O recente ‘apagão’ na Península Ibérica veio expor publicamente a importância da continuidade de negócio das organizações, nomeadamente as componentes de resiliência física e tecnológica, mas também as vertentes de procedimentos e processos.

Para os profissionais de TI, o ‘apagão’ e as suas consequências representam também uma oportunidade para discutir com os órgãos de gestão a necessidade de rever e reforçar os seus planos de continuidade de negócio, complementando-os com o cumprimento das exigências regulatórias. É crucial definir os processos críticos, os recursos humanos e tecnológicos necessários para suportar a operação, e justificar a cibersegurança como um investimento estratégico, e não apenas como um custo.

O planeamento e a conceção de planos de resposta a incidentes, incluindo IT Disaster Recovery (DR) e planos de recuperação de negócios, são essenciais para garantir que a organização reponha rapidamente, ou mantenha em funcionamento, os serviços durante um incidente, de modo a aumentar a sua capacidade de resposta.

As organizações deverão implementar medidas robustas para que os seus serviços possam ser mantidos mesmo perante cenários de falha, reduzindo o impacto no negócio e na reputação. As medidas a implementar devem adequar-se à dimensão da empresa, ao nível de exposição ao risco, à criticidade face ao setor de atuação e ao volume de negócios.

Para as organizações que operam em mais de um país, estas medidas transcendem a visão nacional. A análise de risco nestas organizações deve ser transversal e proativa, e considerar a gestão dos incidentes como uma atividade global. Isso inclui uma análise abrangente de todas as operações e das suas dependências tecnológicas, independentemente da sua localização, e também uma oportunidade de usar sinergias transnacionais para fortalecer as suas defesas.

Novas Medidas Regulatórias de Ciber Resiliência

As novas medidas regulatórias definidas em legislação como a Diretiva NIS2 e DORA, para instituições financeiras, e em que o ‘R’ significa ‘Resiliência’, têm como objetivo preparar a sociedade para responder à crescente possibilidade de cenários catastróficos e ao aumento exponencial das ciberameaças. Estas regulamentações focam-se na proteção de infraestruturas essenciais, como energia, telecomunicações, serviços financeiros e sistemas de saúde.

A obrigatoriedade de reportar incidentes de segurança representa também uma oportunidade para colaborar com entidades reguladoras e congéneres, como o EU-Cyclone e o Centro Nacional de Cibersegurança (CNCS), com o objetivo de acelerar a partilha de informação e fortalecer a resposta global a potenciais ataques e ameaças.

Nos últimos anos, num mundo cada vez mais interligado, tem ganho relevância o foco na gestão do risco e cibersegurança, incluindo a ciber resiliência da cadeia de fornecimento e a gestão de riscos de terceiros que fornecem serviços de suporte ao negócio. No caso do ‘apagão’, o serviço impactado foi o fornecimento de energia, que, além de causar indisponibilidades de negócio, pode resultar em corrupção e perda de dados se não for acautelado. Dados estatísticos revelam que, em 2024, 47% dos incidentes de segurança tiveram origem em fornecedores externos.

Em resumo, a implementação destas medidas visa preparar os estados-membros, especialmente as suas infraestruturas essenciais e importantes, para a possibilidade de ocorrência de um contexto de ataque cibernético, aumentando a prevenção e acelerando a recuperação no caso de sucesso nos ataques. A integração do planeamento contínuo de ciber resiliência no alinhamento estratégico das organizações poderá fortalecer a sua resiliência cibernética, e minimizar a indisponibilidade, o risco e os custos reputacionais e financeiros, enquanto facilita o cumprimento regulatório.