Atividade M3 - NCSC-Cyber-security-risk-management-Executive

Atividade M3 - NCSC-Cyber-security-risk-management-Executive

SEGURANÇA CIBERNÉTICA E GERENCIAMENTO DE RISCOS .......................... 2

Uma responsabilidade de nível executivo .................................................................... 2
O ciberespaço apresenta riscos e oportunidades ........................................................ 2
Proteja sua reputação .................................................................................................. 3
COMPROMISSO DE ATIVOS DE INFORMAÇÃO PODE DANIFICAR ORGANIZAÇÕES ..... 3
MUITOS ACTORES POSSUEM UM RISCO À INFORMAÇÃO ........................................... 3
A AMEAÇA NÃO É APENAS TECNICA ............................................................................ 3
EVOLUIR E GERENCIAR OS RISCOS ESPECÍFICOS DO CIBERNO DA ORGANIZAÇÃO ..... 4
MANTENHA A CONSCIÊNCIA SITUACIONAL DAS AMEAÇAS CIBERNÉTICAS ................ 5
EVOLUIR E GERENCIAR OS RISCOS ESPECÍFICOS DO CIBERNO DA ORGANIZAÇÃO ..... 6
PROMOVER OVERSIGENS E RECEBER ............................ Error! Bookmark not defined.
PLANEJAMENTO E PROCEDIMENTOS DE PESQUISA E PROCEDIMENTOS DE TESTE DE
INCIDENTES .................................................................... Error! Bookmark not defined.
MANTENHA A CONSCIÊNCIA SITUACIONAL DAS AMEAÇAS CIBERNÉTICAS ......... Error!
Bookmark not defined.
Dez passos para reduzir seu risco cibernético ................................................................. 6
Regime de Gestão de Risco da Informação .............................................................. 7
Trabalho Doméstico e Móvel ................................................................................... 7
Educação e Conscientização do Usuário .................................................................. 7
Gerenciamento de Incidentes .................................................................................. 7
Gerenciando privilégios de usuário .......................................................................... 7
Controles de Mídia Removível.................................................................................. 7
Monitoramento ........................................................................................................ 7
Configuração segura ................................................................................................. 7
Proteção contra malware ......................................................................................... 7
Segurança de rede .................................................................................................... 8
Próximos passos ........................................................................................................... 8

1
 Atividade M3 - NCSC-Cyber-security-risk-management-Executive

SEGURANÇA CIBERNÉTICA E GESTÃO DE RISCOS

Uma responsabilidade de nível executivo

O ciberespaço apresenta riscos e oportunidades
Os riscos de segurança cibernética são uma ameaça em constante evolução para a
capacidade de uma organização de atingir seus objetivos e entregar suas funções
principais.
As falhas de segurança na atual economia orientada por informações podem resultar
em despesas significativas de longo prazo para as organizações afetadas e prejudicar
substancialmente a confiança do consumidor e a reputação da marca. Informações
confidenciais do cliente, propriedade intelectual e até mesmo o controle das principais
máquinas estão cada vez mais em risco de ataques cibernéticos. O direcionamento de
ativos eletrônicos tem o potencial de causar um impacto significativo em toda a
organização e, possivelmente, em seus parceiros.
O tema da segurança cibernética precisa passar do domínio do profissional de TI para
o do Executivo e da Diretoria, onde sua consideração e mitigação podem ser
proporcionais ao risco apresentado. A abordagem tradicional de pensar em segurança
cibernética em termos de construir muros maiores (firewalls e software antivírus) - ainda
que necessário - não é mais suficiente. Uma abordagem holística para o gerenciamento
de riscos de segurança cibernética - em toda a organização, sua rede, cadeias de
suprimentos e o ecossistema maior - é necessária.
Este documento fornece as principais questões para orientar as discussões de
liderança sobre gerenciamento de riscos de segurança cibernética para sua organização.
Eles pretendem não ser prescritivos, pois o contexto organizacional pode variar.

Esta publicação incorpora o trabalho originalmente pesquisado, elaborado e

publicado por nossos parceiros internacionais (Diretoria Australiana de Sinais de Defesa,
o Governo de Sua Majestade do Reino Unido © Crown Copyright, US-CERT). Foi
reproduzido com permissão e quaisquer alterações foram feitas a critério do NCSC. Como
esta publicação observa, mesmo organizações bem defendidas podem experimentar um
incidente cibernético em algum momento. Esta publicação não pode, e não oferece,
qualquer seguro contra tais incidentes. Recomenda-se que as organizações procurem
aconselhamento profissional para lidar com os riscos identificados aqui. Esta publicação
não pretende ser um substituto para isso.

