Um requisito fundamental do NIS2 é garantir que todos os funcionários tenham conhecimento das melhores práticas de cibersegurança e recebam formação adequada sobre cibersegurança.

Higiene cibernética

A tua organização deve manter um nível adequado de cibersegurança através da implementação de medidas fundamentais e da formação dos trabalhadores nas melhores práticas.

Requisito

A tua organização deve garantir que as práticas básicas de ciber-higiene são implementadas e baseadas na política de segurança dos sistemas de informação. A ciber-higiene abrange as medidas essenciais, as rotinas diárias, as práticas e os procedimentos que protegem as tuas redes, sistemas e dados contra ameaças comuns.

Inclui um conjunto de medidas fundamentais, tais como:

• prepara um conjunto mínimo de políticas básicas de segurança,
• Faz regularmente cópias de segurança dos dados relevantes, testa as cópias de segurança (verificações de integridade) e testa os procedimentos de restauro,
• planear a capacidade e os recursos (pessoal e recursos informáticos) para evitar estrangulamentos,
• desenvolver um plano de resposta a incidentes,
• avaliar regularmente a cibersegurança da tua cadeia de abastecimento de TI,
• criaracordos de nível de serviço (SLA) baseados no risco com fornecedores e prestadores de serviços,
• aplicar regularmente patches e atualizar sistemas operativos e aplicações,
• instalar e atualizar o software anti-malware nos activos relevantes,
• segmentar as redes de acordo com a criticidade dos activos,
• efectua regularmente análises automáticas das vulnerabilidades,
• realiza testes de segurança regulares,
• criar uma cultura de sensibilização para a cibersegurança através da formação regular dos utilizadores,
• encriptação dos dados em repouso e em trânsito, de acordo com os níveis de classificação dos activos,
• restringe os direitos administrativos,
• aplica palavras-passe fortes,
• utilizando a autenticação multifactor em conformidade com os níveis de classificação dos activos,
• limita as portas e os serviços de rede ao estritamente necessário para as necessidades da empresa,
• manter um inventário atualizado dos activos de hardware e software,

Muitas destas práticas de higiene cibernética já estariam implementadas se seguisses o nosso guia para implementar os requisitos mínimos do NIS2.

Documentação

Deves documentar as tuas práticas de ciber-higiene.

Formação em cibersegurança

Todos os empregados que trabalham na prestação de serviços críticos da sua organização devem estar conscientes dos riscos de segurança relevantes, receber formação adequada e aplicar práticas comuns de ciber-higiene.

Requisitos

A tua organização tem de ter uma política empresarial para a formação do pessoal, para garantir que os funcionários recebem os conhecimentos e as competências necessárias para lidar com os riscos de segurança e proteger a rede e os sistemas de informação. A formação e a educação devem estar alinhadas com a política de segurança do sistema de informação da organização, com quaisquer políticas específicas e com os procedimentos relevantes.

A política pode descrever as funções que exigem competências e conhecimentos específicos em matéria de segurança. Pode ser estabelecido um programa de formação estruturado para definir a formação de que os empregados necessitam. A formação deve ser específica para a função do empregado e a eficácia do programa deve ser avaliada regularmente.

A formação e o ensino em matéria de cibersegurança devem ser efectuados regularmente, documentados e adaptados às medidas gerais da organização. O teu programa de formação pode incluir:

• instruções e formação sobre práticas comuns de ciber-higiene, como o controlo do acesso, a atualização de dispositivos e a segurança das palavras-passe,
• actualizações regulares sobre ameaças relevantes, incluindo métodos de ataque e vulnerabilidades humanas, que devem ser relevantes para as funções dos empregados,
• formação sobre como lidar com um incidente através de exercícios práticos e baseados em cenários, com base na avaliação e nas medidas de risco da organização,

Deve ser ministrada formação básica aos novos empregados e ao pessoal que passe a desempenhar funções com diferentes requisitos de segurança.

Os quadros superiores da empresa também devem participar em cursos de cibersegurança relevantes e devem incentivar uma formação semelhante para os outros trabalhadores. A formação para a direção pode incluir cursos gerais sobre cibersegurança, workshops sobre gestão de riscos cibernéticos, programas de certificação e normas de segurança internacionais, ou cursos e seminários internos da própria organização.

Documentação

O programa de formação deve ser atualizado e realizado regularmente. A formação deve ter em conta as políticas e regras actuais, as funções e responsabilidades atribuídas, as ameaças conhecidas e a evolução tecnológica.