Nota aos fabricantes: Pare de se preocupar com crimes cibernéticos e desenvolva uma estratégia

Views: 23
0 0
Read Time:6 Minute, 3 Second

Em maio passado, a JBS, com sede no Brasil, a maior processadora de carne do mundo, sofreu um ataque cibernético que interrompeu temporariamente as operações nos EUA, Austrália e Canadá. Nesse mesmo mês, um ataque cibernético ao Colonial Pipeline, o maior gasoduto dos EUA, interrompeu as entregas em uma dúzia de estados, fazendo com que milhões se alinhassem para gasolina, alguns o acumulando em sacos plásticos e outros riscos de incêndio. Outros fabricantes supostamente vitimados este ano incluem New Cooperative Inc., Kia Motors, Acer, Quanta, Brenntag e muitos outros fabricantes de necessidades diárias.

Relatórios da mídia de empresas ajoelhadas pelo cibercrime se tornaram como som surround, com muitas provavelmente sintonizando-as como “problemas de outras pessoas”. Até que eles se tornem nosso grande problema.

O setor manufatureiro rapidamente se tornou um dos principais alvos de atores de ameaças por causa de sua dependência de automação e digitalização, do custo das paralisações e das transações de alto valor para materiais e produtos acabados. Instalações de fabricação modernas apresentam sistemas de TI interdependentes. Se violados, os criminosos obtêm acesso a sistemas e projetos de monitoramento e controle e propriedade intelectual. Um estudo de 2020 da PwC revelou quase um em cada cinco ataques cibernéticos direcionados a fabricantes, e a empresa de segurança Dragos relata que os ataques contra empresas de manufatura triplicaram no ano passado. Ferramentas sofisticadas como ransomware como serviço são compradas e vendidas na dark web e um grupo crescente de talentos tecnológicos escolhe o crime como carreira.

É hora de ficar preocupado.

As empresas de manufatura que querem evitar ingressar nessas estatísticas precisam reunir recursos multifuncionais, com profissionais internos e externos de segurança e comunicações de TI à frente da mesa. As cinco etapas a seguir devem ser priorizadas:

Pratique uma cultura de cautela.

Embora todos precisem se envolver com a segurança cibernética, diretivas severas da suíte executiva e incômodo constante da TI não são uma abordagem eficaz para o envolvimento dos funcionários. Uma cultura de capacitação de segurança deve existir em todos os níveis de uma organização de fabricação. A solução é um esforço conjunto da equipe de segurança e funções de comunicação para desenvolver um programa abrangente de conscientização, que inclui um plano de comunicação de funcionários que inclui pesquisa, medidas de engajamento, construção de confiança e reforço constante e positivo da liderança da empresa. A função de segurança trabalhando em consórcio com a função de comunicação permitirá a adesão dos executivos e garantirá que as mensagens sejam concisas e transmitidas pelos canais certos.

Endureça as defesas da organização.

Em ambientes de fabricação, a maioria dos ataques é o resultado de vulnerabilidades de segurança não corrigidas em sistemas legados (rede e operações), erro humano e perda ou roubo de dispositivos contendo dados corporativos. Os fabricantes devem reduzir essas vulnerabilidades por meio de uma equipe de TI e segurança devidamente equipada com recursos e capacitada, avaliações técnicas contínuas do meio ambiente, disciplina operacional e aplicação da política corporativa. A comunicação dos riscos financeiros e reputacionais para as operações comerciais da equipe de segurança ao executivo é crítica e muitas vezes mal feita no setor manufatureiro. Considere contratar especialistas externos que tragam experiência e perspectivas externas e entendam o ambiente de fabricação. Uma avaliação de risco que inclui os custos potenciais para a empresa do cibercrime (incluindo tempo de inatividade de fabricação, pagamentos de resgate, comunicações e até multas dos reguladores) é uma boa maneira de criar uma plataforma de queima para melhorias no programa de segurança e iniciativas de moeda de TI.

