This post is also available in: Português Español
Conforme o conceito de resiliência cibernética vai ganhando notoriedade, as dúvidas sobre suas diferenças em relação a segurança cibernética crescem também. É comum inclusive achar que são termos opostos, como no caso de Blue Team VS Red. Contudo, não é o caso, mas os questionamentos provavelmente surgem pelo fato de que resiliência cibernética é algo relativamente novo.
A segurança cibernética é composta por uma série de medidas focadas em impedir que cibercriminosos sejam bem sucedidos em suas tentativas de ataques as empresas. Embora a implementação de práticas básicas de segurança cibernética combatam a grande maioria dos ataques, mesmo com as defesas a postos os golpistas podem encontrar brechas e vulnerabilidades que viabilizem sua entrada. Lembre-se: nenhum sistema é 100% impenetrável o tempo todo, o que demanda vigília constante.
Por isso, quando se assume que é uma questão de “quando” e não “se” vão tentar atacar, a resiliência cibernética entra em cena. Nesse contexto, uma empresa resiliente do ponto de vista da segurança cibernética é aquela que será capaz de responder e se recuperar de um ataque cibernético, bem como continuar operando normalmente enquanto a invasão acontece. A resiliência cibernética também envolve temas como gerenciamento de continuidade de negócios – dois termos que estão cada vez mais unidos.
Uma das razões para o surgimento da resiliência cibernética está na visão realista de que, para todas as defesas que uma empresa possa ter, ainda há a probabilidade de sofrer algum tipo de ataque. No entanto, o que torna a resiliência cibernética tão fundamental é a capacidade de deixar a empresa completamente funcional enquanto incidentes de segurança acontecem.
Ainda assim, é comum surgir perguntas como “a segurança cibernética é um processo autônomo com resiliência cibernética ou a resiliência cibernética inclui a segurança cibernética?”. Quem pesquisar sobre a conexão entre os dois tópicos, encontrará principalmente uma relação linear. Inclusive, muitos especialistas começam debatendo a segurança cibernética e depois passam para a resiliência cibernética.
Alguns conceitos consideram a segurança cibernética como algo binário, avaliando que ou um sistema é seguro ou não é. Assim, haveria uma diferença entre este conceito de segurança cibernética e o pensamento mais estratégico e de longo prazo que a resiliência cibernética traz.
No entanto, se olharmos para a estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST), por exemplo, a resiliência cibernética abrange cinco etapas: Identificar, Proteger, Detectar, Responder e Recuperar.
O estágio ‘Identificar’ é descrito como “desenvolver o entendimento organizacional para gerenciar o risco de segurança cibernética para sistemas, ativos, dados e recursos”. Assim, no contexto do NIST, a segurança cibernética é uma etapa do processo mais amplo de resiliência cibernética.
Além disso, o Centro Nacional de Segurança Cibernética (NCSC) da Inglaterra fala sobre sistemas resilientes em quatro estágios, semelhante à estrutura do NIST – no qual seu primeiro estágio é chamado de ‘Prepare’. A opinião deles é que a segurança preventiva é essencial. As defesas que protegem contra ataques conhecidos ajudarão a melhorar sua resiliência. No entanto, não basta contar apenas com a prevenção. Assim, a resiliência cibernética seria um processo mais amplo que engloba a segurança cibernética.
Importância da resilicência cibernética
Um ataque virtual pode ter consequências graves em termos de entrega de serviços caso os sistemas fiquem fora de operação. Se a empresa estiver envolvida com o fornecimento de infraestrutura nacional ou segurança pública, o impacto de uma violação pode ser ainda mais preocupante. O mesmo se aplica a um negócio dependente de internet ou tecnologia – como um varejista online, um banco ou um provedor de streaming. Uma invasão pode representar uma ameaça a toda a sua operação comercial.
Dessa maneira, a resiliência cibernética é importante porque a dependência apenas das medidas de segurança virtual – por mais eficazes que sejam – não são suficientes para evitar as consequências mais graves após um ataque.
Aceitar que o pior pode acontecer em algum momento, e ser capaz de responder, será mais eficaz do que assumir que suas medidas de segurança cibernética serão sempre eficientes. Pode ser que sejam por um tempo indeterminado, mas os cibercriminosos estão em constante evolução. É por isso que uma empresa precisa ser resiliente do ponto de vista cibernético.
É também por essa razão que, devido às consequências de um ataque cibernético grave, o resultado da resiliência cibernética deve ser visto como parte das atividades mais amplas de gerenciamento de risco e resiliência de negócios de uma empresa.
Como chegar à resiliência cibernética
As atividades de resiliência de segurança cibernética possivelmente englobarão um ou mais padrões, esquemas ou modelos com os quais é preciso ser certificado ou estar em conformidade.
Um caminho abrangente para a resiliência cibernética vem por meio de um programa de segurança que inclui uma avaliação da resiliência atual de uma empresa. Também deve-se analisar sua governança de segurança, políticas, padrões, processos e procedimentos e níveis apropriados de treinamento de conscientização para funcionários e usuários.
Pode-se usar princípios de gerenciamento de risco cibernético bem estabelecidos, guiados por melhores práticas amplamente aceitas para ajudar a projetar e implementar o programa. É algo que pode incluir o NIST Cyber Security Framework, SANS Critical Security Controls e o Cybersecurity Capability Maturity Model (C2M2), só para citar alguns exemplos.
É um contexto que mostrará que a segurança cibernética e a resiliência cibernética estão relacionadas muito além do uso da palavra “cyber”. Ambas são formas de proteção contra ameaças que vêm da internet, mas a resiliência cibernética reconhece que a primeira linha de defesa pode não funcionar. Portanto, permite que a empresa permaneça em funcionamento caso as medidas de segurança falhem. Assim, funcionam melhor em conjunto, mas precisam ser adequadas ao nível de risco para poder reduzir qualquer eventual dano.
Em última análise, a resiliência cibernética é importante porque existem empresas operando em ambientes críticos que as tornam de maior interesse para os cibercriminosos. Os riscos são altos e podem afetar mais do que a própria organização. Se esse trabalho for interrompido e colocado offline, podem surgir consequências muito graves. É por isso que ataques a órgãos públicos recebem tanta cobertura – como o caso do SUS no final do ano passado. Suas consequências poderiam envolver riscos à vida de pacientes, o que torna a resiliência cibernética algo com o qual todos devem se preocupar.
This post is also available in: Português Español