Segurança cibernética e resiliência operacional

Resiliência operacional é a capacidade das organizações de continuar prestando serviços críticos diante de ameaças em evolução. Segurança cibernética é um mecanismo -chave pelo qual as organizações conseguem isso. O alcance e a sofisticação de ameaças cibernéticas, de estados -nação, hacktivistas e criminosos organizados, já estavam tendo um efeito profundo sobre como as organizações alcançam a resiliência operacional - mesmo antes da aceleração da digitalização. 

Ameaças cibernéticas aumentadas

E -mails de phishing estão citando cada vez mais razões tópicas para ação rápida - como o trabalho em casa e a mudança de paisagens fornecedores - para que as pessoas sigam instruções na crença de que foram legitimamente solicitadas. As organizações continuam a responder rapidamente para garantir que seus funcionários e clientes permaneçam vigilantes a essas ameaças emergentes. Por exemplo, a orientação do cliente dos bancos está sob constante revisão. Trabalhar em casa tornou -se a norma, levando a um aumento na "sombra", pois os funcionários ansiosos para colaborar com seus colegas estão se voltando para aplicativos e serviços populares que podem não ser aprovados ou apropriados, para uso da empresa. PCs ou dispositivos móveis sem proteção de endpoint; Ou eles podem enviar informações de RH ou financeiro sensíveis ao e -mail para suas contas de email pessoal por conveniência, aumentando o risco de vazamento de dados. Muitas vezes, as organizações não têm outra opção a não ser sancionar o uso da tecnologia, elas não têm a previsão e/ou capacidade de proteger, ou agora estão se conscientizando das vulnerabilidades porque estão sendo exploradas por novos atores de ameaças. Além disso, algumas empresas estabeleceram apressadamente as operações on -line, com a necessidade de velocidade frequentemente o que significa que a segurança era uma reflexão tardia. A mudança aconteceu tão rapidamente que poucas empresas tiveram a chance de ajustar suas políticas ou fornecer qualquer treinamento adicional. Todos na empresa devem ser informados de que têm um papel importante a desempenhar na segurança cibernética - não é algo que pode ser simplesmente entregue a uma equipe de profissionais de segurança cibernética.

Growing reliance on technology

Companies are more reliant on technology than ever before - and this trend is likely to ony continue. Working from home has become the norm, leading to an increase in ‘shadow IT’ as employees eager to collaborate with their colleagues are turning to popular applications and services that may not be approved, or appropriate, for company use.

This has the potential to put company data at risk: employees may use home equipment that is less secure – wifi routers with default passwords or no access control; PCs or mobile devices with no endpoint protection; or they may email sensitive HR or financial information to their personal email accounts for convenience, increasing the risk of data leakage. Often organisations have no other option but to sanction the use of technology they have not the foresight and/or capability to secure, or are only now becoming aware of vulnerabilities because they are being exploited by new threat actors.

In addition, some businesses hastily set up increased online operations, with the need for speed often meaning security was an afterthought. The change happened so quickly that few companies had a chance to adjust their policies or provide any additional training.

While speed may have been of the essence in the immediate response to the pandemic, there is the risk that many of these new ways of working will stay in place even as lockdown restriction are lifted. Everyone in the company must be made aware that they have an important role to play in cyber security – it’s not something that can simply be handed to a team of cyber security professionals.

Respondendo à ameaça

A melhor resposta à crescente ameaça à segurança cibernética não é simplesmente prejudicar uma função de segurança cibernética ao lado dos recursos existentes. Em vez disso, as organizações devem usar a segurança cibernética como uma lente para melhorar a resiliência operacional geral. Por exemplo, as ferramentas, técnicas e respostas culturais à segurança cibernética também podem ser usadas para fortalecer os recursos tradicionais de continuidade dos negócios. Boas práticas de segurança cibernética devem permear tudo o que a tecnologia relacionada em uma empresa e precisa abranger os 'três ps': política, pessoas e processos, bem como a própria tecnologia.

A pragmatic way of approaching this in our view is a structured review of current cyber strategies and roadmaps to ensure new risks are identified and mitigated, and longer-term changes to ways of working are incorporated into existing business plans. Good cyber security practices should permeate everything technology related in a company and need to span the ‘Three Ps’: policy, people and process, as well as the technology itself.

É importante não esquecer a cadeia de suprimentos - por exemplo. Avaliando terceiros por sua abordagem para proteger seus produtos "software como serviço". Criar uma cultura cibernética dentro dos próprios departamentos de TI é vital, mas é importante não esquecer a conscientização do usuário final por meio de comunicações e treinamento. Berkeley trabalhou com clientes em esse espectro. Definimos uma estratégia cibernética e de resiliência, realizamos verificações de saúde de projetos de mudança de resiliência em andamento e ajudamos nossos clientes a executar iniciativas de mudança de segurança cibernética. Base de conhecimento acessível globalmente para táticas e técnicas para combater as ameaças cibernéticas. No Reino Unido, o Centro Nacional de Segurança Cibernética forneceu uma estrutura de avaliação cibernética que fornece orientações para as organizações. Somente estruturas e tecnologia não podem ser confiadas para fornecer verdadeira resiliência operacional a ameaças cibernéticas. Ao fornecer consultoria de segurança cibernética aos clientes, desde a formulação de estratégias de resiliência até a entrega de mudanças tangíveis em suas capacidades de segurança cibernética, nosso conselho é:

Achieving operational resilience requires a broad spectrum of interventions, from initial strategy definition through to delivering change and continuous improvement. Berkeley has worked with clients across this spectrum. We have set a cyber and resilience strategy, conducted health checks of ongoing resilience change projects and helped our clients execute cyber security-driven change initiatives.

