Para obter mais valor do negócio, as companhias vêm implementando novas tecnologias, inserindo-se na indústria 4.0, com a aplicação de inteligência artificial, redes sem fio, acessos remotos. Contudo, é necessário avaliar o cenário dinâmico dos riscos cibernéticos, preparando-se e elevando a segurança em caso de ataques.
O risco cibernético vem subindo cada vez mais na lista de prioridades de altos executivos e nos conselhos das empresas.
Entretanto, estabelecer estratégias de segurança cibernética eficazes ainda é um desafio para algumas indústrias. Muitas vezes faltam informações internas suficientes, para que sejam tomadas iniciativas de cibersegurança de acordo com o perfil do negócio e das vulnerabilidades a que estão expostos. Sendo assim, é importante considerar os princípios, ser seguro, vigilante e resiliente.
A seguir, Sérgio Eler, diretor de Tecnologia da Nexa, empresa que oferece soluções para a indústria 4.0, lista um passo a passo do que é imprescindível para manter uma planta protegida de ataques.
1 – Defina o tom
Definir o tom adequado para a cibersegurança no topo da organização. O diretor de segurança da informação (CISO) não pode ser um exército de um homem só. É fundamental que se tenha o apoio apropriado da equipe de liderança e do conselho, para alcançar os principais objetivos relacionados ao risco cibernético. É fundamental que se tenha o apoio apropriado da equipe de liderança e do conselho, para alcançar os principais objetivos relacionados ao risco cibernético.
2 – Avalie o risco amplamente
Executar uma avaliação de risco cibernético que inclua toda a organização, o sistema de controle industrial (ICS) e os produtos integrados. Se a companhia já realizou uma avaliação nos últimos seis meses, revise o escopo constantemente. Confirme que foram avaliados os riscos cibernéticos industriais avançados, como a proteção IP, o ICS, produtos integrados e o risco de terceiros relacionados ao ecossistema industrial.
3 – Socialize o perfil de risco
Compartilhe os resultados da avaliação de risco cibernético da empresa, a estratégia recomendada e o plano de ação com a liderança executiva e com o conselho. Engaje a equipe no diálogo, apontando os principais impactos para o negócio. Discuta o como priorizar a alocação de recursos, alinhado às metas da empresa.
4 – Construa segurança
Avaliar os principais investimentos em tecnologias industriais emergentes, IIoT e produtos integrados, analisando se esses projetos estão em conformidade com o programa de risco cibernético. Determinar se existe um integrante da equipe alocado no projeto, para ajudar na interface de construção do gerenciamento de riscos cibernéticos e estratégias de falha na segurança.
5 – Lembre-se que os dados são um trunfo:
É importante ressaltar que certos dados podem ser considerados como um ativo. Isso provavelmente requer uma maior conexão entre o valor de negócio, associado aos dados, e às estratégias usadas para protegê-lo.
É importante avaliar onde se encontram os dados valiosos e como seu perfil de risco muda. Observar como esses ativos transitam pelos sistemas da organização, desde a parte administrativa até o chão de fábrica, através da cadeia de suprimentos, se vai para terceiros e quando volta.
6 – Sempre avalie o risco de terceiros
Faça um inventário criterioso da relação do ecossistema industrial. Avalie estratégias para apontar os riscos cibernéticos de terceiros, que podem influenciar nessas interações.
7 – Fique atento com o monitoramento
Fique atento para avaliar, desenvolver e implementar o monitoramento de ameaças cibernéticas, para determinar a capacidade do tempo de resposta na detecção de brechas nas áreas-chave da empresa. Lembre-se de estender esse procedimento para o chão de fábrica e produtos integrados.
8 – Esteja sempre preparado:
Aumentar a resiliência organizacional com foco em incidentes e se preparar para uma violação por meio de simulações. Engajar a TI, assim como a liderança nestes exercícios.
9 – Esclareça as responsabilidades de cada um:
Seja bem claro com a liderança executiva sobre as responsabilidades de cada área para cumprir com os itens do projeto de risco cibernético. Certifique-se de que há um líder que coordene todas as áreas.
10 – Impulsione a concientização:
Impulsione a conscientização: Por último, mas certamente não menos importante, colocar todos os funcionários a bordo. Certifique-se de que eles estejam conscientizados de suas responsabilidades para ajudar a mitigar riscos cibernéticos, que saibam todos os procedimentos e estejam preparados para relatar atividades incomuns ou outros sinais de alerta.