Skip to main content
Stream TDX Bengaluru on Salesforce+. Start learning the critical skills you need to build and deploy trusted autonomous agents with Agentforce. Register for free.

Estabelecer uma cultura de gestão de riscos

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Listar perguntas a se considerar na implementação de uma abordagem holística de gerenciamento de riscos.
  • Identificar ações para fomentar a colaboração.
  • Descrever como criar planos de resiliência cibernética em todo o ecossistema.

Vamos continuar explorando os princípios de resiliência cibernética do Fórum Econômico Mundial (WEF) para a indústria de Petróleo e gás (OG).

Princípio OG4: gestão holística de riscos

O conselho de organizações do setor de OG deve gerenciar riscos cibernéticos em todo o ecossistema de OG e providenciar os devidos mandatos, fundos, recursos e responsabilidades para programas de resiliência cibernética. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações:

  • Quais riscos as partes internas e externas representam para a organização?
  • Quais recursos financeiros e de pessoal são suficientes para alcançar os objetivos de gerenciamento holístico de riscos de segurança cibernética adequado?
  • Como a abordagem atual de gerenciamento de riscos incorpora riscos cibernéticos da cadeia logística?

Implementar uma abordagem holística de gerenciamento de riscos

As atividades sugeridas para a implementação da gestão holística de riscos incluem:

As métricas sugeridas podem incluir:

  • Percentual de fornecedores estratégicos e parceiros avaliados (due diligence de resiliência cibernética) e com cláusulas de segurança embutidas em seu contrato.
  • Número de riscos sistêmicos críticos (que afetam a indústria como um todo) cobertos pela análise de risco da organização.
  • Frequência de avaliações de risco (o processo geral de identificação, análise e avaliação de riscos) realizadas em ativos, funções, fornecedores e parceiros críticos, por exemplo, com base em informações de análise de impacto nos negócios.
  • Número de ativos críticos cobertos pelo processo de gerenciamento de riscos.

Vamos ver um exemplo

Um processo escalável sobre aceitação de riscos cibernéticos

Carolyn é uma diretora corporativa de uma empresa de serviços de campo de petróleo; sua abordagem é documentar o gerenciamento de riscos cibernéticos e tratar as ameaças cibernéticas como um risco para as operações de negócios. Para garantir que a segurança cibernética seja uma prioridade máxima, Carolyn lidera as avaliações internas e de segurança dos fornecedores como parte do processo de aquisição e construção da empresa. 

Esse processo tem quatro etapas distintas: solicitar, avaliar, aprovar e acompanhar. Quando um pedido é feito, a equipe de Carolyn realiza uma avaliação baseada em riscos com base em uma biblioteca de controles estável, repetível e escalável, levando em conta fatores como classificação de dados e essencialidade do processo de negócios. O processo requer, então, aprovação dos departamentos comercial, jurídico e de tecnologia da informação (TI), com níveis definidos de acordo com o grau de risco. 

Finalmente, Carolyn usa relatórios executivos regulares para rastrear ameaças cibernéticas, incluindo correções. Esse processo repetível e escalável garante a aplicação consistente de controles baseados em riscos com responsabilidades claramente designadas de avaliação de riscos e responsabilização por risco multifuncional.

Princípio OG5: colaboração em todo o ecossistema

O conselho de organizações do setor de OG deve capacitar sua equipe de gerência a criar uma cultura de colaboração para a devida supervisão, monitoramento e controle dos riscos em todo o ecossistema. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Como a organização se envolve com plataformas de colaboração e grupos de ação de resiliência cibernética?
  • Que plano de ação de resiliência cibernética cobre os ecossistemas da organização?
  • Como as lições aprendidas com as atividades de colaboração são usadas para fortalecer as práticas de resiliência cibernética da organização e do ecossistema e como elas estão permitindo novas oportunidades?

Vamos ver um exemplo.

Como estabelecer uma abordagem em todo o ecossistema 

Gregory é o chefe de TI de uma empresa de energia cujo ecossistema disperso conta com diferentes organizações, parcerias e joint ventures nos negócios upstream a downstream. Cada parte do ecossistema traz suas próprias normas ambientais operacionais e abordagens diversas à segurança cibernética, o que pode ser difícil de gerenciar. 

Para reduzir o risco cibernético, Gregory lançou uma iniciativa que visa reduzir a distância entre esses diferentes ambientes operacionais e conectar as equipes upstream e downstream de tecnologia operacional (TO). O grupo de TI financiou uma equipe centralizada para garantir práticas e abordagens comuns ao risco cibernético, implementou uma infraestrutura padrão e ferramentas consistentes de inventário de ativos e alinhou os processos para monitorar continuamente o ambiente de TO. 

Por meio dessa equipe centralizada, a empresa de Gregory pode melhorar continuamente os controles e planos coletivos de resiliência cibernética entre organizações parceiras upstream e downstream.

Um dispositivo de perfuração a montante e barris de petróleo a jusante com uma seta arqueada conectando-os, e um escudo com uma marca de seleção sobre a seta

Essa metodologia equilibra a preparação e a proteção, melhorando os recursos de monitoramento e resposta. A colaboração e o alinhamento na adoção de abordagens e controles unificados melhora o monitoramento e a visibilidade do ambiente de TO, o que reduz o tempo de detecção e resposta dos controles de versão e patches de software de TI/TO de alguns dias para minutos.

