A NIS2 elevou a fasquia da cibersegurança em toda a Europa, e por boas razões. As ameaças são mais persistentes, mais sofisticadas e mais perturbadoras do que nunca, e os reguladores estão a responder exigindo controlos de segurança mais rigorosos, uma responsabilização mais clara e uma melhor visibilidade da forma como as organizações gerem o risco.

Em resposta, muitas organizações tomaram medidas conhecidas e sensatas. Investiram em novas ferramentas de segurança, reforçaram as suas defesas técnicas, aperfeiçoaram as políticas e aumentaram a comunicação dos riscos à direção. Tudo isto desempenha um papel importante na melhoria da postura de segurança. No entanto, a história mostra que estas medidas, por si só, não são suficientes.

Quando ocorrem violações, raramente começam com uma falha na tecnologia. Começam com uma decisão humana, muitas vezes tomada rapidamente, sob pressão, ou sem contexto suficiente para reconhecer o risco naquele momento. É aí que o sucesso ou o fracasso do NIS2 acabará por ser determinado.

NIS2 coloca as pessoas no centro das atenções

Um dos equívocos mais comuns em torno da NIS2 é que se trata principalmente de um regulamento técnico ou orientado para as TI. Embora inclua requisitos relativos a sistemas, monitorização, comunicação de incidentes e segurança da cadeia de fornecimento, o seu âmbito é muito mais vasto do que isso.

A NIS2 coloca uma ênfase clara na gestão dos riscos, na governação e na resiliência organizacional. Espera que as organizações compreendam onde estão os seus riscos reais, como esses riscos evoluem ao longo do tempo e se os controlos em vigor são verdadeiramente eficazes para os reduzir. Essa eficácia não se mede pelo número de ferramentas utilizadas ou pela abrangência de uma biblioteca de políticas no papel, mas sim pela forma como os riscos estão a ser geridos na prática.

A responsabilidade é também firmemente empurrada para cima. Espera-se que os quadros superiores aprovem as medidas de gestão do risco e supervisionem a sua eficácia contínua. Neste contexto, o comportamento humano torna-se impossível de ignorar. As decisões relativas ao acesso, ao tratamento de credenciais, à partilha de dados e às respostas sob pressão influenciam diretamente a capacidade de os controlos resistirem quando são testados.

A NIS2 não considera este aspeto como uma questão secundária ou menos importante. Trata o comportamento humano como uma componente central do risco organizacional.

A maioria das violações ainda começa com decisões quotidianas

Apesar dos anos de progresso na tecnologia de cibersegurança, as vias de violação mais comuns permanecem notavelmente consistentes. De acordo com o último Relatório de Investigações de Violação de Dados, cerca de 60% das violações envolvem um elemento humano, incluindo phishing, credenciais comprometidas e erros de rotina, o que realça o quanto o comportamento humano ainda influencia o risco.

Nesse mesmo relatório, as credenciais roubadas ou mal utilizadas foram o principal vetor de acesso inicial em cerca de 22% dos casos, tendo o phishing contribuído com cerca de 15%. Estes números sublinham o facto de muitos incidentes começarem não devido a uma falha nas ferramentas de segurança, mas devido a decisões diárias tomadas quando as pessoas estão ocupadas, distraídas ou sob pressão.

Estas situações não surgem porque os empregados são descuidados ou mal-intencionados. Surgem porque as pessoas estão a tentar fazer o seu trabalho em ambientes em rápida evolução, onde a conveniência, a urgência e as prioridades concorrentes moldam frequentemente o comportamento. Os atacantes compreendem muito bem esta dinâmica e é por isso que a engenharia social continua a ser uma tática tão eficaz.

De acordo com o Verizon Data Breach Investigations Report (DBIR), as técnicas de engenharia social estão envolvidas em quase três quartos das violações, o que faz com que seja uma das formas mais consistentemente bem sucedidas de os atacantes obterem acesso inicial, explorando a tomada de decisões humanas em vez de falhas técnicas.

A tecnologia é concebida em torno de processos definidos e entradas previsíveis, mas assume frequentemente que as pessoas se comportam de forma consistente, mesmo quando estão cansadas, sob pressão ou a trabalhar com informações incompletas. Do ponto de vista do NIS2, essa lacuna é importante. As entidades reguladoras não estão apenas interessadas em saber se os controlos existem, mas também se são suficientemente resistentes para suportar as condições do mundo real.

Se um controlo depende de um comportamento perfeito em circunstâncias imperfeitas, representa um risco que tem de ser compreendido e gerido.

Porque é que a política e a formação anual são insuficientes

A maioria das organizações pode demonstrar que tem políticas de segurança em vigor e que os empregados recebem formação regular de sensibilização. Durante muito tempo, isto foi considerado uma prova razoável de diligência.

Com o NIS2, essa hipótese torna-se mais difícil de defender.

As políticas descrevem como as coisas devem funcionar e a formação anual explica teoricamente o comportamento esperado. O que não mostram é a forma como as pessoas reagem quando confrontadas com cenários realistas que reflectem as pressões das suas funções diárias.

Do ponto de vista regulamentar, isto cria uma lacuna de visibilidade. As taxas de conclusão e os reconhecimentos de políticas demonstram atividade, mas não demonstram eficácia.

Dado que a NIS2 conduz a uma abordagem da conformidade mais baseada no risco e nos resultados, as organizações terão de demonstrar que os seus programas de sensibilização influenciam o comportamento de uma forma mensurável.

As provas de comportamento são mais importantes do que a assiduidade

Uma das mudanças mais significativas introduzidas pela NIS2 é o enfoque na gestão contínua dos riscos e não na conformidade pontual.

Quando se trata de risco humano, isso significa ser capaz de responder a questões práticas:

  • Onde é que os empregados têm mais dificuldades?
  • Que comportamentos introduzem os níveis mais elevados de risco?
  • Como é que esse risco varia entre funções, equipas ou locais?
  • Que provas existem de que as intervenções de aprendizagem estão a ter um impacto efetivo?

As provas comportamentais ajudam a responder a estas questões. Os dados de envolvimento, as respostas a cenários realistas e os padrões na tomada de decisões fornecem informações valiosas sobre a forma como as pessoas se comportam quando são confrontadas com situações importantes.

As métricas de assiduidade e de conclusão, por si só, não podem fornecer esse nível de garantia.

O compromisso não é algo agradável de se ter

O envolvimento na sensibilização para a segurança é frequentemente discutido em termos de participação ou conclusão, em vez do seu impacto na forma como as pessoas pensam e agem quando confrontadas com o risco.

Se os funcionários estiverem desmotivados, é muito menos provável que absorvam as orientações, reconheçam os sinais de aviso ou apliquem a aprendizagem quando é mais importante. Na perspetiva do NIS2, não se trata de uma questão de conceção da aprendizagem, mas sim de uma questão de gestão de riscos.

Os conteúdos interactivos e baseados em cenários desempenham aqui um papel importante porque reflectem a forma como as pessoas aprendem melhor.

Esta abordagem está estreitamente alinhada com as expectativas regulamentares em matéria de eficácia e melhoria contínua.

A tecnologia apoia a resiliência, as pessoas é que a determinam

Continuam a ser essenciais controlos técnicos rigorosos. Firewalls, ferramentas de monitorização, sistemas de identidade e capacidades de deteção desempenham um papel fundamental.

O que a NIS2 também exige é uma compreensão clara da forma como esses controlos interagem com o comportamento humano.

As organizações que abordam o NIS2 apenas como um projeto tecnológico correm o risco de o perder completamente.

Criar um alinhamento NIS2 defensável

medida que a aplicação da NIS2 se aproxima, as organizações serão cada vez mais solicitadas a demonstrar como gerem os riscos na prática.

O alinhamento defensável baseia-se em provas.

Porque, em última análise, a conformidade com a NIS2 não falhará por falta de uma ferramenta. Falhará quando o comportamento humano for tratado como uma reflexão tardia em vez de uma parte essencial da gestão de riscos.

Trabalha com o MetaCompliance

Para satisfazer as expectativas do NIS2 é necessário mais do que demonstrar que a formação foi ministrada.

A MetaCompliance ajuda as organizações a adotar uma abordagem prática e defensável da gestão dos riscos humanos.

Identificámos conteúdos de aprendizagem relevantes que podem ser utilizados para apoiar os requisitos de formação do NIS2.

Combinado com a abordagem de aprendizagem baseada no risco do MetaCompliance, as organizações ganham visibilidade sobre como as pessoas realmente se comportam.

À medida que a NIS2 impulsiona uma maior responsabilização e escrutínio, as organizações que podem mostrar claramente como preparam as pessoas estarão em melhor posição para satisfazer tanto as expectativas regulamentares como as ameaças do mundo real.

Entra em contacto hoje para saberes como o MetaCompliance pode apoiar a tua estratégia de formação NIS2.

Perguntas frequentes sobre a conformidade com o NIS2

O que é a conformidade com o NIS2?

A conformidade com a NIS2 refere-se ao cumprimento dos requisitos da Diretiva NIS2 da UE, que reforça a cibersegurança, a gestão de riscos e a responsabilidade das organizações essenciais e importantes em toda a Europa.