Tenha sua equipe e backup prontos para ir.

Os criminosos não esperam por um convite e, historicamente, atacam em um fim de semana prolongado ou na calada da noite. Isso significa que a equipe de segurança precisa reunir seus parceiros com antecedência, é fácil envolvê-los rapidamente. Isso pode incluir consultores forenses de TI, empresas de resposta a incidentes, treinadores de violação, consultores jurídicos internos e externos, empresas de relações públicas, profissionais de seguros e até recursos de call center para atender às preocupações dos clientes se as operações forem interrompidas. A equipe de segurança deve mapear esses recursos em conjunto com as partes interessadas para garantir que todos os cenários sejam cobertos e que as funções e responsabilidades sejam bem compreendidas. Uma crise não é o momento de decidir a propriedade das tarefas ou para quem ligar.

Planeje a resposta… depois teste-a.

Um ataque cibernético pode vir rápida e inesperadamente e requer muitas decisões, muitas vezes sob pressão. Exercícios de mesa executados por especialistas terceirizados, em conjunto com a equipe de segurança da organização, testarão os planos da empresa e garantirão que a organização tenha os planos e recursos apropriados para responder de forma eficaz. A falha em uma simulação é a maneira mais eficaz de revelar vulnerabilidades, e também uma maneira convincente de convencer os executivos da empresa de que recursos e priorização são necessários. Liderança sênior e executivos devem ser incentivados a participar dessas avaliações, pois muitas vezes terão um papel identificado a desempenhar nos planos de resposta a incidentes.

Em um ataque, é essencial ter comunicações claras, consistentes e informadas. Se a equipe de segurança não estiver capacitada e preparada para fornecer uma explicação, outras intervirão para preencher o vazio, e a equipe de segurança (e a alta administração) podem não gostar de sua opinião sobre a situação. Muitas vezes, a mídia procurará comentários, e reguladores, acionistas e clientes observarão de perto. Durante ou após uma crise cibernética, é fundamental responder a perguntas da mídia a partir de uma posição informada, e o indivíduo adequadamente designado deve ser identificado pelo executivo ou conselho e treinado com a mídia com antecedência.

Pré-identifique as partes interessadas da empresa.

No mínimo, um ataque cibernético pode criar um pequeno inconveniente, como uma interrupção temporária da rede. Na pior das hipóteses, pode criar uma paralisação financeiramente incapacitante da fabricação, uma perigosa interrupção da cadeia de suprimentos, multas dos reguladores e uma perda de confiança a longo prazo. Para os fabricantes globais, as apostas são ainda maiores. Quando os problemas da empresa se tornam problemas de outras pessoas, a situação geralmente vai de mal a pior. É por isso que é vital pré-identificar quem pode ser afetado pelo seu problema e quem mais precisa saber.

Mas saber o que dizer a quem não é muito bom se ninguém puder ouvir o PDV da empresa. Um ataque cibernético pode paralisar e-mails e redes, por isso é importante tomar medidas agora para estabelecer canais de comunicação de backup. Se as mídias sociais se tornaram o local de especulação e conversa sobre a crise da empresa, é importante ter presença com seguidores nessas mesmas plataformas se a equipe de segurança quiser pesar.

E, finalmente, não se esqueça do monitoramento de mídia social. A empresa terá dificuldade em restaurar a confiança se outras pessoas estiverem espalhando desinformação nas mídias sociais que a equipe de segurança não vê, especialmente em plataformas abaixo do radar, como subreddits, ou condomínios fechados como o Facebook.

Embora as empresas devam se preocupar com crimes cibernéticos, a preocupação não fará com que o risco desapareça. Reunindo especialistas internos e externos e ouvindo os profissionais de segurança, é possível reduzir grande parte da preocupação e estresse.

FONTE: SC MAGAZINE

Previous post Dez previsões da agenda do CIO que afetarão os profissionais de TI até 2026
Next post Entendendo o básico da segurança da API

Deixe um comentário