Modelo de Maturidade de Segurança Cibernética para Redes Inteligentes de Energia Elétrica

publicado

Smart Grid Cybersecurity Capability Maturity Model

No contexto de redes inteligentes de energia elétrica, Smart Grid, a segurança cibernética tem uma forte relevância. A análise do risco e as ações para mitigá-los determinam a confiabilidade do sistema. Para comparar diferentes redes e sistemas de energia é necessária a adoção de um modelo de referência com critérios padronizados.

A partir de uma iniciativa da Casa Branca americana, liderada pelo Departamento de Energia (DOE) em parceria com o Departamento de Segurança Nacional (DHS) e com a colaboração da indústria e especialistas do setor público e privado foi desenvolvido o Electricity Subsector Cybersecurity Capability Maturity Model (ES-C2M2).

O objetivo do modelo é apoiar o desenvolvimento e medir os níveis de segurança no setor elétrico através de quatro objetivos:

  1. Reforçar as medidas de segurança cibernética do setor de eletricidade;
  2. Permitir que os concessionários avaliem de forma eficaz e consistente suas ações de segurança e compará-las com outras empresas do setor;
  3. Compartilhar conhecimentos, melhorar as práticas e obter referências relevantes para melhorar a segurança cibernética;
  4. Permitir que as concessionárias priorizem suas ações e investimentos para melhorar a segurança cibernética.

A figura a seguir mostra uma abstração da topologia da rede do sistema elétrico. Através do modelo, a “função” é usada para descrever o conjunto de atividades que devem ser analisadas pelas concessionárias ou empresas que integram a rede de geração, transmissão, distribuição e mercados.

Abstração da topologia da rede do sistema elétrico

Arquitetura do Modelo

O modelo é organizado dentro de dez domínios e quatro indicadores de níveis de maturidade (MILs). A figura abaixo mostra a estrutura básica do modelo como uma matriz, os domínios como colunas e o MILs como linhas.

Arquitetura do modelo com os 10 domínios

Gestão de Risco (RISCO)

Estabelecer, operar e manter um programa de gerenciamento de riscos de segurança cibernética da empresa para identificar, analisar e mitigar os riscos da organização, incluindo o seu próprio negócio, sua infraestrutura e outras partes interessadas. O domínio RISCO compreende três objetivos:

  1. Estabelecer a estratégia de gestão de riscos de segurança cibernética
  2. Gerenciar os riscos de segurança cibernética
  3. Gerenciar as atividades de risco

Ativo, Mudança, Configuração e Gerenciamento (ATIVO)

Gerenciar as operações de tecnologia (OT) e tecnologia da informação (TI) dos ativos da organização (hardware e software) para compatibilizar os riscos da infraestrutura com os objetivos organizacionais. O domínio ATIVO é composto por quatro objetivos:

  1. Gerenciar o inventário de ativos
  2. Gerenciar a configuração dos ativos
  3. Gerenciar as mudanças nos ativos
  4. Gerenciar as atividades

Gerenciamento de Identidade e Acesso (ACESSO)

Criar e gerenciar as identidades das entidades que podem ter acesso físico ou lógico aos ativos da organização. O domínio ACESSO compreende três objetivos:

  1. Estabelecer e manter as identidades das entidades
  2. Controlar os acessos
  3. Gerenciar as atividades

Gerenciamento das ameaças e vulnerabilidades (AMEAÇA)

Estabelecer e manter planos, procedimentos e tecnologias para detectar, identificar, analisar, gerenciar e responder as ameaças e vulnerabilidades de segurança cibernética. O domínio AMEAÇA compreende três objetivos:

  1. Identificar e responder às ameaças
  2. Reduzir as vulnerabilidades de segurança cibernética
  3. Gerenciar as atividades

Consciência Situacional (SITUAÇÃO)

Estabelecer e manter atividades e tecnologias para coletar, analisar, detectar, usar o sistema de energia e as informações sobre segurança cibernética, incluindo a situação e as informações dos outros domínios do modelo, para formar um quadro operacional comum, compatível com o risco da infraestrutura crítica e objetivos organizacionais. O domínio SITUAÇÃO compreende quatro objetivos:

