NIS2 e sensibilização: aprofundamento técnico para responsáveis pela conformidade

Sala de control con paneles de cristal donde un equipo revisa indicadores de cumplimiento normativo, representando la trazabilidad exigida por NIS2
Andrea Sona Blog Sem comentários

NIS2 e sensibilização: aprofundamento técnico para responsáveis pela conformidade

Para um responsável pela conformidade, saber o que é a NIS2 já não é suficiente. A diretiva está transposta ou em processo de transposição em todos os Estados-Membros, e as primeiras auditorias começam a interrogar o componente humano do programa com um nível de detalhe que tem surpreendido mais do que um CISO. O artigo 21.º da Diretiva (UE) 2022/2555 inclui a formação em cibersegurança e as práticas básicas de ciber-higiene entre as medidas mínimas obrigatórias. O artigo 20.º acrescenta uma exigência que muitos descuram, porque os membros do órgão de direção também têm de receber formação específica e podem responder pessoalmente pela falta de medidas adequadas.

Este texto não repete o que é a NIS2. Assume que já o sabes. Desenvolve a camada seguinte, aquela que determina se um programa de sensibilização passa ou não passa uma auditoria. O que a diretiva exige exatamente em matéria de formação, a quem se aplica, que conteúdos abranger, como demonstrá-lo e onde o programa costuma cair quando a auditoria começa a puxar pelo fio.

Se precisares do enquadramento geral antes de continuar, temos um artigo anterior sobre o que é a NIS2 e como a SMARTFENSE pode ajudar a cumprir a normativa europeia que cobre o âmbito, os setores abrangidos e os prazos formais.

O que exige o artigo 21.º da NIS2 em formação e higiene cibernética?

O artigo 21.º da Diretiva (UE) 2022/2555 enumera as medidas técnicas, operativas e organizativas que as entidades essenciais e importantes estão obrigadas a adotar. Entre essas medidas, o n.º 21.2 inclui expressamente as “práticas básicas de higiene cibernética e formação em matéria de cibersegurança”. O texto não as apresenta como anexo opcional nem como recomendação, trata-as como parte das medidas mínimas que a entidade tem de demonstrar.

A isto soma-se o artigo 20.º, que abre uma frente diferente e mais política. Os membros do órgão de direção têm de aprovar as medidas de gestão de riscos, supervisionar a sua implementação e receber formação específica para o poderem fazer. A diretiva habilita ainda a responsabilidade individual da direção em caso de incumprimentos. Na prática, isto altera a forma como se vende internamente um programa de sensibilização, porque deixa de ser uma iniciativa do CISO e passa a ser uma obrigação pessoal de quem assina as decisões de segurança.

Em síntese, o bloco normativo afirma que a NIS2 considera as pessoas um controlo de segurança de primeiro nível, exige formação para todos e formação reforçada para a direção, e permite sancionar a entidade e os seus dirigentes quando esse controlo falha. O programa de sensibilização deixa de ser comunicação interna e entra no perímetro de auditoria.

A quem se dirige realmente a formação no âmbito da NIS2?

Uma das primeiras confusões aparece quando a diretiva é traduzida para um âmbito interno. “Todo o pessoal” não significa o mesmo numa entidade bancária e num operador energético com um efetivo industrial disperso, e a auditoria perguntará pela lógica de segmentação. Convém distinguir quatro públicos com tratamentos distintos.

Órgão de direção. Conselho, comissão executiva ou equivalente. Têm de receber formação dirigida que lhes permita aprovar e supervisionar as medidas de gestão de riscos. O conteúdo não é o mesmo que para um utilizador final, porque o objetivo é habilitar a decisão informada, não ensiná-los a reconhecer um phishing.

Pessoal técnico com responsabilidade operativa. TI, segurança, engenharia de plataforma, administradores de sistemas críticos. Formação específica por função, com conteúdos sobre gestão de vulnerabilidades, configuração segura, resposta a incidentes e papel concreto de cada função no plano de continuidade.

Restantes colaboradores com acesso a sistemas. O bloco grande do programa. Formação periódica em higiene cibernética básica, reconhecimento de engenharia social, manuseamento seguro de dados, uso de credenciais e reporte de incidentes. Uma boa prática é segmentar também dentro deste grupo por nível de exposição, e não por organograma.

Terceiros com acesso a sistemas críticos. Fornecedores, integradores, parceiros técnicos. A diretiva incorpora a segurança da cadeia de fornecimento como medida obrigatória no mesmo artigo 21.º, e isso inclui o acesso humano de terceiros. Se um fornecedor com conta ativa nunca passou pelo teu programa, o risco e a responsabilidade continuam a ser teus.

