Cibersegurança é uma das principais preocupações da indústria 4.0. A transformação digital trouxe soluções para as dores enfrentadas pelas organizações, mas também alguns problemas, sendo os crimes cibernéticos um exemplo. Porém, isso pode ser resolvido ao se investir na segurança de dados.
O assunto foi tema de um dos painéis do 14º Encontro Nacional da ABII, realizado no final de 2022, em São Caetano do Sul. Os convidados foram Erick Kumagai, Gerente Sênior da Accenture Security LATAM, e Eduardo Honorato, CEO e fundador da Monio Security e diretor de Cyber Security na ISA.
O mediador do painel presencial foi o Daniel Moraes, diretor de Relações com o Ecossistema da ABII e antes da conversa, o público assistiu a este vídeo (disponível no Youtube da ABII), com uma entrevista do conselheiro Claudio Goldbach com Jo de Vliegher, fundador da Clynker e consultoria executiva de segurança cibernética na Istari.
Para você que se interessa pelo assunto, mas não pode estar presente, trouxemos um apanhado das principais questões levantadas no painel. Leia para conferir!
Como começar a trabalhar o tema cibersegurança na indústria?
Para implementar a cibersegurança na indústria, é preciso levar em conta três frentes: pessoas, processos e tecnologias. Esses pilares devem ser bem estruturados para o sucesso da estratégia de segurança cibernética. Assim, negligenciar uma dessas frentes já é o suficiente para colocar o sucesso desse processo em risco.
Além disso, é preciso montar uma matriz de risco — também conhecida como chamada de residência — robusta para identificar o que é prioritário em relação à probabilidade de risco.
E, o mais importante, é fundamental criar um plano de ação para responder de forma eficaz os ataques cibernéticos. Ao fazer isso, sua organização pode responder não apenas melhor, mas em tempo hábil, o que pode ajudar a conter possíveis crises.
Dica: para compreender melhor as necessidades de sua organização, recomenda-se a criação de um guia de impacto de análises. Isso permite identificar o tempo adequado que uma resposta deve ser dada para uma situação de risco e manter a manter a produção contínua de sua empresa.
Como convencer a alta gestão de negócios sobre a importância da prevenção?
Muitas vezes, a discussão sobre cibersegurança começa pelo time técnico, porém, deveria ser iniciada pela cúpula da empresa, considerando a importância que esse tema assume para seu adequado funcionamento.
Erick Kumagai destaca que é importante enxergar a cibersegurança como negócio e não apenas como tecnologia. Em sua visão, a segurança não é apenas um gerador de custo, mas uma forma de investimento capaz de agregar valor ao produto.
Ele ainda complementa que a alta gestão costuma não acreditar que um ataque cibernético possa ocorrer na sua organização, por mais que se trate de uma situação enfrentada pela maioria das empresas atualmente. Em vista disso, não investe na área.
Porém, ele mostrou que todas as organizações estão sujeitas a esse tipo de incidente. Dessa forma, investir em segurança cibernética é fundamental.
Levar o assunto da base para a cúpula
Em sua ótica, há uma forma de convencer a alta gestão de negócios em relação a investir na segurança cibernética: levar o assunto da base para a cúpula. Isso deve ser feito com apresentação de evidências. Assim, os dirigentes conseguem entender os riscos aos quais estão expostos.
Além disso, isso pode ser feito com o uso de um mapa de risco. Trata-se de uma ferramenta que ajuda a visualizar os riscos avaliados e possíveis resultados trazidos pela implementação de um sistema de segurança ou plano de ação.
Eduardo Honorato, mencionou que a avaliação/mapa de riscos é a base para que o gestor possa entender os prejuízos que a fábrica terá em caso de uma paralisação causada por ataques cibernéticos.
Diante disso, nota-se que conscientizar a alta gestão em relação a esse assunto é fundamental para o bom andamento das operações de uma organização.
Como mostrar que vale a pena investir na estrutura de segurança?
Este assunto pode ser resolvido mostrando aos diretores a perda financeira que resultaria da cessação das operações. É necessário demonstrar o alto risco financeiro devido à falta de segurança.
Por exemplo: Se a operação X parar por 8 horas, isso vai resultar em um perda de X milhões. Outro: um ataque cibernético pode ocasionar o vazamento de dados, e com isso colocar em risco a imagem da organização, causando perdas financeiras.
O segredo está em transformar o assunto em números. Certamente, assim fica mais fácil convencer a alta gestão da importância de investir na prevenção e na segurança dos dados e das tecnologias.
O papel das pessoas da organização na prevenção de crimes cibernéticos
O elemento humano tem fator fundamental no processo de prevenção. Ter um projeto de segurança moderno, mas não ter pessoal treinado para operá-lo, pode levá-lo ao insucesso. Para isso, é preciso garantir que os colaboradores estejam engajados e entendam sua real importância para o sucesso dessa ação.
Muitas vezes, por falta de conhecimento, os funcionários não têm noção do seu papel ou comportamento para a segurança de uma organização. Por exemplo: infectar um computador ao conectá-lo a um celular pessoal via USB.
Assim, investir no treinamento de sua equipe de trabalho é essencial para o sucesso da implementação do projeto de segurança cibernética em sua empresa. A boa notícia é que hoje é possível garantir a formação dos seus funcionários tanto online quanto offline.
Qual a melhor forma de responder a um ciberataque?
