Para obter mais valor do negócio, as companhias vêm implementando novas tecnologias, inserindo-se na indústria 4.0, com a aplicação de IIoT, redes sem fio, acessos remotos e acabam se tornando mais vulneráveis. Contudo, é necessário avaliar o cenário dinâmico dos riscos cibernéticos, preparando-se e elevando a segurança em caso de ataques. Esse é um tema que cada vez mais vem subindo na lista de prioridades de altos executivos e nos conselhos das empresas.

Entretanto, estabelecer estratégias de segurança cibernética eficazes ainda é um desafio para algumas indústrias. Muitas vezes faltam informações internas suficientes, para que sejam tomadas iniciativas de cibersegurança, de acordo com o perfil do negócio e das vulnerabilidades a que estão expostos. Sendo assim, é importante considerar os 3 fundamentos, ser seguro, vigilante e resiliente. Defino abaixo alguns passos do que considero imprescindível para manter uma planta protegida de ataques.

1 - Defina o tom: Definir o tom adequado para a cibersegurança no topo da corporação. O diretor de Segurança da Informação (CISO) não pode ser um exército de um homem só. É fundamental que se tenha o apoio apropriado da equipe de liderança e do conselho, para alcançar os principais objetivos relacionados ao risco cibernético.

2 - Avalie o risco amplamente: Executar uma avaliação de risco cibernético que inclua toda a organização, o sistema de controle industrial (ICS) e os produtos integrados. Se a companhia já realizou uma avaliação nos últimos seis meses, revise o escopo constantemente. Confirme que foram avaliados os riscos cibernéticos industriais avançados, como a proteção IP, o ICS, produtos integrados e o risco de terceiros relacionados ao ecossistema industrial.

3 - Socialize o perfil de risco: Compartilhe os resultados da avaliação de risco cibernético da empresa, a estratégia recomendada e o plano de ação com a liderança executiva e com o conselho. Engaje a equipe no diálogo, apontando os principais impactos para o negócio. Discuta o como priorizar a alocação de recursos, alinhado às metas da empresa.

4 - Construa segurança: Avaliar os principais investimentos em tecnologias industriais emergentes, IIoT e produtos integrados, analisando se esses projetos estão em conformidade com o programa de risco cibernético. Determinar se existe um integrante da equipe alocado no projeto, para ajudar na interface de construção do gerenciamento de riscos cibernéticos e estratégias de falha na segurança.

5 - Lembre-se que os dados são um trunfo: É importante ressaltar que certos dados podem ser considerados como um ativo. Isso provavelmente requer uma maior conexão entre o valor de negócio, associado aos dados, e às estratégias usadas para protegê-lo. É importante avaliar onde se encontram os dados valiosos e como seu perfil de risco muda. Observar como esses ativos transitam pelos sistemas da organização, desde a parte administrativa até o chão de fábrica, através da cadeia de suprimentos, se vai para terceiros e quando volta.

6- Sempre avalie o risco de terceiros: Faça um inventário criterioso da relação do ecossistema industrial. Avalie estratégias para apontar os riscos cibernéticos de terceiros, que podem influenciar nessas interações.

7 - Fique atento com o monitoramento: Fique atento para avaliar, desenvolver e implementar o monitoramento de ameaças cibernéticas, para determinar a capacidade do tempo de resposta na detecção de brechas nas áreas-chave da empresa. Lembre-se de estender esse procedimento para o chão de fábrica e produtos integrados.

8 - Esteja sempre preparado: Aumentar a resiliência corporativa com foco em incidentes e se preparar para uma violação por meio de simulações. Engajar a TI, assim como a liderança nestes exercícios.

9 - Esclareça as responsabilidades de cada um: Seja bem claro com a liderança executiva sobre as responsabilidades de cada área para cumprir com os itens do projeto de risco cibernético. Certifique-se de que há um líder que coordene todas as áreas.

10 - Impulsione a conscientização: Por último, mas certamente não menos importante, colocar todos os funcionários a bordo. Certifique-se de que haja um trabalho de conscientização das responsabilidades de cada um, para ajudar a mitigar riscos cibernéticos. Todos precisam estar preparados e devem saber os procedimentos para relatar atividades incomuns ou outros sinais de alerta.