Smart Grid Cybersecurity Capability Maturity Model
No contexto de redes inteligentes de energia elétrica, Smart Grid, a segurança cibernética tem uma forte relevância. A análise do risco e as ações para mitigá-los determinam a confiabilidade do sistema. Para comparar diferentes redes e sistemas de energia é necessária a adoção de um modelo de referência com critérios padronizados.
A partir de uma iniciativa da Casa Branca americana, liderada pelo Departamento de Energia (DOE) em parceria com o Departamento de Segurança Nacional (DHS) e com a colaboração da indústria e especialistas do setor público e privado foi desenvolvido o Electricity Subsector Cybersecurity Capability Maturity Model (ES-C2M2).
O objetivo do modelo é apoiar o desenvolvimento e medir os níveis de segurança no setor elétrico através de quatro objetivos:
- Reforçar as medidas de segurança cibernética do setor de eletricidade;
- Permitir que os concessionários avaliem de forma eficaz e consistente suas ações de segurança e compará-las com outras empresas do setor;
- Compartilhar conhecimentos, melhorar as práticas e obter referências relevantes para melhorar a segurança cibernética;
- Permitir que as concessionárias priorizem suas ações e investimentos para melhorar a segurança cibernética.
A figura a seguir mostra uma abstração da topologia da rede do sistema elétrico. Através do modelo, a “função” é usada para descrever o conjunto de atividades que devem ser analisadas pelas concessionárias ou empresas que integram a rede de geração, transmissão, distribuição e mercados.
Arquitetura do Modelo
O modelo é organizado dentro de dez domínios e quatro indicadores de níveis de maturidade (MILs). A figura abaixo mostra a estrutura básica do modelo como uma matriz, os domínios como colunas e o MILs como linhas.
Gestão de Risco (RISCO)
Estabelecer, operar e manter um programa de gerenciamento de riscos de segurança cibernética da empresa para identificar, analisar e mitigar os riscos da organização, incluindo o seu próprio negócio, sua infraestrutura e outras partes interessadas. O domínio RISCO compreende três objetivos:
- Estabelecer a estratégia de gestão de riscos de segurança cibernética
- Gerenciar os riscos de segurança cibernética
- Gerenciar as atividades de risco
Ativo, Mudança, Configuração e Gerenciamento (ATIVO)
Gerenciar as operações de tecnologia (OT) e tecnologia da informação (TI) dos ativos da organização (hardware e software) para compatibilizar os riscos da infraestrutura com os objetivos organizacionais. O domínio ATIVO é composto por quatro objetivos:
- Gerenciar o inventário de ativos
- Gerenciar a configuração dos ativos
- Gerenciar as mudanças nos ativos
- Gerenciar as atividades
Gerenciamento de Identidade e Acesso (ACESSO)
Criar e gerenciar as identidades das entidades que podem ter acesso físico ou lógico aos ativos da organização. O domínio ACESSO compreende três objetivos:
- Estabelecer e manter as identidades das entidades
- Controlar os acessos
- Gerenciar as atividades
Gerenciamento das ameaças e vulnerabilidades (AMEAÇA)
Estabelecer e manter planos, procedimentos e tecnologias para detectar, identificar, analisar, gerenciar e responder as ameaças e vulnerabilidades de segurança cibernética. O domínio AMEAÇA compreende três objetivos:
- Identificar e responder às ameaças
- Reduzir as vulnerabilidades de segurança cibernética
- Gerenciar as atividades
Consciência Situacional (SITUAÇÃO)
Estabelecer e manter atividades e tecnologias para coletar, analisar, detectar, usar o sistema de energia e as informações sobre segurança cibernética, incluindo a situação e as informações dos outros domínios do modelo, para formar um quadro operacional comum, compatível com o risco da infraestrutura crítica e objetivos organizacionais. O domínio SITUAÇÃO compreende quatro objetivos:
- Fazer o registro
- Monitorar as funções
- Estabelecer e manter um quadro operacional comum
- Gerenciar as atividades
Compartilhamento de Informações e Comunicações (COMPARTILHAMENTO)
Estabelecer e manter o relacionamento com entidades internas e externas para coletar e fornecer informações sobre segurança cibernética, incluindo as ameaças e vulnerabilidades, para reduzir os riscos e aumentar a resiliência operacional, compatível com o risco da infraestrutura crítica e os objetivos organizacionais. O domínio COMPARTILHAMENTO compreende dois objetivos:
- Compartilhar as informações de segurança cibernética
- Gerenciar as atividades
Evento e Resposta aos Incidentes, Continuidade de Operações (RESPOSTA)
Estabelecer e manter planos, procedimentos e tecnologias para detectar, analisar e
responder aos eventos de segurança cibernética para apoiar as operações ao longo de um evento de segurança cibernética, proporcional ao risco da infraestrutura crítica e dos objetivos organizacionais. O domínio RESPOSTA é composto por cinco objetivos:
- Detectar os eventos cibernéticos
- Escalar os eventos cibernéticos
- Responder aos eventos cibernéticos escalados
- Plano de Continuidade
- Gerenciar as atividades
Cadeia de fornecedores e gerenciamento das dependências externas (DEPENDÊNCIA)
Estabelecer e manter controles para gerenciar os riscos associados aos serviços de segurança cibernética e dos ativos que são dependentes de entidades externas, compatível com o risco da infraestrutura crítica e dos objetivos organizacionais. O domínio DEPENDÊNCIA compreende três objetivos:
- Identificar as dependências
- Gerenciar os riscos das dependências
- Gerenciar as atividades
Gerenciamento da força de trabalho (FORÇA DE TRABALHO)
Estabelecer e manter planos, procedimento, tecnologias e controles para criar uma cultura de segurança cibernética para assegurar a adequação permanente e competência do pessoal, proporcional ao risco da infraestrutura crítica e dos objetivos organizacionais. O domínio FORÇA DE TRABALHO compreende cinco objetivos:
- Atribuir responsabilidades à segurança cibernética
- Controlar o ciclo de vida da força de trabalho
- Desenvolver a força de trabalho
- Aumentar a consciência sobre segurança cibernética
- Gerenciar as atividades
Programa de Gestão de Segurança Cibernética (SEGURANÇA CIBERNÉTICA)
Estabelecer e manter um programa de segurança cibernética na empresa que forneça a governança, planejamento estratégico, e o patrocínio das atividades de segurança cibernética da organização de forma a alinha os objetivos de segurança cibernética com os objetivos estratégicos da organização e do risco da infraestrutura crítica. O domínio SEGURANÇA CIBERNÉTICA compreende cinco objetivos:
- Estabelecer estratégia do programa de segurança cibernética
- Eleger um patrocinador do programa de segurança cibernética
- Estabelecer e manter a arquitetura de segurança cibernética
- Desenvolver e utilizar um software seguro
- Gerenciar as atividades
O modelo define quatro indicadores de níveis de maturidade: MIL0, incompleto; MIL1, inicial; MIL2, implantado; e, MIL3, gerenciado. Os indicadores de níveis de maturidade são importantes para a ANEEL conhecer os riscos das infraestruturas das concessionárias e exigir iniciativas de mitigação. Para os investidores é importante conhecê-los para reduzir o risco dos seus investimentos.