Home / Resources / ISACA Journal / Issues / 2023 / Volume 3 / Building Cyberresilience From Collaborative Culture

Criando Resiliência Cibernética a partir de Cultura Colaborativa

Author: Joseph Cheng, CISA, CRISC, CPA, MACS CP
Date Published: 9 May 2023
Related: ISACA - The Digital Trust Leader
English

A pesar do crescente investimento em medidas de proteção cibernética, a incidência de violação de dados e ataques cibernéticos continua crescendo. Os custos globais relacionados a crimes cibernéticos devem ter um aumento anual de 15% nos próximos anos, atingindo US$10.5 trilhões até 2025, acima dos US$3 trilhões em 2015.1 Em 2021, o FBI (Federal Bureau of Investigation) dos EUA, reportou que houve 847.376 reclamações de suspeita de crime na Internet—, um aumento de 7% em relação a 2020 e os prejuízos excedendo os US$6.9 bilhões.2

Criminosos cibernéticos estão continuamente explorando os pontos fracos dos seres humanos e brechas em uma tecnologia, e novos métodos de ataque constantemente desafiam as soluções existentes. Por isso, abordagens tradicionais de segurança cibernética para a proteção de empresas contra ataques cibernéticos tornaram-se ineficientes.3, 4 Para detectar e suportar um ataque cibernético, as empresas e os líderes tecnológicos estão continuamente desenvolvendo estratégias de segurança para proteger o ambiente de alto risco de TI, manter os dados protegidos e garantir a entrega de serviço.5, 6, 7, 8

Essencialmente precisam ter resiliência cibernética. O US National Institute of Standards and Technology (NIST) - Instituto Nacional de Padrões e Tecnologia dos EUA - define resiliência cibernética como “a capacidade de prever, suportar, recuperar-se e adaptar-se a condições adversas, tensões, ataques ou compromissos em sistemas que usam ou são habilitados por recursos cibernéticos.”9 As empresas devem ter uma abordagem abrangente que inclua estabelecer medidas fortes de segurança para evitar ataques, e planos e procedimentos para responder e recuperar-se de ataques.10 Isso inclui planejamento de resposta a incidentes, planejamento de continuidade de negócios - business continuity planning (BCP) e planejamento de recuperação de desastres - (disaster recovery planning (DRP). Isso inclui também testar e atualizar esses planos regularmente para garantir que sejam eficazes e relevantes, estabelecendo programas de conscientização de segurança cibernética e treinamento para os funcionários, e testar regularmente o preparo de toda a empresa.

A abordagem Agile é uma excelente maneira de desenvolver planos de resposta a incidentes. Permite um desenvolvimento rápido e eficiente de planos que podem ser adaptados para condições de mudanças rápidas em uma iniciativa colaborativa. Quando os ataques cibernéticos ocorrem, as equipes de resposta a incidentes precisam trazer à mesa os interessados relevantes-profissionais de segurança de TI, analistas de risco, executivos sênior, profissionais do setor jurídico, a unidade de auditoria e compliance, recursos humanos (RH) e profissionais de comunicação-para produzirem uma resposta forte e integrada. Nessa situação dinâmica, colaboração é o elemento mais crítico de uma resposta cooperativa e eficaz. Ela permite que as equipes sejam mais flexíveis quando desenvolvem planos e possam garantir que os planos sejam capazes de lidar com incidentes imprevistos. Portanto, ter uma cultura de colaboração no local de trabalho que valoriza a ideia de que a inteligência coletiva impulsiona as soluções mais criativas é fundamental para a resiliência cibernética. Compartilhar informações sobre incidente e ameaças com outras empresas do mesmo setor pode descobrir ameaças e vulnerabilidades comuns, e colaboração com as autoridades governamentais e policiais pode levar a um melhor entendimento do cenário de ameaças e assistência na resposta a ataques cibernéticos. Em geral, a colaboração permite que as empresas entendam melhor o cenário de ameaças, instalem recursos efetivamente para impedir ameaças, respondam a ataques com mais eficiência e se recuperem mais rapidamente.

Abordagem Ágil para Resiliência

Como o cenário de ameaças está em constante mudança, as empresas precisar tornar-se mais dinâmicas no manuseio de ameaças cibernéticas e incidentes cibernéticos e usam uma abordagem Ágil para aprimorar sua resiliência cibernética.11

A colaboração permite que as empresas tenham melhor entendimento do cenário de ameaça, implementem recursos efetivos para deter ameaças, responder a ataques de forma efetiva e se recuperem mais rapidamente.