2
 Atividade M3 - NCSC-Cyber-security-risk-management-Executive

Proteja sua reputação

Sistemas de informação eficazes são críticos para o sucesso de qualquer organização.
O gerenciamento seguro de propriedade intelectual e informações confidenciais ou
confidenciais proporcionam vantagem competitiva e ajudam a proteger a reputação
corporativa. Isso é verdade se essas informações estão na forma de um design de produto,
um processo de fabricação, uma estratégia de negociação ou dados pessoais
confidenciais. Ao mesmo tempo, a necessidade de acessar e compartilhar informações
mais amplamente, usando uma ampla gama de tecnologias de conexão, aumenta o risco
de que essas informações sejam comprometidas ou desviados.

COMPROMISSO DE ATIVOS DE INFORMAÇÃO PODE DANIFICAR

ORGANIZAÇÕES
O comprometimento da informação por meio de, por exemplo, erro de equipe ou
ações deliberadas de um estranho poderia ter um impacto permanente ou pelo menos de
longo prazo em uma organização. Um único ataque bem-sucedido pode ter um impacto
devastador sobre a situação financeira ou a reputação de uma organização. O
comprometimento das informações pode levar a perdas financeiras significativas, por
perda de produtividade, perda de propriedade intelectual, danos à reputação, custos de
recuperação, tempo de investigação e custos legais e regulamentares. Isso, por sua vez,
poderia levar à redução da vantagem competitiva, menor participação de mercado, lucros
menores, cobertura de mídia adversa, falência ou até mesmo - onde sistemas críticos para
a segurança podem estar envolvidos - a perda de vidas.
Placas e executivos precisam ter uma visão precisa dos ativos de informação críticos
para o sucesso de uma organização. Eles também precisam se assegurar de que têm
informações atualizadas sobre as ameaças e vulnerabilidades de segurança de negócios
conhecidas, para que possam tomar decisões informadas sobre riscos.

MUITOS ACTORES POSSUEM UM RISCO À INFORMAÇÃO

Existem muitos tipos de atores que representam um risco para os negócios por meio
de ativos de informações de TI:

criminosos cibernéticos interessados em ganhar dinheiro através de fraude ou da

venda de informações valiosas
concorrentes industriais e atores estatais estrangeiros interessados em obter vantagem
econômica para suas próprias empresas ou países
hackers que acham que interferir com os sistemas de computador é um desafio
agradável
hacktivistas que desejam atacar empresas por motivos políticos ou ideológicos
funcionários ou pessoas com acesso legítimo, seja por acidente ou uso indevido
deliberado.

A AMEAÇA NÃO É APENAS TÉCNICA

Muitas tentativas de comprometer informações envolvem o que é conhecido como
“engenharia social”, ou a manipulação hábil das pessoas e da natureza humana.
Geralmente, é mais fácil enganar alguém ao clicar em um link malicioso em um e-mail
que eles acham que seja de um amigo ou colega do que invadir um sistema, especialmente
se o destinatário do e-mail estiver ocupado ou distraído. Há também muitos casos bem
documentados de hackers persuadindo a equipe de suporte de TI a abrir áreas de uma rede

3
 Atividade M3 - NCSC-Cyber-security-risk-management-Executive

ou redefinir as senhas, simplesmente passando-se por uma máscara em que alguém

confiava.

A CHAVE É A GESTÃO E A CONSCIENTIZAÇÃO DOS RISCOS

Estar ciente das ameaças potenciais é uma parte normal da gestão de riscos nas
organizações. Juntamente com riscos financeiros, jurídicos, de RH e de outros negócios,
as empresas precisam considerar o que poderia ameaçar seus ativos de informações
críticas e qual seria o impacto se esses ativos fossem comprometidos de alguma forma. A
chave é mitigar a maioria dos riscos para ativos de informação críticos e ser mais capaz
de reduzir o impacto e recuperar de problemas à medida que eles surgem.

Coloque a segurança cibernética na agenda antes de se tornar a agenda

INCORPORAR OS RISCOS CIBERNÉTICOS NA EXISTÊNCIA DE

PROCESSOS DE GESTÃO DE RISCOS E DE GOVERNANÇA
A segurança cibernética NÃO está implementando uma lista de verificação de
requisitos; em vez disso, está gerenciando riscos cibernéticos para um nível aceitável. A
gestão de risco de segurança cibernética como parte das estruturas de governança, gestão
de riscos e continuidade de negócios de uma organização fornece a estrutura estratégica
para o gerenciamento do risco de segurança cibernética em toda a organização.

ELABORAR DISCUSSÕES DE GESTÃO DE RISCOS AO

EXECUTIVO
O envolvimento executivo na definição da estratégia de risco e dos níveis de risco
aceitável permite um gerenciamento mais econômico dos riscos cibernéticos que estão
alinhados com as necessidades do negócio. A comunicação regular entre o CEO e os
responsáveis pelo gerenciamento de riscos cibernéticos fornece conhecimento dos riscos
atuais que afetam a organização e o impacto comercial associado.