Estar classificada como entidade essencial ou importante muda o rigor da supervisão mas não a lógica do âmbito. Ambas as categorias estão obrigadas a formar o seu pessoal, o que muda é a intensidade do controlo posterior por parte das autoridades competentes.

Que conteúdos deve cobrir um programa de sensibilização compatível com a NIS2?

A diretiva não publica um currículo, o que deixa à entidade a responsabilidade de justificar que o programa cobre o necessário. A estratégia mais limpa é construir o plano de conteúdos cruzando dois eixos, as medidas técnicas listadas no artigo 21.º e as ameaças reais que afetam o setor.

A partir desse cruzamento, um programa tipicamente sólido inclui pelo menos estes domínios:

  1. Engenharia social e phishing, com foco em correio eletrónico, mensagens corporativas, voz e vetores recentes como o quishing por código QR.
  2. Gestão de credenciais, palavras-passe robustas, gestores de palavras-passe e autenticação multifator real.
  3. Uso seguro de dispositivos e redes, incluindo trabalho remoto, redes domésticas, redes públicas e BYOD.
  4. Tratamento de dados sensíveis, classificação, retenção, transferências e eliminação segura.
  5. Reporte de incidentes, procedimento interno, canal, prazos e cultura de não penalizar o reporte.
  6. Risco da cadeia de fornecimento ao nível humano, o que fazer quando um fornecedor pede acesso ou documentação fora do canal.
  7. Continuidade de negócio e resposta, o que faz cada função quando um incidente afeta a sua área.
  8. Privacidade e proteção de dados, em conexão com o RGPD, porque os inspetores tendem a observar ambos os enquadramentos em conjunto.
  9. Formação específica para a direção, enquadramento normativo, responsabilidades do órgão, leitura de relatórios de risco e rastreabilidade das decisões.

Cada domínio deve ter material principal, reforços breves e pelo menos um mecanismo de avaliação. Ter um curso por domínio não é suficiente para um auditor exigente, porque o que a NIS2 mede é o carácter contínuo do programa, não a sua existência pontual.

Como se mede e se demonstra o cumprimento da sensibilização em auditoria?

É aqui que caem os programas que no papel parecem completos. A auditoria NIS2 pede evidência, e a evidência mede-se por camadas. Quando falamos com CISOs que já passaram por uma revisão séria, todos descrevem o mesmo problema: cursos existem, o que falta é rastreabilidade por utilizador.

Convém ter prontas quatro camadas de evidência.

Assiduidade e conclusão. Que percentagem do pessoal concluiu cada módulo obrigatório, em que prazo, com quantos lembretes. Isto inclui dirigentes e terceiros, não apenas colaboradores internos.

Compreensão. Resultados de avaliações, não satisfação do aluno. A diretiva não pede inquéritos de satisfação, exige que o pessoal seja capaz de aplicar o que aprendeu. Uma avaliação pós-formação com limiar de aprovação é a peça padrão.

Comportamento. Simulações controladas de phishing, ransomware ou vishing onde se mede a conduta real perante um estímulo. Esta camada é a que distingue um programa formal de um eficaz, porque permite comparar o que o utilizador diz saber com o que realmente faz quando recebe o engodo.

Reporte executivo e rastreabilidade por utilizador. O auditor pedirá poder selecionar um nome concreto do quadro de pessoal e ver a sua trajetória completa, com módulos atribuídos, concluídos, avaliações aprovadas, simulações recebidas e condutas registadas. Se o sistema não permitir extrair essa vista em minutos, o controlo falha independentemente da qualidade do conteúdo.

Junto a estas camadas convém manter um registo documental que recolha a lógica do programa, com a política aprovada pela direção, a segmentação de públicos, o calendário anual, os critérios de êxito e as revisões periódicas. Quando a auditoria pergunta porquê o programa está desenhado assim, esse registo é a resposta.

Que erros típicos fazem cair um programa de sensibilização numa auditoria NIS2?

Depois de acompanhar implementações de programas de sensibilização durante vários anos, há um pequeno conjunto de falhas que se repete com frequência incómoda. Convém revê-las antes da auditoria, e não depois.

Programa anual de um único momento. Uma formação obrigatória em janeiro, sem reforço, sem simulação, e dá-se o ano por coberto. A NIS2 fala de carácter contínuo, e um auditor experiente vai assinalá-lo.

Mesmo conteúdo para a direção e para os utilizadores. O artigo 20.º exige formação específica para o órgão de direção. Servir-lhes o mesmo módulo introdutório que ao restante pessoal não cumpre a obrigação, mesmo que a presença esteja documentada.

Simulações de phishing sem métricas longitudinais. Ter uma simulação por trimestre com resultado pontual não equivale a mostrar evolução do comportamento por utilizador, grupo e tipo de isco. O dado comparado no tempo é o que evidencia melhoria.

Ausência de evidência para terceiros. Os fornecedores com acesso a sistemas críticos costumam ficar fora do âmbito, até que a auditoria pergunta como se gere o risco humano da cadeia de fornecimento e a resposta não existe.

Falta de rastreabilidade por utilizador. Relatórios agregados com percentagens globais soam bem até que o auditor escolhe três pessoas ao acaso e pede o histórico individual. Se o sistema não o entregar, o programa inteiro fica em dúvida.

Documentação de governação frouxa. Política sem assinatura, sem revisão periódica, sem ata de aprovação do órgão de direção. O componente formal pesa mais do que muitos esperam, porque a auditoria constrói-se sobre o papel antes da prática.

Como a SMARTFENSE ajuda a sustentar o componente humano da NIS2

Chegados a este ponto, a pergunta operacional é como se sustenta no tempo um programa que cobre todos estes requisitos sem esgotar a equipa de segurança. A plataforma SMARTFENSE foi pensada exatamente para este cenário e cobre os pontos que um auditor NIS2 vai pedir.

O multicatálogo de conteúdos permite atribuir módulos diferentes por função, idioma e nível de exposição, o que resolve a segmentação entre direção, técnicos, utilizadores e terceiros. Os conteúdos estão mapeados a enquadramentos normativos europeus relevantes, NIS2 incluída, e atualizam-se quando os reguladores publicam novas orientações. Para a formação específica do órgão de direção existe material diferenciado, que respeita o tom e o nível de profundidade que a direção precisa.

A essa segmentação juntam-se os programas automáticos, planos predefinidos pelos nossos especialistas que atribuem módulos, reforços e simulações conforme a função da pessoa, o seu nível de exposição e as normativas aplicáveis. A atribuição de conteúdos deixa de depender de folhas de cálculo manuais da equipa de segurança: o sistema reativa o plano quando muda o quadro de pessoal, quando entra um fornecedor com acesso ou quando o regulador publica uma nova orientação, e liga cada módulo ao enquadramento normativo a que responde. É a peça que reduz até setenta por cento o tempo de gestão sem perder rastreabilidade por utilizador.

O calendário de campanhas sustenta o carácter contínuo que a diretiva exige, alternando módulos principais, reforços breves, simulações de phishing e avaliações ao longo do ano. A rastreabilidade por utilizador é nativa, o que significa que quando o auditor pede a vista de uma pessoa concreta, a informação sai em segundos, não em semanas.

A SMARTFENSE é uma plataforma de sensibilização para a cibersegurança com presença consolidada na Europa e na América Latina, conteúdo nativo em português europeu, espanhol, italiano e inglês, e suporte para ambientes multicatálogo que os responsáveis pela conformidade de grupos multinacionais apreciam. Se a tua organização está a preparar a documentação para uma auditoria NIS2, vale a pena rever também a nossa página de conformidade normativa e o artigo sobre conformidade normativa como compromisso sustentado, onde aprofundamos como se encaixam os diferentes enquadramentos.

O fator humano como controlo auditável

A NIS2 acaba por consolidar uma ideia que o setor pedia há anos. O fator humano é um controlo de segurança, com tudo o que isso implica. Precisa de política aprovada, âmbito definido, conteúdos justificados, avaliação periódica, evidência individual e revisão pela direção. O que antes se resolvia com um curso anual e alguns emails de lembrete pede agora uma arquitetura. Para os responsáveis pela conformidade que há muito discutiam o orçamento do programa de sensibilização, a diretiva fecha a discussão por eles. Vale a pena aproveitar.

Share:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Post Tags :
Prev Post

Next Post

Imagem do avatar

Andrea Sona

Da anni nel settore informatico, Analista Informatica di professione, negli ultimi anni specializzata in cybersecurity awareness e formazione digitale, attualmente collaborando in SMARTFENSE. Con esperienza nel supportare aziende e organizzazioni nella diffusione della cultura della sicurezza informatica. Appassionata di innovazione e comunicazione tecnologica, contribuisce attivamente al dibattito sulla sicurezza digitale attraverso contenuti divulgativi.

Deixe um comentário

Pesquisa

Publicações recentes

Nuvem de etiquetas

cibersegurança ciso conteúdos entrenamiento formação e sensibilização hardening do utilizador mudança de comportamento módulos interativos ocultado de estadísticas phishing plano de sensibilização ransomware sensibilização smartfense whitelist

Blogue espanhol

No blogue espanhol, temos centenas de publicações para ler

Ir para o blogue espanhol