Está na hora de dar mais atenção a ciberataques

O possível impacto de cibercriminosos em uma empresa de ciências da vida é complexo. Informações de extrema importância sobre propriedade intelectual e pacientes, além de atrasos de produção ou perda de lotes de produtos de alto custo e mesmo de identidade de marca estão sob risco. Ninguém quer ser um fabricante incapaz de fornecer medicamentos fundamentais para pacientes em necessidade.

Ainda que o retorno do investimento em segurança esteja na prevenção de riscos, já vimos mais de uma vez como esse risco se traduz em impacto material direto na avaliação e no resultado final de uma empresa. Lembra dos US$ 310 milhões perdidos por uma companhia farmacêutica devido ao NotPetya? Nenhuma organização está imune.

A boa notícia é que empresas farmacêuticas e de biotecnologia já lidam com regulamentações de segurança, integridade de dados e requisitos de compatibilidade há algum tempo. Mas, conforme a tecnologia evolui, aumentam também as vulnerabilidades. Portanto, a vigilância é uma necessidade.

Pare um minuto e se faça as perguntas a seguir a respeito de suas práticas atuais contra ciberataques e pense se você está à altura dos problemas.

Você conhece suas vulnerabilidades?

A amplitude da conectividade no ambiente de fabricação de hoje significa mais superfície de ataque (ou vulnerabilidades) para as ameaças cibernéticas atingirem. Proteger sua produção significa olhar além das estratégias de defesa em profundidade e abordar os riscos cibernéticos em toda a continuidade do ataque. Mas como?

Seguir o framework de cibersegurança do NIST é um bom começo.

1.     Identifique o que você tem (seu inventário de ativos) e os riscos relacionados.

2.     Potencialize mecanismos de proteção como reparação, rastreamento e controle de acesso preparados para proteger o que você tem.

3.     Detecte anomalias e eventos que contornam esses mecanismos de proteção.

4.     Implemente recursos de resposta.

5.     Desenvolva um sistema de suporte para backup e recuperação rápidos.

Implementar esses princípios básicos de ciberataque com sucesso é o primeiro passo para construir um programa de cibersegurança eficiente e para melhorar sua capacidade de defesa contra cibercriminosos.

Como você está lidando com a obsolescência?

Haverá vulnerabilidades. Haverá obsolescência. E atualizações não são tão simples quanto substituir hardware ou aplicar um patch. É necessário ter em mente as regulamentações e o ambiente em que você está.

Considere o seguinte ao avaliar os riscos de manter hardware e software:

·       Qual é o impacto de alguém explorar essa vulnerabilidade?

·       Há um modo de tratar dessa vulnerabilidade com a aplicação de um controle de redução alternativo?

·       Se não houver, há justificável que esse programa aplicativo seja migrado para uma plataforma/solução/produto compatível?

Não há só uma resposta certa. Dependendo dos mecanismos de controle e prevenção que você tiver instalados, é possível optar por continuar a produzir ou executar um lote como ele é, porque você se sente protegido e risco parece reduzido. Mas ao se fazer essas perguntas antes de um incidente, compreender sua postura de segurança e ter os devidos controles e documentação ajudará a ter mais confiança em suas decisões.

Sua organização está preparada para responder?

Você consegue definir sua estratégia e saber como responderá a cibercriminosos com rapidez e clareza? As organizações mais bem preparadas criam uma cultura em que as operações e a TI trabalham juntas para responder a essas perguntas. Certifique-se de que as equipes colaboram bem, buscando a resolução dos problemas. Como envolvê-las no processo? Que ferramentas estão disponíveis? Há necessidade de novas?

Juntos, vocês devem fazer avaliações regulares que meçam e gerenciem riscos. Se vocês têm certeza de que seguem os cinco pilares do NIST, ficarão bem. Mas desafiem-se de verdade enquanto equipe para se aprofundarem nesse framework e testarem a organização.

Com frequência, sugerimos fazer uma reunião para simular um evento. Encene em tempo real como seria a resposta e a recuperação após a detecção de um evento. Esse tipo de simulação concreta ajuda a expor falhas em seu programa.

Você está preparado para pensar diferente?

Cibersegurança não é uma questão de “instala e já era”. É preciso buscar compreender sua exposição, seus riscos e sua preparação o tempo todo. Desafie sua organização a identificar o que está mudando interna e externamente. O que você pode fazer diferente? Onde você precisa de ajuda? 

Para ter sucesso na criação de uma fundação sólida contra ciberataques não basta comprar ferramentas e tecnologia. É necessário abordar os aspectos organizacional e humano da criação de uma cultura de mudança. Uma cultura em que as operações, a TI e a gerência incorporam a segurança como parte de seus trabalhos diários e na qual os funcionários sabem como contribuir para o objetivo final. 

Com tantas coisas em jogo, dar atenção constante a essas perguntas pode ter um grande impacto na proteção de suas operações e do resultado final.