Cibersegurança – uma responsabilidade da alta administração

“A cibersegurança ainda não foi estritamente definida, mas, na prática, refere-se aos novos tipos de desafios relacionados à segurança que afetam as organizações e a sociedade em geral à medida que a transformação digital – e nossa dependência de sistemas e serviços digitais inter-relacionados – progride,” diz Arttu Lehmuskallio, Diretor do Centro Nacional de Segurança Cibernética, Agência Finlandesa de Transportes e Comunicações.

A segurança cibernética também pode se referir às medidas que uma organização pode usar para proteger seus sistemas críticos de negócios, softwares, dispositivos e redes de comunicação de dados contra quaisquer ameaças cibernéticas. As ameaças cibernéticas, por sua vez, são eventos ou processos nocivos que podem afetar as operações, finanças, dados, reputação de uma organização e, no pior dos casos, a continuidade de seus negócios.

Através de seu trabalho, Lehmuskallio tem uma longa experiência com incidentes cibernéticos e está acostumado a ver as coisas do ponto de vista do risco. “Às vezes me pergunto – meio a sério – se realmente sabemos para onde estamos indo com a transformação digital. Será que realmente entendemos todos os riscos e consequências disso?”

A comunicação aberta beneficiaria a todos

Ataques de restição de serviço, ransomware, violações de dados, fraudes de CEOs, engenharia social… O ambiente operacional digital abre várias oportunidades para criminosos em ambientes de TI e OT – e qualquer empresa, grande ou pequena, que dependa da tecnologia corre o risco de se tornar um alvo de crimes cibernéticos.

Não é necessariamente sua própria organização que é atacada diretamente.

“O que torna a situação ainda mais complicada é que não é necessariamente sua própria organização que é atacada diretamente – pode ser uma organização em sua rede de negócios cujas dificuldades têm um grande efeito em seus negócios”, explica Lehmuskallio.

A compreensão desses tipos de interconexões digitais entre as organizações é uma parte crucial da prevenção de ameaças cibernéticas. É importante garantir que todas as partes cumpram os padrões de segurança cibernética e compartilhem abertamente informações sobre ameaças, por exemplo.

“Em geral, todas as organizações dentro de um setor ou cluster se beneficiariam do compartilhamento das melhores práticas, mas também da comunicação e do diálogo aberto sobre os ataques cibernéticos que sofreram.”

A segurança cibernética é uma responsabilidade da alta administração

A segurança cibernética era vista anteriormente como uma preocupação apenas dos profissionais de segurança de TI. Isso, no entanto, está mudando devido à crescente conscientização entre os executivos seniores e outros sobre as ameaças cibernéticas e seus efeitos potencialmente devastadores nos negócios. A segurança cibernética está se tornando cada vez mais uma preocupação da alta administração e do conselho – e é assim que deve ser.

“De acordo com um estudo recente entre empresas finlandesas, as organizações nas quais a alta administração está envolvida e priorizando a segurança cibernética estão mais bem preparadas para ataques cibernéticos e mais bem equipadas para se recuperar rapidamente deles. Essas organizações aceitaram o fato de que a prevenção de ameaças cibernéticas requer análises e investimentos contínuos”, diz Lehmuskallio.

Devido aos enormes impactos potenciais, a segurança cibernética deve ser parte integrante do gerenciamento de riscos de uma empresa, e um plano de recuperação de ataques cibernéticos precisa ser incluído no plano abrangente de continuidade de negócios. Também é bom ter em mente que, em comparação com muitos outros riscos, os riscos relacionados à segurança cibernética precisam ser avaliados com mais frequência – de preferência em tempo real. Tudo isso torna a segurança cibernética uma questão de nível estratégico.

“Por exemplo, quando uma nova vulnerabilidade é encontrada em um serviço, ela torna o serviço anteriormente considerado inseguro não apenas imediatamente, mas também retroativamente. Isso significa que o sistema em questão esteve inseguro possivelmente durante todo o seu ciclo de vida. Não há garantia de que a vulnerabilidade não tenha sido encontrada e explorada anos atrás.”

A estratégia adequada dá suporte a tomada de decisões com segurança cibernética

Uma estratégia de segurança cibernética cuidadosamente criada é uma boa ferramenta para orientar o desenvolvimento de uma organização em direção a sistemas de TI e OT mais seguros e para fortalecer rotinas seguras nas operações diárias. Um processo de estratégia de cibersegurança pode, por exemplo, incluir a identificação e avaliação dos riscos potenciais, uma avaliação realista do estado atual da cibersegurança na organização, incluindo a sua rede de negócios, bem como a tomada de decisões sobre áreas de desenvolvimento e alocação de recursos.

Aproximadamente 90 por cento dos ataques cibernéticos são feitos por meio de indivíduos.

“A estratégia também deve indicar as metas e objetivos relacionados à segurança cibernética de uma organização e os meios, ações e rotinas que ajudarão a alcançá-los”, diz Lehmuskallio.

Além disso, é importante aumentar a conscientização do pessoal sobre ameaças cibernéticas por meio de comunicação, treinamento e exercícios de crise.

Aproximadamente 90% dos ataques cibernéticos são feitos por meio de indivíduos, e as pessoas costumam ser consideradas o elo mais fraco. Isso é compreensível porque nós humanos somos alvos fáceis – somos enfáticos, queremos agradar, não queremos ser humilhados e assim por diante.

“Mas, a meu ver, é responsabilidade de uma organização e de sua alta administração criar um ambiente e uma cultura de segurança cibernética que ajudem os indivíduos a manter rotinas seguras e tomar as decisões corretas – e limitar os danos que um funcionário individual pode causar.”

A prática leva à perfeição – aproveite as oportunidades

Os exercícios de segurança cibernética são uma excelente maneira de testar na prática as diretrizes, processos e funções de gerenciamento de crises de uma organização, bem como melhorar sua tolerância a crises e acelerar a recuperação de incidentes de segurança cibernética.

“Uma empresa deve pensar em um exercício como uma situação de crise cujo momento e efeitos ela pode escolher – uma crise ‘livre’, por assim dizer”, diz Lehmuskallio. Alguns dos benefícios adicionais dos exercícios são aprimorar as habilidades de observação, reação e recuperação de funcionários e tomadores de decisão em caso de incidentes de segurança graves, bem como alocação mais rápida de recursos para áreas identificadas como vulneráveis.

“Recomendações extremamente importantes também são uma maior compreensão das dependências com o fornecedor e uma identificação e gerenciamento de ameaças individuais no ambiente cibernético”, conclui Lehmuskallio.

Texto Sanna Haanpää-Liukko