A Gestão da Continuidade do Negócio tem como principal objetivo assegurar a continuidade de atividades críticas na ocorrência de um incidente disruptivo, através da implementação de soluções de prevenção, resposta e recuperação nas quatro principais vertentes de suporte ao negócio – Pessoas, Sistemas de Informação, Instalações e Fornecedores.

Sabia que cerca de 96% das Organizações alvo de ransomware - malware criado com o intuito de bloquear o acesso a sistemas ou documentos, exigindo um pagamento para desbloquear -recuperaram as suas operações através de soluções de Disaster Recovery previamente implementadas?

Continuidade do Negócio e Cibersegurança

Vivemos numa era digital em que, cada vez mais, as organizações operacionalizam as suas estratégias de negócio em tecnologia, com o objetivo de otimizar a eficiência e qualidade dos serviços e produtos.

Esta realidade lança novos riscos às organizações, nomeadamente ao nível da cibersegurança.

Neste sentido, as ameaças de cibersegurança são uma preocupação crescente das organizações. O impacto de um incidente desta natureza pode, não só, conduzir à indisponibilidade dos sistemas, como levar a perdas de reputação, perdas financeiras e perdas operacionais significativas, decorrentes da interrupção das atividades críticas de negócio.

Apesar dos riscos de cibersegurança estarem no topo das agendas de risco corporativo, os incidentes de cibersegurança apresentam uma tendência de crescimento, como por exemplo:

  • Ransomware;
  • Distributed Denial of Service (DDoS), ataque malicioso com o objetivo de sobrecarregar um servidor de forma a esgotar os seus recursos e tornando-o indisponível; 
  • Data leakage, transmissão não autorizada de dados de uma organização para um destinatário externo.

As organizações estão preparadas para responder a este tipo de vulnerabilidades?

As recentes estatísticas sugerem que a maioria das empresas não possui mecanismos de segurança suficiente robustos, sendo vulneráveis ​​à perda de dados:

  • As violações de segurança aumentaram 11% desde 2018 e 67% desde 2014. (Accenture)
  • As violações de dados expuseram 4,1 mil milhões de registos no primeiro semestre de 2019. (RiskBased)
  • Em 2019, o tempo médio para identificar uma violação foi de 206 dias. (IBM)
  • O ciclo de vida médio de uma violação de segurança foi de 314 dias (da violação de segurança à sua contenção). (IBM)

De que forma a Gestão da Continuidade do Negócio pode aumentar a Ciber-Resiliência?

Face a estes novos desafios da cibersegurança, os planos e procedimentos de Continuidade do Negócio deverão incluir os mecanismos específicos de resposta, como por exemplo, saber responder a um evento de data breach (violação de dados).

A Continuidade do Negócio pode ser a chave para que as organizações compreendam e mitiguem os riscos que podem afetar a sua atividade, implementem uma estratégia de prevenção e recuperação que diminua a probabilidade de ocorrência, e minimizem o impacto de um incidente de cibersegurança.

Além da definição de Planos e Procedimentos específicos para incidentes de cibersegurança, a Continuidade do Negócio endereça ainda atividades fundamentais:

a priori

  • Análise de Impacto no Negócio;
  • Avaliação do Risco;
  • Estratégia de Prevenção e Recuperação.

a posteriori

  • Realização de testes regulares que permitem uma resposta integrada a incidentes de cibersegurança;
  • Planos de Comunicação orientados a eventos de cibersegurança, que, sendo realizadas de forma periódica, tornam as organizações mais resilientes.

Com a implementação da Gestão da Continuidade do Negócio, as organizações passam a dispor de um modelo de resposta integrado a incidentes disruptivos e a planos de gestão de crise, fundamentais para assegurar uma comunicação efetiva com os stakeholders e minimizar perdas de reputação.

Continuidade do Negócio e Enquadramento Regulamentar

No contexto atual, a Continuidade do Negócio tem vindo a ganhar relevância e passou a ser alvo de cumprimento de obrigações legais das organizadores, de acordo com os requisitos do Regulamento Geral de Proteção de Dados (RGPD) e da Diretiva Network and Information Systems (NIS).

  • RGPD: estabelece que a perda de informação sensível pode culminar em multas contratuais e penalizações por incumprimentos legais.
  • NIS: é a primeira legislação europeia sobre a cibersegurança, tendo sido transposta para a lei portuguesa a 13 de Agosto de 2018 (Lei n.º 46/2018). Esta diretiva estabelece que os operadores de serviços essenciais, como os da área da saúde ou telecomunicações, devem assegurar e implementar medidas que minimizem os incidentes de cibersegurança e a continuidade desses serviços.

A Continuidade do Negócio é uma das claras respostas aos desafios impostos pela cibersegurança, pelos requisitos legais e pela necessidade emergente das organizações serem resilientes.

Como implementar?

Além da norma de referência de implementação de Sistemas de Continuidade do Negócio ISO/IEC 22301, o Centro Nacional de Cibersegurança (CNCS) desenvolveu o Quadro Nacional de Referência para a Cibersegurança (QNRCS).

Este framework está disponível para consulta – aqui – e identifica, com detalhe, os vários controlos e potenciais abordagens para a sua implementação, permitindo às organizações reduzir o risco associado a ciber-ameaças e cumprir os requisitos mínimos de segurança das redes e sistemas de informação.

Considera que a sua Organização é resiliente o suficiente para recuperar um incidente de cibersegurança?

Palavras-ChaveSegurançaGestão da Continuidade do Negócio

Artigos relacionados

Partilhar