Skip to main content
From 16:00 UTC on January 17, 2026, to 20:00 UTC on January 17, 2026, we will perform planned maintenance on the Trailhead, myTrailhead, and Trailblazer Community sites. During the maintenance, these sites will be unavailable, and users won't be able to access them. Please plan your activities around this required maintenance.

Descobrir a governança de resiliência cibernética

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Listar os seis princípios do setor de OG que ajudarão os diretores do conselho a reger o risco cibernético.
  • Descrever como estabelecer um modelo abrangente de governança de segurança cibernética para o setor de petróleo e gás (OG).
  • Listar perguntas a se considerar para promover a cultura de segurança e resiliência por design.
  • Explicar por que a gerência deve considerar o risco cibernético para a organização e o ecossistema mais amplo.

Princípios de resiliência cibernética do setor de Petróleo e gás

Os seis princípios a seguir são específicos da indústria de petróleo e gás (OG) e complementam os princípios gerais de resiliência cibernética do Fórum Econômico Mundial (WEF) para enfrentar desafios críticos de resiliência cibernética

  • OG1. Governança de resiliência cibernética
  • OG2. Resiliência por design
  • OG3. Responsabilidade corporativa pela resiliência cibernética
  • OG4. Abordagem de gestão holística de riscos
  • OG5. Colaboração em todo o ecossistema
  • OG6. Planos de resiliência cibernética em todo o ecossistema

Esses princípios para atividades específicas do setor de OG dão aos profissionais de cibersegurança suporte à implementação. Vamos ver esses princípios com mais detalhes.

Princípio OG1: governança de resiliência cibernética

Nota

Antes de estabelecer um modelo abrangente de governança de segurança cibernética, é uma prática recomendada determinar quais dados a organização está protegendo e levar em conta fatores como classificação de dados e essencialidade do processo de negócios. Uma vez feito isso, o próximo passo é desenvolver uma estrutura de governança de segurança cibernética com funções e responsabilidades, missão e visão claras. 

O conselho de organizações do setor de OG deve exigir que a gerência estabeleça um modelo abrangente de governança de segurança cibernética.

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Como o modelo de governança cria uma relação colaborativa entre tecnologia da informação (TI), tecnologia operacional (TO) e funções de segurança física? Que mecanismos eficazes existem para apoiar essa relação?
  • Quais funções e responsabilidades de resiliência cibernética foram estabelecidas, integradas e respeitadas em todas as funções de TI, TO e segurança física?
  • Quais são os incentivos existentes para as melhores práticas de garantir ambientes operacionais e de segurança?
  • Como o modelo de governança de resiliência cibernética é avaliado?

Como implementar a governança de resiliência cibernética

Algumas atividades sugeridas para a implementação da governança de resiliência cibernética incluem:

  • Criar um modelo de governança abrangente com a capacidade de gerenciar e supervisionar a resiliência cibernética de TI, TO, segurança física, ambiente de saúde e segurança e transformação digital.
  • Garantir o nível adequado de autoridade e o comando de responsáveis e especialistas no assunto, com a experiência e os recursos necessários ao cumprimento dos deveres de segurança cibernética.
  • Fornecer atualizações regulares em estreita colaboração com diferentes líderes de unidades de negócios em uma frequência adequada para implementação e orçamento de uma estratégia de resiliência cibernética.
  • Promover uma cultura de resiliência cibernética com o compartilhamento das melhores práticas regularmente por meio de exercícios de treinamento e conscientização em toda a organização.

As métricas sugeridas podem incluir:

  • Percentual de funcionários que concluíram com sucesso programas de educação de conscientização sobre segurança cibernética e práticas de higiene cibernética com foco em grupos de alto risco (por exemplo, membros do conselho, diretores executivos e pessoal de TI, engenharia, recursos humanos e finanças).
  • Número de compromissos colaborativos de cibersegurança com unidades de negócios.

Princípio OG2: resiliência por design

O conselho de organizações do setor de OG deve promover uma cultura de segurança e resiliência por design e deve exigir que a gerência implemente padrões e valores semelhantes enquanto documenta o progresso. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Os riscos cibernéticos e as implicações associadas são avaliados, incorporados e gerenciados adequadamente em todos os aspectos do negócio por design?
  • Como a responsabilização entre funções e entre departamentos do gerenciamento de risco cibernético é estabelecida para alcançar a resiliência por design?
  • Como as atividades de gestão de riscos são coordenadas entre os departamentos da organização?
  • Como os riscos cibernéticos diretos e indiretos são gerenciados em atividades contínuas e planejados para novas iniciativas?
  • Como os principais membros do pessoal são informados sobre os impactos e as expectativas de resiliência cibernética de suas funções?

Vamos ver um exemplo.

Uma empresa de petróleo integra o risco de cibersegurança

Tim é membro do conselho de uma empresa petrolífera e trabalha para integrar a segurança cibernética em todos os aspectos da cadeia de valor, desde dispositivos de TI até ativos de energia conectados por sistemas de controle de TO. Para reforçar a importância do risco cibernético, Tim, os outros membros do conselho e o CEO elaboraram e endossaram princípios cibernéticos fundamentais em um memorando que o diretor de operações (COO) e o diretor de informações (CIO) comunicaram à empresa. Com o apoio da diretoria, a equipe foi capaz de fortalecer seu programa de cibersegurança adicionando pessoal e financiamento, além de estabelecer um sistema de governança de segurança cibernética para gerenciar melhor os riscos.

Tim apresenta um plano aos outros membros do conselho para contratar mais pessoal e colocar mais fundos no programa de segurança cibernética

Implementar resiliência por design

As atividades sugeridas para a implementação da resiliência por design incluem:

  • Definir métricas de resiliência cibernética e incentivos apropriados para todas as unidades de negócios a fim de permitir a responsabilização e o compromisso de implementar novos requisitos de resiliência cibernética em suas operações.
  • Estabelecer uma cadência regular de relatórios de resiliência cibernética pelo diretor responsável por risco cibernético e resiliência.
  • Colaborar com unidades de negócios e funções de risco a fim de adaptar a postura de risco cibernético às necessidades dos negócios.
  • Estabelecer um programa de conscientização sobre segurança cibernética adaptado às necessidades de cada unidade de negócios e seus riscos únicos.
  • Equipar pessoal com a capacidade de identificar e gerenciar riscos cibernéticos.
  • Garantir que os recursos de resiliência cibernética, proteção, detecção e resposta sejam integrados às atividades técnicas e de negócios por design.

As métricas sugeridas podem incluir:

  • Percentual de processos de unidades de negócios que adotam e integram práticas de resiliência cibernética por design.
  • Percentual de funcionários que seguem treinamento de resiliência cibernética e conscientização (adaptado a diferentes níveis).
  • Porcentagem de projetos de destaque que servem como um modelo que aborda a resiliência cibernética por design. O termo "destaque" denota que esses projetos podem atuar como faróis para orientar outros que estejam procurando aplicar tecnologias de ponta, como inteligência artificial (IA), e análises avançadas para projetar sistemas cibernéticos resilientes.
  • Tempo médio para detectar, responder e se recuperar de um incidente cibernético crítico que causou falha ou interrupção do sistema.

Princípio OG3: responsabilidade corporativa pela resiliência cibernética

O conselho de organizações do setor de OG deve incentivar a gerência a considerar os riscos cibernéticos da organização e do ecossistema mais amplo, examinar a cultura e as práticas cibernéticas da organização e explorar como gerenciar esses riscos. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Como a gerência vê os riscos cibernéticos que a organização está trazendo ao ecossistema, o possível impacto em cascata e o risco à reputação correspondente?
  • Como os efeitos primários e em cascata dos riscos cibernéticos são avaliados e gerenciados em todos os aspectos do negócio, e como o possível impacto em cascata e o risco à reputação correspondente são avaliados?
  • Como a organização planeja comunicar um possível risco cibernético, vulnerabilidade e incidente introduzidos no ecossistema às partes relevantes?

Vamos ver um exemplo.

Uma empresa de energia e petroquímica muda de cibersegurança para resiliência cibernética

Muitas organizações abrigam diferentes culturas com vários níveis de tolerância ao risco, o que pode ser prejudicial para a implementação de políticas e práticas recomendadas de cibersegurança em toda a empresa. A tolerância ao risco é o preparo da organização ou dos stakeholders para suportar o risco após a implementação de tratamentos de risco para atingir seus objetivos. Os requisitos legais e regulatórios devem levar em conta essa tolerância ao risco para que as organizações ou os stakeholders permaneçam dentro dos limites estabelecidos pelos reguladores.

Com o objetivo de reduzir o impacto potencial dos ataques cibernéticos em uma empresa de energia e petroquímica, Alison, a diretora de segurança da informação (CISO), reconheceu a necessidade de equilibrar os níveis de tolerância ao risco dentro das unidades de negócios com as expectativas dos stakeholders para implementar a resiliência cibernética de forma holística em toda a empresa. O conselho deu suporte a treinamento e conscientização e recursos dedicados para o desenvolvimento da resiliência cibernética da empresa. Ao garantir que Alison tivesse os recursos e apoio adequados, o conselho forneceu os meios para obter aliados na implementação de novas políticas e práticas cibernéticas.

Implementar responsabilidade corporativa pela resiliência cibernética

As atividades sugeridas para a implementação da responsabilidade corporativa pela resiliência cibernética incluem:

  • Colaborar com outros projetos de unidades de negócios e indivíduos que tenham a responsabilidade de integrar a resiliência cibernética em seus processos.
  • Tomar medidas para enfrentar o risco cibernético interno dos parceiros da cadeia logística e do ecossistema global caso a organização sofra um ataque ou violação.
  • Aumentar os planos de continuidade de negócios existentes com medidas de recuperação offline, métodos de comunicação fora da banda e sites de recuperação independentes para cobrir eventos relacionados à segurança cibernética e aumentar a resiliência por design.
  • Estabelecer atividades de plano de colaboração e resiliência em todo o ecossistema.

As métricas sugeridas podem incluir:

  • Número de riscos cibernéticos críticos/altos relacionados a fornecedores/parceiros de negócios por status (aceito, evitado, mitigado, transferido).
  • Número de incidentes cibernéticos detectados/compartilhados dentro do ecossistema e ações em vigor para remediar vulnerabilidades relatadas por trimestre.
  • Frequência de avaliações de orçamento e alocação de recursos, garantindo um reflexo adequado da tolerância ao risco cibernético da organização.
  • Número de cenários de incidentes cibernéticos incluídos nos planos de continuidade de negócios e recuperação de desastres.

Resumo

Nesta unidade, você foi apresentado a como estabelecer um modelo abrangente de governança de segurança cibernética para organizações do setor de OG, aprendendo três dos seis princípios. Você também aprendeu a promover uma cultura de segurança e resiliência por design e a importância de considerar o risco cibernético na organização e no ecossistema mais amplo.

Em seguida, você aprenderá mais sobre como implementar uma abordagem de gestão holística de riscos para resiliência cibernética no setor de OG e as ações que as organizações no setor podem realizar para promover a colaboração.

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback