Estabelecer uma cultura de gestão de riscos

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

• Listar perguntas a se considerar na implementação de uma abordagem holística de gerenciamento de riscos.
  
• Identificar ações para fomentar a colaboração.
  
• Descrever como criar planos de resiliência cibernética em todo o ecossistema.
  

Vamos continuar explorando os princípios de resiliência cibernética do Fórum Econômico Mundial (WEF) para a indústria de Petróleo e gás (OG).

Princípio OG4: gestão holística de riscos

O conselho de organizações do setor de OG deve gerenciar riscos cibernéticos em todo o ecossistema de OG e providenciar os devidos mandatos, fundos, recursos e responsabilidades para programas de resiliência cibernética. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações:

• Quais riscos as partes internas e externas representam para a organização?
  
• Quais recursos financeiros e de pessoal são suficientes para alcançar os objetivos de gerenciamento holístico de riscos de segurança cibernética adequado?
  
• Como a abordagem atual de gerenciamento de riscos incorpora riscos cibernéticos da cadeia logística?
  

Implementar uma abordagem holística de gerenciamento de riscos

As atividades sugeridas para a implementação da gestão holística de riscos incluem:

• Identificar riscos cibernéticos encontrados dentro da cadeia logística e de valor e trabalhar com parceiros relevantes para mitigar suas vulnerabilidades.
  
• Definir e quantificar a tolerância ao risco cibernético em colaboração com outras unidades de negócios.
  
• Fazer uma revisão das dependências da cadeia logística e de valor e identificar pontos cegos e altos riscos relacionados a ameaças cibernéticas.
  
• Garantir que as ações e ferramentas de gerenciamento de riscos sigam uma abordagem holística consistente adotada e aceita em todo o ecossistema (por exemplo, avaliações de segurança, questionários e auditorias).
  
• Adotar uma estrutura de risco comum reconhecida pelo setor, como a série ISO/IEC (Organização internacional para a padronização e a Comissão Eletrotécnica Internacional) 27000, a CSF (Estrutura de cibersegurança) do National Institute of Standards and Technology (NIST) ou o Modelo de maturidade da capacidade de segurança (C2M2).
  

As métricas sugeridas podem incluir:

• Percentual de fornecedores estratégicos e parceiros avaliados (due diligence de resiliência cibernética) e com cláusulas de segurança embutidas em seu contrato.
  
• Número de riscos sistêmicos críticos (que afetam a indústria como um todo) cobertos pela análise de risco da organização.
  
• Frequência de avaliações de risco (o processo geral de identificação, análise e avaliação de riscos) realizadas em ativos, funções, fornecedores e parceiros críticos, por exemplo, com base em informações de análise de impacto nos negócios.
  
• Número de ativos críticos cobertos pelo processo de gerenciamento de riscos.
  

Vamos ver um exemplo

Um processo escalável sobre aceitação de riscos cibernéticos

Carolyn é uma diretora corporativa de uma empresa de serviços de campo de petróleo; sua abordagem é documentar o gerenciamento de riscos cibernéticos e tratar as ameaças cibernéticas como um risco para as operações de negócios. Para garantir que a segurança cibernética seja uma prioridade máxima, Carolyn lidera as avaliações internas e de segurança dos fornecedores como parte do processo de aquisição e construção da empresa. 

Esse processo tem quatro etapas distintas: solicitar, avaliar, aprovar e acompanhar. Quando um pedido é feito, a equipe de Carolyn realiza uma avaliação baseada em riscos com base em uma biblioteca de controles estável, repetível e escalável, levando em conta fatores como classificação de dados e essencialidade do processo de negócios. O processo requer, então, aprovação dos departamentos comercial, jurídico e de tecnologia da informação (TI), com níveis definidos de acordo com o grau de risco. 

Finalmente, Carolyn usa relatórios executivos regulares para rastrear ameaças cibernéticas, incluindo correções. Esse processo repetível e escalável garante a aplicação consistente de controles baseados em riscos com responsabilidades claramente designadas de avaliação de riscos e responsabilização por risco multifuncional.

