Skip to main content

Estabelecer uma cultura de gestão de riscos

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Listar perguntas a se considerar na implementação de uma abordagem holística de gerenciamento de riscos.
  • Identificar ações para fomentar a colaboração.
  • Descrever como criar planos de resiliência cibernética em todo o ecossistema.

Vamos continuar explorando os princípios de resiliência cibernética do Fórum Econômico Mundial (WEF) para a indústria de Petróleo e gás (OG).

Princípio OG4: gestão holística de riscos

O conselho de organizações do setor de OG deve gerenciar riscos cibernéticos em todo o ecossistema de OG e providenciar os devidos mandatos, fundos, recursos e responsabilidades para programas de resiliência cibernética. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações:

  • Quais riscos as partes internas e externas representam para a organização?
  • Quais recursos financeiros e de pessoal são suficientes para alcançar os objetivos de gerenciamento holístico de riscos de segurança cibernética adequado?
  • Como a abordagem atual de gerenciamento de riscos incorpora riscos cibernéticos da cadeia logística?

Implementar uma abordagem holística de gerenciamento de riscos

As atividades sugeridas para a implementação da gestão holística de riscos incluem:

As métricas sugeridas podem incluir:

  • Percentual de fornecedores estratégicos e parceiros avaliados (due diligence de resiliência cibernética) e com cláusulas de segurança embutidas em seu contrato.
  • Número de riscos sistêmicos críticos (que afetam a indústria como um todo) cobertos pela análise de risco da organização.
  • Frequência de avaliações de risco (o processo geral de identificação, análise e avaliação de riscos) realizadas em ativos, funções, fornecedores e parceiros críticos, por exemplo, com base em informações de análise de impacto nos negócios.
  • Número de ativos críticos cobertos pelo processo de gerenciamento de riscos.

Vamos ver um exemplo

Um processo escalável sobre aceitação de riscos cibernéticos

Carolyn é uma diretora corporativa de uma empresa de serviços de campo de petróleo; sua abordagem é documentar o gerenciamento de riscos cibernéticos e tratar as ameaças cibernéticas como um risco para as operações de negócios. Para garantir que a segurança cibernética seja uma prioridade máxima, Carolyn lidera as avaliações internas e de segurança dos fornecedores como parte do processo de aquisição e construção da empresa. 

Esse processo tem quatro etapas distintas: solicitar, avaliar, aprovar e acompanhar. Quando um pedido é feito, a equipe de Carolyn realiza uma avaliação baseada em riscos com base em uma biblioteca de controles estável, repetível e escalável, levando em conta fatores como classificação de dados e essencialidade do processo de negócios. O processo requer, então, aprovação dos departamentos comercial, jurídico e de tecnologia da informação (TI), com níveis definidos de acordo com o grau de risco. 

Finalmente, Carolyn usa relatórios executivos regulares para rastrear ameaças cibernéticas, incluindo correções. Esse processo repetível e escalável garante a aplicação consistente de controles baseados em riscos com responsabilidades claramente designadas de avaliação de riscos e responsabilização por risco multifuncional.

Princípio OG5: colaboração em todo o ecossistema

O conselho de organizações do setor de OG deve capacitar sua equipe de gerência a criar uma cultura de colaboração para a devida supervisão, monitoramento e controle dos riscos em todo o ecossistema. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Como a organização se envolve com plataformas de colaboração e grupos de ação de resiliência cibernética?
  • Que plano de ação de resiliência cibernética cobre os ecossistemas da organização?
  • Como as lições aprendidas com as atividades de colaboração são usadas para fortalecer as práticas de resiliência cibernética da organização e do ecossistema e como elas estão permitindo novas oportunidades?

Vamos ver um exemplo.

Como estabelecer uma abordagem em todo o ecossistema 

Gregory é o chefe de TI de uma empresa de energia cujo ecossistema disperso conta com diferentes organizações, parcerias e joint ventures nos negócios upstream a downstream. Cada parte do ecossistema traz suas próprias normas ambientais operacionais e abordagens diversas à segurança cibernética, o que pode ser difícil de gerenciar. 

Para reduzir o risco cibernético, Gregory lançou uma iniciativa que visa reduzir a distância entre esses diferentes ambientes operacionais e conectar as equipes upstream e downstream de tecnologia operacional (TO). O grupo de TI financiou uma equipe centralizada para garantir práticas e abordagens comuns ao risco cibernético, implementou uma infraestrutura padrão e ferramentas consistentes de inventário de ativos e alinhou os processos para monitorar continuamente o ambiente de TO. 

Por meio dessa equipe centralizada, a empresa de Gregory pode melhorar continuamente os controles e planos coletivos de resiliência cibernética entre organizações parceiras upstream e downstream.

Um dispositivo de perfuração a montante e barris de petróleo a jusante com uma seta arqueada conectando-os, e um escudo com uma marca de seleção sobre a seta

Essa metodologia equilibra a preparação e a proteção, melhorando os recursos de monitoramento e resposta. A colaboração e o alinhamento na adoção de abordagens e controles unificados melhora o monitoramento e a visibilidade do ambiente de TO, o que reduz o tempo de detecção e resposta dos controles de versão e patches de software de TI/TO de alguns dias para minutos.

