Continuidade para OT (Operational Technology): necessidade, conformidade e sustentabilidade!
Com o avanço da tecnologia, âmbito de cobertura do ambiente de OT aumentou
O ambiente de TO (‘Tecnologia Operacional’, ou Operational Technology, no inglês) até poucos anos se restringia aos ambientes de máquinas industriais. Uma indisponibilidade de recursos acarretava impacto negativo em um escopo limitado de recursos.
Com o avanço da tecnologia, gerando componentes mais sofisticados e mais potentes, o âmbito de cobertura aumentou dentro da própria indústria, mas também afetou outros segmentos como o agronegócio, cidades inteligentes, internet das coisas (IoT), recursos de saúde (equipamentos exames, marca passo, cirurgia robótica), varejo, logística e muitos outros. Enfim, a Tecnologia Operacional está em praticamente tudo que nos cerca.
Este crescimento em alta velocidade de tecnologia e o escopo de cobertura, exige que a Tecnologia Operacional tenha uma estrutura de controle semelhante as estruturas de controle do ambiente TI. Semelhante, mas não igual.
Em se tratando de ambientes industriais e de serviços tipo centrais elétricas, distribuição de água, portos, aeroportos, controles de imigração e muitos outros, estamos tratando de infraestrutura crítica para um Estado Nação, junto com a iniciativa privada. Neste aspecto, a legislação de cada país pode ter requisitos de continuidade específicos. Defino estes controles como Direcionadores Obrigatórios. Normalmente são leis e/ou regulamentos setoriais.
Lembramos ainda que a interação da TI com a TO aumentou o risco do ambiente de Tecnologia Operacional, pois a periferia de ataque criminoso, que acontece no ambiente de TI, pode ser uma porta de entrada para o ambiente de TO.
Mas, voltando ao foco de continuidade em ambiente de TO, este controle é um elemento exigido em diversas estruturas (frameworks) de desenvolvimento de proteção do ambiente de Tecnologia Operacional.
A ISA (International Society of Automation), no seu conjunto de Normas ISA-62443, define o Plano de Continuidade de Negócio como um dos seus elementos do Cyber Security Management System.
O NIST (National Institute of Standards and Technology), no seu documento ‘Framework for Improving Critical Infrastructure Cybersecurity‘, define recovery como uma das cinco funções para a proteção da infraestrutura crítica.
Um plano de continuidade para um ambiente de OT deve seguir a mesma estruturas e etapas de um plano de continuidade para um ambiente de TI. Isso porque as metodologias diversas consideram a recuperação de recursos de um ambiente. Evidentemente precisamos ter sabedoria e conhecimento profissional para adotar os controles da metodologia que se façam necessários. E sempre seguir a filosofia fast track. Isto é: faça o essencial e faça bem-feito.
Relembrando as principais etapas de um plano de continuidade:
- Escopo e cenário: o que é considerado e qual a condição dos recursos envolvidos.
- Análise do Impacto Operacional para o Negócio: definição da ordem de prioridade e tempo máximo para a recuperação dos recursos.
- Seleção de estratégia: definição da solução alternativa para recurso ou conjunto de recursos.
- Estruturação e construção do plano: elaboração das equipes, fluxo, atividades, responsabilidades e documentação.
- Planejamento e realização de testes: preparação, autorização, estruturação, execução e avaliação de testes.
- Manutenção do plano: planejamento e regras para a atualização periódica e atualização pontual.
Conclusão
Existem outras estruturas, mas todas que têm uma abordagem de um projeto completo de continuidade para ambiente OT, consideram a continuidade e sustentação do ambiente e dos recursos envolvidos. Tire o melhor proveito de cada uma delas destas orientações, as quais eu defino como Direcionadores Estruturais. Eles não são dogmas (verdade absoluta, sem questionamentos). Muito pelo contrário, são direcionadores para uma navegação efetiva (eficiente e eficaz) para a existência do plano de continuidade para o ambiente de OT.
O plano de continuidade para o ambiente de Tecnologia Operacional não é simples e não comporta solução padrão. Cada situação, cada tipo de negócio, cada organização e cada momento da organização exigem um plano específico. Feito exclusivamente para a organização naquele momento, considerando o escopo e cenários definidos. E considerando os Direcionadores Estruturais e os Direcionadores Obrigatórios que devem ser considerados.
Para a sua elaboração, desenvolvimento e implementação é necessário que seja executado por profissional ou profissionais com experiência em continuidade de negócio, gestão de riscos e proteção da informação.
Outra questão importante é que os Conselhos de Administração das organizações, em função de legislação cada vez mais rígida, devem ser informados sobre incidentes envolvendo recursos de tecnologia e/ou operacionais. E tenho certeza que a não existência de planos de continuidade para o ambiente de Tecnologia da Informação e para o ambiente de Tecnologia Operacional, será tomada como uma negligência organizacional do corpo diretivo da organização. Incompatível com o quarto princípio da Governança Corporativa:
=> Continuidade Corporativa: sustentabilidade da organização.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
