PÁGINA INICIAL DO BLOG

  • Linhas de energia elétrica com lindos céus rosa destacando o setor de energia e serviços públicos

20 de Setembro de 2023

De acordo com o eBook da Digibee Corporação Norte-Americana de Confiabilidade Elétrica (NERC), os padrões CIP representaram sete dos dez padrões de risco sério e moderado mais frequentemente violados em 2022.

As três normas com mais violações foram CIP-007, CIP-010 e CIP-004, totalizando 200 violações. Cada uma dessas normas contém milhares de oportunidades para perder um evento ou documento relacionado à conformidade.

Além disso, para cada requisito, existem centenas de oportunidades semelhantes. Isso ocorre principalmente quando as concessionárias utilizam processos de rastreamento baseados em planilhas. Neste artigo, detalhamos alguns dos desafios mais comuns com esses padrões CIP comumente violados. Além disso, discutimos como a automação pode ajudar as concessionárias a reduzir riscos.

Leia um livro gratuito estudo de caso para aprender como uma concessionária automatizou os processos de conformidade da NERC

CIP-007: Segurança Cibernética – Gestão de Segurança de Sistemas

A não conformidade com a CIP-007 representou a maior parte dos registros de não conformidade da NERC de risco grave e moderado — 108 no total — em 2022. Esta norma exige que você inventariie, controle, monitore e mantenha atualizados diversos aspectos de todos os seus ativos dentro do escopo. Isso inclui portas e serviços, patches de segurança, detecção de código malicioso, eventos de segurança e acesso ao sistema. Considerando que você pode ter dezenas, centenas ou até milhares desses itens, para cada ativo, a quantidade de dados para rastrear e reagir é impressionante. Um volume tão alto de dados e qualquer manuseio manual deles aumentam o risco de não conformidade.

Uma série de desafios relacionados ao rastreamento manual contribuem para o alto número de não conformidades relatadas para este padrão, incluindo:

  • A falta de escalonamentos e lembretes aumenta o risco de perda de datas de conformidade, por exemplo, a janela de 35 dias para avaliação de patches ou a janela de 15 dias para revisar logs de eventos de segurança.
  • A validação descentralizada e as evidências de implementação dificultam o rastreamento, a duplicação ou até mesmo a triplicação do esforço necessário para certificações anuais ou software auditor preparação.
  • Os controles manuais para avaliação, aprovação, instalação e mitigação de patches são propensos a erros e difíceis de comprovar, especialmente devido ao grande número de patches que as concessionárias devem documentar.

Um sistema automatizado Sistema de gestão de conformidade NERC simplifica esses processos com a capacidade de:

  • Importe linhas de base diárias para a plataforma e catalogue-as automaticamente por meio da integração de API com uma ferramenta de linha de base para economizar tempo na coleta de evidências
  • Use fluxos de trabalho iniciados por tempo para lembrar as PMEs de avaliar os patches de segurança, com escalonamentos automatizados para prazos próximos, atuando como uma proteção contra falhas para o sistema.
  • Fornecer evidências relacionadas ao patch, como data de avaliação do patch, aprovações, planos de mitigação e assinaturas digitais

Essas funções eliminam grande parte dos erros humanos que contribuem para as violações de conformidade da NERC. Elas permitem que as concessionárias forneçam evidências concisas e de fácil acesso aos auditores. Isso também economiza um tempo significativo no processo. As PMEs podem então se concentrar em atividades de nível superior. A automação do gerenciamento de patches, por exemplo, economiza até duas horas por mês por ativo.

CIP-010: Segurança Cibernética – Gestão de Mudanças de Configuração e Avaliações de Vulnerabilidades

A CIP-010 foi responsável por 55 dos registros de não conformidade graves e moderadas da NERC em 2022. Esta norma se concentra na prevenção de alterações não autorizadas no ambiente, inclusive por meio de ativos cibernéticos transitórios (TCAs) e mídias removíveis. Novamente, um grande número de violações pode ser rastreado até processos manuais de rastreamento. Esses processos criam obstáculos à conformidade de diversas maneiras:

  • O rastreamento baseado em planilhas não fornece um mecanismo para alertar as equipes sobre alterações não autorizadas no ambiente.
  • Evidências descentralizadas ao redor mudar a gestão complica o processo de mudança e limita a eficácia dos controles internos.
  • Autorizações e escalonamentos são difíceis de rastrear manualmente e podem levar à perda de datas de conformidade.
  • A documentação de identidade e integridade de todos os softwares, um novo requisito a partir de 2020, pode facilmente passar despercebida.