Princípio OG5: colaboração em todo o ecossistema

O conselho de organizações do setor de OG deve capacitar sua equipe de gerência a criar uma cultura de colaboração para a devida supervisão, monitoramento e controle dos riscos em todo o ecossistema. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

• Como a organização se envolve com plataformas de colaboração e grupos de ação de resiliência cibernética?
  
• Que plano de ação de resiliência cibernética cobre os ecossistemas da organização?
  
• Como as lições aprendidas com as atividades de colaboração são usadas para fortalecer as práticas de resiliência cibernética da organização e do ecossistema e como elas estão permitindo novas oportunidades?
  

Vamos ver um exemplo.

Como estabelecer uma abordagem em todo o ecossistema 

Gregory é o chefe de TI de uma empresa de energia cujo ecossistema disperso conta com diferentes organizações, parcerias e joint ventures nos negócios upstream a downstream. Cada parte do ecossistema traz suas próprias normas ambientais operacionais e abordagens diversas à segurança cibernética, o que pode ser difícil de gerenciar. 

Para reduzir o risco cibernético, Gregory lançou uma iniciativa que visa reduzir a distância entre esses diferentes ambientes operacionais e conectar as equipes upstream e downstream de tecnologia operacional (TO). O grupo de TI financiou uma equipe centralizada para garantir práticas e abordagens comuns ao risco cibernético, implementou uma infraestrutura padrão e ferramentas consistentes de inventário de ativos e alinhou os processos para monitorar continuamente o ambiente de TO. 

Por meio dessa equipe centralizada, a empresa de Gregory pode melhorar continuamente os controles e planos coletivos de resiliência cibernética entre organizações parceiras upstream e downstream.

Essa metodologia equilibra a preparação e a proteção, melhorando os recursos de monitoramento e resposta. A colaboração e o alinhamento na adoção de abordagens e controles unificados melhora o monitoramento e a visibilidade do ambiente de TO, o que reduz o tempo de detecção e resposta dos controles de versão e patches de software de TI/TO de alguns dias para minutos.

Implementar a colaboração em todo o ecossistema

As atividades sugeridas para a implementação dos princípios da colaboração em todo o ecossistema para os conselhos incluem:

• Colaborar com parceiros do ecossistema para desenvolver, melhorar e adotar abordagens unificadas embasadas em estruturas, padrões e ferramentas do setor.
  
• Envolver-se e informar sobre a interação com legisladores e organizações de padrões globais para facilitar a colaboração em todo o ecossistema.
  
• Engajar ou liderar comunidades e iniciativas de resiliência cibernética (sob a gestão de organizações do setor, nacionais ou internacionais) que incentivam o compartilhamento de informações, fortalecem a colaboração em todo o ecossistema e impulsionam ações coletivas.
  
• Colaborar com os stakeholders do ecossistema e participar ativamente de organismos de compartilhamento de informações sobre segurança cibernética em todo o sistema sobre temas de segurança cibernética, por exemplo, o Centro de Compartilhamento e Análise de Informações sobre Petróleo e Gás Natural (ONG-ISAC), o Centro de Compartilhamento e Análise de Informações sobre Tecnologia Operacional (OT-ISAC), o American Petroleum Institute (API), a Agência Europeia de Segurança Cibernética (ENISA), etc.
  

As métricas sugeridas podem incluir:

• Frequência de eventos e compromissos com colegas do ecossistema e do setor.
  
• Frequência de reuniões com autoridades de segurança e especialistas em resposta cibernética, incluindo legisladores, funcionários de segurança nacional e inteligência e especialistas em resposta cibernética e jurídicos do setor privado.
  
• Número de relatórios e briefings sobre inteligência contra ameaças trocados com colegas em todo o ecossistema.
  

Princípio OG6: planos de resiliência cibernética em todo o ecossistema

O conselho de organizações do setor de OG deve incentivar a gerência a criar, implementar, testar e melhorar planos e controles coletivos de resiliência cibernética com outros membros do ecossistema. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

• Que dados ou informações você precisa proteger? Quais atividades estão incluídas no plano de resiliência cibernética? Como o plano abrange o ecossistema da organização, incluindo resposta a incidentes, comunicações, continuidade de negócios e recuperação de desastres? O plano é testado adequadamente com a devida regularidade?
  
