EDP vai ter mapa dos riscos de TI

Projecto visa incluir as TI na estratégia de gestão de risco do grupo.

Paulo Moniz

A EDP conta ter concluído, ainda este ano, o primeiro mapa global dos riscos de TI para o Grupo.

O risco das tecnologias de informação (TI) nunca esteve ausente da visão e das decisões de TI, mas também não tem estado formalmente integrado nem existe ainda uma visão estruturada, com um levantamento e mapeamento detalhado desses riscos, e menos ainda em articulação com as diferentes unidades de negócio do grupo. Esta situação está em vias de ser alterada até final do corrente ano, previsivelmente no último trimestre, adiantou Paulo Moniz, director de Segurança e Risco TI da Direcção de Sistemas de Informação da EDP, no recente seminário “Cyber Risks”.

Segundo este responsável, ao concretizar o mapa dos riscos de TI, que impactam os processos de negócio, vão ser criadas as condições para a tomada de decisão mais informada, quer no contexto das TI, quer no contexto do negócio. Vai também potenciar o desenho de políticas com orientações, regras e procedimentos que permitam responder de forma mais eficaz aos desafios colocados pelo novo contexto de ameaças decorrentes das evoluções tecnológicas e da forma de trabalhar das organizações, cada vez mais assente nas tecnologias de informação.

“Estamos a criar uma ideia mais estruturada do ciber-risco. Será um grande salto em termos de segurança para a EDP”, diz. Mas admite que a gestão do risco de TI implicará um trabalho contínuo e dedicado dos donos de risco para que não aconteça a situação de ter um ‘dashboard’ que não seja actualizado com a regularidade desejável e quando se justificar”.

A necessidade de avançar com este projeto, que arrancou no início de 2015, “prende-se com o facto de já termos implementado um vasto ‘roadmap’ de medidas de segurança e pretendermos agora estruturar o risco de TI e em concreto de segurança de informação”, explica Paulo Moniz.

Um novo contexto
Paulo Moniz falou também do novo contexto tecnológico e os seus impactos na organização, políticas e estratégias de segurança de TI num grupo como a EDP.

O responsável salientou o facto de que, actualmente, nas empresas de energia com o perfil da EDP, os sistemas das infra-estruturas críticas de produção e distribuição de energia começam a estar cada vez mais interligados aos sistemas de negócio da organização, quer por razões de melhoria de prestação de serviço ao cliente, como para ajudar e melhorar o próprio processo de inovação da área de negócio – comercial e marketing – e no desenvolvimento de novos produtos e serviços.

“Até há bem pouco tempo, os sistemas e as redes da infra-estrutura crítica não só estavam logicamente separados dos sistemas corporativos de suporte ao negócio, utilizando diferentes protocolos, como nem sequer ‘falavam’ entre eles. Hoje isso já não acontece, e a tendência é estarem cada vez mais ligados e indiferenciados entre si, com a penetração da Internet of Things (IoT). Tudo isto introduz mais risco e insegurança. Podemos dizer que a segurança por obscuridade morreu”.

Por outro lado, nos últimos anos, temos vindo a assistir ao que Paulo Moniz denominou de “IT aberto”, em que desaparece a ideia de defesa de perímetro, um mundo que casa a emergência de mais acessíveis e melhores TIC, como os novos paradigmas da cloud, Big Data, mobilidade, BYOD e a proliferação de aplicações, com estratégias de negócio com vista a racionalização de custos e aumento de eficiência, como a adopção de políticas de contratação de multifornecedor ou a forte contratação de recursos externos.

Esta nova realidade traz mais complexidade ao cenário, envolvendo mais pessoas, novos processos e procedimentos, o que potencia uma maior probabilidade para ocorrerem fugas de informação ou o surgimento de vulnerabilidades por má configuração de hardware ou software – um novo mundo muito rápido com muitos novos pontos de acesso e de contacto com o exterior da organização e o seu interior, mais complexo em dimensão e profundidade, logo mais vulnerável.

“Continuamos a falar de tecnologias, de processos e pessoas. Só que vivemos cada vez mais num mundo do IT aberto, o que significa mais complexidade, logo mais vulnerabilidades e riscos e maior insegurança”, afirma.

Tendo em conta esta nova realidade “provocada” ou permitida pela tecnologia, muito do risco de TI da EDP tende a tornar-se cada vez mais relevante e a confundir-se com o próprio risco do negócio, sendo que com a emergência e consolidação dos novos paradigmas tecnológicos, como a IoT, a diferença será cada vez menor.

Minimizar o risco
Como se combate este novo quadro? Minimizando o risco, através de uma nova “governance”, que “é essencial para gerir e criar novas políticas, normas, procedimentos e requisitos ajustados a este novo quadro”, refere, enquanto “a ‘governance’ está no centro da política de segurança e informação e é central na sua gestão”. Passará também pela criação de uma cultura de segurança, apostando em acções de “awareness”, comunicação e formação, e a identificação clara do valor e do que se pretende proteger, pois será impossível aplicar por igual as mesmas medidas de defesa a todos os recursos”.

Operacionalmente, é importante contemplar mecanismos para a gestão da identidade de acessos e alguns sistemas de inteligência que permitem a constante vigilância da segurança, ao cruzarem informação sobre “logs” de utilização e alertam para eventos fora do padrão.


Tags


Deixe um comentário

O seu email não será publicado