Implementar a colaboração em todo o ecossistema

As atividades sugeridas para a implementação dos princípios da colaboração em todo o ecossistema para os conselhos incluem:

  • Colaborar com parceiros do ecossistema para desenvolver, melhorar e adotar abordagens unificadas embasadas em estruturas, padrões e ferramentas do setor.
  • Envolver-se e informar sobre a interação com legisladores e organizações de padrões globais para facilitar a colaboração em todo o ecossistema.
  • Engajar ou liderar comunidades e iniciativas de resiliência cibernética (sob a gestão de organizações do setor, nacionais ou internacionais) que incentivam o compartilhamento de informações, fortalecem a colaboração em todo o ecossistema e impulsionam ações coletivas.
  • Colaborar com os stakeholders do ecossistema e participar ativamente de organismos de compartilhamento de informações sobre segurança cibernética em todo o sistema sobre temas de segurança cibernética, por exemplo, o Centro de Compartilhamento e Análise de Informações sobre Petróleo e Gás Natural (ONG-ISAC), o Centro de Compartilhamento e Análise de Informações sobre Tecnologia Operacional (OT-ISAC), o American Petroleum Institute (API), a Agência Europeia de Segurança Cibernética (ENISA), etc.

As métricas sugeridas podem incluir:

  • Frequência de eventos e compromissos com colegas do ecossistema e do setor.
  • Frequência de reuniões com autoridades de segurança e especialistas em resposta cibernética, incluindo legisladores, funcionários de segurança nacional e inteligência e especialistas em resposta cibernética e jurídicos do setor privado.
  • Número de relatórios e briefings sobre inteligência contra ameaças trocados com colegas em todo o ecossistema.

Princípio OG6: planos de resiliência cibernética em todo o ecossistema

O conselho de organizações do setor de OG deve incentivar a gerência a criar, implementar, testar e melhorar planos e controles coletivos de resiliência cibernética com outros membros do ecossistema. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Que dados ou informações você precisa proteger? Quais atividades estão incluídas no plano de resiliência cibernética? Como o plano abrange o ecossistema da organização, incluindo resposta a incidentes, comunicações, continuidade de negócios e recuperação de desastres? O plano é testado adequadamente com a devida regularidade?
  • Quais plataformas de colaboração devem ter apoio de conselhos e equipes de gestão para defender a elaboração de planos de resiliência coletiva?
  • Como os planos de resiliência coletiva refletem e equilibram a preparação com a resposta e a recuperação em todo o ecossistema?

Vamos ver um exemplo.

Uma empresa de energia ajuda a proteger a cadeia de valor

Rebecca é membro do conselho de uma empresa de energia. Ela apoiou uma iniciativa na qual sua empresa fez parceria com um centro de pesquisa dedicado à segurança da informação para realizar uma pesquisa com executivos e gerentes do setor em empresas globais de OG a fim de avaliar a preparação de segurança cibernética das empresas. Os resultados da pesquisa mostraram que, em todo o setor, a maioria das organizações tem dificuldade em contratar pessoal de cibersegurança com profundo conhecimento sobre ativos de energia conectados à TO necessários para identificar e lidar com ataques cibernéticos antes que ocorram.

A empresa de Rebecca reconheceu que uma maneira de melhorar a segurança cibernética de todas as empresas de OG é garantir que organizações de pequeno e médio porte possam acessar soluções avançadas de monitoramento e detecção de inteligência artificial (IA), o que ajuda a fortalecer os elos mais fracos contra ataques cibernéticos no ecossistema digital. Ao combinar tecnologias interoperáveis e de IA que independem do fabricante e aproveitar eficientemente a experiência humana nativa de TO, as pequenas e médias empresas de energia podem ter acesso a recursos de monitoramento, detecção e prevenção de ataques cibernéticos, um nível de proteção anteriormente alcançado apenas internamente em empresas com orçamentos adequados.

Implementar planos de resiliência cibernética em todo o ecossistema

As atividades sugeridas para a implementação dos princípios de planos de resiliência cibernética em todo o ecossistema incluem:

  • Desenvolver um plano de resiliência cibernética como uma das prioridades estratégicas da organização, em estreita colaboração com todos os líderes de funções e unidades, e incorporar explicitamente o papel do conselho.
  • Definir uma cadência regular de relatórios sobre planos de resiliência cibernética, incluindo atualizações críticas, frequência de testes e resultados.
  • Fazer exercícios regulares de cibersegurança e testes sobre resiliência cibernética que incluem falha sistêmica e posterior recuperação como componente ou foco do exercício.
  • Verificar se a estratégia e o programa de cibersegurança estão ligados a fontes internas e externas, à gestão de incidentes e aos recursos de resposta e recuperação (do ponto de vista de pessoas, processos e tecnologia).

As métricas sugeridas podem incluir:

  • Número de testes realizados e medidas corretivas adotadas.
  • Número de horas de interrupção ou ruptura de serviços essenciais de negócios, incluindo impactos financeiros das interrupções.
  • Percentual de ações essenciais abertas e ações fechadas resultantes de exercícios de preparação de segurança cibernética, incluindo testes de falha sistêmica como componente ou foco dos exercícios.
  • Percentual de sistemas críticos que implementaram e testaram com sucesso planos de contingência e recuperação de desastres no trimestre.

Resumo

Nesta unidade, você foi apresentado ao processo de implementar uma abordagem de gerenciamento holístico de riscos no setor de OG. Você também aprendeu a promover a colaboração em todo o ecossistema e a importância de criar planos de resiliência cibernética em todo o ecossistema. 

Em seguida, você aprenderá mais sobre como operacionalizar os princípios para a resiliência cibernética no setor de OG e as ações que as organizações do setor podem realizar para permitir a adoção de novas políticas e princípios cibernéticos. 

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback