Um plano de resiliência

Foco unificado no gerenciamento de crises e riscos

Proteger os sistemas de informação governamentais de missão crítica contra ameaças futuras depende, em grande parte, da maturidade da postura de gerenciamento de riscos implementado. O gerenciamento de riscos, ao contrário de ser parte de um exercício de conformidade, agora exige uma abordagem unificada, consistente e disciplinada em todos os departamentos. Diferentes funções ou comunidades governamentais têm um mecanismo de resposta distinto, que corresponde ao seu respectivo apetite ao risco, e todos devem ser bem documentados para haver monitoramento contínuo e planejamento de longo prazo.

• Esforços descoordenados e falta de colaboração entre departamentos. Atraso na restauração de serviços críticos e infraestrutura durante uma crise. Frequentemente alvo de agentes de ameaças patrocinados por outros países. Reputação nacional ou internacional prejudicada. Perda da confiança pública e aumento do sentimento de desamparo entre os cidadãos.

• Aumentar a colaboração e promover o compartilhamento de informações para montar uma estrutura de contramedidas e resposta a incidentes. Padronizar e centralizar as estruturas de avaliação de riscos em várias funções e setores. Designar uma agência ou comitê para supervisionar e coordenar os esforços de gerenciamento de crises e riscos em todo o governo. Incorporar princípios de gerenciamento de riscos em todos os departamentos governamentais

• Invista em automação e proteja os endpoints em toda a empresa para fortalecer as defesas cibernéticas. Defina padrões e protocolos para preparação, resposta e recuperação de violações. Realize avaliações regulares da preparação de todo o governo e identifique áreas para melhoria por meio de simulações cibernéticas. Utilize ferramentas de SIEM para agregar dados de diversas fontes de segurança, para monitoramento centralizado, detecção de ameaças e resposta mais rápida a incidentes. Priorize a proteção de sua infraestrutura crítica em nuvem

Coordenação estratégica entre as diversas esferas do governo

Vários departamentos e hierarquias de agências governamentais frequentemente tendem a operar em silos, o que leva a comunicação e colaboração limitadas e eventualmente gera ineficiências, duplicação de esforços e, principalmente, oportunidades perdidas. Assim como a colaboração entre agências de gerenciamento de emergências, saúde pública e infraestrutura é crucial para a resposta a desastres, promover a coordenação e o planejamento estratégicos pode ajudar os governos a quebrar silos, trabalhar em conjunto em prol de objetivos comuns e, em última análise, atender melhor ao público.

• Transmissão zero ou mínima dos departamentos centrais para as organizações de base, resultando em compartilhamento restrito de conhecimento.
• Ter uma abordagem compartimentada pode impedir que o governo de encontre soluções criativas para problemas complexos.
• A prestação de serviços fragmentada resulta em experiências complexas e frustrantes para os cidadãos.

• Organize sessões de treinamento e workshops conjuntos que envolvam funcionários de diferentes departamentos.
• Estabeleça protocolos de comunicação claros e padronizados e, se necessário, procedimentos de escalonamento para garantir a troca de informações rápida e eficiente entre os níveis.

• Incentive a colaboração e o compartilhamento de informações, consolidando a expertise e os recursos cibernéticos entre os departamentos. Uma maneira de fazer isso é por alavancar hubs de conhecimento centralizados (governamentais ou comerciais) para apoiar equipes interdisciplinares que não têm recursos internos de segurança contra ameaças comuns.
• Treine equipes dos setores público e privado (parceiros do ecossistema) em resposta coordenada a incidentes cibernéticos, combinada com exercícios práticos de aprimoramento de sua capacidade coletiva de resistir a ataques cibernéticos, melhorando assim a resiliência.

Imunidade da cadeia de suprimentos por meio da governança

Não se constrói uma cadeia de suprimentos da noite para o dia. A rede é construída ao longo do tempo, e não se sustenta a longo prazo sem uma governança adequada. Ao implementar medidas de governança sólidas, as entidades federais/públicas podem construir um ecossistema de cadeia de suprimentos mais ágil, capaz de responder a qualquer calamidade e emergência. Uma governança eficaz empodera líderes e lhes confere maior responsabilidade para garantir que os recursos e serviços cheguem aos seus usuários finais: seus cidadãos.

• Atraso na resposta a desastres naturais, levando a um aumento na perda de vidas e danos à infraestrutura.
• Sistemas críticos de informação pública sobrecarregados.
• Interrupção de funções e operações governamentais essenciais
• Falta de supervisão e visibilidade limitada

• Escolha o manual de governança correto
• A construção de confiança é o segredo para uma rede mais forte
• Identifique os principais papéis e as entidades responsáveis principais antes que o alarme soe
• Fortaleça as entidades individuais com simulações e exercícios conjuntos, com foco na melhoria geral.
• Limite as disputas, mas aceite as diferenças

• Implemente um sistema adequado de gerenciamento de mudanças
• Adote estruturas de zero trust, partindo do princípio de que a rede está sempre em risco devido a ameaças internas e externas.
• Avalie e mitigue os riscos de segurança associados a fornecedores de software e hardware.
• Estabeleça políticas e defina funções e responsabilidades para todas as partes interessadas na aquisição e utilização de TI, incluindo agências governamentais, fornecedores e provedores terceirizados.

