Temos uma nova buzzword da moda, que está no discurso e na preocupação de 10 em cada 10 CISOs:
O NIST possui duas definições legais de ciber resiliência:
- o glossário oficial do NIST define a ciber resiliência como "The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources" ("A capacidade de antecipar, resistir, recuperar e se adaptar a condições adversas, estresses, ataques ou comprometimentos em sistemas que usam ou são habilitados por recursos cibernéticos");
- a publicação 800-30 Rev1 (Guide for Conducting Risk Assessments) define "Information System Resilience" como "The ability of an information system to continue to operate while under attack, even if in a degraded or debilitated state, and to rapidly recover operational capabilities for essential functions after a successful attack".
Ou seja, ela representa a capacidade da organização de minimizar o impacto de um incidente, manter suas operações de negócio e se recuperar rapidamente frente a um incidente cibernético.
- Plano de resposta a incidentes (Incident Response Plan)
- Plano de continuidade de negócios (Business Continuity Plan, ou BCP)
- Plano de recuperação de desastres (Disaster Recovery Plan, ou DRP)
É interessante destacar também que o tema tem ganho grande relevância, a ponto de que alguns países estão liderando iniciativas para promover a cultura e preparação necessária para estabelecer a resiliência a ciber ataques. Dentre essas iniciativas, achei algumas notícias interessantes:
- Scottish government offers cyber resilience training to hundreds of organisations
- União Européia:
- EU Cyber Resilience Act (CRA)
- State of the Union: New EU cybersecurity rules ensure more secure hardware and software products
- Notícia: EU proposes new Cyber Resilience Act
- Regulation on digital operational resilience for the financial sector (DORA) (European Commission)
- European Commission’s DORA proposal (2020): EBF position.
- Apenas 47% dos membros do conselho disseram que interagem com seus executivos de segurança regularmente;
- Os conselhos se concentram em discutir a proteção em vez de abordar a resiliência;
- A segurança cibernética tornou-se um imperativo organizacional e estratégico, mas os conselhos continuam a considerá-la como se fosse um tópico técnico;
- A composição da maioria dos conselhos hoje cria vulnerabilidade em vez de uma supervisão mais forte, pois muitos dos executivos dos conselhos não tem conhecimento ou experiência em segurança cibernética.
Para saber mais:
- NIST SP 800-160 Vol. 2 Rev. 1 - Developing Cyber-Resilient Systems
- Building Cyber-Resilient Organizations with Fire Drills and Tabletop Exercises
- Ciber Resiliência (EY)
- Necessidade de ciber resiliência nas organizações
- Organizações ciber-resilientes (MIT Technology Review Brasil)
- DANGER! Tips for Dealing with a Panicked C-suite During a Ransomware Event (RSA Conference)
- Correctness conditions for highly available replicated databases
- Blog e estudo da CISCO: Quando você pensa na palavra resiliência, o que vem à mente?
- Boards Are Having the Wrong Conversations About Cybersecurity
Nenhum comentário:
Postar um comentário