novembro 01, 2022

[Segurança] Ciber resiliência na agenda dos CISOs

Temos uma nova buzzword da moda, que está no discurso e na preocupação de 10 em cada 10 CISOs:


Ciber Resiliência

O NIST possui duas definições legais de ciber resiliência:

  • o glossário oficial do NIST  define a ciber resiliência como "The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources" ("A capacidade de antecipar, resistir, recuperar e se adaptar a condições adversas, estresses, ataques ou comprometimentos em sistemas que usam ou são habilitados por recursos cibernéticos");
  • a publicação 800-30 Rev1 (Guide for Conducting Risk Assessments) define "Information System Resilience" como "The ability of an information system to continue to operate while under attack, even if in a degraded or debilitated state, and to rapidly recover operational capabilities for essential functions after a successful attack".

Ou seja, ela representa a capacidade da organização de minimizar o impacto de um incidente, manter suas operações de negócio e se recuperar rapidamente frente a um incidente cibernético.


Não tenho dúvida que o grande crescimento dos incidentes de Ransomware tem feito esse tema ganhar bastante destaque recentemente.

As empresas tem alguns recursos fundamentais para garantir sua capacidade de resiliência, que fazem parte das boas práticas e algumas regulamentações específicas:
  • Plano de resposta a incidentes (Incident Response Plan)
  • Plano de continuidade de negócios (Business Continuity Plan, ou BCP)
  • Plano de recuperação de desastres (Disaster Recovery Plan, ou DRP)

É interessante destacar também que o tema tem ganho grande relevância, a ponto de que alguns países estão liderando iniciativas para promover a cultura e preparação necessária para estabelecer a resiliência a ciber ataques. Dentre essas iniciativas, achei algumas notícias interessantes:

Segundo o estudo anual de segurança da Cisco, o Security Outcomes Report, 96% dos executivos entrevistados afirmam que a resiliência de segurança é uma prioridade para eles.

Veja também (adicionado em 10/05/23): Nesse artigo, Boards Are Having the Wrong Conversations About Cybersecurity, a Dra. Keri Pearlson do MIT aponta que os conselhos de administração têm um longo caminho a percorrer para ajudar suas organizações a se tornarem resilientes a ataques cibernéticos. Em parceria com a Lucia Milică, diretora da Proofpoint, fizeram uma pesquisa com 600 membros do conselho sobre suas atitudes e atividades de segurança cibernética, e descobriram que quase um quarto das diretorias não vê a segurança cibernética como uma prioridade e muitos nem sequer discutem o assunto regularmente. Outras conclusões das autoras incluem:
  • Apenas 47% dos membros do conselho disseram que interagem com seus executivos de segurança regularmente;
  • Os conselhos se concentram em discutir a proteção em vez de abordar a resiliência;
  • A segurança cibernética tornou-se um imperativo organizacional e estratégico, mas os conselhos continuam a considerá-la como se fosse um tópico técnico;
  • A composição da maioria dos conselhos hoje cria vulnerabilidade em vez de uma supervisão mais forte, pois muitos dos executivos dos conselhos não tem conhecimento ou experiência em segurança cibernética.

Para saber mais:

PS: Pequena atualização em 18/11. Nova atualização em 08 e 14/12 e em 12/01/23. Atualizado em 10/05.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.