Mitigação de ameaças de risco cibernético em infraestruturas críticas e proteção de operações
Por: José Seara | Fonte: Risk Management Magazine
Nos últimos meses, os especialistas documentaram um aumento dramático nos ataques cibernéticos a infraestruturas críticas, tanto nos Estados Unidos como em todo o mundo. Impulsionados por uma vasta gama de fatores, incluindo motivos políticos e financeiros, estes ataques tentam perturbar as operações e interferir com sistemas críticos que gerem o acesso à água e à energia. Por exemplo, em Novembro, um grupo pró-Irão invadiu uma empresa de abastecimento de água da Pensilvânia , violando alguns dos seus activos industriais e forçando a Autoridade Municipal de Águas de Aliquippa (MWAA) a substituir todo o equipamento fabricado em Israel. Pouco tempo depois, a instalação de energia nuclear mais perigosa do Reino Unido, Sellafield, também foi invadida por grupos cibernéticos ligados à Rússia e à China. Desde então, várias outras empresas de serviços públicos, bem como portos, hospitais e prestadores de serviços financeiros em todo os EUA também foram alvo, representando um padrão de ataques com consequências potencialmente graves para as operações, a segurança nacional e o bem-estar público.
Após a recente série de ataques a empresas de infra-estruturas críticas , o governo dos EUA apelou formalmente às empresas dos sectores de serviços públicos, transportes e gestão de cuidados de saúde para reforçarem os seus esforços de segurança cibernética. Devido à maior interconectividade destas organizações e aos sistemas que utilizam para manter operações importantes, as organizações de infra-estruturas críticas enfrentam um risco acrescido de serem atacadas por agentes maliciosos. Como os sistemas digitais e tecnológicos que gerem estas organizações são muitas vezes semelhantes e podem estar ligados entre si de algumas formas, um ataque a um deles pode criar um efeito dominó. Depois que alguém souber como se infiltrar em uma empresa, poderá aplicar as mesmas técnicas a empresas com tecnologias semelhantes para criar um impacto ainda maior. À medida que o cenário de ameaças continua a se expandir e as empresas de infraestrutura crítica continuam a ser o alvo principal, são essenciais capacidades completas e abrangentes de gestão de riscos cibernéticos.
No entanto, pode ser particularmente difícil para estas instalações operacionais abordar tais questões, uma vez que a gestão completa do risco cibernético abrange uma lista multifacetada de processos e procedimentos para mitigar eficazmente as ameaças. Muitas destas empresas, especialmente as de menor escala, estão sobrecarregadas e não sabem por onde começar. Apesar da complexidade associada ao reforço das medidas de segurança cibernética, é imperativo que estas organizações façam as mudanças necessárias para reforçar a sua postura de segurança e proteger contra o cenário de ameaças em constante evolução.
Como fortalecer o gerenciamento de riscos cibernéticos para infraestruturas críticas
Embora possa ser assustador para estas instalações operacionais começarem a resolver potenciais deficiências nas suas infra-estruturas de segurança, é absolutamente necessário. Para que as organizações do setor de infraestruturas críticas se protejam melhor contra violações, as seguintes ações podem ajudar a fortalecer a postura de segurança cibernética e minimizar o risco de um ataque:
Tenha visibilidade dos seus ativos cibernéticos. Sem visibilidade, uma organização não tem como gerenciar completamente os riscos. A visibilidade é um componente essencial na capacidade de identificar e gerenciar efetivamente seus ativos, avaliar vulnerabilidades potenciais, garantir a conformidade com os requisitos regulamentares e proteger os dados.
Tome decisões de segurança cibernética baseadas em riscos. Para ajudar a garantir que você está detectando todos os riscos potenciais antes que eles se tornem problemas, aproveite as informações de sua organização, bem como as tendências de empresas similares e do setor para informar estratégias de gerenciamento de segurança cibernética orientadas a riscos. Priorizar ações de mitigação que promovam uma redução real do risco.
Garanta que suas ferramentas e controles de mitigação de riscos sejam pelo menos tão fortes quanto os de seus pares e concorrentes, se não mais fortes. Os atacantes procuram o alvo mais fraco. É importante garantir que você tenha tecnologia instalada para detectar vulnerabilidades e ameaças potenciais e contextualizá-las ao seu ambiente exclusivo para proteger sua organização de ser identificada como particularmente suscetível a violações.
Entenda como os riscos cibernéticos de infraestruturas críticas evoluem ao longo do tempo, impulsionados por fatores internos ou externos. Os intervenientes maliciosos estão constantemente a adaptar os seus métodos para atacar infraestruturas críticas e o cenário do risco cibernético está em constante mudança. As organizações devem estar sintonizadas com o mercado para estarem constantemente atentas ao que se passa na indústria e como se adaptar e melhorar a postura de segurança. Procure estar um passo à frente e garantir que sua tecnologia esteja funcionando de forma ofensiva e não defensiva.
Aplique a tecnologia e as ferramentas corretas para o trabalho. Não confie em planilhas simplistas, avaliações de maturidade, mapas de calor ou pontuações de risco para avaliar o risco cibernético – o risco subjacente é muito complexo para muitas abordagens tradicionais e mais manuais. As opções tecnológicas mais recentes, incluindo ferramentas de gestão de quantificação de risco cibernético (CRQM) de segunda geração, podem fornecer uma análise profunda e completa do impacto de ameaças potenciais e dos principais fatores de risco para ajudar as empresas a prevenir melhor os atores mal-intencionados.
Ao reforçar a infraestrutura de segurança cibernética e utilizar tecnologia adequada para identificar e abordar com precisão os elementos que contribuem para qualquer aumento da vulnerabilidade cibernética, as organizações podem prevenir ataques catastróficos e proteger as suas operações e ativos contra interferências prejudiciais.
José Seara é CEO e fundador da DeNexus.
----------------------------------------------------
Esse ano, o tradicional Congresso Brasileiro de Direito de Seguro e Previdência será realizado nos dias 14 e 15 de março no Rio de Janeiro.
Serão dois dias de produtiva e alegre convivência no hotel Prodigy Santos Dumont, com muito estudo, aprimoramento, atualização e troca de experiências. O hotel está estrategicamente conectado a um dos aeroportos de maior movimentação do país, o Aeroporto Santos Dumont.
Garanta sua reserva: Associados ABGR terão desconto, conforme política e categoria de participação da AIDA.
Interessados no Congresso: Enviar o nome, empresa, e-mail, profissão à abgr@abgr.com.br para posterior contato de representante da AIDA, visando a inscrição.
Vagas limitadas!!