Skip to main content

Operacionalizar os princípios de resiliência cibernética

Objetivos de aprendizagem 

Após concluir esta unidade, você estará apto a:

  • Descrever como projetar uma estratégia de integração para permitir a adoção de novas políticas e princípios cibernéticos.
  • Explicar como obter apoio e aliados para priorizar a resiliência cibernética.
  • Listar ações para montar a defesa da resiliência cibernética como uma valiosa oportunidade de negócios para sua organização.
  • Identificar como elaborar um plano e montar uma equipe para permitir a adoção eficiente de princípios de resiliência cibernética.
  • Descrever como realizar a implementação de princípios de resiliência cibernética e monitorar e expandir a resiliência cibernética em toda a organização.

Implementar os princípios

Para implementar os princípios de resiliência cibernética do Fórum Econômico Mundial (WEF) no setor de Petróleo e gás (OG) e perceber plenamente os benefícios pretendidos, a resiliência cibernética não pode ser colocada em segundo plano; ela precisa ser incorporada à cultura de uma organização e a todos os aspectos das normas de uma empresa. Para mudar a mentalidade corporativa profundamente arraigada, a gerência pode adotar uma abordagem gradual para introduzir as melhores práticas de resiliência cibernética dentro das organizações de OG. Veja as etapas dessa abordagem.

  • Criar a estratégia de integração.
  • Obter apoio e aliados.
  • Montar o caso.
  • Criar um plano e uma equipe.
  • Fazer a distribuição.
  • Monitorar e expandir.

Sydney é diretora de segurança da informação (CISO) de uma empresa pública de petróleo e gás natural. Vamos acompanhar enquanto ela operacionaliza os princípios de resiliência cibernética do seu setor. 

Sydney está na frente de uma empresa de petróleo e gás natural.

Criar a estratégia de integração

Sydney sabe como é importante definir uma estratégia que se integre efetivamente e permita a adoção de novas políticas e princípios cibernéticos. Ela começa definindo uma metodologia de entrega em torno de quatro pilares fundamentais dentro de sua organização: postura de risco, cultura interna, modelo organizacional e estratégia de negócios. Ela avalia a maturidade interna e a postura de risco de sua organização para priorizar com precisão as ações cibernéticas.

Sydney também alinha e integra os princípios de resiliência cibernética com a estratégia, a visão e a missão do negócio entendendo como a segurança cibernética pode dar suporte e capacitar a competência central de cada unidade de negócios. Ela entende o modelo e a estrutura operacional organizacional e verifica quais são os principais stakeholders necessários para uma adoção rápida e bem-sucedida. Ela seleciona uma estratégia de modelo de entrega que se integre bem à cultura interna da organização para garantir a adoção e a implementação efetiva dos princípios de resiliência cibernética.

Obter apoio e aliados

Em seguida, para garantir o apoio interno tanto da gerência intermediária quanto da liderança sênior, Sydney demonstra os riscos cibernéticos de suas unidades de negócios, ao mesmo tempo em que tira proveito da ordem de seu conselho para priorizar a resiliência cibernética. Ela descreve as expectativas e os requisitos específicos necessários para dar suporte à ordem do conselho de garantir a aceitação dos principais stakeholders, ilustrando o valor dos princípios de resiliência cibernética em situações únicas. Ela garante o apoio da liderança sênior, defendendo e demonstrando a importância da resiliência cibernética para os membros do conselho.

Sydney também identifica os principais apoiadores dentre várias partes interessadas em toda a organização que são fundamentais para a implementação dos princípios de resiliência cibernética (por exemplo, o diretor de risco e a equipe de auditoria da organização). Ela consegue a aceitação interna de chefes de negócios importantes na criação de um plano estratégico, ilustrando a relevância e os benefícios para seus negócios. Ela também fornece recursos e suporte de financiamento a projetos piloto ou de destaque com fundos dedicados para cibersegurança pela alocação de orçamentos operacionais para medidas específicas de resiliência cibernética.

Sydney também integra os princípios de resiliência cibernética aos processos de governança existentes para uma adoção perfeita e mais rápida (por exemplo, aproveitando a cultura de segurança de sua organização e outros assuntos amadurecidos).