Garanta que o gerenciamento de conformidade não seja complexo

As agências governamentais são as principais responsáveis pela manutenção de dados de cidadãos, registros públicos, infraestrutura e dados sensíveis, que são cruciais para a segurança nacional. A governança e conformidade sólidas garantem a proteção de dados, especialmente contra hacktivistas e agentes estatais. Em vez de ver a conformidade como um mero item da lista de verificação ou um obstáculo à produtividade, é importante construir uma cultura em torno dela por meio da conscientização e do gerenciamento proativo de riscos.

• A única coisa pior do que a falta de conformidade é a conformidade superficial, que vem da complacência resultante da negligência de aspectos cruciais das regulamentações.
• Os colaboradores podem acabar vendo a conformidade como um obstáculo burocrático em vez de uma responsabilidade de longo prazo.
• Lacunas de conformidade podem resultar em violações inadvertidas sem o conhecimento da organização, deixando-a vulnerável a ataques que exploram essas lacunas.

• Esforce-se para decompor tópicos complexos de conformidade em políticas e procedimentos claros, concisos e fáceis de entender, acessíveis a todos os colaboradores.
• Integre a conformidade aos workflows de trabalho diários, implementando avaliações obrigatórias, questionários e avaliações de desempenho. Designe um defensor da conformidade em cada departamento, que possa atuar como um recurso e responder a perguntas dos colegas.
• É essencial cultivar um forte senso de liderança para construir uma cultura de conformidade, de modo que sua importância seja destacada de forma consistente a longo prazo.

• Estabeleça linhas de base adequadas para infraestrutura crítica e preencha lacunas em regulamentos e estruturas regulatórias.
• Desenvolva treinamentos de conscientização sobre segurança com base em cenários reais, melhores práticas de proteção de dados e simulações que vão além das listas de verificação de conformidade.
• Libere ou complemente a equipe de TI implementando ferramentas automatizadas para avaliações de vulnerabilidades, gerenciamento de configuração e geração de relatórios para otimizar os regulamentos de conformidade.

Comunicação e participação pública aprimoradas

A participação dos cidadãos é importante para garantir a execução bem-sucedida das políticas e resultados governamentais, pois fortalece a confiança e melhora significativamente a prestação de serviços, especialmente para aqueles que precisam. O relacionamento estreito entre o governo e o público abre acesso e representação a todos os segmentos do público, permitindo que trabalhem com o governo, em vez de trabalhar contra ele. Ao permitir que vozes diferentes com necessidades distintas participem, governos em todo o mundo podem adotar uma abordagem orientada a resultados, em vez de baseada em atividades.

• Os formuladores de políticas do setor público podem tender a ignorar perspectivas cruciais das pessoas afetadas por essas políticas.
• Além do desalinhamento e da falta de representatividade, tais políticas podem não apenas ser impraticáveis e ineficazes, mas também prejudicar certos segmentos da população.
• A falta de comunicação e participação pública pode se tornar um terreno fértil para a desinformação e a desconfiança, alimentando divisões sociais e dificultando a resolução de questões complexas que exigem ampla cooperação. Por exemplo, uma nova iniciativa de coleta de dados com o objetivo de melhorar o transporte público pode ignorar preocupações com a privacidade levantadas pelos cidadãos, levando a protestos públicos em vez de bem-estar público.

• Incentive a participação pública em todas as fases da formulação de políticas, desde o planejamento e resposta até a recuperação.
• Garanta a participação de todos os segmentos da comunidade de cidadãos com o objetivo de criar oportunidades iguais, ao mesmo tempo em que transmite a sensação de que todos são ouvidos.
• Reforce a transparência desenvolvendo estratégias de comunicação especializadas para disseminar todos os lados da política, em vez de promover uma narrativa única.

• Defender e ser atuante no desenvolvimento de portais e plataformas online seguros para os cidadãos, destinados ao engajamento público, como fóruns online, pesquisas ou plataformas de coleta de feedback. Colabore com as equipes de desenvolvimento de TI para garantir facilidade de uso, acessibilidade e sólida robusta para aplicações e sites governamentais de missão crítica.
• Conduza campanhas proativas para divulgar os esforços do governo para cuidar da segurança cibernética e proteger os dados dos cidadãos, construindo, assim, confiança e capacitando os cidadãos a valorizar a privacidade, permitindo-lhes proteger-se online.
• Planeje hackathons públicos/programas de recompensa por bugs para motivar e incentivar a participação dos cidadãos na identificação de vulnerabilidades.