A agilidade é a capacidade de responder às mudanças. É uma maneira efetiva para lidar com ambiente incerto e turbulento. A agilidade representa uma resposta adaptativa à mudança. Ajuda as pessoas a entender o ambiente atual, identificar incertezas e se adaptar a elas.12

Agilidade requer altos níveis de colaboração e flebixilidade. As equipes devem desenvolver uma mentalidade Ágil-um processo reflexivo que inclui entender, colaborar, aprender e manter-se flexível.13 Essa abordagem estabelece uma forte estrutura para administrar qualquer situação adversa.

Por exemplo, criminosos cibernéticos sofisticados visam a equipe através de rápidas mudanças nos vetores de ataque, incluindo engenharia social. Por isso, programas de conscientização de segurança e medidas de proteção de segurança devem focalizar ameaças e ser capazes de se ajustar rapidamente para lidar com a natureza em constante movimento das ameaças cibernéticas e se tornarem mais resistentes.

Agilidade deve ser uma meta geral da empresa para que a empresa seja eficiente.14, 15 Exige que os funcionários apoiem a mudança em vez de resistir a ela. Uma empresa precisa incentivar uma dinâmica de grupo positiva e uma cultura empresarial em que os funcionários possam confiar uns nos outros, permitindo-lhes tomar decisões coletivas e ser considerados responsáveis pelos resultados.

Para ser Ágil, uma empresa deve:

  • Ter uma cultura colaborativa que permita à equipe trabalhar em conjunto para um objetivo comum, com cada um dos membros cumprindo sua parte para criar coletivamente um único produto ou uma única solução.
  • Ter uma equipe de gestão forte para liderar o esforço e assumir a iniciativa.
  • Definir uma estratégia clara de comunicação para a equipe de resposta assim como definir as funções e responsabilidades de cada membro da equipe.
  • Estabelecer uma estrutura de equipe que permita uma tomada de decisão rápida, incluindo alocação de recursos durante um incidente.
  • Fornecer aos funcionários a tecnologia e o treinamento de segurança apropriados para minimizar os riscos e prevenir a vulnerabilidade.16

Cultura Organizacional

Cultura organizacional é outro componente crítico da resiliência cibernética. É um conjunto de normas, valores, expectativas e padrões para guiar o comportamento e ações dos empregados. Os valores e crenças compartilhadas criadas pela administração moldam os comportamentos e as percepções dos funcionários.17 De acordo com o Modelo de Cultura Schneider (figura 1), há quatro tipos de cultura organizacional: colaboração, controle, competência e cultivo.18, 19

Cultura colaborativa é sobre construir relacionamentos positivos e confiáveis entre os funcionários. Essa cultura valoriza o trabalho em equipe e a parceria para maximizar o conhecimento e as competências do funcionário. Cria oportunidades para que as equipes trabalhem visando objetivos comuns e incentiva a inovação, a criatividade, a produtividade e a motivação.

Cultura de controle é sobre ordem e estabilidade, e as decisões são tomadas pela alta administração. Essa cultura valoriza a reação a problemas sem perder tempo com atividades de criação de consenso. A atmosfera é hierárquica e séria, e a abordagem é diretiva.

Cultura de competência significa ser o melhor. Ela valoriza a concorrência, e as empresas que têm essa cultura persegue a excelência e cria atmosferas competitivas e atmosferas severas.

Cultura de cultivo significa aprender e crescer com um sentido de propósito. Diferentemente da colaboração, que enfatiza a atualidade, cultivo concentra-se nas possibilidades e no potencial de crescimento. Essa cultura tem uma natureza muito pessoal e emocional.

Colaboração e resiliência cibernética

As empresas que mantêm culturas colaborativas incentivam os membros da equipe a trabalhar em conjunto usando seu conhecimento e suas capacidades individuais para atingir metas comuns. Quando os funcionários trabalham em conjunto com eficiência, a satisfação com o trabalho, a produtividade e a criatividade melhoram. Assim, integrar a colaboração na cultura organizacional é fundamental para a resiliência cibernética.20

Colaboração inclui comunicação aberta, tomada de decisão compartilhada e disposição para considerar e incorporar as ideias e perspectivas de outras pessoas. A colaboração frequentemente leva a soluções mais eficientes e melhores resultados do que o trabalho individualizado. Quando os funcionários estão dispostos a colaborar, isso pode se manifestar como comunicação de má qualidade, resistência às ideias de outros e um foco em metas individuais e não em ideias coletivas. Isso pode levar a ineficiência, atrasos e resultados abaixo do ideal.

A colaboração com terceiros, por exemplo, outras empresas e agências governamentais, pode ser um meio fundamental de compartilhamento de informações e recursos para melhorar a resiliência cibernética.