Montar o caso

Em seguida, para manter o apoio e o engajamento da liderança sênior, Sydney descreve a resiliência cibernética como uma valiosa oportunidade de negócios para a organização. Ela mapeia novas políticas cibernéticas para a visão, a missão e os objetivos estratégicos da empresa. Ela comunica a complexidade e a urgência da implementação ilustrando os riscos para a organização e a unidade de negócios.

Sydney também coordena com aliados internos identificados para garantir uma proposta colaborativa e holística na hora de se comunicar e reportar ao conselho. Ela reitera os benefícios da resiliência cibernética para o conselho, demonstrando valor do negócio por meio da quantificação e da qualificação dos riscos e recompensas para a organização por meio de exemplos práticos. Ela também estabelece metas claras, esclarecendo pontos de medição de desempenho e indicadores de desempenho oportunos e definindo relatórios regulares (de mensal a bianualmente).

Sydney destaca ao conselho o valor e os benefícios da resiliência cibernética de longo prazo, reiterando a relevância dos princípios de resiliência cibernética. 

Criar um plano e uma equipe

Em seguida, para permitir a efetiva adoção e implementação dos princípios de resiliência cibernética, Sydney estabelece um roteiro com atividades, marcos e indicadores práticos de desempenho claros com mecanismos que darão suporte a mudanças futuras. Ela seleciona uma equipe multifuncional para gerenciar um roteiro de implementação baseado na complexidade e na cultura de sua organização e nos objetivos dos membros do conselho. Ela adapta e valida o plano (se necessário) definindo as principais entregas e pontos de medição, além de um plano de comunicação e relatórios bem definidos.

Sydney também define o modelo de entrega considerando a gestão interna de mudanças, a engenharia de processos de negócios e o método de entrega (por exemplo, usando a metodologia ágil da organização e o planejamento anual de negócios). Ela verifica que a equipe entende o valor dos princípios e defende o roteiro aplicando metas individuais e incorporando a responsabilidade de cibersegurança de cada função.

Fazer a distribuição

Em seguida, Sydney inicia a implantação dos princípios essenciais de resiliência cibernética e gerenciamento de riscos para moldar a cultura de cibersegurança de sua organização, seguindo uma estratégia de integração definida. Ela introduz, implementa e incorpora princípios de resiliência cibernética em um modelo operacional desejado. Ela usa projetos existentes, piloto e de destaque para integrar programas de resiliência cibernética em novos desenvolvimentos.

Sydney também adapta o treinamento a vários membros da equipe, incluindo membros do conselho, para definir expectativas abrangentes e a consciência dos riscos cibernéticos inerentes.

Monitorar e expandir

Finalmente, Sydney permite o monitoramento contínuo por meio de loops de feedback instantâneo, ao mesmo tempo em que fornece métricas de desempenho importantes e realiza revisões de desempenho de rotina necessárias para expandir a resiliência cibernética em toda a sua organização. Ela viabiliza a comunicação contínua com os principais stakeholders sobre o valor de projetos em andamento e futuros de resiliência cibernética e o alcance dos objetivos de cibersegurança da organização. Ela implementa relatórios e feedback contínuos para o conselho, recordando metas iniciais, fornecendo medidas simples e comunicando o progresso e o valor geral.

Sydney também monitora indicadores líderes (por exemplo, orçamento e capacidade do projeto) e remove obstáculos identificados antes que eles possam prejudicar a implementação. Ela monitora e revisa indicadores de desempenho definidos e, quando necessário, os adapta para dar suporte à expansão da segurança cibernética.

Verificação de conhecimento

Pronto para analisar o que aprendeu? Essa verificação de conhecimento não é pontuada; é apenas uma maneira fácil de avaliar o que você aprendeu. Para começar, arraste a descrição na coluna à esquerda até o termo correspondente à direita. Ao concluir a correspondência de todos os itens, clique em Enviar para verificar seu trabalho. Se quiser recomeçar, clique em Reiniciar.

Ótimo trabalho!

Resumo

Neste módulo, você foi apresentado a um plano para avaliar o risco cibernético e melhorar a resiliência cibernética em todo o setor de OG. Você também aprendeu a implementar os princípios de resiliência cibernética do WEF nos conselhos do setor de OG. Ótimo trabalho!

Interessado em aprender mais sobre carreiras e tecnologias em segurança cibernética? Acesse o Hub de aprendizagem sobre segurança cibernética para explorar outras funções e ouvir profissionais de segurança reais.

Recursos

PDF: FEM: Resiliência cibernética no setor de petróleo e gás

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback