Titulo Estágio
Análise de diretiva NIS2 e preparação da sua implementação
Local do Estágio
Leirosa
Enquadramento
O NIS consiste numa diretiva que tem como objetivo, o desenvolvimento dos níveis de seguranças de infraestruturas na União Europeia. O NIS 2 pretende representar uma atualização e reforço desta diretiva e respetivas recomendações. De forma a reforçar os trabalhos que têm vindo a ser desenvolvidos na área de Cibersegurança na empresa, estes focados não só em aplicação de procedimentos e medidas mas também na implementação de ferramentas, pretende-se um estudo e inclusão do NIS 2 no plano de trabalhos que se encontra em desenvolvimento.
Objetivo
O objetivo deste trabalho consiste no estudo e análise da diretiva NIS 2, de forma a identificar as atualizações e recomendações trazidas por esta e de que formas as mesmas poderão impactar/envolver a empresa. Após este levantamento, pretende-se identificar pontos e áreas de melhoria ou reforço dentro dos processos e procedimentos desenvolvidos ou em desenvolvimento pela empresa, na área de cibersegurança.
Para tal, são identificáveis os seguintes objetivos:
• Análise e estudo da diretiva NIS 2 para identificação de atualizações e mudanças, tendo em vista a sua aplicabilidade na empresa.
• Obtida a informação do ponto anterior, identificar os procedimentos e processos já aplicados na empresa, de que formas estes se enquadram dentro das recomendações da NIS 2.
• Construção de frameworks/artefactos que auxiliem os trabalhos e processos internos da adaptação e implementação das novas recomendações. Será dada mais enfâse aos pontos onde for detetado necessidade de mais desenvolvimento, ou onde haja espaço para mais melhorias. Estes pontos poderão abordar:
o Políticas de análise dos riscos e de segurança dos sistemas de informação;
o Tratamento de incidentes;
o Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises;
o Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;
o Segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação, incluindo o tratamento e a divulgação de vulnerabilidades;
o Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
o Práticas básicas de ciber-higiene e formação em cibersegurança;
o Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem;
o Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;
o Utilização de soluções de autenticação multifatores ou de autenticação contínua, comunicações seguras de voz, vídeo e texto e sistemas seguros de comunicações de emergência no seio da entidade, se for caso disso.
Plano de Trabalhos - Semestre 1
Nesta primeira parte irá decorrer a análise da diretiva. Durante o estudo da mesma, deverão ser identificados e mapeados as recomendações no enquadramento da empresa. Mais do que o mapeamento de recomendações da diretiva, pretende-se clarificação dos métodos e abordagens a ter em vista.
Concluída o estudo da NIS 2, a segunda parte consistirá em analisar o mapeamento feito e comparar este com os trabalhos efetuados ou me desenvolvimento na empresa. Através de reuniões e apresentação do mapeamento da NIS 2, o objetivo será identificar quais os pontos e áreas que necessitaram de mais atenção e desenvolvimento e/ou quais as áreas que tem margem para melhorias. Esta etapa é essencialmente um levantamento para avaliar o que será introduzido de novo e em que nível de segurança se encontra a empresa face a estas alterações.
Output: Análise à NIS 2 orientada ao impacto das medidas desta no contexto da empresa. Será produzido um relatório onde serão apresentadas e documentadas as conclusões da referida análise, assim como a identificação e mapeamento dos futuros pontos a desenvolver na empresa. O produto final deverá facilitar a compreensão dos aspetos relevante do NIS 2 para esta e constituir uma primeira avaliação e mapeamento de trabalho a desenvolver.
Plano de Trabalhos - Semestre 2
Tendo a análise e levantamento sido feitos na etapa anterior, pretende-se aqui selecionar as áreas que requererão mais esforço (este selecionado com base no impacto e possível urgência), ou que tenham sido identificadas com maior potencial para melhorias. Uma vez identificadas, proceder-se-á à criação de artefactos e planos que, não revelando informação concreta da infraestrutura e funcionamento interno da empresa, servirão como guia auxiliar no planeamento e aplicação posterior de medidas e soluções concretas.
Output: Conjunto de documentação constituída por elementos como artefactos, planos, frameworks, etc, que auxiliem o planeamento e atuem como estrutura base para a implementação de medidas concretas que permitam à empresa alcançar uma maior conformidade com a NIS 2. No primeiro Semestre é feito um levantamento de requisitos e do ponto de situação da empresa fase a estes. Nesta fase será complementada essa análise, introduzindo modelos de medidas e práticas que auxiliem o planeamento e implementação de soluções.
Condições
Acesso à documentação necessária (políticas e procedimentos) e à tecnologia utilizada na área da segurança e cibersegurança da empresa.
Observações
As frameworks e artefactos desenvolvidos no decorrer deste estágio não deverão refletir ou reportar medidas concretas que revelem detalhes ou informações da estrutura interna e de segurança da empresa. Estas serão guias de futuros trabalhos, não devendo consistir em relatórios descritivos de implementações concretas.
Orientador
Miguel Coelho
miguel.coelho@altri.pt 📩