PADRÕES DA INDÚSTRIA DE SUPERAÇÃO E MELHORES

PRÁTICAS, NÃO CONSIDERAM O COMPOSITIVO
Um programa abrangente de segurança cibernética aproveita os padrões e as práticas
recomendadas do setor para proteger sistemas e detetar possíveis problemas. É apoiado
por processos informados sobre as ameaças atuais e permite a resposta e a recuperação
em tempo hábil. Os requisitos de conformidade ajudam a estabelecer uma boa linha de
base de segurança cibernética para lidar com vulnerabilidades conhecidas, mas não
abordam adequadamente as ameaças novas e dinâmicas nem combatem os adversários
sofisticados. O uso de uma abordagem baseada em riscos para aplicar padrões e práticas
de segurança cibernética permite uma gestão mais abrangente e económica de riscos
cibernéticos do que as atividades de conformidade sozinhas.

EVOLUIR E GERIR OS RISCOS ESPECÍFICOS DO CIBERNO DA

ORGANIZAÇÃO
A identificação de ativos críticos e os impactos associados de ameaças cibernéticas
são essenciais para entender a exposição a riscos específicos de uma empresa, seja
financeira, competitiva, de reputação ou regulatória.

4
 Atividade M3 - NCSC-Cyber-security-risk-management-Executive

Os resultados da avaliação de riscos são um insumo fundamental para identificar e

priorizar medidas de proteção específicas, alocar recursos, informar investimentos de
longo prazo e desenvolver políticas e estratégias para gerir os riscos cibernéticos a um
nível aceitável.

PROMOVER SUPERVISÃO E REVISÃO

Os executivos são responsáveis por gerenciar e supervisionar a gestão de riscos da
organização. As atividades de supervisão cibernética incluem a avaliação regular de
orçamentos de segurança cibernética, planos de aquisição de TI, terceirização de TI,
serviços de nuvem, relatórios de incidentes, resultados de avaliação de riscos e políticas
de nível superior.

PLANEAMENTO E PROCEDIMENTOS DE PESQUISA E

PROCEDIMENTOS DE TESTE DE INCIDENTES
Mesmo uma organização bem defendida experimentará um incidente cibernético em
algum momento. Quando as defesas de rede são penetradas, uma organização deve ter
uma ideia clara de como responder. Planos documentados de resposta a incidentes
cibernéticos que são exercidos regularmente ajudam a possibilitar uma resposta oportuna
e minimizar os impactos.
Coordenar o planeamento de resposta a incidentes cibernéticos em toda a
organização. Ações de resposta antecipada podem limitar ou até evitar possíveis danos.
Um componente-chave da preparação para resposta a incidentes cibernéticos é o
planeamento em conjunto com todo o executivo, líderes de negócios, planejadores de
continuidade, operadores de sistemas, consultores gerais e assuntos públicos. Isso inclui
a integração de políticas e procedimentos de resposta a incidentes cibernéticos com planos
existentes de recuperação de desastres e continuidade de negócios.

MANTENHA A CONSCIÊNCIA SITUACIONAL DAS AMEAÇAS

CIBERNÉTICAS
A conscientização situacional do ambiente de risco cibernético de uma organização
envolve a deteção oportuna de incidentes cibernéticos e a conscientização das ameaças e
vulnerabilidades atuais específicas da organização e dos impactos comerciais associados.
Analisar, agregar e integrar dados de risco de várias fontes e participar do
compartilhamento de informações sobre ameaças com parceiros ajuda as organizações a
identificar e responder a incidentes rapidamente e garantir que os esforços de proteção
sejam compatíveis com os riscos.
Um centro de operações de rede pode fornecer dados de tendências e em tempo real
sobre eventos cibernéticos. Os gerentes de linha de negócios podem ajudar a identificar
riscos estratégicos, como os riscos para a cadeia de fornecimento criados por meio de
fornecedores terceirizados ou interdependências cibernéticas. Os Centros Setoriais de
Compartilhamento e Análise de Informações, agências governamentais e de inteligência,
instituições acadêmicas e firmas de pesquisa também servem como fontes valiosas de
informações sobre ameaças e vulnerabilidades que podem ser usadas para melhorar o
conhecimento da situação.

5
 Atividade M3 - NCSC-Cyber-security-risk-management-Executive

EVOLUIR E GERENCIAR OS RISCOS ESPECÍFICOS DO CIBERNO DA

ORGANIZAÇÃO
A identificação de ativos críticos e os impactos associados de ameaças cibernéticas
são essenciais para entender a exposição a riscos específicos de uma empresa, seja
financeira, competitiva, de reputação ou regulatória.
Os resultados da avaliação de riscos são um insumo fundamental para identificar e
priorizar medidas de proteção específicas, alocar recursos, informar investimentos de
longo prazo e desenvolver políticas e estratégias para gerenciar os riscos cibernéticos a
um nível aceitável.

