Preços
Teste

Continuidade do negócio

A prestação de serviços críticos aos utilizadores finais é a principal preocupação da NIS2, pelo que a continuidade das actividades é um requisito, que exige um plano, cópias de segurança, redundância e procedimentos de gestão de crises.

Continuidade do negócio

A prestação de serviços críticos aos utilizadores finais é a principal preocupação da NIS2, pelo que a continuidade das actividades é um requisito. Este aspeto será explicado mais pormenorizadamente na secção seguinte.

Procedimentos de continuidade das actividades

As organizações devem garantir que as suas operações possam continuar e que a cibersegurança seja mantida durante um incidente ou crise grave e que as operações normais possam ser restabelecidas uma vez terminado o incidente ou a crise.

Durante um grande incidente ou crise, as organizações têm de ser capazes de manter a prestação de serviços aos utilizadores finais e defender a cibersegurança, e que as operações normais sejam restabelecidas uma vez terminada a crise.

Requisitos

A tua organização deve estabelecer e manter procedimentos de continuidade das actividades a aplicar em caso de incidente de cibersegurança. Este procedimento deve incluir um plano para a continuação das operações e um plano de recuperação após uma crise, que a tua organização deve seguir para restabelecer as operações em conformidade com o procedimento.

O procedimento de continuidade das actividades deve basear-se numa avaliação dos riscos e pode incluir

  • o objetivo, o âmbito e o público-alvo do procedimento,
  • funções e responsabilidades em caso de crise,
  • Pessoal interno e externo e uma lista dos canais de comunicação a utilizar em caso de emergência,
  • condições para ativar e desativar as medidas de emergência da organização,
  • uma descrição dos recursos necessários para manter as operações numa crise, tais como cópias de segurança, recarregamento e redundância,
  • uma descrição da forma como a organização se coordenará com os responsáveis pelo tratamento de incidentes, por exemplo, que operações podem continuar sem interferir com os esforços para conter um ataque.

O plano de recuperação pode incluir:

  • planos de recuperação para sistemas operacionais específicos e objectivos de recuperação, tais como o funcionamento dos sistemas e os dados que devem ser restaurados em primeiro lugar,
  • a sequência para o restabelecimento das operações, por exemplo, quais os serviços que devem ser activados primeiro devido a interdependências, e como podem ser utilizadas medidas temporárias, como tratamentos manuais ou métodos de comunicação alternativos,
  • um plano para verificar se a confidencialidade e a integridade não foram comprometidas durante a recuperação.

Documentação

O teu procedimento de continuidade do negócio deve ser revisto e testado a intervalos regulares planeados, bem como após incidentes importantes ou alterações significativas no ambiente operacional ou na situação de risco. As tuas revisões devem verificar se o procedimento funciona como pretendido e se está suficientemente atualizado para as condições actuais da organização, e quaisquer alterações aos procedimentos devem ser documentadas.

Cópia de segurança

Tens de ter procedimentos de cópia de segurança para garantir que os dados relevantes da organização são guardados de forma a poderem ser restaurados em caso de perda, dano ou qualquer outra perturbação.

Requisitos

A tua organização tem de ter procedimentos para garantir que todos os dados relevantes, incluindo os dados de configuração, são salvaguardados de forma a apoiar a continuidade do negócio.

Os teus planos de salvaguarda devem basear-se na tua avaliação de riscos e nos teus planos de continuidade do negócio e podem considerar o seguinte:

  • O tempo máximo aceitável para restaurar os dados,
  • Assegura que as cópias de segurança são completas e precisas, incluindo os dados de configuração e os dados armazenados em serviços de nuvem,
  • Armazena cópias de segurança de forma segura, online ou offline, em um ou mais locais fora da rede do sistema principal e suficientemente longe para evitar danos causados por incidentes no local principal,
  • Aplica fortes controlos de acesso físico e lógico às cópias de segurança, incluindo durante o transporte, tais como salas de servidores trancadas, transporte selado, cópias de segurança encriptadas com gestão de chaves externas, controlos de acesso baseados em funções (RBAC) ou autenticação multifactor (MFA),
  • Define o período de tempo durante o qual as cópias de segurança devem ser mantidas, com base nos requisitos comerciais, legais e regulamentares,
  • Especifica quando e como os dados podem ser restaurados, incluindo quem deve aprovar o tratamento,
  • Efectua verificações e testes regulares para confirmar que as cópias de segurança são precisas, completas e restauráveis,
  • Testa os procedimentos de cópia de segurança e de restauro a intervalos regulares.

