A Resiliência Organizacional é definida como: “a capacidade de uma organização de antecipar, preparar, responder e adaptar-se a mudanças incrementais e interrupções bruscas a fim de sobreviver e prosperar”. Weeks & Benade (2009) e França & Quelhas, (2006) (citando David D. Woods (2006)), defendem que a resiliência organizacional implica a identificação de tendências emergentes, ou de sinais de ameaça que podem originar eventos perturbadores. Ela vai além da gestão de riscos, objetivando uma visão mais holística da “saúde” e do sucesso dos negócios. Uma organização resiliente é aquela que não apenas sobrevive a longo prazo, mas também prospera e está preparada para os desafios e o futuro.

O termo resiliência é utilizado em diferentes áreas do conhecimento, mas em todas as definições publicadas existe um ponto comum: descreve a capacidade de um elemento voltar ao seu estado normal depois de um período de stress e crise.

As tecnologias e os serviços de informação são impulsionadores e fundamentais no desenvolvimento da resiliência organizacional. E, na atualidade, uma componente critica do funcionamento das organizações, que promovem uma sociedade mais conectada entre si, e com economias mais eficientes operacionalmente, trouxeram também novos riscos na operação e na continuidade de negócio.

Os ciberataques podem ter custos incalculáveis para as empresas. Podem provocar um apagão e com isso a quebra de serviços. Podem pôr em risco a estabilidade de diferentes sectores da economia, onde podemos destacar o sistema financeiro, a comunicação social, autarquias e sistema de cuidados de saúde.

É absolutamente essencial que, empresas e organizações, estejam preparadas e equipadas para lidar com ameaças à segurança da informação, e que promovam a segurança cibernética criando modelos de ciber-resiliência. Foram criadas necessidades de ciber-resiliência nas organizações.

Aumentar o conhecimento sobre ciberataques e desenvolver melhores práticas para lidar com eles. Identificar e acompanhar as tendências em termos de ciberataques, permitindo reagir rapidamente perante uma crise potencial provocada por um ciberataque. Desenvolver orientações específicas sobre a gestão dos riscos associados às tecnologias de informação, ajudando a organização a tornar-se mais forte e a estar bem equipada para enfrentar ameaças cibernéticas. Garantir que os sistemas de segurança estão atualizados e a organização permanece informada e vigilante em relação a ciberataques – quer no seu interesse, quer no interesse dos seus clientes e fornecedores.

Com a modernização dos seus sistemas de informação e dos modelos de operação, muitas organizações têm introduzido um conjunto alargado de vulnerabilidades no seu negócio, expondo-se a um número crescente de riscos. Estas vulnerabilidades têm sido aproveitadas por agentes maliciosos, ocorrendo cada vez mais notícias de ataques cibernéticos disruptivos e violações e quebras de segurança da informação.

A mudança para modelos DevOps e nativos da Cloud tornou a segurança mais complexa, e os especialistas em Cibersegurança recomendam que a ciber resiliência seja integrada no armazenamento como parte da estratégia de cibersegurança da empresa. Ainda que esta seja uma área onde estamos a dar os primeiros passos e ainda haja um longo caminho a percorrer pelas organizações.

No último ano, o volume e a sofisticação dos ataques aumentaram de forma significativa, enquanto a capacidade de defesa das empresas contra os ataques não está a conseguir acompanhar esta evolução.

É muito importante que as organizações estejam conscientes de que a probabilidade de sofrerem um ataque é cada vez mais elevada, e estabelecer o nível “certo” de segurança é um equilíbrio constante entre o trinómio benefício, custo e risco.

A evolução do cenário regulatório recomenda que as organizações tenham cada vez mais atenção e preocupação na definição de objetivos da Ciber Resiliência, que permitam requisitos claros e mensuráveis quanto à sua capacidade de resiliência:

• Reforço e maturidade de capacidades de Ciber Resiliência;
• Definição formal de um programa de Ciber Resiliência sustentável;
• Impulsionar a colaboração entre Cibersegurança e resiliência operacional.

Em síntese, com a evolução das ameaças e da regulamentação, a capacidade de Resiliência Cibernética torna-se indispensável nas organizações.

A Tecnologias Imaginadas, através da sua equipa de serviços de cibersegurança, e com base na sua experiência, tem identificada uma abordagem com um conjunto de atividades criticas para concretizar os objetivos da ciber resiliência, nas suas diferentes vertentes:

1. Seguir uma Framework de referência, alinhada com standards internacionais emitidos por entidades reconhecidas no mercado (como a ENISA, IEC, ISO, NIST).,
2. Sensibilização de colaboradores.
3. Autenticação de dois fatores.
4. Cópias de Segurança e Restauro.
5. Gestão de Ativos e a sua exposição ao risco.
6. Monitorização dos sistemas e aplicações.
7. Gestão de Vulnerabilidades.
8. Testes de Intrusão para a deteção de vulnerabilidades de segurança e atuação atempada sobre as mesmas.
9. Continuidade de Negócio, Privacidade e Gestão de Risco
10. Plano de Resposta a Incidentes.
11. Gestão de Identidades, criando condições para uma arquitetura zero-trust

Um plano de continuidade eficaz que promova uma resposta eficiente para restabelecer a sua atividade o mais rápido possível deve ser uma prioridade para os seus negócios.

A Tecnologias Imaginadas inclui no seu portfolio de produtos e serviços soluções de referência no mercado capazes de ajudar as PME, empresas de média dimensão, e organizações da administração pública e poder local, a minimizar o tempo de inatividade do seu negócio causado por um ataque. Fale connosco, temos uma solução para si.

Carlos José Santos Silva
Consultor Sénior Especialista em Segurança da Informação