Menos resistência na Ciber Resiliência?

Feito este breve enquadramento, temos de reconhecer que, nos últimos tempos, estes temas têm estado na ordem do dia e sido amplamente discutidos devido à grande transformação digital que as organizações enfrentam nos seus negócios. Um movimento acelerado pela pandemia, no qual as organizações tiveram de responder muito rapidamente às circunstâncias, para conseguirem disponibilizar os seus serviços no mercado digital. Mas esta rápida transformação levou também a um elevado crescimento de ciberameaças e novas oportunidades de ataques, que podem ser devastadoras e resultar em perturbações operacionais significativas, perdas financeiras e danos de reputação. 

Neste contexto, as organizações de qualquer setor de atividade devem refletir sobre a sua postura atual, não só em termos de ciber segurança, mas também na camada de ciber resiliência e ciber resistência para se prepararem, responderem e recuperarem de eventuais incidentes. É aqui que as organizações começam a ter dificuldades, ou seja, quando têm de enfrentar as mudanças que são necessárias aplicar para assegurar a ciber resiliência nos domínios de processos, tecnologias e pessoas. Para além da natural resistência que se verifica entre as equipas de IT, ciber e de negócio - por exemplo, quando a área comercial tem de avaliar a segurança da informação da cadeia de abastecimento (supply chain) – há-que assumir uma mudança da cultura da organização.

Para ajudar as organizações a ultrapassar esta resistência à mudança está a ser preparado um grupo de “soldados”, que vão entrar na defesa dos interesses de alguns sectores específicos do mercado. Refiro-me em concreto à Diretiva NIS 2 e ao Regulamento DORA, mas também de boas práticas, como a nova versão da ISO 27001. Todas elas assentam numa abordam de resiliência e aplicam controlos para a resistência das infraestruturas digitais. Mas não é só em matéria de “compliance” que as organizações devem apontar os seus esforços, ou, por outras palavras, centrar o seu foco de ciber resiliência. Estas também devem planear a criação de um grupo ou uma task-force de “Resilience Champions”, cuja, a principal função é estar em alerta e avaliar as alterações que são necessárias acrescentar, permitindo assim acelerar a mudança da cultura interna das organizações, que resistem à implementação de boas práticas de cibersegurança.

O contexto digital em que nos movemos torna os indivíduos e organizações mais vulneráveis a ataques informáticos, pelo que está na altura de parar de resistir ou de evitar as evidências e assumir que os atacantes vão sempre encontrar uma forma de entrar nos sistemas das organizações. A questão é quando? Assim, a existência de uma estratégia de ciber resiliência, que parte do pressuposto de que um ataque é inevitável, torna-se fundamental para reduzir o impacto de um potencial incidente, mitigando os seus efeitos sobre os ativos da organização.