Especificamente, a colaboração entre departamentos diferentes em uma empresa é fundamental para uma resposta eficaz a incidentes e PCN. Por exemplo, o departamento de TI é responsável por identificar e conter um ataque cibernético, o departamento de comunicações é responsável por informar aos interessados e à mídia e o departamento de operações é responsável por restaurar a produção e preencher os pedidos dos clientes. Assim, colaboração entre esses departamentos é fundamental para garantir uma resposta coordenada e eficaz.

Colaboração entre empresas também é importante. Compartilhar informações sobre incidentes e ameaças com outras entidades do mesmo setor pode expor vulnerabilidades e ameaças comuns. A colaboração com autoridades governamentais e policiais pode levar a um melhor entendimento do cenário de ameaças e uma assistência mais forte na resposta a ataques cibernéticos. Em geral, a colaboração ajuda as empresas a entender melhor o cenário de ameaças, responder a ataques com mais eficiência e recuperar-se com mais rapidez.

A colaboração pode apoiar uma abordagem de defesa em profundidade - defense-in-depth (DiD) permitindo que várias partes compartilhem informações e recursos, o que leva a um entendimento mais abrangente de vulnerabilidades e ameaças potenciais e ao desenvolvimento de medidas de segurança e planos de resposta a incidentes mais eficazes. Além disso, a colaboração pode facilitar o compartilhamento de melhores práticas e desenvolvimento de padrões para todo o setor, que podem melhorar a postura geral de segurança de uma empresa ou de todo um setor. As empresas podem colaborar para desenvolver e compartilhar informações sobre ameaças que podem ser usadas para atualizar a estratégia de segurança cibernética.

A colaboração efetiva pode melhorar a capacidade de uma empresa de suportar um ataque cibernético e dele se recuperar. A colaboração entre departamentos diversos, como TI, jurídico e RH, pode garantir que todos os aspectos de um incidente cibernético sejam abordados. A colaboração com terceiros, por exemplo, outras empresas e agências governamentais, pode ser um meio fundamental de compartilhamento de informações e recursos para melhorar a resiliência cibernética. Além disso, ter uma cultura interna de colaboração pode estimular um sentido de responsabilidade compartilhada por segurança cibernética, que pode levar a uma melhor tomada de decisão e uma resposta a incidentes mais eficaz. Assim, combinar o uso de tecnologia e colaboração pode ser extremamente eficaz para o aprimoramento da resiliência cibernética.21

Cultura não pode ser facilmente quantificada, mas uma boa cultura colaborativa produz comportamentos que são rastreáveis.

Como desenvolver uma cultura colaborativa

Uma empresa pode seguir cinco passos simples para criar uma cultura colaborativa, habilitando-a a enfrentar qualquer ameaça, seja ela cibernética ou não:22

  1. Liderar a partir da direção—Líderes de negócios devem criar um ambiente inclusivo que estimule a criatividade e promova uma cultura de trabalho produtiva e prazerosa. Líderes colaborativos buscam um conjunto de opiniões e ideias de colegas de colegas de equipe para criar estratégias e resolver problemas.23 Como resultado, os funcionários se sentem engajados e confiáveis, e têm mais probabilidade de se apropriar do seu trabalho.
  2. Envolver as pessoas certas—Colaboração significa a forma como as pessoas interagem. O ingrediente mais essencial de uma cultura colaborativa bem sucedida é ter as pessoas certas envolvidas e estabelecer equipes com probabilidade de colaborar eficaz e eficientemente para obter os melhores resultados possíveis.
  3. Criar um ambiente de confiança e transparência—Para promover e estimular uma colaboração produtiva, as empresas precisam fornecer um ambiente seguro onde os funcionários possam se comunicar aberta e honestamente, fornecer e receber feedback construtivo, e criar vínculos significativos entre si.
  4. Ajudar os funcionários a desenvolver amizades e vínculos—Ter relações de amizade no trabalho torna as pessoas mais engajadas, mais abertas para compartilhar suas ideias e mais dispostas a enfrentar novos desafios como uma equipe. Criar um sentido de pertencimento entre os colegas reforça a eficácia das equipes colaborativas interfuncionais, permitindo-lhes lidar com crises e resolver problemas com mais eficácia e eficiência. Isso pode ter um impacto positivo sobre a dinâmica e a produtividade da equipe como um todo.
  5. Incentivar e reconhecer as ações colaborativas—Reconhecer e valorizar as contribuições dos funcionários pode torná-los mais engajados. Estudos têm demonstrado uma correlação positiva entre o reconhecimento do funcionário e seu engajamento e desempenho.24

