Durante a coleta de ideias e tópicos para o Cúpula de Liderança Nexus'23tive a oportunidade de discutir as Metas de Desempenho Cibernético (CPGs) da Agência de Segurança Cibernética e Infraestrutura (CISA) com vários líderes de segurança cibernética. Meu colega Josh Corman também conduziu conversas semelhantes sobre previsões futuras de como esses CPGs afetarão as organizações em vários setores diferentes. Recentemente, tivemos a oportunidade de trocar ideias sobre como as CPGs podem afetar especificamente o setor de alimentos e bebidas e como essas políticas oferecem uma estrutura para as organizações se protegerem contra ataques cibernéticos.
À medida que as empresas do setor de alimentos e bebidas adotam os sistemas ciberfísicos e a transformação digital, elas precisam desenvolver suas estratégias de segurança cibernética para mitigar o risco representado por uma superfície de ataque expandida. As Metas de Desempenho em Segurança Cibernética (CPGs) da CISA - um conjunto fundamental de práticas recomendadas aplicáveis a todos os setores críticos - fornecem um conjunto prático de ganhos rápidos que as empresas de alimentos e bebidas podem implementar para superar esse desafio e garantir a resiliência cibernética e operacional. Embora essas metas sejam voluntárias, elas oferecem um conjunto comum de práticas de segurança cibernética para infraestruturas críticas e ajudam especialmente as organizações de pequeno e médio porte a iniciarem seus esforços de segurança cibernética.
Aqui estão nossas principais previsões:
Previsão 1 de Justin: os CPGs se tornarão o padrão de base. Apesar de o NIST e a IEC 62443 manterem sua importância, sua complexidade impõe dificuldades para várias entidades "ricas em alvos, mas pobres em cibernética" no setor de alimentos e bebidas. Embora não sejam isentos de desafios, os CPGs são diretos, compreensíveis e, principalmente, quantificáveis.
Previsão 2 de Justin: empresas menores de alimentos e bebidas podem não ter os meios ou a experiência para seguir os CPGs de forma independente. O financiamento de estímulo do governo será disponibilizado para ajudar essas organizações a adotar as diretrizes.
Previsão 3 de Justin: o gerenciamento de ID de usuário, de administração de ID e de acesso exigirá uma única fonte de verdade para atender às metas de CPG. Muitas empresas de alimentos e bebidas podem começar a usar um sistema de autenticação central para gerenciar contas de usuários e direitos de acesso, conforme recomendado pelos CPGs.
Previsão 1 de Josh: as CPGs são atualmente voluntárias; no entanto, com base na orientação da Estratégia Nacional de Segurança Cibernética da Casa Branca para os reguladores do setor, prevemos que esses órgãos elaborarão regulamentações mínimas obrigatórias - dentro de suas autoridades existentes - tendo as CPGs como base.
Previsão 2 de Josh: as seguradoras do setor privado podem começar a usar os CPGs para qualificar as empresas para o seguro cibernético, já que muitas empresas podem começar a considerar o seguro cibernético para reduzir o risco de ataques cibernéticos.
Previsão 3 de Josh: no caso de um ataque cibernético, os tribunais poderão usar as CPGs como limite para negligência. As empresas que não seguirem as diretrizes poderão ser responsabilizadas por quaisquer danos causados pelo ataque.
Os CPGs da CISA são, sem dúvida, um recurso valioso para empresas de alimentos e bebidas que desejam se proteger de ataques cibernéticos. Embora não seja obrigatório seguir as diretrizes, acreditamos que a conformidade regulamentar e o envolvimento do governo ocorrerão mais cedo do que se imagina, solidificando esses padrões como a norma do setor. Os CPGs fornecem uma linha de base para que as empresas de alimentos e bebidas adotem proteções de segurança fundamentais e criem um caminho para uma postura de segurança sólida. Embora essas metas possam parecer assustadoras à primeira vista, os especialistas do Claroty estão aqui para fornecer orientações e recomendações ao longo de sua jornada exclusiva de segurança cibernética.
