Gerenciar a segurança OT em escala é um desafio para muitas organizações. A chave é identificar adequadamente os riscos e alinhar os recursos.
Por Derek Dunkel – JahanTigh – Leia o original em inglês.
Nos últimos 18 meses, houve um aumento significativo nas ameaças direcionadas à infraestrutura crítica e às redes de tecnologia operacional (segurança OT). Esses ambientes são alvos prioritários devido à sua idade, complexidade e importância para as organizações. A OT é a força motriz por trás das maiores corporações do mundo – seja, por exemplo, misturando a receita secreta da Coca-Cola, gerando energia para milhões de clientes ou produzindo medicamentos que salvam vidas. Para grandes corporações, uma interrupção na rede OT pode facilmente causar milhões de dólares em perda de receita por hora.
Não é de admirar que empresas como JBS Foods , Colonial Pipeline e Brenntag pagaram US$ 19,8 milhões em ransomware para recuperar o acesso às redes OT e reiniciar a produção. Estes são apenas três exemplos, com um consenso geral entre os profissionais de segurança de que a quantidade não-divulgada é provavelmente impressionante. Isso certamente inclui violações multimilionárias e pagamentos de ransomware que não foram divulgados.
Dado o potencial de perda de receita, reputação prejudicada e multas regulatórias, as empresas estão se esforçando para proteger seus programas de segurança OT em grande escala. Ou seja, o desejo natural é encontrar a maneira mais rápida, eficiente e eficaz de obter “segurança”. Esse desejo por uma “bala de prata” é ainda mais complicado para organizações globais multinacionais que têm arquiteturas de rede OT muito diferentes, pilhas de tecnologia variadas, uma abundância de oportunidades para TI paralela, visibilidade limitada da rede OT e dezenas de idiomas, culturas e política para navegar.
Qualquer tentativa de medir o risco residual de um Programa OT para um provedor de seguro cibernético ou conselho de administração parece uma tarefa monumental. Além disso, por onde começar a priorizar os riscos e comparar os locais uns com os outros para identificar tendências e compartilhar as melhores práticas? Neste artigo, identificaremos uma abordagem comprovada de quatro etapas para organizações grandes e complexas começarem a medir seus riscos de segurança OT em várias unidades.
Etapa 1 – Definir a estrutura de gerenciamento de riscos
Uma estrutura de gerenciamento de risco (RMF) permite que as organizações usem uma abordagem baseada em risco para revisar valores de negócios e tolerâncias de risco para criar processos que integram controles de segurança em plantas industriais e redes OT de uma organização. Essa estrutura deve estar alinhada com a política de segurança OT. Ou seja, definindo indicadores de risco e requisitos de controle de segurança dimensionados pelo risco relativo da planta.
É importante trabalhar com contrapartes para entender como o valor comercial é definido para locais de produção. A planta 1 é um caminho crítico na cadeia de suprimentos para produzir materiais em outros locais? Na Planta 2 existe uma fórmula proprietária que deve ser protegida a todo custo, enquanto a 3 tem processos que são conhecidos publicamente? A Planta 3 tem contratos de entrega em que a empresa deve fornecer todo o produto ou ser responsável financeiramente por todo o embarque?
Indicadores adicionais que afetam os cálculos de risco de negócios podem ser valor comercial, impacto na cadeia de suprimentos, conectividade do equipamento do local, geografia, produto fabricado, receita e considerações regulatórias. Cada empresa é única e pode ter restrições de confidencialidade, integridade e disponibilidade que diferem muito entre as unidades. Assim, a adesão dos stakeholders sêniores desde o início é fundamental para adquirir recursos, financiamento e suporte para aumentar a resiliência e a segurança OT.
Etapa 2 – Delinear o conjunto de controle para a segurança OT
Defina os controles de segurança OT para medir as plantas em relação aos riscos do setor, estruturas externas, práticas recomendadas e a capacidade de execução. Dado o delta entre a prontidão de uma organização para implementar e o perfil de risco dos sites de segurança OT, é altamente recomendável ter uma linha de base consistente de controles que mapeiam os padrões do setor (ou seja, IEC 62443, NIST 800-82, Diretiva de segurança TSA 2) e níveis de controles necessários com base no cenário regulatório e de risco dos sites OT. Por exemplo, o local de maior geração de receita, onde a disponibilidade é a principal preocupação, deve ter requisitos mais altos de resiliência. Além disso, precisa também investir em redundância de hardware e backups locais.
A seleção de controles de segurança OT é um processo importante que equilibra a necessidade de proteger ativos organizacionais críticos, evitando impactos adversos nas operações ou na saúde e segurança das equipes. Os controles de segurança OT devem ser definidos em uma política organizacional e permitir flexibilidade para atender diferentes perfis de ameaça. Deve haver um processo para lidar com exceções de política com considerações para questões de viabilidade técnica. Ou seja, onde a tecnologia não pode atender a um controle e o foco precisa estar na mitigação de controles para reduzir o risco.
Etapa 3 – Medindo a maturidade no nível da planta
Meça a conformidade das plantas OT em relação aos controles definidos e priorize o risco residual com base na probabilidade de comprometimento e impacto nas operações da organização (aproveitando a estrutura de risco da Etapa Um), considerando as mitigações em vigor. Ou seja, as organizações precisam desenvolver um processo repetível para coletar informações sobre riscos e medir resultados. Assim, recomenda-se usar um conjunto consistente de perguntas para avaliar os locais de OT em relação a um conjunto comum de controles-padrão da indústria.
Nos últimos 5 anos, vimos uma maior adoção do NIST CSF Framework, útil para comunicar os resultados da maturidade em vários locais de maneira concisa. A adoção também alavanca um conjunto consistente de controles. Um dos maiores desafios com o gerenciamento de riscos em vários locais de OT é priorizar recursos para reduzir o risco organizacional e reunir fundos para resolver os problemas. As comparações de maturidade da segurança no nível da planta em características de risco, como geografia, produto e receita, podem ajudar a impulsionar as atividades de remediação.
Etapa 4 – Socialize os resultados da segurança OT
Socialize as métricas de segurança OT de maneira impactante para obter suporte para recursos e correção de riscos residuais do programa. Assim, ao discutir os riscos de segurança OT com executivos, destaque os resultados potencialmente desfavoráveis que podem surgir de riscos residuais (perdas financeiras, impactos na saúde e segurança, danos à reputação). Painéis do PowerBI, como por exemplo o mostrado abaixo, podem ser uma ótima ajuda visual. Isso pode ajudar na adesão dos principais líderes organizacionais para garantir o financiamento, garantindo que as plantas OT atendam às expectativas básicas. Temos vários clientes em organizações complexas que obtiveram benefícios na adoção de processos de segurança e redução de riscos quando alavancaram métricas específicas do local para promover uma competição saudável entre VPs de unidades de negócios.
Gerenciar o risco de segurança OT em escala, portanto, é um desafio para muitas organizações. A chave é identificar adequadamente os riscos e alinhar os recursos para reduzir os riscos organizacionais, que podem afetar a saúde e a segurança. A abordagem em fases da Protiviti comprovadamente alinha os stakeholders internos em uma abordagem para medir e priorizar os riscos. Ao mesmo tempo, a metodologia reúne o financiamento e os recursos de suporte necessários para mitigar riscos e melhorar a resiliência do seu programa OT.
