Descobrir a governança de resiliência cibernética
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Listar os seis princípios do setor de OG que ajudarão os diretores do conselho a reger o risco cibernético.
- Descrever como estabelecer um modelo abrangente de governança de segurança cibernética para o setor de petróleo e gás (OG).
- Listar perguntas a se considerar para promover a cultura de segurança e resiliência por design.
- Explicar por que a gerência deve considerar o risco cibernético para a organização e o ecossistema mais amplo.
Princípios de resiliência cibernética do setor de Petróleo e gás
Os seis princípios a seguir são específicos da indústria de petróleo e gás (OG) e complementam os princípios gerais de resiliência cibernética do Fórum Econômico Mundial (WEF) para enfrentar desafios críticos de resiliência cibernética.
- OG1. Governança de resiliência cibernética
- OG2. Resiliência por design
- OG3. Responsabilidade corporativa pela resiliência cibernética
- OG4. Abordagem de gestão holística de riscos
- OG5. Colaboração em todo o ecossistema
- OG6. Planos de resiliência cibernética em todo o ecossistema
Esses princípios para atividades específicas do setor de OG dão aos profissionais de cibersegurança suporte à implementação. Vamos ver esses princípios com mais detalhes.
Princípio OG1: governança de resiliência cibernética
Antes de estabelecer um modelo abrangente de governança de segurança cibernética, é uma prática recomendada determinar quais dados a organização está protegendo e levar em conta fatores como classificação de dados e essencialidade do processo de negócios. Uma vez feito isso, o próximo passo é desenvolver uma estrutura de governança de segurança cibernética com funções e responsabilidades, missão e visão claras.
O conselho de organizações do setor de OG deve exigir que a gerência estabeleça um modelo abrangente de governança de segurança cibernética.
Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.
- Como o modelo de governança cria uma relação colaborativa entre tecnologia da informação (TI), tecnologia operacional (TO) e funções de segurança física? Que mecanismos eficazes existem para apoiar essa relação?
- Quais funções e responsabilidades de resiliência cibernética foram estabelecidas, integradas e respeitadas em todas as funções de TI, TO e segurança física?
- Quais são os incentivos existentes para as melhores práticas de garantir ambientes operacionais e de segurança?
- Como o modelo de governança de resiliência cibernética é avaliado?
Como implementar a governança de resiliência cibernética
Algumas atividades sugeridas para a implementação da governança de resiliência cibernética incluem:
- Criar um modelo de governança abrangente com a capacidade de gerenciar e supervisionar a resiliência cibernética de TI, TO, segurança física, ambiente de saúde e segurança e transformação digital.
- Garantir o nível adequado de autoridade e o comando de responsáveis e especialistas no assunto, com a experiência e os recursos necessários ao cumprimento dos deveres de segurança cibernética.
- Fornecer atualizações regulares em estreita colaboração com diferentes líderes de unidades de negócios em uma frequência adequada para implementação e orçamento de uma estratégia de resiliência cibernética.
- Promover uma cultura de resiliência cibernética com o compartilhamento das melhores práticas regularmente por meio de exercícios de treinamento e conscientização em toda a organização.
As métricas sugeridas podem incluir:
- Percentual de funcionários que concluíram com sucesso programas de educação de conscientização sobre segurança cibernética e práticas de higiene cibernética com foco em grupos de alto risco (por exemplo, membros do conselho, diretores executivos e pessoal de TI, engenharia, recursos humanos e finanças).
- Número de compromissos colaborativos de cibersegurança com unidades de negócios.
Princípio OG2: resiliência por design
O conselho de organizações do setor de OG deve promover uma cultura de segurança e resiliência por design e deve exigir que a gerência implemente padrões e valores semelhantes enquanto documenta o progresso.
Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.
- Os riscos cibernéticos e as implicações associadas são avaliados, incorporados e gerenciados adequadamente em todos os aspectos do negócio por design?
- Como a responsabilização entre funções e entre departamentos do gerenciamento de risco cibernético é estabelecida para alcançar a resiliência por design?
- Como as atividades de gestão de riscos são coordenadas entre os departamentos da organização?
- Como os riscos cibernéticos diretos e indiretos são gerenciados em atividades contínuas e planejados para novas iniciativas?
- Como os principais membros do pessoal são informados sobre os impactos e as expectativas de resiliência cibernética de suas funções?
Vamos ver um exemplo.
Uma empresa de petróleo integra o risco de cibersegurança
Tim é membro do conselho de uma empresa petrolífera e trabalha para integrar a segurança cibernética em todos os aspectos da cadeia de valor, desde dispositivos de TI até ativos de energia conectados por sistemas de controle de TO. Para reforçar a importância do risco cibernético, Tim, os outros membros do conselho e o CEO elaboraram e endossaram princípios cibernéticos fundamentais em um memorando que o diretor de operações (COO) e o diretor de informações (CIO) comunicaram à empresa. Com o apoio da diretoria, a equipe foi capaz de fortalecer seu programa de cibersegurança adicionando pessoal e financiamento, além de estabelecer um sistema de governança de segurança cibernética para gerenciar melhor os riscos.
Implementar resiliência por design
As atividades sugeridas para a implementação da resiliência por design incluem:
- Definir métricas de resiliência cibernética e incentivos apropriados para todas as unidades de negócios a fim de permitir a responsabilização e o compromisso de implementar novos requisitos de resiliência cibernética em suas operações.
- Estabelecer uma cadência regular de relatórios de resiliência cibernética pelo diretor responsável por risco cibernético e resiliência.