6
 Atividade M3 - NCSC-Cyber-security-risk-management-Executive

DEZ PASSOS PARA REDUZIR SEU RISCO CIBERNÉTICO

Foi demonstrado que o gerenciamento básico do risco da informação evita até 85%
dos ataques cibernéticos vistos hoje, permitindo que as organizações se concentrem no
gerenciamento do impacto dos outros 15%. As organizações devem tomar medidas para
rever e investir, quando necessário, para melhorar a segurança nas seguintes áreas-chave:
Regime de Gestão de Risco da Informação
Estabeleça uma estrutura de governança eficaz e determine seu apetite ao risco -
assim como faria com qualquer outro risco. Manter o envolvimento do Conselho com o
risco cibernético. Produzir políticas de suporte a riscos de informações.
Trabalho Doméstico e Móvel
Desenvolva uma política de trabalho móvel e treine a equipe a aderir a ela. Aplique
a construção da linha de base segura a todos os dispositivos. Proteja os dados em trânsito
e em repouso.
Educação e Conscientização do Usuário
Produza políticas de segurança do usuário que cubram o uso aceitável e seguro dos
sistemas da organização. Estabelecer um programa de treinamento de pessoal. Manter a
conscientização do usuário sobre os riscos cibernéticos.
Gerenciamento de Incidentes
Estabelecer uma capacidade de resposta a incidentes e recuperação de desastres.
Produzir e testar planos de gerenciamento de incidentes. Fornecer treinamento
especializado para a equipe de gerenciamento de incidentes. Relatar incidentes criminais
para a aplicação da lei.
Gerenciando privilégios de usuário
Estabeleça processos de gerenciamento de contas e limite o número de contas
privilegiadas.
Limite os privilégios do usuário e monitore a atividade do usuário. Controle o acesso
a atividades e registros de auditoria.
Controles de Mídia Removível
Produza uma política para controlar todo o acesso a mídia removível. Limite os tipos
de mídia e use. Analise toda a mídia em busca de malware antes de importar para o
sistema corporativo.

Monitoramento
Estabelecer uma estratégia de monitoramento e produzir políticas de apoio. Monitore
continuamente todos os sistemas e redes de TIC. Analise logs para atividades incomuns
que possam indicar um ataque.
Configuração segura
Aplique patches de segurança e garanta que a configuração segura de todos os
sistemas ICT seja mantida. Crie um inventário do sistema e defina uma construção de
linha de base para todos os dispositivos ICT.
Proteção contra malware
Produza políticas relevantes e estabeleça defesas antimalware que sejam aplicáveis
e relevantes para todas as áreas de negócios. Procure por malware em toda a organização.

7
 Atividade M3 - NCSC-Cyber-security-risk-management-Executive

Segurança de rede
Proteja suas redes contra ataques externos e internos. Gerenciar o perímetro da rede.
Filtre o acesso não autorizado e o conteúdo malicioso. Monitore e teste os controles de
segurança.

Próximos passos
Se você não tiver certeza sobre a capacidade de sua organização de gerenciar os
riscos de suas informações, aqui estão algumas medidas práticas que podem ser tomadas
por meio de mecanismos de governança corporativa:
1. Confirme que você identificou seus principais ativos de informações e o impacto
em seus negócios se eles fossem comprometidos.
2. Confirme que você identificou claramente as principais ameaças aos seus ativos
de informações e estabeleceu um apetite pelos riscos associados.
3. Confirme que você está gerenciando apropriadamente os riscos cibernéticos para
suas informações e tenha as políticas de segurança necessárias em vigor.
As empresas podem não ter toda a experiência necessária para implementar algumas
dessas etapas e garantir que as medidas adotadas atendem às ameaças atuais. Os parceiros
de auditoria devem poder fornecer assistência em primeira instância. Para conhecimento
em gestão de riscos de informação, as organizações devem buscar orientação de membros
de órgãos profissionais apropriados ou daqueles que obtiveram qualificações
reconhecidas pela indústria.

SOBRE NCSC
O Centro Nacional de Segurança Cibernética (NCSC) é responsável por proteger o
governo de nossa nação e a infraestrutura crítica contra ameaças cibernéticas que podem
afetar nossa segurança nacional, segurança pública e prosperidade econômica.
Para mais informações, visite: www.ncsc.govt.nz
Para denunciar um incidente cibernético: www.ncsc.govt.nz/incidents ou +64 4 498
7654