Atualmente, os processos de negócio baseiam-se fundamentalmente em informação digital, onde as tecnologias da informação desempenham um papel vital no desenvolvimento das atividades empresariais. Informação cujo acesso anteriormente estava confinado a um conjunto restrito de intervenientes com acesso físico à informação, passou a estar disponível para um vasto universo de utilizadores dos sistemas de informação da empresa e até públicos (Internet).
Sendo a informação um dos ativos mais importantes das organizações, o custo a pagar pela empresa/instituição causado pela perda destes ativos ou pela violação da sua privacidade, em termos financeiros, legais, de concorrência e de credibilidade da empresa, é elevado.
Independentemente da quantidade e qualidade dos mecanismos de prevenção instalados, os incidentes de cibersegurança têm-se mostrado mais frequentes e complexos. Neste cenário, interessa preparar a governação interna das organizações, no sentido de elevarem o nível da sua cibersegurança, tendo em conta as suas diversas vertentes.
Os processos de análise de risco e a definição de políticas de segurança, permitem mitigar a exposição ao risco dos principais ativos das empresas, pois permitem identificar os processos de negócio, as metodologias de trabalho e os ativos da organização/instituição, classificando-os quanto à sua importância estratégica, legal e financeira, e propor um conjunto de boas práticas de segurança destinadas a mitigar os principais riscos.
Contudo, apesar de todo o trabalho para reduzir os riscos de efeitos negativos nas organizações, mais cedo ou mais tarde ocorrerá um evento “imprevisto”, originando impactos negativos no negócio. Devemos, pois, assegurar que as perdas deles resultantes sejam contidas e não afetem as principais atividades empresariais. Para o efeito, é imperativo planear medidas para quando o impensável acontecer. Sob essas condições extremas, e muitas vezes imprevisíveis, precisamos de garantir que as nossas organizações continuem a operar com uma capacidade mínima aceitável e que rapidamente possam regressar à produtividade plena.
A gestão da continuidade do negócio é caracterizada como um processo de gestão holístico e sustenta-se em planos de contingência capazes de fornecer uma estrutura que alia a resiliência à capacidade de respostas efetivas, no sentido de proteger os principais ativos de uma organização. O principal objetivo destes planos é permitir que a organização continue a operar sob condições adversas e que consiga regressar ao seu funcionamento normal o mais rapidamente possível.
Os planos de contingência estabelecem, pois, como devemos atuar quando as nossas estratégias de mitigação do risco falham. Estes planos são constituídos por três componentes estruturantes:
- O plano de resposta a incidentes de segurança informática (IRP – Incident Response Plan);
- O plano de recuperação de desastres (DRP – Disaster Recover Plan);
- O plano de continuidade do negócio (BCP – Business Continuity Plan).
Numa linguagem simples e acessível, os planos de resposta a incidentes e os planos de recuperação de desastres lidam com “Estamos a ser atacados, como vamos repor os sistemas atacados?”. A continuidade do negócio lida com “Fomos atacados, como podemos continuar o negócio até que os sistemas atacados voltem a estar operacionais?”.
Texto redigido por Carlos Rabadão, Formador do Curso de Cibersegurança para Executivos.