão da documentação relacionada com a proteção de infraestruturas críticas e mais especificamente com EPI.
• Aspectos organizacionais: Requer organogramas gráficos detalhados que representam a estrutura de governança de segurança em cada sede designada. Identificar os dados de identificação do gestor de segurança e de ligação, bem como dos delegados de segurança do centro e dos seus substitutos, se necessário.
• Descrição da Infraestrutura Crítica: Envolve uma descrição detalhada da infraestrutura crítica, desde a localização (endereço, coordenadas geográficas), as funções que a sede presta aos cidadãos e em particular todos os elementos necessários para a prestação de tais serviços, destacando elementos de hardware, software, comunicações, fornecedores críticos, entre outros.
• Resultados da Análise de Risco: Documentar detalhadamente as medidas organizacionais ou de gestão; Operacional ou Processual; Proteção ou Técnicas que são aplicadas no centro, bem como os resultados da Análise de Risco realizada, que vão desde a representação dos elementos avaliados, os valores obtidos até as conclusões pelo operador crítico.
• Plano de Ação: Com base nos resultados da Análise de Riscos, é necessário documentar as ações de melhoria derivadas dela para reduzir os riscos não assumidos pela organização, além de estabelecer ações estratégicas adicionais de melhoria de segurança fornecidas pelo operador crítico no centro analisado.
• Documentação Complementar: Identificação das normas de segurança física, bem como outros elementos necessários ao funcionamento do centro, tais como Plano de Continuidade, Planos de Autoproteção, etc.

Note-se que, no prazo de quatro meses a contar da aprovação do Plano de Segurança do Operador, cada operador crítico deve ter elaborado um Plano de Proteção Específico para cada uma das suas infraestruturas críticas designadas pelo CNPIC e submetê-lo ao Secretário de Estado da Segurança para avaliação e aprovação.

O cumprimento dos requisitos da Lei 8/2011 exige a inclusão das diferentes medidas de segurança abrangentes (físicas e lógicas) no Plano de Segurança do Operador e nos diferentes Planos de Proteção Específicos.

Na GlobalSuite Solutions oferecemos a experiência de diferentes trabalhos de consultoria e auditoria no campo da segurança e, especificamente, no apoio a diferentes organizações, públicas e privadas, na preparação e aprovação desses documentos, tudo graças à participação de uma equipe de especialistas na área e ao suporte do nosso Software GlobalSuite® que possui um módulo específico para a Proteção de Infraestruturas Críticas.

Se você precisa de suporte para conformidade com PIC, entre em contato conosco e descubra como podemos colaborar com sua organização para atender aos requisitos estabelecidos, proteger sua infraestrutura crítica e melhorar a segurança de forma holística!