Por: Craig Froelich, Chief Information Security Office, Bank of America

Mesmo que não haja uma definição universalmente aceita para risco cibernético, os especialistas em nosso campo são muito bons em reconhecê-lo quando o veem e, tão importante quanto, em fazer algo a respeito.   

Durante as últimas duas décadas, os setores público e privado fizeram progressos incríveis na identificação e enfrentamento do risco cibernético em nossa infraestrutura crítica. Construímos uma comunidade robusta onde compartilhamos informações sobre ameaças, avançamos nas melhores práticas e realizamos exercícios em conjunto que melhoraram a segurança individual e coletiva.   

O trabalho que fazemos em setores de infraestrutura crítica é indispensável, pois as ameaças e vulnerabilidades cibernéticas que enfrentamos exigem que trabalhemos de perto com o governo. Além disso, o setor privado precisa do apoio dos diversos recursos e capacidades que apenas o envolvimento governamental unificado pode proporcionar. Essas parcerias vitais devem continuar a evoluir e se expandir. No entanto, o risco não é sempre o mesmo de setor para setor ou agência para agência.   

Quando pensamos em risco cibernético, obviamente olhamos para coisas como ameaças e vulnerabilidades. Infelizmente, muitos desses fatores são compartilhados entre indústrias, pois todos trabalhamos ininterruptamente e ao redor do mundo para manter nossos negócios e clientes seguros contra nações-estados, criminosos e uma variedade de atores maliciosos determinados.   

Além disso, frequentemente compartilhamos uma cadeia de suprimentos de tecnologia que pode criar vulnerabilidades generalizadas em redes do setor público e privado, como Log4j ou SolarWinds. Em resposta a esses desafios, criamos uma comunidade robusta e vibrante de especialistas que colaboram ativamente e buscam resolver desafios comuns.  

Em operação há mais de 20 anos, o Financial Services Information Sharing and Analysis Center (FS-ISAC) tem sido um ponto focal para construirmos confiança, experiência e expertise no compartilhamento de informações sobre ameaças cibernéticas. À medida que trabalhamos mais de perto como indústria e com parceiros governamentais-chave, logo encontramos oportunidades ampliadas para compartilhar melhores práticas e ajudar a proteger o setor como um todo. Todos os dias colaboramos através de nosso setor, entre indústrias, e com parceiros governamentais enquanto nossos especialistas se envolvem por meio do FS-ISAC para discutir questões cibernéticas complexas, como ameaças emergentes, estratégias de mitigação e resposta a incidentes.  

Além do aprofundamento das parcerias em nosso setor e na infraestrutura crítica como um todo, o governo está fazendo progressos reais e tangíveis em seus esforços para apoiar a cibersegurança do setor privado. Ficamos encorajados pela coordenação aumentada e pelos investimentos recentes nos departamentos e agências que apoiam a segurança da infraestrutura crítica e reduzem nosso risco cibernético coletivo.   

O estabelecimento e crescimento da Cybersecurity and Infrastructure Agency criaram novas oportunidades para o governo e o setor privado melhorarem a cibersegurança nacional. O estabelecimento do Joint Cyber Defense Collaborative (JCDC) representa nosso interesse compartilhado em um nível mais profundo de colaboração que pode nos tornar mais proativos no modo como planejamos e respondemos a incidentes cibernéticos significativos.  

Esses esforços são necessários na identificação e redução de nosso risco cibernético, mas não são suficientes. Devemos avaliar as consequências que poderiam ocorrer para realmente entender nosso ambiente cibernético e construir resiliência no sistema financeiro. Para nosso setor, isso trouxe proprietários e operadores da infraestrutura financeira mais crítica do país juntos para estabelecer o Financial Systemic Analysis and Resilience Center em 2016. Como resultado, nosso setor investiu em estabelecer uma visão coletiva e focada dos sistemas críticos, ativos e funções de nosso setor para garantir que pudéssemos entender nosso risco cibernético compartilhado. Usando essa visão coletiva, também identificamos maneiras de mitigar proativamente o risco cibernético por meio do desenvolvimento de novas iniciativas, aprimoramento de nossa resiliência e melhoria de nossa conscientização sobre as ameaças que enfrentamos. Após vários anos de estreita colaboração entre nosso setor e com parceiros governamentais, descobrimos que os riscos dessas novas capacidades estavam gerando impactos positivos tanto para nossas próprias empresas quanto para o setor.   

Após esse trabalho setorial bem-sucedido, expandimos nossas parcerias em 2020 para incluir o setor de energia com sua cultura comum baseada em risco para melhorar nossa compreensão das interdependências e compartilhar melhores práticas. O estabelecimento do Analysis and Resilience Center for Systemic Risk permite que especialistas dos setores de serviços financeiros e energia continuem avançando neste trabalho compartilhado junto com nossos parceiros governamentais para nos fornecer a compreensão mais abrangente e aprofundada de nosso risco cibernético que já tivemos.  

