Há dez ou vinte anos, você não teria ouvido o termo “trabalhar em casa”, mas agora a maioria das empresas em todo o mundo inclui o trabalho remoto como cultura.
Sim, de certa forma, está fazendo um favor. Mas onde há um yin, haverá um yang, certo?
A ascensão da tecnologia traz alguns problemas sérios, como a segurança dos ativos críticos para essa tecnologia. Sem abordar esta questão, provavelmente podemos dizer com segurança que os aspectos negativos da tecnologia podem superar os aspectos positivos.
Obviamente, não podemos deixar isso acontecer. E essas são as greves do NERC-CIP. A NERC, também conhecida como North American Electric Reliability Corporation (sobre a qual veremos em breve), garante que os sistemas de energia pesada (como os usados na computação em nuvem) estejam funcionando conforme o esperado.
Agora, você sabe que o NERC é como um guardião, mas como funciona? Vamos dar uma olhada mais de perto.
A importância dos padrões NERC-CIP na computação em nuvem
A computação em nuvem causou um grande impacto em muitos setores, fornecendo acesso fácil a itens de computador, armazenamento e aplicativos por meio da Internet.
Um relatório da MarketsandMarkets afirma que o mercado global de conformidade em nuvem deverá crescer de US$ 1,5 bilhão em 2020 para US$ 8,0 bilhões em 2025.
Embora a nuvem tenha grandes vantagens, como ser capaz de escalar, economizar dinheiro, fazer tudo rapidamente e simplificar a manutenção, ela também traz novos problemas quando se trata de seguir regras, especialmente para áreas como concessionárias de energia elétrica.
É aqui que os padrões NERC-CIP desempenham um grande papel. Basicamente, cuida da segurança de ativos online importantes, o que é muito importante.
Azure da Microsoft e Azure Government Cloud para concessionárias de energia elétrica
A Microsoft fornece dois ambientes de nuvem separados, adaptados para concessionárias de energia elétrica e entidades registradas: Azure e Azure Government.
Ambas as plataformas utilizam isolamento lógico para separar as aplicações e dados de diferentes clientes, garantindo que os dados e aplicações de cada cliente permaneçam inacessíveis a outros.
Essa abordagem permite os benefícios de escalabilidade e economia oferecidos pelos serviços de nuvem multilocatários, ao mesmo tempo em que mantém proteções rigorosas contra acesso não autorizado.
Além disso, o Azure Government oferece um compromisso contratual de armazenar dados de clientes exclusivamente nos Estados Unidos e restringe o acesso a sistemas que tratam dados de clientes a indivíduos que tenham sido selecionados e aprovados como cidadãos dos EUA.
A evolução dos padrões NERC-CIP
A North American Electric Reliability Corporation (NERC) é um órgão regulador sem fins lucrativos dedicado a garantir a confiabilidade do sistema de energia em massa na América do Norte.
O NERC supervisiona as entidades – utilizadores, proprietários e operadores – responsáveis por este sistema, que serve cerca de 400 milhões de pessoas em todo o continente.
Os padrões iniciais de segurança cibernética NERC CIP obtiveram a aprovação da Comissão Federal Reguladora de Energia (FERC) nos Estados Unidos em 2007.
Desde então, estas normas CIP têm evoluído continuamente através de revisões subsequentes, incorporando conhecimentos de entidades registadas no NERC. Este processo iterativo visa agilizar as auditorias e, ao mesmo tempo, melhorar a segurança da infraestrutura crítica.
Estas normas rigorosas estabelecem as bases para regulamentações para concessionárias de energia elétrica e operadores de sistemas de energia em massa que buscam aproveitar as vantagens das tecnologias emergentes.
Uma compreensão abrangente destas normas é fundamental para encontrar o equilíbrio certo entre inovação e conformidade regulamentar.
Como as plataformas de nuvem do Azure garantem a conformidade com NERC-CIP
Os governos do Azure e do Azure implementaram medidas e controles de segurança completos, alinhando-se com o forte compromisso da Microsoft em proteger os dados dos clientes e prevenir violações de segurança.
Os principais recursos de segurança abrangem:
- Isolamento Lógico – Os dados e aplicativos dos clientes são separados logicamente dos de outros usuários por meio de mecanismos de particionamento e controle de acesso, garantindo que o acesso não autorizado seja evitado.
- Criptografia – A criptografia de dados é habilitada por padrão para dados em repouso e em trânsito. Os dados do cliente armazenados no Azure são criptografados usando módulos criptográficos validados sob o padrão FIPS 140-2.
- Segurança de rede – Controles físicos e lógicos rigorosos garantem que as redes de produção do Azure sejam segregadas das redes corporativas da Microsoft. Políticas rigorosas de fluxo de tráfego governam como os recursos se comunicam entre si.
- Data centers de alta qualidade – Os data centers do Azure estão equipados com medidas avançadas de segurança física, incluindo vigilância contínua por vídeo, controle de acesso multifatorial e alarmes para violações de segurança.
- Certificações de Conformidade – O Azure adere a padrões essenciais como SOC 1 Tipo 2, SOC 2 Tipo 2, PCI DSS, HIPAA, FedRAMP, DOD DISA e ISO 27001.
Estas medidas de segurança robustas permitem que as empresas de eletricidade aproveitem as capacidades inovadoras do Azure, ao mesmo tempo que cumprem as suas responsabilidades NERC-CIP.
Categorizando Dados e Cargas de Trabalho NERC-CIP
Para determinar se os padrões NERC-CIP se aplicam a dados e cargas de trabalho hospedados em plataformas de nuvem, é essencial compreender o conceito de Sistema Cibernético Bulk Electric System (BES).
O BES refere-se à rede coletiva de recursos de geração elétrica, linhas de transmissão, interconexões e elementos relacionados que operam como um todo sincronizado.
A NERC enfatiza que definir com precisão o BES é crucial para identificar ativos cibernéticos críticos que necessitam de conformidade com os padrões CIP da NERC.
NERC fornece as seguintes definições pertinentes para auxiliar na caracterização dos ativos NERC-CIP:
- BES Cyber Asset (BCA) – Refere-se a dispositivos eletrónicos programáveis e redes de comunicação ligados às operações do BSE.
- Sistema Cibernético BES (BCS) – Abrange um ou mais ativos cibernéticos do BES agrupados logicamente para executar tarefas de confiabilidade para uma instalação do BES.
- Serviços Operacionais de Confiabilidade do BES (ROS) – Denota serviços responsáveis por garantir o funcionamento confiável em tempo real do BES interligado.
As entidades registadas são obrigadas a rever estas definições e a classificar os seus dados e cargas de trabalho como BES Cyber Assets ou não. Aqueles que atendem aos critérios para BCAs devem cumprir os requisitos NERC-CIP relevantes ao fazer a transição para hospedagem em nuvem.
Garantindo a conformidade NERC-CIP na nuvem
Embora a migração dos BES Cyber Assets para a nuvem possa trazer vantagens substanciais, as entidades registadas devem garantir a conformidade através de diversas estratégias:
- Entenda o modelo de responsabilidade compartilhada: A computação em nuvem segue um modelo de responsabilidade compartilhada. O provedor de serviços em nuvem (Microsoft) gerencia a segurança da nuvem, enquanto o cliente (entidade registrada) é responsável pela segurança da nuvem. As entidades registadas devem cumprir as obrigações NERC-CIP relativamente aos seus dados e cargas de trabalho no Azure.
- Realizar auditorias de terceiros: o Azure está sujeito a rigorosas auditorias de terceiros, como SOC 1/2 e ISO 27001, para validar seus controles de segurança. As entidades registadas podem avaliar estes relatórios de auditoria para compreender melhor as medidas de segurança do Azure.
- Colabore durante auditorias NERC: a Microsoft apoia entidades registradas, oferecendo recursos de auditoria e documentação que mostram o alinhamento do Azure com padrões, como garantir o isolamento lógico dos dados do cliente.
Ao empregar estas estratégias, as entidades registadas podem gerir com confiança a migração dos BES Cyber Assets para a nuvem, mantendo ao mesmo tempo a conformidade com os requisitos NERC-CIP.
Registro de segurança, confiança e garantia (STAR) da Cloud Security Alliance (CSA)
O registro CSA STAR apresenta uma iniciativa de certificação endossada pelo setor que verifica a prontidão de segurança dos serviços em nuvem.
Notavelmente, tanto o Microsoft Azure como o Azure Government obtiveram a certificação STAR, demonstrando a sua dedicação em manter benchmarks de alto nível em segurança na nuvem e adesão aos padrões.
Esta exploração abrangente das considerações de conformidade NERC-CIP em ambientes de nuvem, como o Azure, equipa as concessionárias de energia elétrica com o conhecimento essencial para alavancar a inovação e, ao mesmo tempo, aderir efetivamente às regulamentações que regem a segurança de infraestruturas críticas.
Perguntas frequentes
1. Como o Microsoft Azure garante a conformidade NERC-CIP em um ambiente de nuvem multilocatário?
O Azure utiliza isolamento lógico para segregar aplicações e dados pertencentes a diferentes clientes, garantindo uma prevenção rigorosa de acesso não autorizado.
2. O que as concessionárias de energia elétrica devem considerar ao migrar cargas de trabalho do NERC-CIP para a nuvem?
As concessionárias devem categorizar dados e cargas de trabalho como ativos cibernéticos do BES ou não, e migrar apenas ativos elegíveis. Devem colaborar com a Microsoft e os auditores, mantendo ao mesmo tempo as obrigações de conformidade.
3. Como certificações como a STAR demonstram a segurança de uma plataforma em nuvem?
O STAR fornece validação independente dos controles de segurança, mecanismos de garantia e conformidade com regulamentos de um serviço em nuvem. Isso gera confiança para clientes como concessionárias de energia elétrica.
Pensamentos finais
As concessionárias de energia elétrica podem obter vantagens significativas com tecnologias emergentes, como a computação em nuvem, a Internet das Coisas (IoT) e a inteligência artificial (IA), que podem melhorar a inovação, a eficiência operacional, a sustentabilidade e a satisfação do cliente.
No entanto, é vital manter a conformidade constante com regulamentações de infra-estruturas vitais, como o NERC-CIP.
Através de parcerias com plataformas de nuvem de primeira linha, como Microsoft Azure e Azure Government, que são adaptadas para fornecer recursos avançados juntamente com salvaguardas robustas, as concessionárias podem abraçar o futuro com ousadia.
Ao promover a colaboração proactiva, submeter-se a auditorias minuciosas e implementar controlos de segurança inabaláveis, ilumina-se um caminho promissor a seguir.