Como medir a maturidade de uma cultura colaborativa

Cultura não pode ser facilmente quantificada, mas uma boa cultura colaborativa produz comportamentos que são rastreáveis. As principais características de uma cultura colaborativa saudável são:

  • Uma clara visão que é evidente em cada atividade
  • Confiança
  • Participação de todos
  • Compromisso com tomada de decisão compartilhada e solução de problemas
  • Comunicação direta

A medição da colaboração em uma empresa pode ser obtida através de vários métodos, inclusive:

  • Pesquisas—Perguntar aos funcionários como eles veem a colaboração na empresa pode fornecer percepções valiosas. As perguntas podem se concentrar em tópicos tais como comunicação, confiança e trabalho em equipe.
  • Entrevistas—Conduzir entrevistas com funcionários e gerentes pode fornecer um entendimento mais profundo da cultura colaborativa da empresa.
  • Observação—Observar as interações e a comunicação no local de trabalho pode fornecer informações sobre o nível de colaboração e trabalho em equipe.
  • Métricas de desempenho—Medir o desempenho de equipes e projetos pode fornecer informações sobre a eficácia da colaboração, tais como:
    • Taxa de participação—Medir a porcentagem de funcionários que participam ativamente em atividades e tarefas colaborativas.
    • Taxa de engajamento—Medir a porcentagem de funcionários que estão ativamente engajados em atividades e tarefas colaborativas.
    • Qualidade da colaboração—Medir a qualidade do processo colaborativo e do rendimento.
    • Economia de tempo—Medir o tempo economizado com o emprego de uma abordagem colaborativa.
    • Inovação—Medir o nível de pensamento e soluções inovadoras geradas pelo processo colaborativo.
  • Analítica de software de colaboração—Em empresas que utilizam um software de colaboração como Microsoft Teams ou Zoom, a colaboração pode ser medida analisando-se o número de mensagens, arquivos compartilhados e frequência de reuniões.

É importante usar uma combinação de métodos para obter um entendimento abrangente da cultura colaborativa da empresa. Além disso, é importante lembrar que cultura é complexa e multifacetada, por isso as empresas devem examinar todos os aspectos da cultura em vez de focalizar um elemento ou uma métrica.

Conclusão

Ataques cibernéticos podem ter um impacto enorme sobre uma empresa. Eles afetam não só a TI, mas também a empresa como um todo e seus clientes. Assim, é necessária uma abordagem de equipe multidisciplinar que envolva todos os participantes relevantes - risco, TI, conselho diretor, jurídico, compliance, comunicações, finanças e RH - para desenvolver uma estratégia de resposta a incidentes. Com uma forte estratégia de resiliência cibernética, uma empresa pode detectar e se defender de ataques cibernéticos, produzir uma resposta forte e integrada para as crises, e recuperar-se de incidentes cibernéticos.25

Para se proteger de ameaças cibernéticas, as empresas devem empregar uma abordagem Ágil para a resiliência cibernética. Resiliência cibernética deve ser um processo ativo, e devem ser feitos ajustes quando novas ameaças cibernéticas forem identificadas.

A melhor forma de reunir uma equipe interdisciplinar eficiente para administrar o cenário dinâmico de ameaças cibernéticas é promover uma cultura colaborativa no local de trabalho, uma cultura que incentive os funcionários a compartilhar seu conhecimento e trabalhar para atingir metas comuns.26 Quando os funcionários desenvolvem um sentido de pertencimento, a inteligência coletiva dos membros da equipe pode oferecer soluções criativas para resolver problemas e lidar com as crises.

Quando os funcionários desenvolvem um sentido de pertencimento, a inteligência coletiva dos membros da equipe pode oferecer soluções criativas para resolver problemas e lidar com crises.