Implementar a colaboração em todo o ecossistema

As atividades sugeridas para a implementação dos princípios da colaboração em todo o ecossistema para os conselhos incluem:

  • Colaborar com parceiros do ecossistema para desenvolver, melhorar e adotar abordagens unificadas embasadas em estruturas, padrões e ferramentas do setor.
  • Envolver-se e informar sobre a interação com legisladores e organizações de padrões globais para facilitar a colaboração em todo o ecossistema.
  • Engajar ou liderar comunidades e iniciativas de resiliência cibernética (sob a gestão de organizações do setor, nacionais ou internacionais) que incentivam o compartilhamento de informações, fortalecem a colaboração em todo o ecossistema e impulsionam ações coletivas.
  • Colaborar com os stakeholders do ecossistema e participar ativamente de organismos de compartilhamento de informações sobre segurança cibernética em todo o sistema sobre temas de segurança cibernética, por exemplo, o Centro de Compartilhamento e Análise de Informações sobre Petróleo e Gás Natural (ONG-ISAC), o Centro de Compartilhamento e Análise de Informações sobre Tecnologia Operacional (OT-ISAC), o American Petroleum Institute (API), a Agência Europeia de Segurança Cibernética (ENISA), etc.

As métricas sugeridas podem incluir:

  • Frequência de eventos e compromissos com colegas do ecossistema e do setor.
  • Frequência de reuniões com autoridades de segurança e especialistas em resposta cibernética, incluindo legisladores, funcionários de segurança nacional e inteligência e especialistas em resposta cibernética e jurídicos do setor privado.
  • Número de relatórios e briefings sobre inteligência contra ameaças trocados com colegas em todo o ecossistema.

Princípio OG6: planos de resiliência cibernética em todo o ecossistema

O conselho de organizações do setor de OG deve incentivar a gerência a criar, implementar, testar e melhorar planos e controles coletivos de resiliência cibernética com outros membros do ecossistema. 

Os conselhos devem considerar estas perguntas ao implementar a resiliência cibernética em suas organizações.

  • Que dados ou informações você precisa proteger? Quais atividades estão incluídas no plano de resiliência cibernética? Como o plano abrange o ecossistema da organização, incluindo resposta a incidentes, comunicações, continuidade de negócios e recuperação de desastres? O plano é testado adequadamente com a devida regularidade?
  • Quais plataformas de colaboração devem ter apoio de conselhos e equipes de gestão para defender a elaboração de planos de resiliência coletiva?
  • Como os planos de resiliência coletiva refletem e equilibram a preparação com a resposta e a recuperação em todo o ecossistema?

Vamos ver um exemplo.

Uma empresa de energia ajuda a proteger a cadeia de valor

Rebecca é membro do conselho de uma empresa de energia. Ela apoiou uma iniciativa na qual sua empresa fez parceria com um centro de pesquisa dedicado à segurança da informação para realizar uma pesquisa com executivos e gerentes do setor em empresas globais de OG a fim de avaliar a preparação de segurança cibernética das empresas. Os resultados da pesquisa mostraram que, em todo o setor, a maioria das organizações tem dificuldade em contratar pessoal de cibersegurança com profundo conhecimento sobre ativos de energia conectados à TO necessários para identificar e lidar com ataques cibernéticos antes que ocorram.

A empresa de Rebecca reconheceu que uma maneira de melhorar a segurança cibernética de todas as empresas de OG é garantir que organizações de pequeno e médio porte possam acessar soluções avançadas de monitoramento e detecção de inteligência artificial (IA), o que ajuda a fortalecer os elos mais fracos contra ataques cibernéticos no ecossistema digital. Ao combinar tecnologias interoperáveis e de IA que independem do fabricante e aproveitar eficientemente a experiência humana nativa de TO, as pequenas e médias empresas de energia podem ter acesso a recursos de monitoramento, detecção e prevenção de ataques cibernéticos, um nível de proteção anteriormente alcançado apenas internamente em empresas com orçamentos adequados.

Implementar planos de resiliência cibernética em todo o ecossistema

As atividades sugeridas para a implementação dos princípios de planos de resiliência cibernética em todo o ecossistema incluem:

  • Desenvolver um plano de resiliência cibernética como uma das prioridades estratégicas da organização, em estreita colaboração com todos os líderes de funções e unidades, e incorporar explicitamente o papel do conselho.
  • Definir uma cadência regular de relatórios sobre planos de resiliência cibernética, incluindo atualizações críticas, frequência de testes e resultados.
  • Fazer exercícios regulares de cibersegurança e testes sobre resiliência cibernética que incluem falha sistêmica e posterior recuperação como componente ou foco do exercício.
  • Verificar se a estratégia e o programa de cibersegurança estão ligados a fontes internas e externas, à gestão de incidentes e aos recursos de resposta e recuperação (do ponto de vista de pessoas, processos e tecnologia).

As métricas sugeridas podem incluir:

  • Número de testes realizados e medidas corretivas adotadas.
  • Número de horas de interrupção ou ruptura de serviços essenciais de negócios, incluindo impactos financeiros das interrupções.
  • Percentual de ações essenciais abertas e ações fechadas resultantes de exercícios de preparação de segurança cibernética, incluindo testes de falha sistêmica como componente ou foco dos exercícios.
  • Percentual de sistemas críticos que implementaram e testaram com sucesso planos de contingência e recuperação de desastres no trimestre.

Resumo

Nesta unidade, você foi apresentado ao processo de implementar uma abordagem de gerenciamento holístico de riscos no setor de OG. Você também aprendeu a promover a colaboração em todo o ecossistema e a importância de criar planos de resiliência cibernética em todo o ecossistema. 

Em seguida, você aprenderá mais sobre como operacionalizar os princípios para a resiliência cibernética no setor de OG e as ações que as organizações do setor podem realizar para permitir a adoção de novas políticas e princípios cibernéticos. 

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback