Skip to main content
Build the future with Agentforce at TDX in San Francisco or on Salesforce+ on March 5–6. Register now.

Descobrir a governança de resiliência cibernética

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Listar os seis princípios do setor de OG que ajudarão os diretores do conselho a reger o risco cibernético.
  • Descrever como estabelecer um modelo abrangente de governança de segurança cibernética para o setor de petróleo e gás (OG).
  • Listar perguntas a se considerar para promover a cultura de segurança e resiliência por design.
  • Explicar por que a gerência deve considerar o risco cibernético para a organização e o ecossistema mais amplo.

Princípios de resiliência cibernética do setor de Petróleo e gás

Os seis princípios a seguir são específicos da indústria de petróleo e gás (OG) e complementam os princípios gerais de resiliência cibernética do Fórum Econômico Mundial (WEF) para enfrentar desafios críticos de resiliência cibernética

  • OG1. Governança de resiliência cibernética
  • OG2. Resiliência por design
  • OG3. Responsabilidade corporativa pela resiliência cibernética
  • OG4. Abordagem de gestão holística de riscos
  • OG5. Colaboração em todo o ecossistema
  • OG6. Planos de resiliência cibernética em todo o ecossistema

Esses princípios para atividades específicas do setor de OG dão aos profissionais de cibersegurança suporte à implementação. Vamos ver esses princípios com mais detalhes.

Princípio OG1: governança de resiliência cibernética

Nota

Antes de estabelecer um modelo abrangente de governança de segurança cibernética, é uma prática recomendada determinar quais dados a organização está protegendo e levar em conta fatores como classificação de dados e essencialidade do processo de negócios. Uma vez feito isso, o próximo passo é desenvolver uma estrutura de governança de segurança cibernética com funções e responsabilidades, missão e visão claras. 

O conselho de organizações do setor de OG deve exigir que a gerência estabeleça um modelo abrangente de governança de segurança cibernética.

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Como o modelo de governança cria uma relação colaborativa entre tecnologia da informação (TI), tecnologia operacional (TO) e funções de segurança física? Que mecanismos eficazes existem para apoiar essa relação?
  • Quais funções e responsabilidades de resiliência cibernética foram estabelecidas, integradas e respeitadas em todas as funções de TI, TO e segurança física?
  • Quais são os incentivos existentes para as melhores práticas de garantir ambientes operacionais e de segurança?
  • Como o modelo de governança de resiliência cibernética é avaliado?

Como implementar a governança de resiliência cibernética

Algumas atividades sugeridas para a implementação da governança de resiliência cibernética incluem:

  • Criar um modelo de governança abrangente com a capacidade de gerenciar e supervisionar a resiliência cibernética de TI, TO, segurança física, ambiente de saúde e segurança e transformação digital.
  • Garantir o nível adequado de autoridade e o comando de responsáveis e especialistas no assunto, com a experiência e os recursos necessários ao cumprimento dos deveres de segurança cibernética.
  • Fornecer atualizações regulares em estreita colaboração com diferentes líderes de unidades de negócios em uma frequência adequada para implementação e orçamento de uma estratégia de resiliência cibernética.
  • Promover uma cultura de resiliência cibernética com o compartilhamento das melhores práticas regularmente por meio de exercícios de treinamento e conscientização em toda a organização.

As métricas sugeridas podem incluir:

  • Percentual de funcionários que concluíram com sucesso programas de educação de conscientização sobre segurança cibernética e práticas de higiene cibernética com foco em grupos de alto risco (por exemplo, membros do conselho, diretores executivos e pessoal de TI, engenharia, recursos humanos e finanças).
  • Número de compromissos colaborativos de cibersegurança com unidades de negócios.

Princípio OG2: resiliência por design

O conselho de organizações do setor de OG deve promover uma cultura de segurança e resiliência por design e deve exigir que a gerência implemente padrões e valores semelhantes enquanto documenta o progresso. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Os riscos cibernéticos e as implicações associadas são avaliados, incorporados e gerenciados adequadamente em todos os aspectos do negócio por design?
  • Como a responsabilização entre funções e entre departamentos do gerenciamento de risco cibernético é estabelecida para alcançar a resiliência por design?
  • Como as atividades de gestão de riscos são coordenadas entre os departamentos da organização?
  • Como os riscos cibernéticos diretos e indiretos são gerenciados em atividades contínuas e planejados para novas iniciativas?
  • Como os principais membros do pessoal são informados sobre os impactos e as expectativas de resiliência cibernética de suas funções?

Vamos ver um exemplo.

Uma empresa de petróleo integra o risco de cibersegurança

Tim é membro do conselho de uma empresa petrolífera e trabalha para integrar a segurança cibernética em todos os aspectos da cadeia de valor, desde dispositivos de TI até ativos de energia conectados por sistemas de controle de TO. Para reforçar a importância do risco cibernético, Tim, os outros membros do conselho e o CEO elaboraram e endossaram princípios cibernéticos fundamentais em um memorando que o diretor de operações (COO) e o diretor de informações (CIO) comunicaram à empresa. Com o apoio da diretoria, a equipe foi capaz de fortalecer seu programa de cibersegurança adicionando pessoal e financiamento, além de estabelecer um sistema de governança de segurança cibernética para gerenciar melhor os riscos.