  1. Fazer o registro
  2. Monitorar as funções
  3. Estabelecer e manter um quadro operacional comum
  4. Gerenciar as atividades

Compartilhamento de Informações e Comunicações (COMPARTILHAMENTO)

Estabelecer e manter o relacionamento com entidades internas e externas para coletar e fornecer informações sobre segurança cibernética, incluindo as ameaças e vulnerabilidades, para reduzir os riscos e aumentar a resiliência operacional, compatível com o risco da infraestrutura crítica e os objetivos organizacionais. O domínio COMPARTILHAMENTO compreende dois objetivos:

  1. Compartilhar as informações de segurança cibernética
  2. Gerenciar as atividades

Evento e Resposta aos Incidentes, Continuidade de Operações (RESPOSTA)

Estabelecer e manter planos, procedimentos e tecnologias para detectar, analisar e

responder aos eventos de segurança cibernética para apoiar as operações ao longo de um evento de segurança cibernética, proporcional ao risco da infraestrutura crítica e dos objetivos organizacionais. O domínio RESPOSTA é composto por cinco objetivos:

  1. Detectar os eventos cibernéticos
  2. Escalar os eventos cibernéticos
  3. Responder aos eventos cibernéticos escalados
  4. Plano de Continuidade
  5. Gerenciar as atividades

Cadeia de fornecedores e gerenciamento das dependências externas (DEPENDÊNCIA)

Estabelecer e manter controles para gerenciar os riscos associados aos serviços de segurança cibernética e dos ativos que são dependentes de entidades externas, compatível com o risco da infraestrutura crítica e dos objetivos organizacionais. O domínio DEPENDÊNCIA compreende três objetivos:

  1. Identificar as dependências
  2. Gerenciar os riscos das dependências
  3. Gerenciar as atividades

Gerenciamento da força de trabalho (FORÇA DE TRABALHO)

Estabelecer e manter planos, procedimento, tecnologias e controles para criar uma cultura de segurança cibernética para assegurar a adequação permanente e competência do pessoal, proporcional ao risco da infraestrutura crítica e dos objetivos organizacionais. O domínio FORÇA DE TRABALHO compreende cinco objetivos:

  1. Atribuir responsabilidades à segurança cibernética
  2. Controlar o ciclo de vida da força de trabalho
  3. Desenvolver a força de trabalho
  4. Aumentar a consciência sobre segurança cibernética
  5. Gerenciar as atividades

Programa de Gestão de Segurança Cibernética (SEGURANÇA CIBERNÉTICA)

Estabelecer e manter um programa de segurança cibernética na empresa que forneça a governança, planejamento estratégico, e o patrocínio das atividades de segurança cibernética da organização de forma a alinha os objetivos de segurança cibernética com os objetivos estratégicos da organização e do risco da infraestrutura crítica. O domínio SEGURANÇA CIBERNÉTICA compreende cinco objetivos:

  1. Estabelecer estratégia do programa de segurança cibernética
  2. Eleger um patrocinador do programa de segurança cibernética
  3. Estabelecer e manter a arquitetura de segurança cibernética
  4. Desenvolver e utilizar um software seguro
  5. Gerenciar as atividades

O modelo define quatro indicadores de níveis de maturidade: MIL0, incompleto; MIL1, inicial; MIL2, implantado; e, MIL3, gerenciado. Os indicadores de níveis de maturidade são importantes para a ANEEL conhecer os riscos das infraestruturas das concessionárias e exigir iniciativas de mitigação. Para os investidores é importante conhecê-los para reduzir o risco dos seus investimentos.

Por Eduardo Fagundes

Eduardo Fagundes é fundador da nMentors. Engenheiro, professor, pesquisador e empreendedor. Como executivo (C-Level) desenvolveu projetos de tecnologia na Alemanha, Argentina, Estados Unidos, Índia, Inglaterra e Itália. No Brasil, lidera projetos complexos de tecnologia e sustentabilidade para os setores de engenharia, manufatura, serviços e energia. Atua como coordenador acadêmico em projetos educacionais avançados de capacitação profissional.