• Quais plataformas de colaboração devem ter apoio de conselhos e equipes de gestão para defender a elaboração de planos de resiliência coletiva?
  
• Como os planos de resiliência coletiva refletem e equilibram a preparação com a resposta e a recuperação em todo o ecossistema?
  

Vamos ver um exemplo.

Uma empresa de energia ajuda a proteger a cadeia de valor

Rebecca é membro do conselho de uma empresa de energia. Ela apoiou uma iniciativa na qual sua empresa fez parceria com um centro de pesquisa dedicado à segurança da informação para realizar uma pesquisa com executivos e gerentes do setor em empresas globais de OG a fim de avaliar a preparação de segurança cibernética das empresas. Os resultados da pesquisa mostraram que, em todo o setor, a maioria das organizações tem dificuldade em contratar pessoal de cibersegurança com profundo conhecimento sobre ativos de energia conectados à TO necessários para identificar e lidar com ataques cibernéticos antes que ocorram.

A empresa de Rebecca reconheceu que uma maneira de melhorar a segurança cibernética de todas as empresas de OG é garantir que organizações de pequeno e médio porte possam acessar soluções avançadas de monitoramento e detecção de inteligência artificial (IA), o que ajuda a fortalecer os elos mais fracos contra ataques cibernéticos no ecossistema digital. Ao combinar tecnologias interoperáveis e de IA que independem do fabricante e aproveitar eficientemente a experiência humana nativa de TO, as pequenas e médias empresas de energia podem ter acesso a recursos de monitoramento, detecção e prevenção de ataques cibernéticos, um nível de proteção anteriormente alcançado apenas internamente em empresas com orçamentos adequados.

Implementar planos de resiliência cibernética em todo o ecossistema

As atividades sugeridas para a implementação dos princípios de planos de resiliência cibernética em todo o ecossistema incluem:

• Desenvolver um plano de resiliência cibernética como uma das prioridades estratégicas da organização, em estreita colaboração com todos os líderes de funções e unidades, e incorporar explicitamente o papel do conselho.
  
• Definir uma cadência regular de relatórios sobre planos de resiliência cibernética, incluindo atualizações críticas, frequência de testes e resultados.
  
• Fazer exercícios regulares de cibersegurança e testes sobre resiliência cibernética que incluem falha sistêmica e posterior recuperação como componente ou foco do exercício.
  
• Verificar se a estratégia e o programa de cibersegurança estão ligados a fontes internas e externas, à gestão de incidentes e aos recursos de resposta e recuperação (do ponto de vista de pessoas, processos e tecnologia).
  

As métricas sugeridas podem incluir:

• Número de testes realizados e medidas corretivas adotadas.
  
• Número de horas de interrupção ou ruptura de serviços essenciais de negócios, incluindo impactos financeiros das interrupções.
  
• Percentual de ações essenciais abertas e ações fechadas resultantes de exercícios de preparação de segurança cibernética, incluindo testes de falha sistêmica como componente ou foco dos exercícios.
  
• Percentual de sistemas críticos que implementaram e testaram com sucesso planos de contingência e recuperação de desastres no trimestre.
  

Resumo

Nesta unidade, você foi apresentado ao processo de implementar uma abordagem de gerenciamento holístico de riscos no setor de OG. Você também aprendeu a promover a colaboração em todo o ecossistema e a importância de criar planos de resiliência cibernética em todo o ecossistema. 

Em seguida, você aprenderá mais sobre como operacionalizar os princípios para a resiliência cibernética no setor de OG e as ações que as organizações do setor podem realizar para permitir a adoção de novas políticas e princípios cibernéticos. 

Recursos

• Site externo: ISO/IEC 27001 Gerenciamento de segurança da informação 
  
• Site externo: Estrutura de cibersegurança do NIST
  
• Site externo: Departamento de Energia dos Estados Unidos (EUA): modelo de maturidade da capacidade de segurança cibernética (C2M2)