Avaliando a Resiliência Cibernética com o CAF (Cyber Assessment Framework)

Introdução

O Cyber Assessment Framework (CAF) é uma ferramenta desenvolvida para avaliar até que ponto os riscos cibernéticos que afetam as funções essenciais de uma organização estão sendo gerenciados de maneira adequada. Esse recurso pode ser utilizado tanto para autoavaliação pela própria organização quanto por entidades externas e independentes, como prestadores de serviços especializados em cibersegurança.

Objetivos e Princípios do CAF

O CAF baseia-se em 4 objetivos de alto nível e 14 princípios orientados a resultados, que descrevem o que precisa ser alcançado em vez de apenas listar ações a serem executadas. Esses princípios são detalhados através de conjuntos estruturados de Indicadores de Boas Práticas (IGPs), que ajudam na avaliação e melhoria da cibersegurança e da resiliência organizacional.

Benefícios do CAF

A implementação do CAF traz diversos benefícios para as organizações:

• Melhoria na Gestão de Riscos: Fornece uma visão clara dos riscos cibernéticos, permitindo uma gestão mais eficaz.
• Conformidade Regulatória: Auxilia na conformidade com as normas e regulamentos de cibersegurança aplicáveis a diversos setores.
• Resiliência Aprimorada: Ajuda a criar uma postura de segurança robusta, capaz de resistir e se recuperar de incidentes cibernéticos.
• Confiança dos Stakeholders: Constrói confiança entre clientes, investidores e reguladores através de uma demonstração clara de comprometimento com a segurança cibernética.
• Flexibilidade e Personalização: Oferece a flexibilidade para adaptar a avaliação de segurança às necessidades específicas da organização.
• Orientação Estratégica: Fornece uma estrutura que guia as organizações no desenvolvimento de estratégias de segurança de longo prazo.

Exemplos de Casos de Uso

1. Empresas de Infraestrutura Crítica

Contexto: Empresas que operam em setores como energia, água e transporte possuem sistemas críticos que, se comprometidos, podem causar impactos significativos na segurança nacional e na vida da população. A implementação do CAF ajuda a identificar e mitigar vulnerabilidades.

Implementação:

• Identificação de Funções Essenciais: Mapear todos os sistemas que são vitais para a operação diária e a segurança pública.
• Avaliação de Riscos: Usar os IGPs para avaliar como as medidas de segurança atuais se alinham com os princípios do CAF, identificando lacunas específicas na proteção de infraestruturas críticas.
• Melhoria Contínua: Implementar melhorias nas práticas de segurança e realizar auditorias regulares para assegurar a conformidade contínua e adaptar-se às novas ameaças.

 2. Instituições Financeiras

Contexto: As instituições financeiras estão frequentemente sob risco de ataques cibernéticos como phishing, malware e ransomware, que podem comprometer dados financeiros sensíveis de clientes.

 Implementação:

• Avaliação de Conformidade Regulatória: Verificar requisitos específicos de segurança cibernética impostos por órgãos reguladores financeiros e avaliar como o CAF pode auxiliar no cumprimento dessas normas.
• Uso de IGPs para Prevenção de Fraudes: Aplicar IGPs para reforçar a segurança em transações online e sistemas de monitoramento de fraudes, assegurando que todos os pontos de contato com o cliente estejam protegidos.
• Treinamento e Conscientização: Desenvolver programas de treinamento para funcionários sobre práticas de segurança cibernética, usando os princípios do CAF como guia.

 3. Setor de Saúde

Contexto: Hospitais e clínicas precisam proteger dados sensíveis de pacientes e garantir a disponibilidade de sistemas críticos de saúde, como aqueles usados para diagnósticos e tratamentos médicos.

Implementação:

• Proteção de Dados do Paciente: Utilizar os IGPs para fortalecer a segurança dos sistemas de armazenamento e processamento de dados dos pacientes, assegurando que as medidas de proteção atendam ou superem as normas regulatórias de privacidade.
• Avaliação de Dispositivos Médicos Conectados: Aplicar os princípios do CAF para avaliar e melhorar a segurança de dispositivos médicos conectados, que podem ser pontos vulneráveis para ataques.
• Resposta a Incidentes: Estabelecer e testar planos de resposta a incidentes cibernéticos, garantindo que a equipe saiba como reagir eficientemente para minimizar o impacto de um ataque.

