Fiquei bastante interessado em segurança cibernética desde 2007, quando ainda atuava com administrador de redes de computadores, dada as crescentes ameaças de ataques cibernéticos por grupos criminosos a governos e empresas e à população civil. Desde então, acompanho as principais evoluções e tendências deste mercado. O CAMS, Consórcio Interdisciplinar de Segurança Cibernética do MIT oferece seminários semanais online e é uma excelente referência para o cenário global de segurança da informação. Algumas semanas atrás, em um seminário do CAMS sobre resiliência cibernética, Manuel Hepfer, afiliado de pesquisa da Universidade de Oxford e analista de pesquisa da ISTARI, uma empresa de gerenciamento de riscos cibernéticos, fez uma excelente palestra sobre o tema:
O que é resiliência cibernética?
Enquanto a segurança cibernética é a prática de proteger sistemas críticos e informações confidenciais contra ataques digitais, a resiliência cibernética é a capacidade de se preparar, resistir e se recuperar rapidamente de qualquer grande interrupção, seja um ataque cibernético intencional ou um desastre natural.
O seminário foi baseado em um estudo de Hepfer e colegas sobre os ataques de ransomware NotPetya de 2017, uma série de ataques cibernéticos poderosos que causaram mais de US$ 10 bilhões em danos econômicos globais em vários setores. O estudo foi focado principalmente em três empresas globais que foram alvo de ataques NotPetya: uma empresa de logística com mais de 60.000 funcionários, uma de manufatura com mais de 20.000 funcionários e uma terceira em serviços profissionais com mais de 5.000 funcionários.
O estudo realizou cerca de 50 entrevistas com executivos seniores das três empresas, incluindo CEOs, CFOs, CIOs e CISOs. Além disso, revisou documentos internos, apresentações, comunicados à imprensa, cobertura de jornais e arquivos de áudio e vídeo relacionados a eventos antes, durante e após o ataque. Seu estudo foi publicado em dois artigos no MIT Sloan Management Review, o primeiro em 2020, o segundo em 2022.
O primeiro artigo, Make Cybersecurity a Strategic Asset, observou que “a resiliência organizacional a ataques cibernéticos requer uma mudança fundamental de mentalidade: os executivos devem ver a segurança cibernética como estratégica e não operacional, e como uma oportunidade e não uma despesa. … Ao elevar a segurança cibernética de uma necessidade operacional a uma fonte de oportunidades, os líderes podem aumentar a resiliência e a vantagem comercial.”
O artigo cita várias razões pelas quais os executivos tratam a segurança cibernética como uma prioridade operacional em vez de estratégica.
Tradicionalmente, a segurança cibernética foi delegada às operações de TI onde reside o conhecimento técnico, embora a tecnologia agora permeie praticamente todas as funções da empresa. Muitos executivos veem os ataques cibernéticos como um evento aleatório e imprevisível, em oposição ao tipo de risco previsível e gerenciável que explora as fraquezas organizacionais em toda a empresa. E, quando um ataque cibernético acontece, as empresas geralmente se concentram no controle interno de danos, em vez de se envolver abertamente com todas as partes interessadas.
Com base em sua pesquisa, Hepfer e seus colaboradores desenvolveram um modelo para melhorar a resiliência organizacional a ataques cibernéticos que alavanca seus esforços de segurança cibernética para capturar oportunidades estratégicas. O modelo é baseado em quatro capacidades estratégicas:
- Proteger o negócio,
- Ampliar a conscientização,
- Gerenciar as consequências e
- Responder e recuperar.
“Cada um dos quatro elementos levanta questões que os executivos podem usar para liderar discussões sobre a abordagem da empresa à estratégia de segurança cibernética. Embora algumas dessas discussões estejam preocupadas com eventos após um ataque cibernético, todas as discussões devem acontecer agora, como parte do planejamento estratégico – antes de um ataque cibernético.”
Deixe-me resumir os quatro recursos e listar algumas das questões que devem ser abordadas por cada recurso:
Protegendo o negócio. “Embora continue sendo importante manter e fortalecer as defesas, as empresas em nosso estudo reconheceram que os ataques são inevitáveis”. As defesas perfeitas são impossíveis porque os ataques e as defesas estão em constante evolução. Uma abordagem estratégica de proteção deve abranger “uma compreensão mais profunda dos principais processos de negócios e como eles podem ser projetados para minimizar a vulnerabilidade de uma organização a ataques”. Esse plano estratégico deve abordar estas questões:
1) Quais são nossos principais processos de negócios e quão vulneráveis eles são a ataques cibernéticos?
2) Como podemos projetar nossos processos de negócios para minimizar nossa vulnerabilidade a ataques?
3) Quais recursos internos temos para nos proteger contra ataques cibernéticos?