Facilite a inovação e acelere a resolução de problemas

Se a pandemia global nos ensinou alguma coisa, é que choques e contratempos em larga escala não isentam os governos de se prepararem com antecedência e agirem com base nas prioridades oficiais. Em um mundo incerto, a resiliência é fundamental, e o único caminho a seguir é modernizar sua organização, criando uma estrutura que inove e aprimore continuamente os processos de dentro para fora.

• Falta de adaptabilidade à mudança, resultando gradualmente na incapacidade de abordar questões públicas críticas.
• Os serviços governamentais podem se tornar irrelevantes para as necessidades dos cidadãos, levando à insatisfação pública e à redução da confiança.
• A falta de inovação pode levar as agências governamentais a terem dificuldades para colaborar ou competir com organizações do setor privado, que são muito mais ágeis e abertas à inovação.

• Priorize a satisfação do usuário final adotando métodos ágeis para a prestação de serviços e centrado-a no cidadão, em vez de num exercício administrativo.
• Monitore e recompense a inovação medindo o impacto de novas ideias e abordagens em vários níveis da organização, da cultura e da comunidade. Isso, por sua vez, fornece uma estrutura e uma oportunidade para avaliar a eficácia de soluções inovadoras.

• Complemente sua segurança de TI com detecção proativa de ameaças, visibilidade da superfície de ataque e aplicação automatizada de patches, com maior ênfase na identificação e neutralização antecipadas de ameaças.
• Invista em soluções DLP para evitar que dados confidenciais sejam exfiltrados acidental ou maliciosamente de dispositivos governamentais.

Repense a alocação de recursos e invista na qualificação da força de trabalho

A proteção de infraestrutura crítica, dados confidenciais e informações dos cidadãos exige uma abordagem dupla: investir nas ferramentas certas e contratar os melhores talentos. No entanto, com orçamentos limitados e um mercado de trabalho competitivo, o setor governamental, especialmente o departamento de TI, é obrigado a improvisar e inovar.

• Incapacidade dos órgãos governamentais de prestar serviços básicos e responder a incidentes críticos devido à falta de recursos ou de um sistema de alocação de recursos.
• Custos financeiros e interrupções operacionais podem manchar a reputação e gerar desconfiança pública. Por exemplo, a cobertura negativa da mídia devido a ataques de ransomware de alto perfil pode prejudicar a reputação do governo e torná-lo alvo de ataques futuros.

• Aprimore e requalifique sua base de colaboradores, reavaliando as barreiras de entrada no mercado de trabalho, como estabelecer um conjunto básico de habilidades e expandir os programas de aprendizagem.
• Tome medidas para reconhecer a importância da saúde física e mental, especialmente da equipe de solo e dos socorristas.
• Identifique as competências essenciais dos colaboradores e crie equipes flexíveis que possam ser ampliadas durante missões críticas.

• Priorize as necessidades realizando uma avaliação de riscos completa para identificar as vulnerabilidades mais críticas do governo e possíveis áreas de melhoria. Aloque recursos para ferramentas que atendam a essas necessidades específicas primeiro.
• Elimine a lacuna de habilidades e enfrente o desafio de contratação de pessoal em segurança cibernética com uma base de talentos mais ampla.
• Capacite seus profissionais de linha de frente com a tecnologia certa, desde o gerenciamento do conhecimento e a proteção da privacidade até a experiência do usuário final e a segurança de endpoints.

Estabeleça uma base sólida para a segurança de endpoints

O cenário digital para os governos é repleto de incertezas.

A evolução das ameaças cibernéticas, das tensões geopolíticas e das mudanças socioeconômicas pode representar choques significativos para a segurança nacional e impedir uma governança eficaz.

A mesma infraestrutura de TI que é a espinha dorsal de missões governamentais críticas também está sujeita a ataques cibernéticos patrocinados por outros países. Tanto que os ativos de TI ou endpoints atuais, que armazenam dados confidenciais, acessam infraestruturas críticas e servem como gateways para serviços governamentais essenciais, são coletivamente denominados "superfícies de ataque". Um único endpoint comprometido pode ter um efeito cascata, interrompendo operações, comprometendo dados confidenciais e prejudicando irreversivelmente a confiança pública. Em um mundo repleto de riscos, a segurança de endpoints não é mais um luxo, mas algo indispensável.

Construir uma base sólida para a segurança de endpoints requer uma abordagem multicamadas. Além de depender de ferramentas para automatizar a aplicação de patches para lidar com vulnerabilidades e aplicar o privilégio mínimo, as agências governamentais devem infundir uma cultura de conscientização sobre segurança entre os colaboradores, capacitando-os para identificar e relatar atividades suspeitas. Além das soluções técnicas, é essencial promover a colaboração entre a TI e outros departamentos governamentais.

Ao priorizar a segurança de endpoints, a TI governamental pode construir resiliência cibernética, que é a capacidade de resistir, se adaptar e se recuperar de ataques cibernéticos. Isso se traduz em um governo mais seguro e confiável, capaz de fornecer serviços essenciais com eficiência e proteger dados confidenciais diante das constantes incertezas.

Em suma, a resiliência de endpoints equivale à resiliência do governo.