Antecipar-se às ameaças cibernéticas
É necessária uma mudança radical na cultura e consciencialização do risco cibernético no setor de Mining & metals para colmatar o fosso crescente que o “fator humano” expõe à ciber resiliência e para maior preparação. Esta urgência é mais crítica se aceitar a ideia de que já não é uma questão de "se", mas sim de "quando".
As organizações têm de aplicar bons princípios de gestão de risco; e isso começa por atentar no ciber risco, assumindo o mesmo como semelhante a qualquer risco comercial. Compreender o cenário de ameaças cibernéticas é o primeiro passo fundamental na mudança para melhorar a maturidade cibernética. Para fazer face às mudanças necessárias, as empresas mineiras e de metais têm de ter um plano claro que faça parte de seu roteiro digital e um plano de gestão de risco.
O primeiro passo consiste em estabelecer uma referência em termos de ciber controlos básicos. Essa referência, apoiada por uma abordagem assente no risco para dar prioridade a investimentos cibernéticos estratégicos e de longo prazo deve estar alinhada com os principais cenários de ameaças cibernéticas da organização.
Existem quatro grandes ameaças cibernéticas sempre presentes nas organizações de Mining & Metals e que podem afetar significativamente as suas operações:
- Aplicações empresariais e de TI: ameaças associadas à rede global de TI, ao fornecedor de serviços geridos de TI, ao ERP e às principais soluções locais ou baseadas na nuvem que ajudam à produtividade do utilizador final, armazenamento e computação de dados. Os compromissos nesses sistemas geralmente conduzem a incidentes de “prioridade um” que requerem atenção e recuperação imediatas.
- Tesouraria e negociação financeira e decommodities: pagamentos significativos em dinheiro (por valor e volume) a parceiros de joint ventures, fornecedores, agências governamentais, empresas inter ou intra e clientes de commodities ocorrem também na indústria mineira. Com o aumento de burlas a Administradores Executivos, Diretores Financeiros e PA e, a ocorrência de crimes cibernéticos ou pagamentos fraudulentos é uma ameaça real.
- Dados pessoais e comerciais: O aumento nos requisitos de notificação de violação de dados e o ritmo acelerado de apresentação de relatórios em meios online fizeram com que todas as empresas tivessem de prestar mais atenção para proteger dados pessoais e sigilosos. No caso do setor de Mining & Metals, isso traduz-se geralmente em informações pessoais no seio dos RH, higiene médica, HSE e sistemas de gestão de contratados e de informações comerciais sensíveis em dispositivos de utilizador final sénior e repositórios de dados assentes em nuvem.
- Tecnologia operacional: As ameaças cibernéticas nas TO estão a evoluir e estão na vanguarda dos conselhos de administração, executivos e reguladores de indústrias que fazem uso intenso de ativos. Isso começa geralmente com os sistemas TO de missão crítica em centros operacionais, centrais de processamento e empresas de serviço público; seguido das principais redes e sistemas de TI e TO, permitindo operações integradas, monitorização e controlo remotos e planeamento sensível da produção e apoio à decisão.
Para tal, as organizações devem adotar uma estrutura de segurança cibernética para a identificação consistente de falhas, ameaças e ações críticas de controlo cibernético necessárias para terem o perfil de risco pretendido. Acreditamos que independentemente da estrutura adotada, deve adotar-se uma abordagem assente no risco, adequada ao objetivo, adotar um equilíbrio entre "proteger" e "reagir" e atender aos requisitos operacionais de uma organização.
Em seguida apresentamos uma abordagem robusta contra ameaças cibernéticas:
Identificar os riscos reais: identificar ativos críticos em sistemas e negócios
Dar prioridade ao que é mais importante: admita esse tipo de violações pode ocorrer e melhore os controlos e processos para identificar, proteger, detetar, responder e recuperar ataques
Gerir e monitorizar o desempenho: avalie regularmente o desempenho e a posição de risco residual
Otimize investimentos: aceite riscos geríveis nos casos em que o orçamento não estiver disponível
Capacite o seu negócio no sentido de um melhor desempenho: faça da segurança a responsabilidade de todos
Centre-se nos conselhos de administração
Os conselhos de administração estão a assumir um papel cada vez mais ativo na abordagem ao risco que o ciber risco representa para os seus negócios. Existe um interesse crescente por parte das administrações em gerar relatórios, medidas de avaliação e obter informação aprofundada para dar mais visibilidade e garantias à gestão de riscos de cibersegurança.
A maioria das organizações tem dificuldades quanto ao que reportar ao conselho. Isso é indicativo da mentalidade tradicional de reporte que tende a concentrar-se em informar sobre tomadas de decisão táticas e reportar os progressos em curso. Em vez disso, os relatórios ao conselho de administração devem tentar combinar métricas tangíveis e quantificáveis que demonstrem os resultados resultantes de decisões-chave recentes e o estado de desempenho do ambiente de controlo.
Por fim, para permitir uma tomada de decisão eficaz, uma estrutura bem-sucedida de relatórios de segurança cibernética deve fornecer ao conselho uma visão clara e contínua da atual exposição a riscos cibernéticos da organização.
Para incentivar essa mudança de paradigma, os conselhos de administração devem implementar uma mentalidade assente no risco para transformar as perguntas que fazem à gerência.