Ampliar a conscientização “exige que a alta administração assuma a responsabilidade de olhar para fora da empresa para entender as ameaças atuais e desenvolver uma estratégia mais abrangente para adquirir inteligência. Essas ações incluem estabelecer melhores conexões com a rede de inteligência de ameaças, como comunicar-se com pesquisadores de segurança cibernética em fornecedores de antimalware e construir relacionamentos com colegas em organizações com os recursos mais fortes nessa área.” Para ajudar a ampliar a conscientização, as empresas devem discutir:
1) Quão significativa é a ameaça de ataque cibernético e de onde é mais provável que venha?
2) Quais recursos temos para detectar ameaças externas?
3) Como os ataques cibernéticos estão evoluindo?
Gerenciar as consequências “exige que os líderes olhem para fora para planejar os efeitos potenciais de um ataque cibernético em clientes, fornecedores, mercados financeiros e na reputação da empresa. … A decisão de se comunicar abertamente com clientes, acionistas e o público em geral provou ser especialmente valiosa, de acordo com um CEO em nosso estudo. Gerou não apenas feedback positivo dos clientes, mas também inúmeras ofertas de ajuda de clientes, fornecedores e até concorrentes.” Para gerenciar melhor as consequências de um ataque, as empresas devem levantar estas questões:
1) Como nossas principais partes interessadas responderiam e o que podemos fazer para moldar essas respostas?
2) Que recursos temos para antecipar como as partes interessadas podem responder?
3) Como nossos clientes seriam afetados?
Responder e recuperar “Requer a compreensão das capacidades da organização para tomar as medidas adequadas em caso de um ataque cibernético e identificar potenciais pontos fracos nos processos, habilidades de liderança e planos de backup. Os executivos em nosso estudo aconselharam que a resposta deve se concentrar primeiro na recuperação e falaram sobre a importância de ter o suporte da liderança para as equipes de tecnologia durante todo o esforço de recuperação.” Estas perguntas devem ser úteis no planejamento da resposta a um ataque:
1) Quais recursos temos para responder a um ataque cibernético e como podemos melhorá-los?
2) Que fraquezas impediriam nossa resposta?
3) Qual é o nosso plano para a continuidade dos negócios em caso de um ataque cibernético?
Em 2022, Hepfer e seus colaboradores publicaram um segundo artigo baseado em sua pesquisa, Construindo a resiliência cibernética antes que o próximo ataque ocorra. “Lições e insights de ataques cibernéticos anteriores podem ajudar as empresas a se prepararem e responderem com mais sucesso a ameaças futuras”, disseram os autores. Para entender as melhores práticas e os erros a serem evitados na resposta a ataques cibernéticos, eles analisaram suas entrevistas com executivos seniores cujas empresas sofreram ataques cibernéticos graves e coletaram dados de centros de treinamento em segurança cibernética que ajudam os executivos a se preparar para crises simulando ataques cibernéticos realistas em suas empresas. Deixe-me resumir suas descobertas.
Quando um ataque cibernético acontece, os líderes empresariais geralmente são confrontados com problemas desconhecidos, esmagadores e aparentemente aleatórios. A experiência mostra que eles devem evitar alguns erros comuns: em vez de definir prazos irreais para a recuperação, espere até entender a escala total e o impacto do ataque; em vez de tentar lidar com o ataque por conta própria, procure apoio externo e ajuda especializada; e não tente analisar e corrigir erros que possam ter tornado o ataque possível até que a estabilidade seja restaurada e o negócio esteja funcionando.
Por fim, aqui estão algumas boas práticas baseadas nas ações das empresas mais resilientes:
Planeje e prepare-se. Como não há praticamente nada que uma empresa possa fazer para evitar um ataque cibernético, o importante é estar o mais preparado possível quando um ataque acontecer. “Infelizmente, nossa pesquisa mostra que a maioria das empresas gasta a maior parte de seu tempo, dinheiro e atenção na proteção de sua infraestrutura de TI enquanto negligencia outros elementos de resiliência organizacional.”
Não delegue, lidere. Uma resposta bem-sucedida é uma questão de liderança organizacional e responsabilidade coletiva, bem como coordenação e tomada de decisões eficazes durante a crise. “Em nossa experiência, os executivos seniores que guiaram suas empresas por meio de ataques cibernéticos passam por uma grande mudança de mentalidade. Em particular, eles deixam de lado qualquer crença anterior de que o ônus de responder a ataques cibernéticos recai principalmente sobre seus especialistas em tecnologia”.
Forneça uma comunicação aberta e consistente. Tentar manter um ataque em segredo não funciona. “Em nossa pesquisa, encontramos vários exemplos de funcionários dando dicas a pessoas de fora – em muitos casos, inadvertidamente. Em contraste, expor os fatos ajuda a moldar a narrativa em torno da história e pode ajudar a proteger a reputação da empresa.”
“Como o risco de futuros ataques cibernéticos continua a aumentar, as apostas para empresas e líderes não poderiam ser maiores”, escreveram os autores em conclusão. “As principais descobertas de nossa pesquisa – que o sucesso ou fracasso na sequência de um ataque cibernético depende da liderança em toda a organização, da experiência prática de crise com antecedência e da comunicação consistente – fornecem orientação para os executivos seniores enfrentarem ameaças futuras com sucesso.”