O software de gerenciamento de conformidade da NERC aborda esses desafios, fornecendo um processo de gerenciamento de mudanças integrado com:

  • Escalonamentos automáticos, coleta de evidências e marcação para controles CIP-005 e CIP-007
  • A capacidade de otimizar os testes de identidade de software, validação de integridade e coleta de evidências em ambientes de teste e produção
  • Avaliações de vulnerabilidade iniciadas no tempo, fluxos de trabalho e coleta automatizada de evidências, garantindo que sejam realizadas no prazo
  • Fluxos de trabalho automatizados para rastrear todos os dados, toda a documentação e quaisquer aprovações necessárias no processo de mudança de ativos

Esta última parte é especialmente importante, já que muitas concessionárias têm dificuldades para acompanhar todas as mudanças de configuração em seus ambientes distribuídos e variados.

CIP-004: Segurança Cibernética – Pessoal e Treinamento

Em 2022, as entidades registraram 37 casos de não conformidade de risco grave e moderado sob a CIP-004. Nesse caso, muitas concessionárias de serviços públicos têm dificuldade para garantir que diversos pré-requisitos sejam atendidos antes da concessão de acesso ao sistema, bem como para atender aos requisitos temporais para revogação do acesso.

Áreas frequentemente esquecidas antes de conceder acesso aos funcionários são garantir a conclusão de verificações de antecedentes, avaliações de risco de pessoal e treinamento de conscientização sobre segurança cibernética.

A CIP-004 também possui requisitos rigorosos com base em tempo para a revogação de acesso. Isso inclui a revogação de certos tipos de acesso dentro de 24 horas após o término. Novamente, um desafio crítico é o fato de o rastreamento manual ser descentralizado. Isso dificulta a coleta de evidências e aprovações quando o acesso é concedido ou revogado. Além disso, a falta de escalonamentos significa que os prazos de conformidade para a CIP-004 R.5 podem ser perdidos.

A automatização do processo de gerenciamento de acesso resolve esses problemas, impedindo o acesso caso os pré-requisitos não sejam atendidos. Em outras palavras, o sistema não permitirá que o fluxo de trabalho prossiga até que as evidências do cumprimento do requisito estejam disponíveis. As PMEs recebem lembretes sobre datas e atividades de conformidade. Além disso, notificações são encaminhadas à gerência caso essas atividades não sejam concluídas. A integração com softwares de terceiros automatiza a coleta e a marcação de evidências relacionadas à concessão e revogação de acesso.

Em suma, essas funções reduzem drasticamente o tempo necessário para coletar evidências. Elas também fornecem um sistema único de registro para todas as evidências relacionadas à conformidade, fluxos de trabalho e tíquetes de alteração de acesso.

Conclusão

Atividades repetitivas de conformidade que envolvem rastreamento em planilhas são propícias a erros humanos. Com centenas — ou até milhares — de oportunidades para tarefas de conformidade caírem no esquecimento, as concessionárias de serviços públicos precisam de um sistema melhor para se manterem em dia com as obrigações da NERC.

Um sistema automatizado de gestão de conformidade NERC padroniza a coleta de evidências para minimizar lacunas de conformidade, com escalonamentos e lembretes periódicos que proporcionam uma proteção adicional para garantir que as organizações atendam aos requisitos. Em última análise, isso também significa que as PMEs podem dedicar mais tempo ao monitoramento de controles internos e à validação de que as evidências atendem aos objetivos de segurança — a própria essência da conformidade.

Baixe um e-book gratuito em Seleção e implementação de software automatizado de gerenciamento de conformidade NERC

Sobre o autor

Kathryn Wagner Kathryn é Vice-Presidente de Soluções Industriais, Energia e Serviços Públicos da AssurX. Kathryn traz mais de 25 anos de experiência em integração e conformidade de sistemas de manufatura. Ela é responsável pelo desenvolvimento e evolução de ofertas de produtos para conformidade com a NERC. Esses sistemas focam em confiabilidade e resiliência.