A indústria de energia é uma das poucas que apresentam atualmente boas perspectivas, com oportunidades consistentes para crescimento de investimentos internacionais, especialmente relacionados às fontes de energias renováveis, como a solar, eólica e biomassa. O choque profundo na demanda durante a pandemia impactou toda a cadeia, mas o segmento se reinventou rapidamente. Desde o início do isolamento, foram tomadas medidas que permitiram, em pouco tempo, avançar anos na digitalização do atendimento. Um caminho sem volta para as empresas, mas que precisa ser acompanhado por um plano de segurança cibernética ágil e estruturado.
Os desafios do setor elétrico em cibersegurança
As novas tecnologias, como inteligência artificial (IA), robótica, machine learning e Internet das Coisas (IoT), entre outras, permitiram avanços no ambiente de automação, como a possibilidade de operar grandes instalações, plantas e subestações de forma remota e centralizada, mas também aumentaram drasticamente a exposição das empresas a ameaças e os riscos de segurança cibernética.
Observamos um aumento de incidentes de segurança cibernética no setor elétrico, o que pode causar grande impacto para a sociedade, gerar multas regulatórias e prejudicar significativamente a reputação das empresas, em virtude de possíveis paralisações parciais ou totais dos serviços.
Diante das ameaças cibernéticas, empresas de energia em todo o mundo têm investido cada vez mais na segurança digital. Segundo a pesquisa Digital Trust Insights, 58% das empresas do setor pretendem aumentar o orçamento de cibersegurança em 2021.
Intenção de investimento das empresas do setor de Energia em todo mundo nos próximos 3 anos em consequência da crise da Covid-19
Fonte: 24ª CEO Survey, PwC.
O que propõe o ONS
No Brasil, o Operador Nacional do Sistema Elétrico (ONS) publicou a rotina operacional "RO-CB.BR.01", que estabelece controles mínimos de segurança cibernética a serem implementados pelos agentes (e pelo próprio operador) no Ambiente Regulado Cibernético (ARCiber). A rotina operacional tem como referência o módulo 2.16 dos Procedimentos de Rede – requisitos operacionais para centros de operação e instalações da rede de operação. O documento considera requisitos gerais para arquitetura tecnológica do ambiente, governança de segurança da informação, inventário de ativos, gestão de vulnerabilidade, gestão de acessos, monitoramento e respostas a incidentes, com prazos para implantação divididos entre 18 e 27 meses após a entrada em vigor.
Uma jornada para transformação do ambiente de missão crítica no setor elétrico
Para melhor detectar e responder a ataques cibernéticos, além de se preparar para as futuras obrigações regulatórias, empresas do setor elétrico devem se comprometer com o financiamento, desenvolvimento e melhoria de um programa proativo de segurança cibernética.
O processo de transformação para uma empresa segura no âmbito digital passa por três dimensões de análise e quatro grupos de ações.
As três dimensões de análise
Um bom programa de segurança cibernética, estruturado nessas três dimensões de análise e alinhado aos objetivos do negócio, pode alavancar as capacidades de identificação, preparação e resiliência das organizações contra as ameaças cibernéticas no ambiente de missão crítica e atender às novas regulamentações no setor.
Estratégico
Neste primeiro estágio de análise, é preciso entender a dimensão da sua estrutura atual de segurança e o quanto ela está alinhada ao plano de negócio da empresa.
Ações de governança cibernética para tecnologia operacional (TO):
- Visão de risco e maturidade atual
- Estrutura organizacional de cyber para TO
- Papéis e responsabilidades definidos
- Conhecimento dos ativos críticos
- Diretrizes para o ambiente de missão crítica
- Conscientização e treinamentos específicos
Tático
Esta dimensão engloba de forma estruturada as ações que serão executadas e monitoradas para alavancar a estratégia definida no início da jornada.
Ações de conformidade e gestão de ameaças:
- Adesão ao ONS e melhores práticas
- Arquitetura tecnológica segura
- Controle de acessos e ações privilegiadas
- Gestão de vulnerabilidades e ameaças
- Inventário de ativos
Ações de gestão de riscos para missão crítica:
- Gestão dos riscos cibernéticos críticos para o negócio
- Programa para identificação, análise, tratamento e mitigação dos riscos identificados
- Gestão do mapa de riscos estabelecido
Operacional
A análise operacional aponta o nível do monitoramento de ameaças e gestão dos riscos da empresa.
Ações de monitoramento contínuo e gestão de crise:
- Monitoramento contra ameaças cibernéticas no ambiente de missão crítica
- Programa de gestão e resposta a crises e incidentes cibernéticos
- Exercícios e simulados considerando a necessidade de negócio diante de uma crise cibernética
Contatos
.jpg.pwcimage.105.105.jpg)
