A Ciber Segurança já não é suficiente para evitar ataques que estão a tornar-se cada vez mais sofisticados. Ataques como: Denial of Service, Phishing, Malware, Ransomware e outras fraudes digitais representam uma ameaça cada vez mais comum nas nossas atividades diárias, nas empresas e nos governos, com sérios impactos no nosso modo de vida.
A Ciber Segurança tem estado focada na proteção de dados, mas isso já não é suficiente. As organizações necessitam de uma abordagem mais abrangente – Ciber Resiliência.
Hoje, a nossa atividade é caraterizada por trabalharmos cada vez mais num mundo digital, a partir de qualquer lugar, a partir de múltiplos dispositivos, usando diferentes redes, expondo-nos, assim, a mais riscos.
No entanto, as medidas que temos tomado para nos protegermos não estão a acompanhar os riscos que enfrentamos nomeadamente a proteção do negócio e os seus dados. Até agora, a prioridade tem sido uma abordagem de Ciber Segurança defensiva, focada em proteger a confidencialidade e a integridade dos dados. No entanto este modo de proteção é insuficiente face aos ataques que temos vindo a assistir. Além de Ciber Segurança, é preciso adicionar a Ciber Resiliência.
A Ciber Resiliência passa primeiro por ter uma Ciber Segurança bem implementada, o que implica, entre outros, ter:
l Responsável de Cibersegurança – que deverá reportar diretamente à Administração;
l Política de Segurança – onde deverá estar definida a missão e objetivos da organização, a forma como os seus ativos são protegidos, e o seu modelo de governo;
l Inventário dos ativos – onde deverão estar identificados os ativos de informação classificados pela criticidade;
l Gestão do Risco – sobre os ativos com a identificação das medidas para mitigar o risco;
l Plano de Segurança – onde se encontram definidas as iniciativas que estão em curso ou previstas, de forma a mitigar os riscos identificados;
l Resposta a incidentes – ponto de contacto permanente em caso de incidente para poder acompanhar e partilhar se necessário (ex. reguladores, CNCS, CNPD, etc);
l Notificação – estar preparado para notificar os reguladores sobre incidentes de segurança graves assim que ocorram;
l Sensibilização – formação dos colaboradores envolvidos no ecossistema da organização;
l Relatório periódico – com o estado da Ciber Segurança da organização para partilha com partes interessadas como por ex. acionistas, auditores, regulador;
O objetivo é limitar o impacto do Cibercrime, nomeadamente: imagem da organização, confiança do cliente, finanças, legal.
A Ciber Resiliência passa por encarar:
l Ciber Segurança como um processo continuo e envolver toda a organização e o seu ecossistema;
l Assegurar uma Continuidade Operacional e do Negócio com impacto mínimo;
l Abordagem multidimensional que permita responder dinamicamente às ameaças, mantendo intactas as metas do negócio;
l Para além da Capacidade de Resposta e Recuperação ter em conta a rapidez com que recuperamos e o que definimos como prioridade.
Cada organização tem os seus próprios riscos pelo que não existe uma abordagem única para obter a Ciber Resiliência. No entanto esta abordagem permitirá orientar as decisões de investimento, envolver as partes interessadas em torno de um objetivo comum e iniciar a prática da melhoria contínua.
A Ciber Resiliência deverá fornecer à liderança a confiança de que, quando o pior acontecer, a organização estará preparada para continuar a cumprir os seus compromissos.
A realidade de hoje é esta – Existem apenas dois tipos de organizações: aquelas que foram comprometidas e aquelas que não sabem que foram comprometidas.
Considere a sua organização já comprometida! Sabe o que é prioritário e está preparado para repor o negócio rapidamente?