O setor privado não está sozinho em seu reconhecimento da importância crescente de olhar para o risco cibernético através da lente única de um setor para nos permitir focar em nossas características e capacidades distintas. Com a assinatura da Lei de Relato de Incidentes Cibernéticos para Infraestrutura Crítica, tanto a Administração quanto o Congresso reconheceram a importância do papel do governo federal em ajudar o setor privado a mitigar melhor nosso risco cibernético ao codificar e expandir as responsabilidades das “Agências de Gestão de Risco Setorial”. Embora esta designação exista no governo federal há uma década, esta nova legislação cria uma nova oportunidade para que nosso setor aproveite nossos esforços de risco cibernético e aprofunde nossa colaboração para avançar na unidade nacional do esforço para a qual foram projetados. Assim como os membros do setor de serviços financeiros têm uma profunda expertise não apenas nas ameaças e vulnerabilidades cibernéticas que enfrentamos, mas nas suas potenciais consequências para nossas operações, o Departamento do Tesouro tem uma percepção única sobre nossa estrutura financeira e as capacidades governamentais que poderiam auxiliar seus proprietários e operadores. Em suma, o Tesouro vê os riscos cibernéticos que vemos e, juntos, podemos encontrar novas maneiras de abordá-los.  

Aproveitando as parcerias que nosso setor mantém com especialistas cibernéticos em todo o governo, o Tesouro pode desempenhar um papel crítico como nossa Agência de Gestão de Risco Setorial para garantir que o governo e o setor privado possam ter uma visão holística tanto das consequências quanto das mitigadoras para nossos riscos cibernéticos. Seu profundo entendimento do sistema financeiro e da infraestrutura pode ajudar a avançar nosso trabalho e impulsionar uma abordagem governamental coletiva para apoiar nosso setor conforme apropriado.   

Além disso, a expertise do Tesouro pode ajudar a habilitar ações coletivas e proativas contra ameaças cibernéticas à nossa segurança financeira. À medida que nos concentramos na segurança e resiliência de nossas operações críticas, o Tesouro pode entender e acessar capacidades para apoiar nossa segurança nacional e econômica se um incidente cibernético significativo ocorrer. Nosso setor tem uma longa parceria com o Tesouro em questões cibernéticas, incluindo através do Financial Services Sector Coordinating Council (FSSCC) para enfrentar desafios estratégicos e da Série Hamilton de exercícios para melhorar a resposta a ameaças cibernéticas no setor financeiro dos EUA. Ao abraçar totalmente e investir em seu papel como Agência de Gestão de Risco do setor financeiro, o Tesouro pode realmente avançar em nossa capacidade de identificar e reduzir o risco cibernético.  

Ao fazer parceria dentro do setor privado e com nossos colegas do governo, nossas empresas têm uma melhor compreensão do risco cibernético do que nunca. Décadas de colaboração construíram uma perspectiva compartilhada em nossa comunidade cibernética que nos ajuda a tornar uns aos outros e nossos clientes mais seguros a cada dia, e esses relacionamentos de confiança estão nos ajudando a buscar novas maneiras inovadoras de melhorar ainda mais nossa segurança coletiva.   

Com essa base, nosso setor pode fazer e está fazendo mais para identificar e mitigar o risco cibernético. Juntamente com a expertise e capacidades de nossos parceiros governamentais, aguardamos com expectativa continuar fazendo avanços significativos para a cibersegurança e resiliência do setor financeiro dos EUA.   

Sobre o Autor, Craig Froelich  

Craig Froelich é Chief Information Security Officer do Bank of America. Ele lidera uma equipe de 3.000 especialistas em 18 países dedicados a proteger os dados financeiros dos consumidores individuais da empresa, pequenas e médias empresas e grandes corporações.  

A equipe Global Information Security (GIS) defende contra ameaças atuais e futuras à empresa e colabora de perto com associações da indústria e do governo para garantir a segurança do setor como um todo. Os inventores do GIS apresentaram ou receberam mais de 1.000 patentes de segurança cibernética. A equipe ganhou mais de 100 prêmios, incluindo o prêmio de Equipe de Segurança do Ano da Hot Company 2022 da Cyber Defense Magazine e a Equipe de Segurança da Informação do Ano 2018 da SC Magazine. Craig também recebeu prêmios do setor por sua liderança, incluindo ser nomeado para a lista dos 100 Maiores CISOs Globais e CISO do Ano várias vezes e Executivo de Segurança de Destaque do Ano.   

Antes de ingressar no Bank of America em 2001, Craig ocupou cargos de gestão executiva em empresas de tecnologia, onde adquiriu uma década de experiência em gestão de produtos, desenvolvimento de aplicações e gestão de infraestrutura. Ele foi concedido oito patentes de segurança da informação.   

Craig atua como presidente do Analysis & Resilience Center. Ele é ex-presidente e membro atual do conselho de diretores do Financial Services‒Information Sharing and Analysis Center, e é ex-presidente e membro atual do Comitê Executivo do Financial Services Sector Coordinating Council. Ele também atua no conselho da Sheltered Harbor e no comitê executivo do BITS, a divisão de política de tecnologia do Bank Policy Institute.