Guillem Alsina Gonzàlez
A Agência da União Europeia para a Cibersegurança (ENISA) elaborou um manual de segurança desde a conceção e por defeito destinado às pequenas e médias empresas, um documento que se encontra atualmente em fase de rascunho para consulta pública, e que tem como objetivo facilitar a integração de medidas de proteção desde as fases iniciais do desenvolvimento de um produto tecnológico.
Esta publicação foi concebida tendo em conta as limitações habituais das organizações de pequena dimensão, que enfrentam frequentemente orçamentos reduzidos, prazos exigentes e uma falta de pessoal técnico altamente especializado na matéria.
Este documento fornece soluções práticas aplicáveis ao longo de todo o ciclo de vida do produto tecnológico, desde a sua conceção até à sua retirada; em vez de se centrar exclusivamente em abstrações teóricas, estrutura as atividades de gestão de riscos e modelação de ameaças como passos fundamentais para identificar ativos, definir limites de confiança e estabelecer medidas de mitigação antes de iniciar a programação. Esta abordagem contínua abrange a definição de requisitos, a arquitetura, o desenvolvimento, os testes, a implementação, a manutenção e a eliminação segura dos sistemas informáticos.
O guia distingue a segurança desde a conceção, centrada na arquitetura e na manutenção do sistema, da segurança por defeito, que garante uma configuração inicial restritiva. Por um lado, a segurança desde a conceção divide-se nos fundamentos arquitetónicos, que determinam como os dados fluem e como os componentes interagem para dificultar um ataque, e na integridade operacional, que abrange os procedimentos humanos e técnicos para manter o sistema protegido.
Por outro lado, a segurança por defeito visa que o produto seja entregue ao utilizador final com as configurações mais seguras ativadas automaticamente. Esta vertente subdivide-se, por sua vez, no reforço por defeito, que elimina funções desnecessárias, e na proteção guiada, que auxilia o utilizador a evitar configurações erradas durante a utilização diária.
O texto publicado pela ENISA inclui vinte e duas orientações de ação específicas e associa estas práticas aos requisitos da Lei Europeia de Ciber-resiliência. Para transpor estes conceitos teóricos para a engenharia, a agência redigiu uma série de documentos operacionais ou táticos que detalham o objetivo de cada princípio de segurança, as ações concretas a realizar e as evidências mínimas necessárias para demonstrar a sua conformidade nos processos de revisão.
A adoção sistemática destas metodologias serve de base técnica para que as organizações possam orientar-se nas exigências da futura legislação comunitária, uma vez que incorporam uma correspondência direta entre os princípios propostos e os requisitos essenciais de cibersegurança exigidos por essa lei.
Por fim, o documento propõe a utilização de declarações de segurança legíveis por sistemas informáticos para automatizar as auditorias e garantir a conformidade regulamentar na cadeia de abastecimento. O guia aprofunda a modernização da documentação técnica através da utilização de formatos estruturados que permitem aos sistemas informáticos verificar automaticamente se um produto cumpre os controlos de segurança estabelecidos.
Esta capacidade, exemplificada por um modelo de manifesto de segurança, revela-se especialmente valiosa para equipas de desenvolvimento reduzidas, uma vez que diminui a necessidade de realizar revisões manuais constantes, garante que as propriedades de proteção se mantêm atualizadas de forma transparente e facilita a avaliação de riscos face a componentes de terceiros.
A partir de agora e até ao próximo dia 15 de maio, a União Europeia mantém aberto um processo de consulta pública no qual os responsáveis das PME são convidados a dar a sua opinião sobre o projeto. Com as suas contribuições, este poderá ser alterado para se adaptar aos requisitos das pequenas e médias empresas da União.