 Cada um desses casos mostra como o CAF pode ser adaptado para diferentes setores, oferecendo uma estrutura flexível e robusta para melhorar a gestão da segurança cibernética de acordo com as necessidades específicas de cada tipo de organização.

Passo a Passo para Implementação do CAF

Passo 1: Preparação

• Identificação de Funções Essenciais: Determine quais funções da sua organização são críticas e podem ser afetadas por riscos cibernéticos.
• Consulta aos Reguladores: Verifique se há diretrizes específicas dos reguladores para o uso do CAF em seu setor.

 Passo 2: Utilização dos Indicadores de Boas Práticas (IGPs)

• Análise de IGPs: Examine as tabelas de IGPs associadas a cada resultado contributivo para entender os indicadores de uma prática eficaz.
• Avaliação: Utilize os IGPs para avaliar se os resultados contributivos estão sendo 'alcançados', 'não alcançados' ou 'parcialmente alcançados'.

 Passo 3: Avaliação e Melhoria

• Expertise em Cibersegurança: Conte com especialistas para interpretar os IGPs e adaptar as práticas de acordo com as circunstâncias da organização.
• Implementação de Melhorias: Baseado nos resultados da avaliação, planeje e implemente ações de melhoria em áreas onde os resultados não foram totalmente alcançados.

 Passo 4: Reavaliação Contínua

• Monitoramento e Reavaliação: Regularmente reavalie a resiliência cibernética utilizando o CAF para adaptar-se a novas ameaças e mudanças no ambiente regulatório.

Conclusão

O CAF oferece uma estrutura robusta e flexível para organizações que buscam melhorar sua resiliência cibernética. Ao focar em resultados em vez de simplesmente marcar itens de uma lista, o CAF incentiva uma abordagem mais profunda e eficaz no gerenciamento de riscos cibernéticos.

O Grupo Energy Telecom é um recurso valioso para organizações que buscam realizar avaliações de cibersegurança. Com um conglomerado de seis empresas especializadas, o grupo atua como Provedor de Serviços Gerenciados em TIC e Integrador de Soluções end to end, abrangendo áreas como tecnologia, segurança da informação, cibersegurança, comunicação, nuvem, data center e infraestrutura. A parceria com mais de 70 fabricantes líderes globais e a oferta de conectividade e transporte de dados seguros reforçam seu portfólio.

Para garantir uma execução eficiente de suas missões, o Grupo Energy Telecom mantém 4 centros de gerenciamento, incluindo 1 SOC (Security Operations Center) e 3 NOCs (Network Operations Centers) que operam de forma redundante, garantindo alta disponibilidade e continuidade operacional 24 horas por dia, 7 dias por semana e 366 dias por ano. Com instalações estrategicamente localizadas nos estados do Ceará, Rio Grande do Sul e São Paulo, a empresa atende aos mais exigentes Acordos de Nível de Serviço (SLA's), respaldados por um Datacenter próprio.

 A equipe técnica da Energy Telecom é um diferencial notável, com mais de 1.000 certificações oficiais e uma atuação com capilaridade nacional, oferecendo um suporte técnico amplo e especializado.

 Este conjunto de capacidades posiciona o Grupo Energy Telecom como uma aliada estratégica para as organizações que procuram não só avaliar mas também fortalecer sua postura de cibersegurança em todo o território brasileiro.

Sobre o autor

Denny Roger atua em ambientes de alta performance em negócios digitais e cibersegurança. Há mais de 21 anos trabalha na área de Segurança Cibernética, atuando em instituições financeiras e consultorias como Santander, Telefónica, Accenture e EY. Professor, escritor, líder de equipes multidisciplinares e mentor de negócios e inovação. O executivo é Sócio-Diretor de Operações de Segurança Cibernética do Grupo Energy Telecom. Ajuda os clientes através de resposta e suporte em incidentes de cibersegurança de alto impacto, consultoria, aconselhamento e apresentação de planos estratégicos de segurança.