Notas Finais

1 Morgan, S.; "Cybercrime to Cost the World $10.5 Trillion Annually By 2025," Cybercrime Magazine, 13 November 2020, https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
2 Federal Bureau of Investigation (FBI), Internet Crime Report 2021, USA, 2021, https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf
3 Maurer, T.; K. Taylor; T. Grossman; Capacity-Building Tool Box for Cybersecurity and Financial Organizations, Carnegie Endowment for International Peace, USA, 2019, https://ceipfiles.s3.amazonaws.com/pdf/FinCyber/English/FinCyber+Full+Toolbox_final.pdf
4 Roege, P. E. et al.; "Bridging the Gap From Cyber Security to Resilience," Resilience and Risk, Springer, UK, 2017, https://link.springer.com/chapter/10.1007/978-94-024-1123-2_14
5 Conklin, W. A.; A. Kohnke; "Cyber Resilience: An Essential New Paradigm for Ensuring National Survival," Proceedings of the 13th International Conference on Cyber Warfare and Security (ICCWS), National Defense University, Washington DC, USA, 2018
6 Moura, /.; D. Hutchison; "Cyber-Physical Systems Resilience: State of the Art, Research Issues and Future Trends," 2019, https://www.researchgate.net/publication/335173978_Cyber-Physical_Systems_Resilience_State_of_the_Art_Research_Issues_and_Future_Trends
7 Linkov, I.; A. Kott; "Fundamental Concepts of Cyber Resilience: Introduction and Overview," Cyber Resilience of Systems and Networks, Springer International, USA, 2018, https://link.springer.com/chapter/10.1007/978-3-319-77492-3_1
8 Yano, E.; W. de Abreu; P. Gustavsson; R. Ahlfeldt; "A Framework to Support the Development of Cyber Resiliency With Situational Awareness Capability," Proceedings of the 20th International Command and Control Research and Technology Symposium, Annapolis, Maryland, USA, 2015
9 Ross, R. et al.; National Institute of Standards and Technology (NIST) Special Publication (SP) 800-160, vol. 2, rev. 1. Developing Cyber Resilient Systems: A Systems Security Engineering Approach, USA, 2021, https://doi.org/10.6028/NIST.SP.800-160v2r1
10 Abraha, C.; R. R. Sims; "A Comprehensive Approach to Cyber Resilience," MIT Sloan Management Review, 16 March 2021, https://sloanreview.mit.edu/article/a-comprehensive-approach-to-cyber-resilience/
11 Hult, F.; G. Sivanesan; "What Good Cyber Resilience Looks Like," Journal of Business Continuity and Emergency Planning, vol. 7, iss. 2, 2014
12 Agile Alliance, "Agile 101," 2022, https://www.agilealliance.org/agile101/
13 Op cit Hult and Sivanesan
14 Ibid.
15 Van't Wout, C.; "Develop and Maintain a Cybersecurity Organisational Culture," ICCWS 2019 14th International Conference on Cyber Warfare and Security, 2019
16 Conklin, W. A.; D. Shoemaker; "Cyber-Resilience: Seven Steps for Institutional Survival," EDPACS, vol. 55, iss. 2, 2017, p. 14-22
17 Tohidi, H.; M. Jabbari; "Organizational Culture and Leadership," Procedia—Social and Behavioral Sciences, vol. 31, 2012, https://doi.org/10.1016/j.sbspro.2011.12.156
18 Schneider, W. E.; "Productivity Improvement Through Cultural Focus," Consulting Psychology Journal: Practice and Research, vol. 47, iss. 1, 1995, p. 3-27, https://doi.org/10.1037/1061-4087.47.1.3
19 Kropp, M.; A. Meier; R. Biddle; "Agile Practices, Collaboration and Experience," PROFES 2016: Product-Focused Software Process Improvement, Springer, Switzerland, 2016, https://doi.org/10.1007/978-3-319-49094-6_28
20 Harris, A.; "Exploring the Agile System Development Best Practices Cybersecurity Leaders Need to Establish a Cyber-Resilient System: A Phenomenological Study," Colorado Technical University, Colorado Springs, Colorado, USA, 2019
21 Brown, S.; J. Gommers; O. Serrano; "From Cyber Security Information Sharing to Threat Management," Proceedings of the 2nd Association for Computing Machinery Workshop on Information Sharing and Collaborative Security, Denver, Colorado, USA, 2015, https://doi.org/10.1145/2808128.2808133
22 Edmonson, S.; "Creating a Collaborative Culture," Annual Meeting of the National Council of Professors of Educational Administration, Austin, Texas, USA, 2001
23 Brunner, C. C.; "Exercising Power: Authoritarian and Collaborative Decision-Making," School Administrator, vol. 54, 1997, p. 6-9
24 Anitha, J.; "Determinants of Employee Engagement and Their Impact on Employee Performance," International Journal of Productivity and Performance Management, vol. 63, iss. 3, 2014, p. 308-323, https://doi.org/10.1108/IJPPM-01-2013-0008
25 Annarelli, A.; F. Nonino; G. Palombi; "Understanding the Management of Cyber Resilient Systems," Computers and Industrial Engineering, vol. 1, iss. 49, 2020
26 Op cit Brunner

JOSEPH CHENG | CISA, CRISC, CPA, MACS CP

É um gerente de auditoria interna no departamento de comunidades e justiça em Nova Gales do Sul, Austrália. Tem mais de 20 anos de experiência em TI, auditoria de SI, segurança cibernética e governança. Cheng é também membro da Australian Computer Society.