2 minutos de leitura 18 fev 2022
Working

Necessidade de ciber resiliência nas organizações

por Sérgio Sá

Partner, Europe West Consulting Services, Cybersecurity, Ernst & Young, S.A.

Procura desafios e oportunidades que permitam alcançar novos patamares. A nível pessoal orientado à família, música, desporto e a viajar.

2 minutos de leitura 18 fev 2022
Tópicos Relacionados Consulting Cibersegurança Digital

Como temos assistido recentemente, a cibersegurança já não é suficiente para evitar ataques cada vez mais sofisticados e com sérios impactos no nosso modo de vida. A resposta passa por uma abordagem de ciber resiliência.

A cibersegurança já não é suficiente para evitar ataques que estão a tornar-se cada vez mais sofisticados. Ataques como: Denial of Service, Phishing, Malware, Ransomware e outras fraudes digitais representam uma ameaça cada vez mais comum nas nossas atividades diárias, empresas e governos com sérios impactos no nosso modo de vida.

A cibersegurança tem estado focada na proteção de dados, no entanto já não é suficiente. As organizações necessitam de uma abordagem mais abrangente - ciber resiliência.

Hoje em dia, a nossa atividade é caraterizada por trabalharmos cada vez mais num mundo digital, a partir de qualquer lugar, a partir de múltiplos dispositivos, usando diferentes redes expondo-nos assim a mais riscos.

No entanto, as medidas que temos tomado para nos protegermos não estão a acompanhar os riscos que enfrentamos nomeadamente a proteção do negócio e os seus dados. Até agora a prioridade tem sido uma abordagem de cibersegurança defensiva, focada em proteger a confidencialidade e a integridade dos dados. No entanto este modo de proteção é insuficiente face aos ataques que temos vindo a assistir. Para além de cibersegurança necessitamos de adicionar a ciber resiliência.

A ciber resiliência passa primeiro por ter uma cibersegurança bem implementada, o que implica entre outros ter:

  • Responsável de Cibersegurança – que deverá reportar diretamente à Administração;
  • Política de Segurança – onde deverá estar definida a missão e objetivos da organização, a forma como os seus ativos são protegidos, e o seu modelo de governo;
  • Inventário dos ativos – onde deverão estar identificados os ativos de informação classificados pela criticidade;
  • Gestão do Risco - sobre os ativos com a identificação das medidas para mitigar o risco;
  • Plano de Segurança – onde se encontram definidas as iniciativas que estão em curso ou previstas, de forma a mitigar os riscos identificados;
  • Resposta a incidentes - ponto de contacto permanente em caso de incidente para poder acompanhar e partilhar se necessário (ex. reguladores, CNCS, CNPD, etc);
  • Notificação - estar preparado para notificar aos reguladores quando aplicável, de incidentes de segurança graves assim que ocorram;
  • Sensibilização – formação dos colaboradores envolvidos no ecossistema da organização;
  • Relatório periódico – com o estado da cibersegurança da organização para partilha com partes interessadas como por exemplo acionistas, auditores, regulador.

O objetivo é limitar o impacto do cibercrime, nomeadamente: imagem da organização, confiança do cliente, finanças, legal.

A ciber resiliência passa por encarar:

  • Cibersegurança como um processo continuo e envolver toda a organização e o seu ecossistema;
  • Assegurar uma continuidade operacional e do negócio com impacto mínimo;
  • Abordagem multidimensional que permita responder dinamicamente às ameaças, mantendo intactas as metas do negócio;
  • Para além da capacidade de resposta e recuperação ter em conta a rapidez com que recuperamos e o que definimos como prioridade.

Cada organização tem os seus próprios riscos pelo que não existe uma abordagem única para obter a ciber resiliência. No entanto esta abordagem permitirá orientar as decisões de investimento, envolver as partes interessadas em torno de um objetivo comum e iniciar a prática da melhoria contínua.

A ciber resiliência deverá fornecer à liderança a confiança de que, quando o pior acontecer, a organização estará preparada para continuar a cumprir os seus compromissos.

Resumo

A realidade de hoje é esta - Existem apenas dois tipos de organizações: aquelas que foram comprometidas e aquelas que não sabem que foram comprometidas. Considere a sua organização já comprometida. Sabe o que é prioritário e está preparado para repor o negócio rapidamente?

Sobre este artigo

por Sérgio Sá

Partner, Europe West Consulting Services, Cybersecurity, Ernst & Young, S.A.

Procura desafios e oportunidades que permitam alcançar novos patamares. A nível pessoal orientado à família, música, desporto e a viajar.

Tópicos relacionados Consulting Cibersegurança Digital