Os reguladores estão aumentando a pressão sobre as organizações industriais para implementar medidas robustas de cibersegurança. Novas exigências, como a regra de gestão de riscos cibernéticos da Comissão de Valores Mobiliários dos EUA (SEC) e a Diretiva NIS2 da Europa, estão impulsionando a urgência de proteger melhor as operações de TO. As regulamentações aumentam os desafios crescentes que as organizações industriais enfrentam com fatores como acesso remoto, vulnerabilidades da cadeia de fornecimento e convergência de TI/TO.
Para superar esses obstáculos, a Rockwell Automation recomenda as 6 etapas a seguir para ajudar as organizações industriais a reduzir os riscos de cibersegurança e modernizar as operações para acompanhar o ritmo das mudanças.
1. Realize uma avaliação de riscos
Para saber onde estão seus maiores riscos, comece identificando ativos críticos. Ferramentas automatizadas de detecção de ameaças industriais estão disponíveis para ajudá-lo a entender exatamente o que está conectado às suas redes, além da postura de risco de segurança de cada ativo ou dispositivo.
Em seguida, considere o teste de penetração de TO. O teste de penetração pode revelar falhas na arquitetura de rede, ativos, políticas ou processos que são mais frequentemente explorados para comprometer as operações.
Explore os seguintes recursos para obter informações valiosas sobre avaliação de riscos:
- NIST SP 800-30 — oferece diretrizes para a realização de avaliações de risco
- ISO/IEC 27005 — oferece orientações para gestão de risco de segurança da informação
- Avaliação de preparação para cibersegurança industrial da Rockwell Automation para obter uma avaliação rápida da preparação cibernética da sua organização e possíveis lacunas
2. Priorize as melhorias de segurança
Aplique uma abordagem baseada em risco para ajudar a priorizar atualizações de segurança para se concentrar primeiro nas lacunas mais críticas. A avaliação de risco realizada na primeira etapa acima pode fornecer percepções sobre essas lacunas. Para obter um contexto mais aprofundado, faça perguntas como:
- Qual a criticidade desse ativo ou processo para as operações de produção, disponibilidade, integridade de dados ou outros fatores importantes para a organização?
- Como os ativos críticos são protegidos? As proteções atuais reduzem os riscos? Há falta de proteções de cibersegurança que reduziriam muito o risco de uma violação?
- Qual é o custo potencial caso ocorra uma violação, incluindo tempo de parada não programada, falha de conformidade, multas, danos à reputação e outros fatores importantes para a organização?
Você precisa entender a tolerância ao risco da sua organização antes de conseguir priorizar efetivamente as lacunas e melhorias. Por fim, o nível específico de risco aceitável da sua organização orientará suas decisões aqui. Para tomar decisões mais precisas, é recomendável aplicar alguma metodologia de quantificação dos riscos e dos custos potenciais.
3. Crie um plano de resposta a incidentes cibernéticos
Os prazos estabelecidos pela NIS2 e pela SEC para a comunicação de incidentes foram recentemente reforçados. Por exemplo, a NIS2 exige que os detalhes conhecidos do incidente sejam comunicados em até 24 horas e que um relatório completo de notificações seja enviado em até 72 horas. Da mesma forma, a nova regra da SEC determina a divulgação do incidente em até quatro dias úteis após a identificação de que o incidente é relevante.
Você pode ajudar sua equipe a responder e reportar incidentes de forma mais eficaz estabelecendo processos e procedimentos documentados em um plano formal. Componentes recomendados para um plano de resposta a incidentes incluem:
- Designar pessoal-chave para a equipe de resposta a incidentes
- Definir funções e responsabilidades para cada membro da equipe
- Registrar dados dos incidentes, utilizando as ferramentas disponíveis para análise
- Entender os passos e prazos exigidos para reportar, avaliar e responder aos incidentes
4. Implemente exercícios de bancada
Os exercícios de bancada são outra etapa essencial para aumentar a eficiência da equipe de resposta a incidentes. Os envolvidos devem praticar o plano para conseguirem seguir os passos antes de serem confrontados com um incidente real de cibersegurança.
Realizar esses exercícios regularmente (trimestral a anualmente) também aumentará a confiança e a competência da equipe, promovendo melhorias contínuas, além de acelerar e tornar mais eficaz a resposta a incidentes. Organizações maiores, ou aquelas em setores de infraestrutura crítica, são aconselhadas a considerar exercícios simulados com maior frequência, até mesmo trimestrais.
Consulte os seguintes recursos para aprender mais sobre como implementar exercícios de bancada:
- Pacotes de exercícios de bancada da Agência de Cibersegurança & Infraestrutura (CISA) dos EUA
- Guias de gestão de incidentes do Centro Nacional de Cibersegurança do Reino Unido (NSCS)
- A Rockwell Automation também pode ajudar a organizar e realizar os exercícios de bancada
5. Melhore a proteção com ferramentas e estratégias de defesa em profundidade
Nenhuma ferramenta de segurança, por mais robusta que seja, pode proteger seu ambiente de TO contra todas as ameaças. Reforçar sua postura de cibersegurança com uma estratégia de defesa em profundidade aumentará a resiliência da sua TO e da organização contra ataques cibernéticos.
A defesa em profundidade deve incluir controles em todos os níveis, desde a rede e pontos de extremidade até aplicativos e gestão de acessos.
A Rockwell Automation recomenda as seguintes melhores práticas:
- Segmentar as redes de TI e TO com uma zona industrial desmilitarizada (IDMZ)
- Considerar um sistema de monitoração de ameaças para detectar incidentes, alertar as equipes de segurança e fornecer coleta de dados para análise da causa raiz e relatórios
- Implementar um sistema de gestão de pontos de extremidade para tratar vulnerabilidades de modo eficaz
- Adotar ferramentas como antivírus, firewalls, criptografia de dados e controle de acesso remoto conforme as necessidades e requisitos específicos da sua organização
- Autenticar constantemente dispositivos, conexões e usuários por meio da implementação de políticas de controle de acesso Zero Trust
- Aplicar o Common Industrial Protocol (CIP) Security para proteger pontos de extremidade contra ataques de comunicação
- Implementar backups para sistemas críticos de TO para recuperação rápida após incidentes
Para mais informações táticas sobre defesa em profundidade, consulte recursos como a Estrutura de Cibersegurança NIST, o site da CISA e os Controles Críticos de Segurança do CIS.
6. Conquiste o apoio das partes interessadas
À medida que a fiscalização regulatória aumenta, cresce também a pressão sobre os conselhos de administração para gerenciar melhor os riscos de cibersegurança. Conquistar o apoio das principais partes interessadas da sua organização (desde o chão de fábrica até o topo) ajuda a construir uma base sólida de confiança, que dará suporte às suas iniciativas para financiar e implementar ações essenciais de segurança para proteger as operações.
Foi isso que aconteceu com um fabricante global de bens de consumo embalados. A organização alcançou novos níveis de colaboração e parceria envolvendo múltiplas fábricas, as equipes de TI e toda a alta liderança, por meio de um processo passo a passo que forneceu a cada grupo as informações e processos certos no momento certo.
Priorizar o engajamento das partes interessadas trouxe benefícios inestimáveis na redução de riscos, que continuam a se acumular dia após dia.
Conselhos úteis adicionais
Investindo nos processos, ferramentas e estratégias corretos, você pode construir uma base sólida para uma proteção abrangente e eficaz contra ciberataques.
Felizmente, há ajuda disponível para orientar você em cada etapa. Trabalhar com um parceiro confiável como a Rockwell Automation, líder em automação e cibersegurança industrial, pode fortalecer a experiência interna da sua equipe enquanto você planeja, executa e aprimora as iniciativas de cibersegurança.
Entre em contato conosco aqui para obter mais informações.
