Necessidade de ciber resiliência nas organizações

Como temos assistido recentemente, a cibersegurança já não é suficiente para evitar ataques cada vez mais sofisticados e com sérios impactos no nosso modo de vida. A resposta passa por uma abordagem de ciber resiliência.

A cibersegurança já não é suficiente para evitar ataques que estão a tornar-se cada vez mais sofisticados. Ataques como: Denial of Service, Phishing, Malware, Ransomware e outras fraudes digitais representam uma ameaça cada vez mais comum nas nossas atividades diárias, empresas e governos com sérios impactos no nosso modo de vida.

A cibersegurança tem estado focada na proteção de dados, no entanto já não é suficiente. As organizações necessitam de uma abordagem mais abrangente - ciber resiliência.

Hoje em dia, a nossa atividade é caraterizada por trabalharmos cada vez mais num mundo digital, a partir de qualquer lugar, a partir de múltiplos dispositivos, usando diferentes redes expondo-nos assim a mais riscos.

No entanto, as medidas que temos tomado para nos protegermos não estão a acompanhar os riscos que enfrentamos nomeadamente a proteção do negócio e os seus dados. Até agora a prioridade tem sido uma abordagem de cibersegurança defensiva, focada em proteger a confidencialidade e a integridade dos dados. No entanto este modo de proteção é insuficiente face aos ataques que temos vindo a assistir. Para além de cibersegurança necessitamos de adicionar a ciber resiliência.

A ciber resiliência passa primeiro por ter uma cibersegurança bem implementada, o que implica entre outros ter:

• Responsável de Cibersegurança – que deverá reportar diretamente à Administração;
• Política de Segurança – onde deverá estar definida a missão e objetivos da organização, a forma como os seus ativos são protegidos, e o seu modelo de governo;
• Inventário dos ativos – onde deverão estar identificados os ativos de informação classificados pela criticidade;
• Gestão do Risco - sobre os ativos com a identificação das medidas para mitigar o risco;
• Plano de Segurança – onde se encontram definidas as iniciativas que estão em curso ou previstas, de forma a mitigar os riscos identificados;
• Resposta a incidentes - ponto de contacto permanente em caso de incidente para poder acompanhar e partilhar se necessário (ex. reguladores, CNCS, CNPD, etc);
• Notificação - estar preparado para notificar aos reguladores quando aplicável, de incidentes de segurança graves assim que ocorram;
• Sensibilização – formação dos colaboradores envolvidos no ecossistema da organização;
• Relatório periódico – com o estado da cibersegurança da organização para partilha com partes interessadas como por exemplo acionistas, auditores, regulador.

O objetivo é limitar o impacto do cibercrime, nomeadamente: imagem da organização, confiança do cliente, finanças, legal.

A ciber resiliência passa por encarar:

• Cibersegurança como um processo continuo e envolver toda a organização e o seu ecossistema;
• Assegurar uma continuidade operacional e do negócio com impacto mínimo;
• Abordagem multidimensional que permita responder dinamicamente às ameaças, mantendo intactas as metas do negócio;
• Para além da capacidade de resposta e recuperação ter em conta a rapidez com que recuperamos e o que definimos como prioridade.

Cada organização tem os seus próprios riscos pelo que não existe uma abordagem única para obter a ciber resiliência. No entanto esta abordagem permitirá orientar as decisões de investimento, envolver as partes interessadas em torno de um objetivo comum e iniciar a prática da melhoria contínua.

A ciber resiliência deverá fornecer à liderança a confiança de que, quando o pior acontecer, a organização estará preparada para continuar a cumprir os seus compromissos.