- Colaborar com unidades de negócios e funções de risco a fim de adaptar a postura de risco cibernético às necessidades dos negócios.
- Estabelecer um programa de conscientização sobre segurança cibernética adaptado às necessidades de cada unidade de negócios e seus riscos únicos.
- Equipar pessoal com a capacidade de identificar e gerenciar riscos cibernéticos.
- Garantir que os recursos de resiliência cibernética, proteção, detecção e resposta sejam integrados às atividades técnicas e de negócios por design.
As métricas sugeridas podem incluir:
- Percentual de processos de unidades de negócios que adotam e integram práticas de resiliência cibernética por design.
- Percentual de funcionários que seguem treinamento de resiliência cibernética e conscientização (adaptado a diferentes níveis).
- Porcentagem de projetos de destaque que servem como um modelo que aborda a resiliência cibernética por design. O termo "destaque" denota que esses projetos podem atuar como faróis para orientar outros que estejam procurando aplicar tecnologias de ponta, como inteligência artificial (IA), e análises avançadas para projetar sistemas cibernéticos resilientes.
- Tempo médio para detectar, responder e se recuperar de um incidente cibernético crítico que causou falha ou interrupção do sistema.
Princípio OG3: responsabilidade corporativa pela resiliência cibernética
O conselho de organizações do setor de OG deve incentivar a gerência a considerar os riscos cibernéticos da organização e do ecossistema mais amplo, examinar a cultura e as práticas cibernéticas da organização e explorar como gerenciar esses riscos.
Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.
- Como a gerência vê os riscos cibernéticos que a organização está trazendo ao ecossistema, o possível impacto em cascata e o risco à reputação correspondente?
- Como os efeitos primários e em cascata dos riscos cibernéticos são avaliados e gerenciados em todos os aspectos do negócio, e como o possível impacto em cascata e o risco à reputação correspondente são avaliados?
- Como a organização planeja comunicar um possível risco cibernético, vulnerabilidade e incidente introduzidos no ecossistema às partes relevantes?
Vamos ver um exemplo.
Uma empresa de energia e petroquímica muda de cibersegurança para resiliência cibernética
Muitas organizações abrigam diferentes culturas com vários níveis de tolerância ao risco, o que pode ser prejudicial para a implementação de políticas e práticas recomendadas de cibersegurança em toda a empresa. A tolerância ao risco é o preparo da organização ou dos stakeholders para suportar o risco após a implementação de tratamentos de risco para atingir seus objetivos. Os requisitos legais e regulatórios devem levar em conta essa tolerância ao risco para que as organizações ou os stakeholders permaneçam dentro dos limites estabelecidos pelos reguladores.
Com o objetivo de reduzir o impacto potencial dos ataques cibernéticos em uma empresa de energia e petroquímica, Alison, a diretora de segurança da informação (CISO), reconheceu a necessidade de equilibrar os níveis de tolerância ao risco dentro das unidades de negócios com as expectativas dos stakeholders para implementar a resiliência cibernética de forma holística em toda a empresa. O conselho deu suporte a treinamento e conscientização e recursos dedicados para o desenvolvimento da resiliência cibernética da empresa. Ao garantir que Alison tivesse os recursos e apoio adequados, o conselho forneceu os meios para obter aliados na implementação de novas políticas e práticas cibernéticas.
Implementar responsabilidade corporativa pela resiliência cibernética
As atividades sugeridas para a implementação da responsabilidade corporativa pela resiliência cibernética incluem:
- Colaborar com outros projetos de unidades de negócios e indivíduos que tenham a responsabilidade de integrar a resiliência cibernética em seus processos.
- Tomar medidas para enfrentar o risco cibernético interno dos parceiros da cadeia logística e do ecossistema global caso a organização sofra um ataque ou violação.
- Aumentar os planos de continuidade de negócios existentes com medidas de recuperação offline, métodos de comunicação fora da banda e sites de recuperação independentes para cobrir eventos relacionados à segurança cibernética e aumentar a resiliência por design.
- Estabelecer atividades de plano de colaboração e resiliência em todo o ecossistema.
As métricas sugeridas podem incluir:
- Número de riscos cibernéticos críticos/altos relacionados a fornecedores/parceiros de negócios por status (aceito, evitado, mitigado, transferido).
- Número de incidentes cibernéticos detectados/compartilhados dentro do ecossistema e ações em vigor para remediar vulnerabilidades relatadas por trimestre.
- Frequência de avaliações de orçamento e alocação de recursos, garantindo um reflexo adequado da tolerância ao risco cibernético da organização.
- Número de cenários de incidentes cibernéticos incluídos nos planos de continuidade de negócios e recuperação de desastres.
Resumo
Nesta unidade, você foi apresentado a como estabelecer um modelo abrangente de governança de segurança cibernética para organizações do setor de OG, aprendendo três dos seis princípios. Você também aprendeu a promover uma cultura de segurança e resiliência por design e a importância de considerar o risco cibernético na organização e no ecossistema mais amplo.
Em seguida, você aprenderá mais sobre como implementar uma abordagem de gestão holística de riscos para resiliência cibernética no setor de OG e as ações que as organizações no setor podem realizar para promover a colaboração.
Recursos
-
Site externo: FEM: Documentos técnicos: Avanço da resiliência cibernética: princípios e ferramentas para conselhos
-
PDF: FEM: Relatório de insights: Princípios de governança do conselho para risco cibernético