Mesmo com os esforços para prevenção, ainda é necessário se preparar para um ataque, pois quando o assunto é cibersegurança, é importante nunca baixar a guarda. Nos casos de ciberataques, é preciso saber como responder e evitar que a situação se torne ainda pior.
A primeira coisa é conhecer os riscos que sua empresa pode enfrentar e, com base nisso, desenvolver um plano de ação para cada.
Esse plano é dividido em cinco fases:
- identificação dos riscos
- contenção dos riscos
- erradicação dos riscos
- recuperação da empresa
- lições aprendidas
A última fase não deve ser ignorada. A partir dela, a empresa pode aprender com seus erros e desenvolver ações para evitar que algo semelhante volte a acontecer.
Um dos fatores mais importantes, mas que continua sendo negligenciado, é a importância do backup de informações. Em caso de um ataque ou incidente, é de extrema importância que os dados e arquivos relevantes estejam seguros.
Além disso, é importante que o backup seja feito com frequência, se possível diariamente. Embora essa não seja uma ação reativa a um ataque cibernético, mas preventiva, ajuda a conter possíveis danos em sua organização.
Quais ações devem estar em plano de resposta a incidente?
O plano de resposta a incidentes é fundamental ao traçar ações para lidar com um contratempo de cibersegurança. Esse documento funciona como um guia para indicar o que deve ser feito naquela situação.
Para eduardo Eduardo Honorato, o plano de resposta é feito essencialmente em três fases:
- Avaliar o risco: entender os perigos a que a organização está exposta e os riscos que eles representam;
- Implemento: agir de forma a minimizar o risco, tomando ações para torná-lo mais brando e com menos poder de impacto na operação;
- Mantenha: monitorar tudo e responder ao acidente e risco residual.
Nesse sentido, Erick Kumagai destaca que o plano de resposta a incidentes deve ser atrelado ao plano de gestão de crises corporativas, conectando o risco cibernético a uma crise na organização como um todo.
Além disso, ele sugere a criação de um comitê de crise para que a situação seja tratada da melhor forma.
Em sua visão, esse comitê deve incluir CEO, stakeholders, comunicação, jurídico, tecnologia, operação e demais áreas. Esse grupo receberá todas as informações, tomará as devidas decisões e repassará para os envolvidos. Sua função é conduzir a crise da forma mais tranquila possível.
Erick também explica que uma opção para o plano de resposta é usar um road map em vez de um documento. O apelo visual prende mais a atenção do leitor, além de ser mais prático para o momento do incidente. Esse fluxo deve ser o mais simples e conciso possível, destaca.
Formas de trabalhar as pessoas na organização
Um dos maiores desafios em um momento de crise é controlar as pessoas envolvidas, tanto as que estão atuando na reparação dos danos quanto as que estão sendo afetadas. Para isso, Erick defende que haja embaixadores de segurança em todas as áreas centrais da organização.
Os embaixadores são as pessoas responsáveis por falar de segurança e trazer o assunto à tona para o responsável da instituição.
Na visão do especialista, essa tática permite uma resposta mais concisa e objetiva dentro da organização. Além disso, contribui para a conscientização e formação dos colaboradores, unindo-os e reduzindo elos fracos.
Vale destacar que a conscientização é importante em todos os setores, mas principalmente para a equipe de resposta e colaboradores. Isso significa que deve haver uma formação robusta para as pessoas da organização, a fim de que elas entendam a relevância de tal ação.
Afinal, prevenir ou responder a um ciberataque?
Afinal, vale mais a pena investir em segurança ou na preparação da equipe para responder a um ciberataque? Na visão de Erick Kumagai e Eduardo Honorato, a resposta é a mesma: nas duas ações!
Para Eduardo, prevenir é importante, mas para isso é preciso avaliar os riscos para a criação de um bom plano de resposta a incidentes. Ainda segundo o especialista, a prevenção ou resposta a incidentes não são ações isoladas, pois ambas andam juntas e devem ser integradas para garantir a segurança de dados dentro da instituição.
Já Erick destaca que a fase da prevenção é importante para a avaliação de riscos e diz que o risco de uma organização pode ser diferente da outra, devido ao seu nicho de mercado. Ele menciona que o foco deve ser equilibrar as ações de prevenção e resposta, de forma a garantir o funcionamento adequado da organização.
Segundo o profissional, o risco vai se materializar em algum momento e por isso é preciso estar preparado para responder da melhor forma possível. Ele defende ainda que isso seja feito por meio de monitoramento e preparação da equipe para que ela responda em tempo hábil, contendo possíveis danos.
Se você se interessa por cibersegurança e tem interesse em se aprofundar na temática, acompanhe o podcast Boteco 4.0 sobre o assunto. Trata-se de um material exclusivo da ABII ideal para aumentar seus conhecimentos.
Curtiu esse conteúdo e gostaria de saber mais sobre cibersegurança e assuntos relacionados à tecnologia? Clique aqui e faça parte da ABII!
Sobre a ABII
A ABII – Associação Brasileira de Internet Industrial, fundada em agosto de 2016, atua com o objetivo de promover o crescimento e o fortalecimento da internet industrial das coisas e da indústria 4.0 (IIoT & I4.0) no Brasil. Coordena um ecossistema com provedores, usuários e especialistas em tecnologia e instituições de ensino. Num ambiente colaborativo reúne empresas protagonistas do mercado e é referência no movimento de transformação digital. Fomenta o debate entre setores privado, público e acadêmico, a geração de conhecimento e o intercâmbio tecnológico e de negócios.