Guia do CISO para construir uma estratégia forte de resiliência cibernética

Benefícios de uma estratégia forte de resiliência cibernética

O principal benefício de uma estratégia eficaz de resiliência cibernética é que ela ajuda as organizações a se prepararem e responderem a futuros ataques cibernéticos. Pode não ser possível identificar e lidar com todos os ataques, mas empresas munidas de uma estratégia — bem como dos recursos e procedimentos para apoiá-la — estão em uma posição muito melhor para responder a incidentes do que empresas sem esse plano.

Outra vantagem é que funcionários, alta gerência e partes interessadas estão cientes dos riscos e potenciais consequências de um ataque cibernético. Treinamentos periódicos e briefings de atualização deixam os funcionários mais bem preparados para responder a um ataque cibernético.

Para serem mais eficazes, os CISOs devem aliar a resiliência cibernética à resiliência empresarial. A primeira pode afetar drasticamente a segunda. Ambas ajudam as organizações a se adaptarem rapidamente ao responder a um incidente de segurança. Mas os componentes que sustentam a resiliência cibernética devem primeiro ser compreendidos antes que possam ser gerenciados, mantidos, aprimorados e integrados às atividades de BCDR e resposta a incidentes.

Como desenvolver uma estratégia de resiliência cibernética

A construção de uma estratégia de resiliência cibernética começa com o reconhecimento de que a organização está em risco de ataques cibernéticos. Em seguida, siga os seguintes passos:

1. Obtenha informações

Peça aos líderes seniores de toda a organização que definam o que a resiliência cibernética significa para eles. A contribuição deles ajuda a identificar as atividades de negócios mais importantes para a gestão. Isso deve incluir os líderes das unidades de negócios, que devem estar cientes do impacto de um ataque cibernético nas atividades de sua organização.

Revise os padrões e regulamentações que abordam a segurança cibernética, incluindo o seguinte:

• NIST Cybersecurity Framework.
• NIST Internal Report 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM) series.
• NIST Special Publication (SP) 800-160 Developing Cyber-Resilient Systems.
• NIST SP 800-181 Workforce Framework for Cybersecurity (NICE Framework).
• Center for Internet Security Controls and Benchmarks.
• Carnegie Mellon University and Johns Hopkins University Cybersecurity Maturity Model Certification.
• GDPR.
• HIPAA.

Esses documentos podem desempenhar um papel fundamental na formulação de uma estratégia eficaz de resiliência cibernética.

2. Estabelecer uma política de cibersegurança e/ou ciber-resiliência

As políticas que regem a forma como a organização lida com ataques cibernéticos e questões relacionadas são parte fundamental de uma estratégia geral. Revise as políticas de segurança cibernética existentes para garantir que seus requisitos façam parte da estratégia de resiliência cibernética. Caso não exista uma política, considere desenvolver uma. Ela pode apoiar a estratégia de resiliência cibernética e servir como uma evidência fundamental para futuras auditorias de segurança cibernética de TI.

3. Identificar atividades operacionais essenciais

Realize uma análise de impacto nos negócios (BIA) para identificar processos de negócios críticos. Inclua as pessoas, os planos, as tecnologias e os recursos necessários para viabilizar esses processos. Uma BIA também identifica o impacto potencial para a organização após um ataque cibernético bem-sucedido. Se a empresa já possui uma BIA, utilize os resultados e determine como um ataque cibernético pode ou não prejudicar processos-chave.

Além disso, utilize a pesquisa de BIA para determinar os componentes de resiliência — ou seja, as prioridades que devem ser normalizadas o mais rápido possível após um ataque cibernético. Isso garante que a organização possa se adaptar a quaisquer mudanças de processo e se recuperar de um incidente o mais rápido possível.

4. Realizar uma análise e avaliação de riscos

Uma análise de risco baseada em uma BIA pode identificar as ameaças cibernéticas internas e externas mais prováveis ​​de uma organização. As análises de ameaças e vulnerabilidades identificam fragilidades, como um perímetro de rede inseguro, que podem aumentar o risco de um ataque cibernético. Os testes de penetração também podem identificar vulnerabilidades potenciais e pontos únicos de falha.

5. Prevenir ataques cibernéticos e implementar controles de segurança cibernética

Determine estratégias para minimizar a probabilidade de um ataque cibernético. Isso pode incluir a implantação de software antimalware e antiransomware especializado, a atualização das regras de firewall, o lançamento de um sistema de prevenção de intrusão (IPS) e o aprimoramento dos controles de acesso com a adição de MFA.

Implemente estratégias adicionais, como treinar a equipe de TI sobre as maneiras mais eficazes de lidar com ataques cibernéticos e criar um programa de treinamento de conscientização em segurança para educar os funcionários sobre os perigos de um ataque. Além disso, certifique-se de que cópias de segurança de ativos críticos estejam disponíveis como parte de um programa geral de backup de dados.

6. Construir e implementar um plano de resiliência cibernética

Garanta que as atividades operacionais críticas possam ser recuperadas e retornar à operação normal o mais rápido possível. Os planos de segurança cibernética existentes podem servir de base para o plano de resiliência cibernética — que vai além da resposta e da recuperação — para permitir que as funções da empresa retornem ao normal rapidamente.

Os CISOs também podem aproveitar sua experiência em resposta a ataques cibernéticos anteriores para se prepararem para ataques futuros. Gerencie e mantenha planos de segurança cibernética e recuperação de desastres (DR) para garantir a resiliência da TI e impedir o acesso não autorizado por agentes de ameaças cibernéticas. Utilize planos de segurança cibernética, recuperação de desastres e incidentes para gerenciar a resposta inicial a um ataque cibernético. Entenda que cada um desses planos complementa o outro; eles devem trabalhar em conjunto e não em objetivos opostos.

O objetivo de um plano de resiliência cibernética é garantir que elementos críticos do sistema e da rede sejam rapidamente recuperados, testados para operação adequada e colocados novamente em produção. Certifique-se de fazer o seguinte:

• Mantenha uma lista de produtos de software de segurança cibernética que podem ser empregados como parte da lista restrita de iniciativas de resiliência cibernética do departamento de TI.
• Considere a tecnologia em nuvem para fazer backup de elementos críticos para os negócios. O backup em nuvem é uma forma cada vez mais popular de alcançar resiliência cibernética.
• Avalie MSPs, incluindo fornecedores de nuvem, que oferecem opções como segurança cibernética, recuperação de desastres como serviço ou gerenciamento de cadeia de suprimentos como serviço. Essas são abordagens viáveis ​​para alcançar a resiliência cibernética.

7. Documentar e garantir a disponibilidade

Verifique se os componentes operacionais estão documentados, armazenados em locais seguros e disponíveis eletronicamente para máxima velocidade de acesso. Confirme se os funcionários têm acesso aos documentos que explicam como operar sistemas de missão crítica caso os operadores principais não estejam disponíveis.

8. Fornecer atividades de treinamento e conscientização

Crie programas de treinamento para funcionários novos e atuais, garantindo que a equipe possa responder em caso de um ataque cibernético. Para manter a conscientização, envie lembretes periódicos sobre a importância da segurança cibernética.

9. Teste e atualize

Avalie regularmente a resiliência cibernética da organização e teste e atualize os planos para garantir que os procedimentos de resiliência cibernética estejam governando adequadamente os ativos e as operações comerciais essenciais da empresa. Atualize os planos e procedimentos com base nas mudanças nas operações comerciais e nos resultados dos exercícios. Aplique patches em aplicativos e sistemas quando novas atualizações ou versões estiverem disponíveis. Informe regularmente a alta gerência sobre o estado da resiliência cibernética da organização.

10. Melhoria contínua

Assim que a estratégia de resiliência cibernética estiver operacional, estabeleça um cronograma para revisões, atualizações, testes e auditorias do programa. Isso garante que o programa permaneça ativo e em constante aprimoramento. A resiliência cibernética, assim como as atividades de BCDR e resposta a incidentes, deve se tornar parte da cultura da empresa.

Problemas comuns a evitar no planejamento e implementação da resiliência cibernética

Apesar das melhores intenções, as empresas ainda enfrentam desafios que podem dificultar o desenvolvimento de uma estratégia coesa de resiliência cibernética. Entre os principais desafios estão os seguintes:

• Falta de apoio da alta gerência. Envolva a alta gerência em todas as etapas de uma estratégia de resiliência cibernética. Mantenha-a informada sobre o programa, especialmente quando ocorrerem ataques cibernéticos.
• Fundos inadequados. Manter a alta gerência envolvida ajuda a garantir orçamento para apoiar o planejamento, o treinamento, os testes e as revisões do programa.
• Falta de interesse dos funcionários em segurança cibernética. Ataques cibernéticos podem impactar qualquer funcionário. É responsabilidade de todos estarem preparados para futuros ataques cibernéticos. Treine os funcionários sobre a importância da segurança cibernética regularmente.
• Falha em se manter atualizado sobre o negócio e como ele opera. Não basta criar e lançar uma estratégia de resiliência cibernética. As equipes de resiliência cibernética devem se manter atualizadas sobre o negócio e quaisquer mudanças, como o lançamento de um novo produto ou a entrada em uma fusão ou aquisição. Reflita essas mudanças nos planos de resiliência cibernética, bem como nos planos de BCDR.
• Falha em testar planos periodicamente. Teste planos de segurança cibernética, BCDR e resposta a incidentes periodicamente. Sem testes, os planos podem ficar desatualizados e não funcionar conforme o esperado pela organização durante um incidente.
• Planos compartimentados. BCDR, resposta a incidentes, segurança cibernética e gestão de riscos frequentemente ocupam silos separados, com colaboração ou compartilhamento mínimo de informações. Os CISOs e a alta gerência devem intervir para incentivar um alinhamento e uma interação mais estreitos entre essas operações. Uma maneira de quebrar os silos é agrupar essas atividades sob um único gerente sênior. Se isso não for possível, os CISOs devem agendar reuniões conjuntas e sessões de planejamento regulares para incentivar o diálogo e a cooperação.

Como maximizar as ferramentas existentes para resiliência

Diversos produtos e serviços abordam a resiliência cibernética. O mesmo se aplica aos recursos para planejamento de BCDR, planejamento de resposta a incidentes e gestão de segurança cibernética. Identifique essas fontes e determine como utilizá-las na estratégia geral da empresa. Não se esqueça de avaliar padrões e regulamentações e sua relação custo-benefício na formulação da estratégia.

Produtos de software comerciais e de código aberto podem ajudar a estruturar planos de BCDR, resposta a incidentes e segurança cibernética, bem como ferramentas que respondem especificamente a ataques cibernéticos. Embora nem todos os softwares possam ajudar a desenvolver uma estratégia de resiliência cibernética, vale a pena considerá-los. Produtos de IA são outro recurso.

Outra opção é aproveitar a experiência de provedores de serviços de nuvem e MSPs, que oferecem uma variedade de recursos como serviço, desde backup e recuperação de dados até desenvolvimento de plano de BCDR, bem como serviços de BCDR, resposta a incidentes e segurança cibernética que respondem a eventos disruptivos.

Empresas de consultoria terceirizadas experientes também podem ajudar a elaborar uma estratégia coesa de resiliência cibernética. Elas também podem facilitar a documentação, os testes, o treinamento e as auditorias do plano de suporte.

A seguir estão algumas categorias de ferramentas que podem dar suporte à resiliência cibernética:

• Plataformas de inteligência de ameaças. Essas ferramentas monitoram continuamente cenários digitais e de segurança cibernética para identificar riscos emergentes, vulnerabilidades, ameaças e agentes maliciosos.
• Proteção de endpoints. Esses produtos, como detecção e resposta de endpoints e detecção e resposta estendidas, protegem dispositivos contra malware, ransomware e acesso não autorizado.
• Gestão de riscos e conformidade. Entre outros benefícios, estes recursos ajudam as empresas a realizar avaliações de risco com mais facilidade e a monitorar a conformidade dos programas cibernéticos.
• IDS e IPS. Sistemas de detecção e prevenção de intrusão identificam e bloqueiam atividades maliciosas em tempo real.
• Backup e recuperação de dados. Esses recursos sustentam o BCDR, fazendo backup e restaurando dados críticos.
• SIEM. Esses sistemas capturam e analisam dados de segurança para identificar e mitigar ameaças.

Antivírus, criptografia de dados, firewalls, detecção e resposta gerenciadas, monitoramento de segurança de rede, testes de penetração e varredura de vulnerabilidades da web são outras ferramentas e processos a serem considerados para integração em um plano de resiliência cibernética.

Reunindo tudo

Uma estratégia viável de resiliência cibernética depende da colaboração harmoniosa de múltiplos planos preventivos, de detecção e resposta, bem como das atividades programáticas associadas. Um programa equilibrado de componentes — entre eles planos BCDR, planos de resposta a incidentes, iniciativas periódicas de análise de risco BIA e suporte da alta gerência — ajuda a manter a resiliência cibernética da sua organização atualizada, documentada e testada.

Sobre o autor: Paul Kirvan, FBCI, CISA, é um consultor independente e redator técnico com mais de 35 anos de experiência em continuidade de negócios, recuperação de desastres, resiliência, segurança cibernética, GRC, telecomunicações e redação técnica.