Developing operational resilience

Cyber security fears have bred a proliferation of frameworks and point solutions such as the NIST Cybersecurity Framework provided by the US Department of Commerce and MITRE ATT&CK - a globally accessible knowledge base for tactics and techniques to combat cyber threats. In the UK, the National Cyber Security Centre has provided a Cyber Assessment Framework providing guidance for organisations.

Too often, however, these are perceived as silver bullets. Frameworks and technology alone cannot be relied upon to deliver true operational resilience to cyber threats. When providing cyber security consulting to clients, from formulating resilience strategies through to delivering tangible change to their cyber security capabilities, our advice is:

1. Conheça o negócio - o que é importante versus o que é crítico? Quais são os pontos fortes e fracos de segurança cibernética organizacional inerentes? Antes de tentar a mudança organizacional por atacado, primeiro pergunte "Quão bons somos no básico da segurança cibernética?" Não é fascinante, mas é essencial. resposta)?
2. Don’t let great be the enemy of good –  it’s easy to be seduced into attempting a leap to the gold standard. Before attempting wholesale organisational change, first ask “How good are we at the basics of cyber security?” It’s not glamorous but it’s essential.

For example:

• Do you understand the estate / what digital assets you have / what may be of value / who might attack and why?
• Do you have good organisational risk management into which you can integrate cyber security?
• Do you have plans in place for when things go wrong (incident response)?

3. Julgamento sobre a teoria - com segurança cibernética, é impossível analisar seu caminho para o sucesso. A verdadeira resiliência operacional é alcançada por ser pragmática, iterando através do pensamento focado e fornecendo mudanças significativas nas etapas gerenciáveis.

4. As pessoas são tão importantes quanto as máquinas-muitas vezes a segurança cibernética é caracterizada como uma corrida armamentista tecnológica, mas o desenvolvimento da resiliência operacional depende tanto da mudança cultural e comportamental em seus negócios (consulte os 'três ps' referenciados acima). precisa evoluir à medida que as ameaças evoluem. Por exemplo, você pode identificar o pretendimento de e -mail para ser do 'Diretor Financeiro ”, mas você identificaria a mais recente chamada de Deepfake? patches que acompanham.

For example:

• End-user awareness, to ensure they are less vulnerable to phishing and social engineering, is just as important as latest generation firewalls but that awareness needs to evolve as the threats evolve. For example, you might spot the email purporting to be from the 'Finance director”, but would you spot the latest deepfake phone call? 
• Elaborate information protection solutions are no substitute for a culture in which end users understand what constitutes sensitive or private information and respect how it should be handled
• Buying extended support for software is of little use if your business stakeholders won’t accept the disruption that comes with installing the security patches that come with it.

5. Entre nas cabeças dos tomadores de decisão - governança, organização e propriedade são tudo. A resiliência operacional eficaz deve vir de cima para baixo, não a lateral.

= Ao adotar esses princípios, que contextualizam intervenções de segurança cibernética, as organizações maximizarão o valor que obtêm das estruturas e soluções de pontos.

Como podemos ajudar? Um número crescente de nossos clientes está se voltando para nós para apoiá -los com seus desafios de segurança cibernética e resiliência. Como resultado, desenvolvemos uma amplitude de experiência no

Since we were established in 1990, we have been supporting our clients with their most complex, critical and legacy leaving challenges, by deploying small teams of highly experienced people. An increasing number of our clients have been turning to us to support them with their cyber security and resilience challenges. As a result, we have developed a breadth of experience in the Serviços Financeiros, Logistics, bens de consumo e Media Setores onde definimos cibernética e entregamos programas de mudança. Oferecemos a nossos clientes uma gama de serviços para enfrentar os desafios de segurança cibernética e resiliência operacional. Nossas tarefas recentes em consultoria de resiliência operacional variam de avaliações iniciais de estratégia e gerenciamento de riscos, como:

We offer our clients a range of services to tackle cyber security and operational resilience challenges.

Our recent assignments in operational resilience consulting range from upfront strategy and risk management assessments, such as:

• Desenvolvendo a estratégia de recuperação e resiliência para uma peça de infraestrutura nacional crítica e mobilizada para entregar isso) || Setores. Programas de recuperação para uma grande empresa de mídia e publicidade em resposta a um ataque de ransomware, incluindo o desenvolvimento de uma mudança de etapa nos recursos para gerenciar futuros incidentes cibernéticos. 
• Working for a financial services regulator to develop a programme that assessed the operational resilience of firms in a range of sectors.

Through to existing change portfolio assessments and delivery:

• Leading significant information security programmes for a global consumer goods company, and a financial services regulator
• Managing the delivery of a global cyber cecurity programme at a multinational logistics provider, resulting in a successful downgrade of overall cyber risk by the client’s corporate risk committee
• Managing the recovery programmes for a major media and advertising company in response to a ransomware attack, including developing a step change in capabilities for managing future cyber incidents.

If you’d like to hear more about how we’re supporting our clients in this space or if you are interested in learning more about any topics raised in this article, please contact partner Dave Machin.