Artigo

Considerações fundamentais para a construção de resiliência ao risco cibernético

Outubro, Mês de Conscientização sobre Segurança Cibernética, oferece uma oportunidade de reforçar a importância da implementação de medidas importantes que podem fazer uma diferença significativa no seu caminho para a resiliência.

Rear view of female hiker hiking at Dolomites Alps, Cortina, Italy

O ambiente de risco cibernético se tornou imensuravelmente mais complicado e significativo para as organizações desde o primeiro Mês de Conscientização sobre Segurança Cibernética em outubro de 2004. Ameaças de segurança cibernética em constante mudança e potencialmente mais custosas, estão mantendo o problema no topo da lista de preocupações das organizações. Isso passou de uma questão do departamento de tecnologia para uma que compõe e até impulsiona a agenda nas reuniões do conselho administrativo.

Isto ressalta quão vital é que as organizações se preparem agora para garantir seus futuros. Os riscos cibernéticos podem ser disruptores críticos para os negócios, pois podem surgir em qualquer lugar da cadeia de suprimentos – até mesmo em várias camadas abaixo. Embora não exista uma solução mágica para gerenciar esses riscos, implementar controles básicos de cibersegurança e melhores práticas adequadas, além de garantir que sejam mantidos, pode melhorar significativamente sua resiliência cibernética.

Os passos fundamentais em direção à resiliência começam com controles

A resiliência ao risco cibernético está progredindo bem. Isso se deve em grande parte às organizações que se concentram no básico: priorizar e implementar controles de segurança cibernética eficazes e robustos.

Esses controles podem incluir medidas como controles de acesso rigorosos, atualizações regulares de software, criptografia de dados confidenciais e autenticação multifator.

Essas melhorias incrementais aumentam rapidamente e podem reduzir significativamente o risco de ataques cibernéticos e violações, mesmo de invasores sofisticados.

Entenda as oportunidades e ameaças cibernéticas em evolução

As ameaças cibernéticas evoluem à medida que novas tecnologias são implantadas e agentes mal-intencionados adaptam suas táticas.

Atualmente a inteligência artificial (IA) é uma fonte de otimismo e preocupação. Muitas organizações estão explorando o uso de ferramentas de IA para reforçar suas defesas cibernéticas, por exemplo, filtrando o fluxo de alertas que geram para que os mais urgentes sejam enviados a um analista humano. No entanto, também há preocupação sobre invasores usando IA para encontrar fraquezas ou até mesmo escrever código malicioso.

Os riscos da cadeia de suprimentos e de terceiros são outros tópicos que estão subindo na agenda. Mesmo organizações com seus próprios sistemas seguros e bem gerenciados muitas vezes não sabem o quão seguros são seus terceiros e outros ainda mais abaixo na cadeia. Um terceiro comprometido pode causar interrupção ao tornar um fornecedor indisponível e ao abrir uma rota para invasores se infiltrarem em organizações conectadas.

O risco da cadeia de suprimentos também se estende a questões como privacidade. Terceiros frequentemente lidam com dados sensíveis que, se expostos, podem ter consequências, incluindo danos à reputação e sanções regulatórias, como aquelas sob o GDPR na Europa e LGPD no Brasil. Os EUA ainda não assumiram uma posição tão rigorosa sobre privacidade, mas mudanças são esperadas.

Indo em direção a uma maior resiliência cibernética

Essas etapas iniciais para gerenciar e compreender ameaças cibernéticas complexas e em evolução podem fornecer uma perspectiva melhor do seu ambiente de risco cibernético.

Para aumentar ainda mais a resiliência, você precisa avaliar e medir a tolerância ao risco cibernético da sua organização. As perguntas necessárias a se fazer incluem:

Quais ativos e serviços são essenciais e devem ser absolutamente protegidos?
Quanto custaria – em dinheiro, tempo e danos à reputação – se sua organização fosse exposta ou tivesse seu negócio interrompido?

Com isso em mente, você pode decidir quais medidas são razoáveis para proteger a pegada digital da sua organização.

Você também pode decidir o que seria necessário para se recuperar de forma eficiente e eficaz.

Concentre-se em maneiras de recuperar operações críticas do negócio em caso de interrupção.
Use exercícios de simulação, avaliações de fornecedores e estudos de caso para ajudar a determinar quais devem ser as medidas adequadas de defesa e recuperação.
Estabeleça processos e políticas robustas para que todos saibam o que devem fazer no dia a dia e quando uma crise se materializar.

Por fim, crie um plano para se recuperar de um incidente e teste-o regularmente.

Aproveite os principais recursos para melhorias

Melhorias de segurança não precisam ser caras. Há muitos recursos disponíveis para ajudar.

As organizações devem utilizar especialistas internos e garantir que eles estejam envolvidos no planejamento de novas plataformas de segurança cibernética e respostas a riscos cibernéticos.

Parceiros experientes também podem ajudar. Por exemplo, a Marsh oferece uma equipe especializada em produtos, uma equipe de modelagem, uma equipe de consultoria e o maior banco de dados de risco cibernético do mercado. Transformamos esse banco de dados em insights, opções de financiamento e mitigação de risco e soluções que permitem que você entenda, meça e gerencie seu risco cibernético.

Há mais recursos disponíveis de governos e órgãos internacionais, que frequentemente publicam padrões e listas de verificação que podem ser aplicados de forma econômica para proteger o ambiente cibernético da sua organização. Consulte, por ejemplo, la Cybersecurity & Infrastructure Security Agency (CISA) e o National Institute for Standards and Technology (NIST) nos EUA, e o National Cyber Security Centre (NSCS) no Reino Unido.

As empresas também podem se conectar com redes informais, como organizações de pares e órgãos comerciais que, frequentemente, podem ajudar a compartilhar as melhores práticas e oferecer alertas sobre riscos emergentes.

Mantenha as melhores práticas durante todo o ano

No cenário em constante mudança das ameaças cibernéticas, não há linha de chegada.

Portanto, embora o Mês de Conscientização sobre Segurança Cibernética seja significativo, é essencial não ignorar a importância de manter suas melhores práticas de resiliência a riscos cibernéticos e usar inteligência contra ameaças para se antecipar a riscos potenciais.

Esse mês serve como um lembrete da necessidade de garantir nosso futuro e que o trabalho de garantir a resiliência empresarial às crescentes complexidades dos riscos cibernéticos empresariais, operacionais e de terceiros deve ser contínuo ao longo do ano.

Artigo

Considerações fundamentais para a construção de resiliência ao risco cibernético

Os passos fundamentais em direção à resiliência começam com controles

Entenda as oportunidades e ameaças cibernéticas em evolução

Indo em direção a uma maior resiliência cibernética

Aproveite os principais recursos para melhorias

Mantenha as melhores práticas durante todo o ano

Conteúdos relacionados

Perdas econômicas globais após o apagão tecnológico global da CrowdStrike.

Cultura de segurança cibernética empresarial: vulnerabilidades humanas nas empresas

Atualização de software da CrowdStrike

Resolvendo o dilema financeiro do risco cibernético

Marsh.com Login

Considerações fundamentais para a construção de resiliência ao risco cibernético

Os passos fundamentais em direção à resiliência começam com controles

Entenda as oportunidades e ameaças cibernéticas em evolução

Indo em direção a uma maior resiliência cibernética

Aproveite os principais recursos para melhorias

Mantenha as melhores práticas durante todo o ano

Conteúdos relacionados

Perdas econômicas globais após o apagão tecnológico global da CrowdStrike.

Cultura de segurança cibernética empresarial: vulnerabilidades humanas nas empresas

Atualização de software da CrowdStrike

Resolvendo o dilema financeiro do risco cibernético