A Resiliência Organizacional é definida como: “a capacidade de uma organização de antecipar, preparar, responder e adaptar-se a mudanças incrementais e interrupções bruscas a fim de sobreviver e prosperar”. Weeks & Benade (2009) e França & Quelhas, (2006) (citando David D. Woods (2006)), defendem que a resiliência organizacional implica a identificação de tendências emergentes, ou de sinais de ameaça que podem originar eventos perturbadores. Ela vai além da gestão de riscos, objetivando uma visão mais holística da “saúde” e do sucesso dos negócios. Uma organização resiliente é aquela que não apenas sobrevive a longo prazo, mas também prospera e está preparada para os desafios e o futuro.
O termo resiliência é utilizado em diferentes áreas do conhecimento, mas em todas as definições publicadas existe um ponto comum: descreve a capacidade de um elemento voltar ao seu estado normal depois de um período de stress e crise.
As tecnologias e os serviços de informação são impulsionadores e fundamentais no desenvolvimento da resiliência organizacional. E, na atualidade, uma componente critica do funcionamento das organizações, que promovem uma sociedade mais conectada entre si, e com economias mais eficientes operacionalmente, trouxeram também novos riscos na operação e na continuidade de negócio.
Os ciberataques podem ter custos incalculáveis para as empresas. Podem provocar um apagão e com isso a quebra de serviços. Podem pôr em risco a estabilidade de diferentes sectores da economia, onde podemos destacar o sistema financeiro, a comunicação social, autarquias e sistema de cuidados de saúde.
É absolutamente essencial que, empresas e organizações, estejam preparadas e equipadas para lidar com ameaças à segurança da informação, e que promovam a segurança cibernética criando modelos de ciber-resiliência. Foram criadas necessidades de ciber-resiliência nas organizações.
Aumentar o conhecimento sobre ciberataques e desenvolver melhores práticas para lidar com eles. Identificar e acompanhar as tendências em termos de ciberataques, permitindo reagir rapidamente perante uma crise potencial provocada por um ciberataque. Desenvolver orientações específicas sobre a gestão dos riscos associados às tecnologias de informação, ajudando a organização a tornar-se mais forte e a estar bem equipada para enfrentar ameaças cibernéticas. Garantir que os sistemas de segurança estão atualizados e a organização permanece informada e vigilante em relação a ciberataques – quer no seu interesse, quer no interesse dos seus clientes e fornecedores.
Com a modernização dos seus sistemas de informação e dos modelos de operação, muitas organizações têm introduzido um conjunto alargado de vulnerabilidades no seu negócio, expondo-se a um número crescente de riscos. Estas vulnerabilidades têm sido aproveitadas por agentes maliciosos, ocorrendo cada vez mais notícias de ataques cibernéticos disruptivos e violações e quebras de segurança da informação.
A mudança para modelos DevOps e nativos da Cloud tornou a segurança mais complexa, e os especialistas em Cibersegurança recomendam que a ciber resiliência seja integrada no armazenamento como parte da estratégia de cibersegurança da empresa. Ainda que esta seja uma área onde estamos a dar os primeiros passos e ainda haja um longo caminho a percorrer pelas organizações.
No último ano, o volume e a sofisticação dos ataques aumentaram de forma significativa, enquanto a capacidade de defesa das empresas contra os ataques não está a conseguir acompanhar esta evolução.
É muito importante que as organizações estejam conscientes de que a probabilidade de sofrerem um ataque é cada vez mais elevada, e estabelecer o nível “certo” de segurança é um equilíbrio constante entre o trinómio benefício, custo e risco.
A evolução do cenário regulatório recomenda que as organizações tenham cada vez mais atenção e preocupação na definição de objetivos da Ciber Resiliência, que permitam requisitos claros e mensuráveis quanto à sua capacidade de resiliência:
- Reforço e maturidade de capacidades de Ciber Resiliência;
- Definição formal de um programa de Ciber Resiliência sustentável;
- Impulsionar a colaboração entre Cibersegurança e resiliência operacional.
Em síntese, com a evolução das ameaças e da regulamentação, a capacidade de Resiliência Cibernética torna-se indispensável nas organizações.
A Tecnologias Imaginadas, através da sua equipa de serviços de cibersegurança, e com base na sua experiência, tem identificada uma abordagem com um conjunto de atividades criticas para concretizar os objetivos da ciber resiliência, nas suas diferentes vertentes:
- Seguir uma Framework de referência, alinhada com standards internacionais emitidos por entidades reconhecidas no mercado (como a ENISA, IEC, ISO, NIST).,
- Sensibilização de colaboradores.
- Autenticação de dois fatores.
- Cópias de Segurança e Restauro.
- Gestão de Ativos e a sua exposição ao risco.
- Monitorização dos sistemas e aplicações.
- Gestão de Vulnerabilidades.
- Testes de Intrusão para a deteção de vulnerabilidades de segurança e atuação atempada sobre as mesmas.
- Continuidade de Negócio, Privacidade e Gestão de Risco
- Plano de Resposta a Incidentes.
- Gestão de Identidades, criando condições para uma arquitetura zero-trust
Um plano de continuidade eficaz que promova uma resposta eficiente para restabelecer a sua atividade o mais rápido possível deve ser uma prioridade para os seus negócios.
A Tecnologias Imaginadas inclui no seu portfolio de produtos e serviços soluções de referência no mercado capazes de ajudar as PME, empresas de média dimensão, e organizações da administração pública e poder local, a minimizar o tempo de inatividade do seu negócio causado por um ataque. Fale connosco, temos uma solução para si.
Carlos José Santos Silva
Consultor Sénior Especialista em Segurança da Informação
