A incrível história de sobrevivência de empresas ciber-resilientes

Escrevi este artigo porque estou preocupada com a sua empresa. É possível que ela não esteja tão protegida quanto você imagina contra ataques de hackers e possíveis vazamentos de dados. Mas, não estou dizendo isso com a intenção de assustar. Quero apenas mostrar que talvez você precise de especialistas que entendam de resiliência cibernética, para ajudar a sua empresa a ficar protegida de fato.

O que é isso?

Resiliência cibernética não é a mesma coisa que segurança cibernética, cujo foco está em proteger as empresas de ataques de hackers e de vazamentos, principalmente por meio do aperfeiçoamento de sistemas, plataformas e ferramentas e do treinamento de gestores e colaboradores.

Empresas ciber-resilientes estão constantemente se preparando para reagir quando medidas de segurança cibernéticas se tornam ineficientes. Portanto, elas têm mais chances de sobreviver e continuar operando, mesmo frente a um ataque ou incidente, do que as que não desenvolveram essa resiliência.

E digo “quando” porque problemas com segurança cibernética acontecem. Isso é um fato! Aliás, especialistas do mundo todo garantem que, mesmo que gestores e administradores fizessem tudo de forma perfeita dentro das empresas, ainda existiria entre 5 e 10% de chance de serem atacadas por hackers ou de alguma informação confidencial vazar por algum motivo.

Então, nos resta saber: a sua empresa está pronta para lutar contra as inevitáveis adversidades?

Desenvolvendo resiliência cibernética em uma organização

O desenvolvimento da resiliência cibernética é um trabalho árduo que exige do CISO e sua equipe, por exemplo, a identificação de onde estão e quais são as informações mais vitais, tanto para a empresa como para os clientes dela, e que, portanto, precisam estar melhor protegidas. Além disso, são necessárias a identificação de vulnerabilidades da segurança; a implementação de melhores formatos para proteger infraestrutura e serviços que sejam críticos; e a implementação até mesmo de um sistema capaz de detectar ataques, avaliar o que for afetado e responder imediatamente e de forma adequada.

Faz parte também da ciber-resiliência de uma empresa são os planos de resposta a incidentes e crimes cibernéticos: assim como os protocolos de reação, eles precisam estar desenvolvidos, implementados e guardados a sete chaves. Outro plano que não pode faltar é aquele que vai ser colocado em prática quando houver necessidade de restauro de dados ou serviços afetados por incidentes.

O assunto “planos e protocolos” dentro do tema resiliência cibernética tem muito para ser desvendado! Se você se interessar, procure na internet por “frameworks” de resiliência cibernética e conheça modelos e padrões instituídos, por exemplo, pelos órgãos de inteligência norte-americanos. Nós podemos até falar mais sobre isso aqui no chat. Vou adorar.

Foco direcionado

Quem quiser começar a inserir e incentivar a prática da resiliência cibernética em uma organização, deve estar focado principalmente nos aspectos a seguir.

- Seres humanos. Além de precisarem aprender a trabalhar melhor com dados e informações confidenciais de modo a protegê-los, eles podem contribuir ou até mesmo causar vazamentos e incidentes, mesmo de forma não intencional.

- Riscos. Que sempre existiram e continuam existindo dentro das chamadas APIs, as interfaces de programação de aplicativos.

- Configurações que podem estar incorretas nas ferramentas e nos sistemas utilizados pela empresa, e riscos relacionados aos tempos de execução de programas.

- Softwares de código aberto, cadeia de suprimentos e ransomware. Todos bastante sujeitos a ataques.

Prioridades bem definidas

Se você é um CISO que gosta de passo a passo, eis a minha sugestão de trajetória rumo ao desenvolvimento da resiliência cibernética de sua empresa:

1º Alinhe as prioridades de cibersegurança à cadeia de valores da empresa. Orçamentos direcionados à resiliência cibernética não devem competir com os de outras áreas. É importante que todos entendam que essa preocupação deve ser coletiva.

2º Mapeie ativos críticos dos negócios e concentre neles os principais esforços de proteção, bem como em sistemas que são imprescindíveis ao funcionamento da empresa. Quanto mais expostos a riscos, mais probabilidade de serem atingidos e de forma mais crítica.

3º Recolha o máximo possível de dados e, com a ajuda de especialistas, defina quais são os perfis mais vulneráveis a ataques de invasores e criminosos cibernéticos à sua empresa. Assim, você pode direcionar melhor os investimentos, uma vez que vai saber como podem atuar os interessados em roubar algum dado ou informação.

4º Pense na tecnologia e na mão de obra responsáveis por dar suporte à resiliência cibernética que você está implementando. As duas coisas são importantes para antecipar ataques, contê-los e “acionar” os planos e os protocolos mencionados anteriormente, quando necessário.

Conforme a resiliência for aumentando, tanto a tecnologia quanto a mão de obra e até mesmo você, CISO, vão se adaptando. A evolução deve ser holística e não restrita a somente algumas pessoas ou alguns setores, tudo bem?

Falando em evolução...

Antes que eu me esqueça, sinto-me na obrigação de mencionar: todos os protocolos, processos e planos devem ser testados de tempos em tempos, além de atualizados e evoluídos sempre que necessário! Os mesmos especialistas com os quais você irá contar no processo de desenvolvimento da resiliência podem ajudar com esses testes e até mesmo com simulações bem reais de incidentes e crimes cibernéticos.

Surgiu uma tecnologia nova e você acha que ela tem a ver com as necessidades de ciber-resiliência e cibersegurança do seu negócio? Procure saber mais sobre ela e, se achar válido, implemente-a!

Ah, e invista sempre na própria capacitação. CISOs precisam se manter atualizados para terem a certeza da própria competência para oferecer suporte, participar do combate a problemas que vierem a acontecer e até mesmo para realinhar e reorganizar as coisas quando for preciso. CISOs capacitados têm, além de tudo, mais propriedade para explicar aos outros gestores e a colaboradores o nível de importância da proteção cibernética. Portanto, são mais facilmente compreendidos.

Por via das dúvidas, duvide!

Quando o assunto é resiliência cibernética, costumo dizer isso aos meus clientes e amigos: pense sempre que a proteção do que é mais valioso dentro de sua empresa precisa melhorar. Assim, você e toda a organização estarão preparados para o que der e vier.

Evite catástrofes no presente e se prepare para o futuro! De quebra, a ciber-resiliência e, consequentemente, a evolução da cibersegurança em uma organização oferecerá a ela mais capacidade para superar ameaças que devem surgir com as novas tecnologias, como a internet das coisas e a inteligência artificial.

Lembre-se: os especialistas sobre os quais tanto falei no decorrer do artigo, assim como os fornecedores e os parceiros, precisam sempre caminhar lado a lado com você e o seu negócio. Em direção a um objetivo comum.