A Galp passou a integrar, recentemente, a rede CSIRT, Computer Security Incident Response Team. A empresa junta-se assim aos 47 CSIRTs nacionais. A Rede Nacional de CSIRT representa um fórum de resposta a ameaças e de partilha de informação operacional de cibersegurança em Portugal, constituído por equipas CSIRT dos sectores público e privado.
Segundo a organização, a empresa actua “com vista a proteger os nossos activos, criando as condições de segurança necessárias, nomeadamente nas tecnologias de informação, cibersegurança e resiliência cibernética”.
Algumas acções desenvolvidas na cibersegurança:
- Implementação e manutenção de mecanismos e procedimentos que assegurem a adequada integridade, confidencialidade e disponibilidade da informação nos sistemas de informação, a gestão dos negócios e a satisfação das necessidades dos clientes;
- Assegurar avaliações periódicas da exposição ao risco dos sistemas de informação;
- Formação dos colaboradores para que adoptem comportamentos seguros ao nível da gestão tecnologias de informação e segurança de informação;
- Realização de acções de sensibilização específicas para altos quadros e grupos de risco.
A sociedade criou recentemente o cargo de Chief Information Security Officer, dentro da direcção de Gestão de Risco, com a responsabilidade de definir e acompanhar os riscos de segurança cibernética da empresa. Adicionalmente, a Galp “implementou políticas de segurança da informação, inquéritos e auditorias regulares sobre cibersegurança, que são realizados pela Galp ou por especialistas independentes que representam a Galp, de forma a melhor compreender o nível das potenciais ameaças”. As ditas políticas incluem o “acompanhamento das potenciais fragilidades dos fornecedores (críticos)”.
Análise e controlo do risco de security nas instalações
A empresa mostra-se empenhada com a sua segurança de uma forma global. Segundo a Galp, a empresa reconhece a importância de avaliar o nível de ameaça nos locais onde detém activos. A área de security da empresa assegura a:
- Análise de risco da situação geopolítica dos países onde tem interesse, por país e de forma regular;
- Análise regular do risco de security, por local onde detém actividades;
- Análise do risco de saúde e monitorização regular da sua evolução, por local onde detém atividades;
- Promoção activa da consciencialização dos colaboradores, emitindo alertas com os principais cuidados a ter em cada local e por cada colaborador em viagem;
- Suporte no planeamento e gestão de situações de crise
“Asseguramos uma gestão eficaz do risco de security, através da realização de avaliações que permitam a identificação das contramedidas adequadas à sua minimização”, refere.
De acordo com a organização, os níveis de risco de security das instalações são avaliadas e são definidas e implementadas medidas activas e passivas com o “intuito de reduzir esse risco”.
“Seguimos o standard API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries que assenta numa avaliação nos seguintes vectores: consequências/ameaças, atractividade, vulnerabilidade e probabilidade de ocorrência”. Em 2020 deu continuidade à revisão do nível de risco de security das principais instalações, “garantindo que as mesmas se encontram num nível baixo de risco”.
Pela sua natureza, a indústria de Oil & Gas está permanentemente exposta aos riscos políticos e, consequentemente, de security.
A sua mitigação passa pela colaboração direta com especialistas internacionais na matéria, que orienta a nossa atuação estratégica para a disponibilização de informação rigorosa, e, em tempo real, sobre a situação a cada momento nos países e regiões onde estamos presentes.
Mantemos ainda, simultaneamente, um contacto próximo com as autoridades e acompanhamos as referências do Comité de Security da International Association of Oil and Gas Producers (IOGP).
A empresa apostou em várias acções para endereçar de forma pró-ativa o tema de security, nomeadamente:
- Promoção de que cada colaborador seja responsável pela sua própria protecção, garantindo que actua em linha com os critérios definidos pela empresa;
- Investigação de todos os incidentes de security de forma sistemática, integrando as lições aprendidas;
- Diálogo com as comunidades e governos e outras entidades em matéria de security
De acordo com a empresa, desde 2020, todos os colaboradores que viajam em serviço ou que se encontrem expatriados, terão acesso a uma aplicação móvel que permite o acesso a serviços de assistência médica, security e apoio na gestão de crises International SOS Assistance App.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