Em ambientes OT (Operational Technology), onde o tempo de atividade é crítico, podem também ser utilizados métodos de recuperação alternativos, tais como o armazenamento de ficheiros de configuração para um recarregamento rápido, a utilização de redundância do sistema ou a ativação pós-falha para dispositivos pré-configurados.

Documentação

A tua organização deve documentar que testa regularmente as cópias de segurança ou os métodos de recuperação alternativos para confirmar que estão completos e disponíveis conforme descrito nos procedimentos de cópia de segurança. Deves garantir que as cópias de segurança têm a integridade necessária, mesmo que pareçam estar completas. Os resultados destes testes devem ser documentados e aprovados pela direção competente.

Redundância

O objetivo da implementação de medidas de redundância é garantir que a tua organização tem acesso a recursos suficientes quando necessário, incluindo instalações, pessoal, redes e sistemas de informação e componentes.

Requisitos

A tua organização deve avaliar a necessidade de estabelecer redundâncias, por exemplo, dispondo de equipamento informático de reserva ou de localizações alternativas. Esta avaliação deve basear-se na política de segurança da informação, na política de gestão dos riscos e no plano de continuidade da tua organização.

Ao avaliar a necessidade de redundância, considera, por exemplo:

  • rede e sistemas de informação, incluindo hardware, software, serviços e dados,
  • activos não humanos, incluindo instalações, equipamento e fornecimentos,
  • pessoal com as responsabilidades, autoridade e competência necessárias,
  • utiliza canais de comunicação adicionais ou alternativos adequados.

A tua organização pode criar redundâncias a nível interno ou estabelecer acordos com terceiros para garantir uma redundância adequada.

A tua organização deve também certificar-se de que os responsáveis pela monitorização e gestão dos recursos são informados dos requisitos de despedimento, para que as expectativas sejam claras e possam garantir a disponibilidade dos recursos necessários.

Documentação

Deves avaliar regularmente a tua necessidade de redundância em hardware, software, serviços, instalações e outros recursos para garantir que os recursos certos estão disponíveis em caso de interrupções operacionais. Deve ser documentado como aplicar os recursos redundantes para que o pessoal relevante saiba como aceder e utilizá-los quando necessário.

Gestão de crises

O objetivo de estabelecer procedimentos de gestão de crises é garantir que a tua organização dispõe de tratamentos para gerir crises no caso de um ou mais incidentes graves simultâneos.

Requisitos

A tua organização deve avaliar se existe a necessidade de um plano de contingência com procedimentos de gestão de crises. Se essa necessidade for identificada, a tua organização deve criar e documentar os procedimentos necessários para lidar com incidentes muito graves.

Estes procedimentos de gestão de crises podem abordar os seguintes aspectos:

  • A cibersegurança deve ser mantida durante uma crise, recorrendo a medidas adequadas, como sistemas de apoio, tratamentos definidos e capacidade adicional.
  • Os papéis e as responsabilidades do pessoal, dos fornecedores e dos prestadores de serviços devem ser claramente definidos e estes devem conhecer as suas responsabilidades e os procedimentos específicos a seguir em caso de crise.
  • Devem ser estabelecidos métodos e canais de comunicação adequados com as autoridades sectoriais competentes. Isto deve incluir comunicações obrigatórias, como a comunicação de incidentes dentro dos prazos exigidos, bem como outras comunicações relevantes.

A tua organização deve também implementar um processo para tratar e utilizar as informações recebidas da CSIRT nacional, tais como incidentes de segurança, vulnerabilidades, ameaças e medidas recomendadas.

Documentação

O teu plano de gestão de crises deve ser documentado e revisto a intervalos regulares para garantir que continua a ser suficiente e atualizado para a situação atual da tua organização. Também devem ser efectuados exercícios regulares para testar se o plano funciona como pretendido. Com base nos resultados, devem ser introduzidas e documentadas quaisquer alterações necessárias ao plano.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.