Como deve ser um Plano de Continuidade de Negócios aplicado à segurança digital?
Qualquer PCN deve ser orientado para a ação. Afinal, agir rapidamente e com assertividade é o que pode, muitas vezes, salvar um negócio. Mas isso só será possível com um plano bem arquitetado e testado.
É uma regra geral: nenhuma empresa terá o luxo chamado “tempo” quando um desastre inesperado acontecer. Basta imaginar um evento como um incêndio, por exemplo, em que não há tempo para pensar, pois é preciso sair do edifício o mais rápido possível. Sob um ataque de criminosos virtuais, sair correndo não é uma opção, mas saber o que fazer para proteger-se dos danos o quanto antes fará toda a diferença.
Também por essa razão, um Plano de Continuidade de Negócios (PCN) é, muitas vezes, o que separa uma empresa que se destaca das outras que acabam sucumbindo ao menor evento de desastre. Afinal, o número de ataques cibernéticos vem aumentando a cada ano e eles representam um risco maior para as empresas de todos os setores.
As ameaças
O primeiro passo para assumir o controle da segurança digital corporativa é reconhecer o que exatamente está em jogo. Quais são as vulnerabilidades? E as maiores ameaças? Segundo Ivan Paiva, Líder da Plataforma de Segurança e Continuidade da Flowti, a primeira delas é o próprio colaborador. “Pode parecer estranho dizer isso, mas é verdade. Basta um único funcionário sem treinamento e sem conhecer os riscos de abrir um link em um e-mail phishing para colocar toda a segurança da rede em perigo”, conta o especialista da Flowti.
Outro grande vetor de riscos é o fornecedor. Não adianta uma empresa tomar todos os cuidados necessários para proteger seus sistemas se os seus fornecedores não fazem o mesmo. Até porque, muitos ataques acontecem via cadeia de suprimentos.
A terceira grande ameaça é o próprio hacker, que, na maioria das vezes, não atua sozinho. Grandes ataques, principalmente, são feitos por quadrilhas organizadas em grupos: os que planejam o crime, os que fazem a ferramenta, os que executam, os que chantageiam, e por aí vai. Também existem os golpes “menores”, feitos a partir de Ransomware as a Service (RaaS), que até criminosos amadores conseguem aplicar. Estes também não devem ser subestimados, pois têm potencial para gerar grandes prejuízos.
Ivan Paiva ainda destaca os ambientes não atualizados e a falta de aplicação de patches de segurança como fatores alarmantes.
Mais ação
Quando se fala nos aspectos mais importantes da segurança digital de um PCN, por incrível que pareça, a tecnologia não está no topo das preocupações. Até porque, hoje existem inúmeras possibilidades de proteção, que vão variar de acordo com a necessidade e os recursos financeiros das organizações. Segundo Ivan Paiva, o ponto-chave a ser considerado é o engajamento da alta direção, porque, sem isso, o plano não é realizado como deveria ser. “A área de TI não vai conseguir fazer tudo sozinha se não tiver apoio da alta direção, porque o PCN depende da liderança do negócio”, diz o especialista.
Além disso, é fundamental ter uma política de segurança da informação e saber como comunicar sobre essas diretrizes aos colaboradores. “É uma linguagem muito técnica, pouca gente entende. Então, é necessário traduzir essas políticas em práticas, para que todos saibam o que fazer”, conta Ivan.
Há várias estratégias para fazer um PCN. A empresa irá definir a melhor para o seu negócio pelas características do seu setor. É necessário identificar o que se deve proteger para que seja possível continuar funcionando, pois não é viável preservar 100% dos ativos.
“Eu não vou colocar contingência em 100% em suprimentos, por exemplo, vou colocar o mínimo. Tenho que focar em áreas críticas, que têm grande demanda e vão sofrer maior impacto. Por isso, devo me perguntar onde o meu negócio é crítico e qual a cadeia de valor para mantê-lo vivo", destaca Ivan Paiva.
Também é preciso escolher os cenários, pois cada um tem um custo diferente. A organização deve, portanto, saber qual o investimento será feito pelo tempo em que pode ficar parada em caso de um incidente. “É um conjunto de fatores, em que a questão financeira influencia muito, principalmente no nosso país”, conta Ivan.
O plano existe, e agora?
Uma vez que as diretrizes foram estabelecidas e comunicadas e a parte de infraestrutura foi definida, é essencial fazer testes, monitoramento, treinamentos e exercícios de continuidade.
“De nada adianta investir um milhão de reais, fazer todo um processo de construção de PCN e colocar tudo em prática só na hora que o desastre realmente acontece. Então, é preciso treinar as pessoas, gerir e auditar. De preferência, com uma auditoria externa, que é totalmente diferente de você fazer internamente para avaliar o desempenho, porque é mais neutra e vai dar uma visão mais apurada”, explica Ivan.
É importante lembrar, ainda, que nenhum plano é perfeito e que ele mudará com o tempo à medida que novas ameaças surgirem e as tecnologias evoluírem. Por isso, é bom considerar a atualização do PCN pelo menos uma vez por ano, ou sempre que houver uma mudança significativa na tecnologia ou nos processos, para que reflita as melhores práticas atuais de segurança cibernética.