Resiliência cibernética. O que é. Por que é importante? Por onde começar?

O assunto está cada vez mais presente nas pautas sobre gestão da informação e segurança, porém, ainda é um mistério na maioria das empresas. O objetivo deste artigo é trazer clareza e demonstrar que todas os negócios precisam a podem desenvolver uma estratégia de resiliência cibernética de acordo com a sua realidade

Entende-se por resiliência cibernética a capacidade de uma organização de evitar, combater e recuperar-se de incidentes de segurança cibernética. Para tanto, são necessárias uma combinação de estratégias, planos e recursos, que devem estar orquestrados e ser testados periodicamente.

O tema é importante porque afeta diretamente a continuidade de negócios, estando ligado a segurança da informação de modo bastante amplo. Vai desde a concepção do modelo de segurança (recursos e processos) chegando ao plano de recuperação em si, quando entram em cena as estratégias de mitigação e retorno a atividades após um incidente de segurança, instabilidade ou inatividade de sistemas.

Quando falamos em recursos, tratamos de listar equipamentos, licenças e serviços relacionados a infraestrutura de T.I. Os processos, por sua vez, são as metodologias, gestão e regras que uma empresa adota para que tudo funcione adequadamente.

Algumas perguntas que a resiliência cibernética busca responder:

  • Quanto tempo uma empresa sobrevive se o acesso aos dados ou infraestrutura de T.I. estiver inativo ou comprometido?
  • Após um incidente ou inatividade, qual o prazo previsto na estratégia de mitigação para que a empresa volte a operar?
  • Quais são os recursos envolvidos para evitar, proteger e responder às ameaças? Como estão arquitetados? São testados?
  • Em suma, o que fazer e em quanto tempo, se a T.I. não estiver operando ou os dados forem comprometidos?

Embora pareça um “assunto da moda” ou algo somente voltado a grandes organizações, o conceito deveria fazer parte de todos os negócios, pois, quanto menor for a empresa, maior será o impacto financeiro e os riscos a este negócio se manter funcionando. Empresas menores, por exemplo, podem chegar a falência após um incidente de inatividade.

Por onde começar?

Um modelo de resiliência cibernética funcional, deve se basear nas normas de segurança ISO 27001 e em boas práticas de governança, como por exemplo, as metodologias ITIL e COBIT. Outro ponto importante é que a empresa deve atender as leis e compliances relacionados a sua área de atuação. A seguir, detalhamos um caminho para a construção de um modelo de resiliência cibernética eficaz:

  1. Identifique os riscos cibernéticos relacionados ao negócio. Estes podem ser internos, como os atrelados a fragilidades em sistemas, infraestrutura, dispositivos ou mesmo à mão de obra. Os riscos externos, são aqueles que dependem do controle ou ação de terceiros, como ataques hacker, indisponibilidades em serviços de terceiros, como sistemas, nuvem e outros.
  2. Classifique os riscos. Uma boa metodologia é abordagem probabilidade x impacto. A partir da planilha, será possível visualizar os riscos por ordem de urgência.
  3. Enfrente os riscos, criando uma estratégia de mitigação para cada um, com os objetivos de reduzir, evitar, transferir e, quando não for possível, aceitar o risco. O tratamento poderá envolver equipamentos, serviços, documentos ou atividades, de acordo com as características do risco. O tempo de duração desta fase pode variar, em função da quantidade e gravidade dos riscos, bem como dos recursos que o negócio disponibilizar. O ideal é estabelecer um plano estruturado, com abordagem em etapas.
  4. Documente os processos, crie políticas e defina responsabilidades. A responsabilidade pela segurança é de todos que acessam as informações, que devem ter ciência sobre os riscos e sanções que a empresa definir.
  5. Teste as estratégias periodicamente, pois não adianta apenas ter o plano e os recursos. É necessário garantir que tudo irá funcionar quando for necessário.

DICAS:

  • Pessoas fazem parte e precisam ser envolvidas;
  • Os terceiros que acessam dados, precisam conhecer suas responsabilidades;
  • Atender a leis, como a LGPD, Código de Defesa do Consumidor, lei de propriedade intelectual, regras de compliance e outras específicas do seu mercado são excelentes pontos de partida.

Quer saber mais?

Que tal testar se a infraestrutura de T.I. do seu negócio está preparada para lidar com os desafios do mercado? Acesse o link e faça o teste gratuito que M2 Genius preparou para você: https://ivlv.me/Qa020

Gostou? Compartilhe com sua rede: