Os ciberataques tornaram-se uma ameaça invisível e constante, impondo custos significativos a acionistas, clientes e gestores. Um estudo, de 2023, a 6.700 líderes em 27 mercados mostrou que 85% não acha as suas organizações bem preparadas para um ciberataque . Por outro lado, as regulamentações NIS2 e DORA impõem às empresas e administradores práticas rigorosas de gestão do risco e segurança cibernética. À medida que a digitalização avança, implementar estratégias robustas de segurança da informação deixou de ser opcional, é essencial para a sobrevivência e resiliência das empresas no cenário atual.

Assim, ter um plano de resposta a incidentes bem estruturado é fundamental para mitigar possíveis ataques, assegurar a rápida recuperação e a continuidade da organização. No entanto, é difícil conseguir orçamento para investir em segurança e para que nada aconteça. É sempre mais fácil conseguir verbas para fazer acontecer coisas. Mas se algo disruptivo acontece a própria continuidade da organização fica em causa. Segundo a Fundação CEOE , 6 em cada 10 empresas que enfrentam um ataque cibernético grave fecham.

No caso português em que a maior parte das empresas são PMEs ou micro empresas com parcos recursos técnicos e de conhecimento isso ainda é mais preocupante. Em 2021, segundo a Strongdm, 61% das PMEs foram alvo de ciberataques .

Embora tenha elementos técnicos, a cibersegurança é também gestão e cultura organizacional, pois muitos incidentes resultam do comportamento humano, por vezes inadvertido. A segurança da informação é da responsabilidade de todos.

Ao investir no planeamento e na preparação, em ter procedimentos claros para lidar com incidentes de segurança, as empresas mostram compromisso com a proteção dos dados e a continuidade do negócio, o que reforça a confiança de clientes, parceiros e colaboradores.

Planear e preparar

O planeamento da cibersegurança pode começar com a identificação dos riscos e a avaliação do seu possível impacto, etapas que permitem reconhecer ameaças potenciais e avaliar possíveis consequências. Com base nessa análise, é possível identificar opções de resposta adequadas para mitigar ou evitar os riscos identificados. Em seguida, desenvolve-se um plano de continuidade de negócios, detalhando procedimentos e recursos necessários para assegurar a continuidade das funções críticas durante e após incidentes. Para garantir a eficácia desse plano, é essencial formar, exercitar e manter regularmente as equipas e os processos envolvidos, promovendo uma cultura de resiliência e preparação contínua na organização.

A preparação implica criar políticas e procedimentos claros para identificar e responder a incidentes de segurança. Isto inclui, por exemplo, a formação contínua das pessoas, políticas de backups regulares bem estruturadas e segundo a regra do 3-2-1, ou seja 3 cópias diferentes, 2 formatos distintos e 1 fora das instalações. É crítico fazer avaliações regulares de vulnerabilidades e a implementação de medidas preventivas, como firewalls e sistemas de deteção de intrusões. Uma preparação adequada e pensada com tranquilidade permite uma resposta mais eficaz quando ocorre um incidente.

Nesta fase é preciso identificar as joias da coroa em termos de dados, ou seja, aqueles que são core para o negócio e que devem ser preservados a todo o custo. Também é importante pensar nos serviços técnicos especializados externos a quem se possa recorrer na crise.

Plano de Resposta a Incidentes e continuidade

Um plano de resposta a incidentes detalha as ações específicas a serem tomadas em caso de ataque cibernético, quem faz parte da equipa de resposta ao incidente e como se organiza a resposta. As principais etapas do plano incluem a deteção rápida; medidas de contenção e isolamento imediato das ameaças; remoção dos elementos maliciosos dos sistemas afetados; restauração segura e monitorizada das operações normais.

Em caso de ataque é importante fazer uma análise forense para identificar os vetores de ataque, que sistemas foram comprometidos, que informação pode ter sido roubada, identificar as lições aprendidas para aprimorar futuras respostas e fortalecer a segurança.

O papel da gestão de topo
A gestão de topo desempenha um papel central na proteção da informação, sendo responsável por estabelecer uma cultura de segurança robusta e implementar estratégias eficazes de cibersegurança, como o modelo de “zero trust”.

Isso inclui a definição de políticas claras de segurança, alinhadas com a estratégia e objetivos da organização, assegurar a criação de planos de resposta a incidentes, a identificação e gestão dos riscos e a garantia de conformidade com a lei. O governo eficaz da segurança da informação é essencial para proteger os ativos e assegurar a continuidade. Muitas vezes é informação pessoal de clientes ou fornecedores que sendo roubada tem sérias implicações legais.

A alta direção deve assegurar a disponibilidade de tecnologias avançadas de segurança, como firewalls, sistemas de deteção de intrusões e soluções de monitoramento contínuo. A formação contínua dos colaboradores em práticas seguras e a contratação de profissionais especializados reforçam a postura de segurança da organização.

É imperativo que a gestão de topo aloque os recursos financeiros e humanos necessários para essas iniciativas, reconhecendo que os investimentos em segurança são compensados pela mitigação de riscos e prevenção de perdas financeiras e reputacionais significativas no futuro.

A promoção de uma cultura organizacional que priorize a cibersegurança é outra responsabilidade crucial da liderança. Isso envolve a consciencialização e a formação regular dos colaboradores sobre as melhores práticas e políticas de segurança, incluindo a realização de workshops, simulações de ataques e a disseminação de informações atualizadas sobre ameaças emergentes.

Uma cultura de segurança bem estabelecida reduz significativamente o risco de incidentes causados por erro humano, fortalecendo a resiliência da organização face aos desafios cibernéticos atuais.

Em resumo, a preparação proativa e o planeamento estruturado são essenciais para proteger as organizações contra as crescentes ameaças cibernéticas, garantindo resiliência e continuidade organizacional.