O assunto está cada vez mais presente nas pautas sobre gestão da informação e segurança, porém, ainda é um mistério na maioria das empresas. O objetivo deste artigo é trazer clareza e demonstrar que todas os negócios precisam a podem desenvolver uma estratégia de resiliência cibernética de acordo com a sua realidade
Entende-se por resiliência cibernética a capacidade de uma organização de evitar, combater e recuperar-se de incidentes de segurança cibernética. Para tanto, são necessárias uma combinação de estratégias, planos e recursos, que devem estar orquestrados e ser testados periodicamente.
O tema é importante porque afeta diretamente a continuidade de negócios, estando ligado a segurança da informação de modo bastante amplo. Vai desde a concepção do modelo de segurança (recursos e processos) chegando ao plano de recuperação em si, quando entram em cena as estratégias de mitigação e retorno a atividades após um incidente de segurança, instabilidade ou inatividade de sistemas.
Quando falamos em recursos, tratamos de listar equipamentos, licenças e serviços relacionados a infraestrutura de T.I. Os processos, por sua vez, são as metodologias, gestão e regras que uma empresa adota para que tudo funcione adequadamente.
Algumas perguntas que a resiliência cibernética busca responder:
- Quanto tempo uma empresa sobrevive se o acesso aos dados ou infraestrutura de T.I. estiver inativo ou comprometido?
- Após um incidente ou inatividade, qual o prazo previsto na estratégia de mitigação para que a empresa volte a operar?
- Quais são os recursos envolvidos para evitar, proteger e responder às ameaças? Como estão arquitetados? São testados?
- Em suma, o que fazer e em quanto tempo, se a T.I. não estiver operando ou os dados forem comprometidos?
Embora pareça um “assunto da moda” ou algo somente voltado a grandes organizações, o conceito deveria fazer parte de todos os negócios, pois, quanto menor for a empresa, maior será o impacto financeiro e os riscos a este negócio se manter funcionando. Empresas menores, por exemplo, podem chegar a falência após um incidente de inatividade.
Por onde começar?
Um modelo de resiliência cibernética funcional, deve se basear nas normas de segurança ISO 27001 e em boas práticas de governança, como por exemplo, as metodologias ITIL e COBIT. Outro ponto importante é que a empresa deve atender as leis e compliances relacionados a sua área de atuação. A seguir, detalhamos um caminho para a construção de um modelo de resiliência cibernética eficaz:
- Identifique os riscos cibernéticos relacionados ao negócio. Estes podem ser internos, como os atrelados a fragilidades em sistemas, infraestrutura, dispositivos ou mesmo à mão de obra. Os riscos externos, são aqueles que dependem do controle ou ação de terceiros, como ataques hacker, indisponibilidades em serviços de terceiros, como sistemas, nuvem e outros.
- Classifique os riscos. Uma boa metodologia é abordagem probabilidade x impacto. A partir da planilha, será possível visualizar os riscos por ordem de urgência.
- Enfrente os riscos, criando uma estratégia de mitigação para cada um, com os objetivos de reduzir, evitar, transferir e, quando não for possível, aceitar o risco. O tratamento poderá envolver equipamentos, serviços, documentos ou atividades, de acordo com as características do risco. O tempo de duração desta fase pode variar, em função da quantidade e gravidade dos riscos, bem como dos recursos que o negócio disponibilizar. O ideal é estabelecer um plano estruturado, com abordagem em etapas.
- Documente os processos, crie políticas e defina responsabilidades. A responsabilidade pela segurança é de todos que acessam as informações, que devem ter ciência sobre os riscos e sanções que a empresa definir.
- Teste as estratégias periodicamente, pois não adianta apenas ter o plano e os recursos. É necessário garantir que tudo irá funcionar quando for necessário.
DICAS:
- Pessoas fazem parte e precisam ser envolvidas;
- Os terceiros que acessam dados, precisam conhecer suas responsabilidades;
- Atender a leis, como a LGPD, Código de Defesa do Consumidor, lei de propriedade intelectual, regras de compliance e outras específicas do seu mercado são excelentes pontos de partida.
Quer saber mais?
Que tal testar se a infraestrutura de T.I. do seu negócio está preparada para lidar com os desafios do mercado? Acesse o link e faça o teste gratuito que M2 Genius preparou para você: https://ivlv.me/Qa020