O desafio de proteger os setores industriais foi tema central da mesa-redonda organizada pelo Security Leaders, que reuniu especialistas em Segurança da Informação para debaterem com VP Global de Segurança em OT da Tenable. De acordo com o C-Level, a jornada Cyber no setor industrial deve seguir em direção à congregação de departamentos de tecnologia, responsabilização de riscos e escolha de um parque tecnológico que garanta a sobrevivência do negócio
Líderes de Segurança se reuniram hoje (20) em uma mesa-redonda presencial organizada pelo Security Leaders, em parceria com a Tenable, em São Paulo. A proposta era discutir os desafios de se proteger sistemas industriais de Operation Technology (OT) integrados à TI, considerando todas as necessidades de duas áreas bastante diversas, mas cuja cooperação gera tanto oportunidades ao mercado quanto novos riscos para a Cibersegurança.
Ashley Lukeeram, Vice Presidente Global de Segurança em OT/ICS na Tenable, relembra que, nos últimos anos, vazamentos de dados e comprometimentos de infraestruturas estão aparecendo cada vez mais nos noticiários e reportagens. Isso tem ocorrido devido ao impacto causado na vida das pessoas e à percepção de ameaças mais sofisticadas, abrindo os olhos de vendors e profissionais de SI.
Segundo o executivo, muitos clientes passaram a promover jornadas de Cibersegurança e uma manutenção preventiva de seus ambientes cyber, sem trabalhar ativamente propostas que realmente oferecessem apoio de fato ao trabalho. Assim, ele orienta os líderes de SI a abordarem um planejamento mais proativo, tornando a Segurança da Informação algo mais direcionado e natural dentro das empresas.
“Percebemos três tópicos fundamentais sobre o que é importante na jornada de Cibersegurança na indústria. Primeiro, é essencial a implementação de métodos eficazes de governança de riscos. Segundo, devem existir formas de comunicação entre as duas áreas, fazendo ambas falarem a mesma língua. Por fim, é necessário descobrir quais capacidades trazer para dentro de sua infraestrutura na busca da tão importante visibilidade sobre toda a superfície tecnológica”, explicou o Vice-Presidente, durante apresentação na mesa-redonda.
Na visão do executivo, a transformação do mindset de Cibersegurança precisa seguir um roteiro de congregação da empresa. Tudo começa com um C-Level reconhecendo que cyber pode ser um risco ao negócio, com a OT sendo parte desse risco. Se a companhia não tem uma governança adequada de risco, a jornada de proteção de OT não será bem sucedida. Lukeeram aconselha os Líderes de Segurança a exercer o papel de evangelizar os executivos sêniores sobre os riscos cibernéticos e como eles podem impactar no negócio.
“Além disso, é preciso responder a pergunta: se um incidente acontecer amanhã, quem será o responsável por remediá-lo, capaz de mobilizar os recursos que vão solucionar a crise? O Resultado do desenrolar dessa conversa com o board vai definir uma peça-chave para um programa de Cybersecurity industrial”, complementou ele
Depois de estabelecida a governança, as empresas devem se certificar de que os times de TI e OT estão interligados e se conversando. Na visão de Lukeeram, para os profissionais de Segurança da Informação, é uma discussão mais simples, dado o cotidiano vivido por eles. Mas no caso do funcionário de engenharia, a preocupação maior é garantir que o fluxo de trabalho da companhia continue funcionando com segurança. É necessário achar uma linguagem funcional para ambos.
“A questão é como garantir a integridade do core business enquanto os sistemas continuam em movimento. Considerando que nenhum time quer perder um fim de semana inteiro tentando colocar um sistema de volta ao ar. Precisamos atingir isso através do diálogo comum de métricas de risco e linguagens de risco”, afirmou o executivo.
Depois disso, através de um alinhamento mais adequado com a área de operações, a criação de um pacote tecnológico se torna mais rápido e eficiente. Isso dá a possibilidade de estabelecer os controles corretos e monitorar suas mudanças ao longo do tempo. “Quando falamos de OT, por exemplo, tipicamente o tópico mais importante é segmentação. Entretanto, é fundamental saber que há muito mais a se fazer além disso, como escaneamento de superfície”, conclui Lukeeram.