Tim apresenta um plano aos outros membros do conselho para contratar mais pessoal e colocar mais fundos no programa de segurança cibernética

Implementar resiliência por design

As atividades sugeridas para a implementação da resiliência por design incluem:

  • Definir métricas de resiliência cibernética e incentivos apropriados para todas as unidades de negócios a fim de permitir a responsabilização e o compromisso de implementar novos requisitos de resiliência cibernética em suas operações.
  • Estabelecer uma cadência regular de relatórios de resiliência cibernética pelo diretor responsável por risco cibernético e resiliência.
  • Colaborar com unidades de negócios e funções de risco a fim de adaptar a postura de risco cibernético às necessidades dos negócios.
  • Estabelecer um programa de conscientização sobre segurança cibernética adaptado às necessidades de cada unidade de negócios e seus riscos únicos.
  • Equipar pessoal com a capacidade de identificar e gerenciar riscos cibernéticos.
  • Garantir que os recursos de resiliência cibernética, proteção, detecção e resposta sejam integrados às atividades técnicas e de negócios por design.

As métricas sugeridas podem incluir:

  • Percentual de processos de unidades de negócios que adotam e integram práticas de resiliência cibernética por design.
  • Percentual de funcionários que seguem treinamento de resiliência cibernética e conscientização (adaptado a diferentes níveis).
  • Porcentagem de projetos de destaque que servem como um modelo que aborda a resiliência cibernética por design. O termo "destaque" denota que esses projetos podem atuar como faróis para orientar outros que estejam procurando aplicar tecnologias de ponta, como inteligência artificial (IA), e análises avançadas para projetar sistemas cibernéticos resilientes.
  • Tempo médio para detectar, responder e se recuperar de um incidente cibernético crítico que causou falha ou interrupção do sistema.

Princípio OG3: responsabilidade corporativa pela resiliência cibernética

O conselho de organizações do setor de OG deve incentivar a gerência a considerar os riscos cibernéticos da organização e do ecossistema mais amplo, examinar a cultura e as práticas cibernéticas da organização e explorar como gerenciar esses riscos. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Como a gerência vê os riscos cibernéticos que a organização está trazendo ao ecossistema, o possível impacto em cascata e o risco à reputação correspondente?
  • Como os efeitos primários e em cascata dos riscos cibernéticos são avaliados e gerenciados em todos os aspectos do negócio, e como o possível impacto em cascata e o risco à reputação correspondente são avaliados?
  • Como a organização planeja comunicar um possível risco cibernético, vulnerabilidade e incidente introduzidos no ecossistema às partes relevantes?

Vamos ver um exemplo.

Uma empresa de energia e petroquímica muda de cibersegurança para resiliência cibernética

Muitas organizações abrigam diferentes culturas com vários níveis de tolerância ao risco, o que pode ser prejudicial para a implementação de políticas e práticas recomendadas de cibersegurança em toda a empresa. A tolerância ao risco é o preparo da organização ou dos stakeholders para suportar o risco após a implementação de tratamentos de risco para atingir seus objetivos. Os requisitos legais e regulatórios devem levar em conta essa tolerância ao risco para que as organizações ou os stakeholders permaneçam dentro dos limites estabelecidos pelos reguladores.

Com o objetivo de reduzir o impacto potencial dos ataques cibernéticos em uma empresa de energia e petroquímica, Alison, a diretora de segurança da informação (CISO), reconheceu a necessidade de equilibrar os níveis de tolerância ao risco dentro das unidades de negócios com as expectativas dos stakeholders para implementar a resiliência cibernética de forma holística em toda a empresa. O conselho deu suporte a treinamento e conscientização e recursos dedicados para o desenvolvimento da resiliência cibernética da empresa. Ao garantir que Alison tivesse os recursos e apoio adequados, o conselho forneceu os meios para obter aliados na implementação de novas políticas e práticas cibernéticas.

Implementar responsabilidade corporativa pela resiliência cibernética

As atividades sugeridas para a implementação da responsabilidade corporativa pela resiliência cibernética incluem:

  • Colaborar com outros projetos de unidades de negócios e indivíduos que tenham a responsabilidade de integrar a resiliência cibernética em seus processos.
  • Tomar medidas para enfrentar o risco cibernético interno dos parceiros da cadeia logística e do ecossistema global caso a organização sofra um ataque ou violação.
  • Aumentar os planos de continuidade de negócios existentes com medidas de recuperação offline, métodos de comunicação fora da banda e sites de recuperação independentes para cobrir eventos relacionados à segurança cibernética e aumentar a resiliência por design.
  • Estabelecer atividades de plano de colaboração e resiliência em todo o ecossistema.

As métricas sugeridas podem incluir:

  • Número de riscos cibernéticos críticos/altos relacionados a fornecedores/parceiros de negócios por status (aceito, evitado, mitigado, transferido).
  • Número de incidentes cibernéticos detectados/compartilhados dentro do ecossistema e ações em vigor para remediar vulnerabilidades relatadas por trimestre.
  • Frequência de avaliações de orçamento e alocação de recursos, garantindo um reflexo adequado da tolerância ao risco cibernético da organização.
  • Número de cenários de incidentes cibernéticos incluídos nos planos de continuidade de negócios e recuperação de desastres.

Resumo

Nesta unidade, você foi apresentado a como estabelecer um modelo abrangente de governança de segurança cibernética para organizações do setor de OG, aprendendo três dos seis princípios. Você também aprendeu a promover uma cultura de segurança e resiliência por design e a importância de considerar o risco cibernético na organização e no ecossistema mais amplo.

Em seguida, você aprenderá mais sobre como implementar uma abordagem de gestão holística de riscos para resiliência cibernética no setor de OG e as ações que as organizações no setor podem realizar para promover a colaboração.

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback