10 passos para a proteção das indústrias

Sérgio Eler *
28/09/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Para obter mais valor do negócio, as companhias vêm implementando novas tecnologias, inserindo-se na indústria 4.0, com a aplicação de IIoT, redes sem fio, acessos remotos e acabam se tornando mais vulneráveis. Contudo, é necessário avaliar o cenário dinâmico dos riscos cibernéticos, preparando-se e elevando a segurança em caso de ataques. Esse é um tema que cada vez mais vem subindo na lista de prioridades de altos executivos e nos conselhos das empresas.

Entretanto, estabelecer estratégias de segurança cibernética eficazes ainda é um desafio para algumas indústrias. Muitas vezes faltam informações internas suficientes, para que sejam tomadas iniciativas de cibersegurança, de acordo com o perfil do negócio e das vulnerabilidades a que estão expostos. Sendo assim, é importante considerar os 3 fundamentos, ser seguro, vigilante e resiliente. Defino abaixo alguns passos do que considero imprescindível para manter uma planta protegida de ataques.

1 – Defina o tom: Definir o tom adequado para a cibersegurança no topo da corporação. O diretor de Segurança da Informação (CISO) não pode ser um exército de um homem só. É fundamental que se tenha o apoio apropriado da equipe de liderança e do conselho, para alcançar os principais objetivos relacionados ao risco cibernético.

2 – Avalie o risco amplamente: Executar uma avaliação de risco cibernético que inclua toda a organização, o sistema de controle industrial (ICS) e os produtos integrados. Se a companhia já realizou uma avaliação nos últimos seis meses, revise o escopo constantemente. Confirme que foram avaliados os riscos cibernéticos industriais avançados, como a proteção IP, o ICS, produtos integrados e o risco de terceiros relacionados ao ecossistema industrial.

3 – Socialize o perfil de risco: Compartilhe os resultados da avaliação de risco cibernético da empresa, a estratégia recomendada e o plano de ação com a liderança executiva e com o conselho. Engaje a equipe no diálogo, apontando os principais impactos para o negócio. Discuta o como priorizar a alocação de recursos, alinhado às metas da empresa.

4 – Construa segurança: Avaliar os principais investimentos em tecnologias industriais emergentes, IIoT e produtos integrados, analisando se esses projetos estão em conformidade com o programa de risco cibernético. Determinar se existe um integrante da equipe alocado no projeto, para ajudar na interface de construção do gerenciamento de riscos cibernéticos e estratégias de falha na segurança.

5 – Lembre-se que os dados são um trunfo: É importante ressaltar que certos dados podem ser considerados como um ativo. Isso provavelmente requer uma maior conexão entre o valor de negócio, associado aos dados, e às estratégias usadas para protegê-lo. É importante avaliar onde se encontram os dados valiosos e como seu perfil de risco muda. Observar como esses ativos transitam pelos sistemas da organização, desde a parte administrativa até o chão de fábrica, através da cadeia de suprimentos, se vai para terceiros e quando volta.

6- Sempre avalie o risco de terceiros: Faça um inventário criterioso da relação do ecossistema industrial. Avalie estratégias para apontar os riscos cibernéticos de terceiros, que podem influenciar nessas interações.

7 – Fique atento com o monitoramento: Fique atento para avaliar, desenvolver e implementar o monitoramento de ameaças cibernéticas, para determinar a capacidade do tempo de resposta na detecção de brechas nas áreas-chave da empresa. Lembre-se de estender esse procedimento para o chão de fábrica e produtos integrados.

8 – Esteja sempre preparado: Aumentar a resiliência corporativa com foco em incidentes e se preparar para uma violação por meio de simulações. Engajar a TI, assim como a liderança nestes exercícios.

9 – Esclareça as responsabilidades de cada um: Seja bem claro com a liderança executiva sobre as responsabilidades de cada área para cumprir com os itens do projeto de risco cibernético. Certifique-se de que há um líder que coordene todas as áreas.

10 – Impulsione a conscientização: Por último, mas certamente não menos importante, colocar todos os funcionários a bordo. Certifique-se de que haja um trabalho de conscientização das responsabilidades de cada um, para ajudar a mitigar riscos cibernéticos. Todos precisam estar preparados e devem saber os procedimentos para relatar atividades incomuns ou outros sinais de alerta.

* Sérgio Eler é diretor de Tecnologia da Nexa

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest