Quando se trata de segurança da informação e cibernética, é tentador buscar o “fruto mais fácil de alcançar”, concentrando-se nos ativos em que você se sente mais confortável em tornar mais seguros, seja pelo domínio ou facilidade de configurar e atualizar. Você pode ter um nível mais alto de conforto em aplicar um patch de correção no NT do que desativar uma porta no UNIX.
Para se ter efetividade, uma das primeiras ações nas quais você precisa se concentrar é identificar e proteger os sistemas que mantêm seus ativos mais valiosos disponíveis, com dados íntegros e coma privacidade de usuários e clientes salvaguardada.
Por exemplo, a empresa possui mais de sessenta servidores NT; no entanto, os dados financeiros essenciais, de clientes e de funcionários da organização residem em dois servidores UNIX. Nesse caso, provavelmente faz mais sentido focar inicialmente nos servidores UNIX antes de lidar com os sistemas NT. Obviamente, manter os servidores NT mais seguros possíveis é importante, mas o prejuízo causado por um comprometimento dos sistemas de negócios principais pode ser devastador para instituição.
Essa conclusão óbvia e clara deve ser compartilhada com a alta administração da organização, que deverá estabelecer suas diretrizes e emitir outros feedbacks, particularmente em termos do que eles consideram ser os sistemas mais críticos para o órgão.
Até o momento, tratamos apenas de um insight, todavia para executar de fato, precisamos ter um guia, que facilite os procedimentos e nos direcione na ação. Por isso, para melhorar a postura de segurança cibernética de uma organização, selecionar e customizar um framework, adequado à realidade da empresa, é ato prioritário. Um exemplo, muito aceito no mercado, é o framework do NIST (National Institute of Standards and Technology), amplamente utilizado pela comunidade internacional.
Aproveitando o exemplo acima dado, o NIST Cybersecurity Framework organiza a segurança cibernética em seis tópicos principais: Govern, Identify, Protect, Detect, Respond e Recover. Cada uma dessas funções desempenha um papel crucial na gestão e aprimoramento da segurança cibernética de uma organização.
– GOVERN (GV): Estabelece a estratégia de gerenciamento de riscos de segurança cibernética da organização e suas expectativas, garantindo a incorporação da segurança cibernética na estratégia geral de gerenciamento de riscos organizacionais.
– IDENTIFY (ID): Compreende os riscos atuais de segurança cibernética da organização, incluindo seus ativos, fornecedores e riscos relacionados, permitindo que a organização priorize seus esforços de acordo com sua estratégia de gerenciamento de riscos.
– PROTECT (PR): Utiliza salvaguardas para gerenciar os riscos de segurança cibernética da organização, protegendo seus ativos e reduzindo a probabilidade e o impacto de eventos adversos de segurança.
– DETECT (DE): Encontra e analisa possíveis ataques cibernéticos e comprometimentos, permitindo a descoberta oportuna de eventos adversos de segurança e facilitando as atividades de resposta a incidentes.
– RESPOND (RS): Adota ações em resposta a incidentes de segurança cibernética detectados, contendo seus efeitos e apoiando a recuperação eficaz das operações normais.
– RECOVER (RC): Restaura os ativos e operações afetados por um incidente de segurança cibernética, facilitando a recuperação oportuna das operações normais.
Ao aplicar o framework de sua preferência, vale lembrar de realizar uma análise de riscos adequada, alinhada à compreensão da cadeia de valor da empresa, onde, provavelmente, estarão os ativos mais importantes. A cadeia de valor, uma ferramenta de gerenciamento de processos desenvolvida por Michael Porter, é essencial para identificar como os processos organizacionais se relacionam e geram valor.
Na cadeia de valor, pode-se identificar e gerenciar ativos que são essenciais para a entrega de valor (outputs), priorizando-os com base em sua importância para os objetivos organizacionais e na estratégia de gerenciamento de riscos. Isso inclui não apenas os processos primários que geram valor diretamente aos clientes, mas também os processos de apoio que contribuem indiretamente para a geração de valor.
Além disso, não negligenciar os riscos envolvidos na cadeia de suprimentos, muitas vezes esquecidos nas análises de riscos, uma vez que são gerenciados por entes parceiros da organização. Medidas devem ser trabalhadas para garantir que os fornecedores e parceiros da cadeia de suprimentos atendam aos padrões de segurança cibernética estabelecidos pela organização, implementando práticas e controles de segurança adequados em suas operações.
Implementar práticas e controles de segurança em toda a organização é relevante não apenas para proteger, mas também para mitigar investidas de ameaças cibernéticas e garantir a continuidade das operações de negócios.
Portanto, cabe ao iniciar uma mudança de postura que vise fortalecer a segurança cibernética da instituição, iniciar pelo óbvio, ou seja, identificar os itens mais “preciosos” e os proteger. Para tanto, selecionar e adequar um framework de segurança cibernética reconhecido e compreender precisamente a cadeia de valor da organização. Os órgãos públicos e privados podem melhorar significativamente sua postura de segurança cibernética, identificando e protegendo eficazmente seus ativos mais críticos e gerenciando os riscos associados à cadeia de suprimentos.
Referências
- NIST Cybersecurity Framework. National Institute of Standards and Technology (NIST). 2023. https://www.nist.gov/cyberframework
- Cadeia de valor: potencialize suas vantagens. Sebrae. https://sebrae.com.br/sites/PortalSebrae/artigos/cadeia-de-valor-potencialize-suas-vantagens,c70f14d8a32c6810VgnVCM1000001b00320aRCRD)
- Cyber Supply Chain Risk Management Best Practices. National Institute of Standards and Technology (NIST). (https://csrc.nist.gov/CSRC/media/Projects/Supply-Chain-Risk-Management/documents/briefings/Workshop-Brief-on-Cyber-Supply-Chain-Best-Practices.pdf)
