PwC: “Temos de estar preparados para agir quando ocorrer o ataque” (com vídeo)

De acordo com Marcelo Ferreira Rodrigues, Risk, Cyber Security and Privacy Partner da PwC, “a resiliência é a capacidade que temos de nos preparar, adaptar e resistir, recuperando rapidamente de uma interrupção”, tendo dado especial destaque ao conceito de “resistência” na sua intervenção na IT Security Conference 2024.

“O mindset mudou e temos de estar preparados para agir” e a chave, segundo o orador, está em “recuperar rapidamente”. Se “queremos evitar ao máximo” um ataque, é fundamental compreender que a constante mudança "coloca-nos numa grande exposição. Sabemos que vamos ser atacados, então vamos preparar-nos para conseguir resistir e manter as nossas operações essenciais, o nosso dia a dia”, apontou. Referiu ainda que este novo paradigma está fortemente associado à implementação de regulamentos como a DORA e a NIS2.

Marcelo Ferreira Rodrigues abordou as diferenças entre o tradicional Disaster Recovery (DR) e a resiliência operacional, frisando que o DR focava-se em cenários de risco isolados e em recuperações específicas, com processos individuais e pré-definidos, enquanto a resiliência operacional integra um modelo muito mais abrangente. “Temos um modelo operacional muito mais integrado e ágil, que vai responder a um conjunto muito mais abrangente de eventos disruptivos”, disse.

Em vez de reagir a incidentes isolados, a resiliência assume que os incidentes irão ocorrer e antecipa a melhor forma de agir, através de uma “ampla compreensão” com “um modelo de risco muito mais abrangente, para depois conseguir tratar aquilo que é a resiliência”. Um dos principais objetivos desta abordagem é garantir a continuidade das operações essenciais, mesmo durante uma crise. Marcelo Ferreira Rodrigues salientou ainda a importância de se compreender todas as dependências dos sistemas críticos, desde fornecedores até outros processos internos.

Preparação para o futuro e identificação de processos críticos

Para ilustrar a aplicação prática da resiliência operacional, o orador referiu-se à evolução das organizações em termos de maturidade no tratamento das ameaças. “Sete em cada dez organizações relataram que estão a planear aumentar investimentos naquilo que é a construção de resiliência”, mencionou, baseado num estudo da PwC. Segundo Marcel Ferreira Rodrigues, este aumento de investimentos reflete uma maior consciencialização das empresas sobre a importância de uma postura resiliente face às ciberameaças.

O caso específico de ransomware foi um dos exemplos práticos abordados pelo Risk, Cyber Security and Privacy Partner que destacou a importância de testar a capacidade de resposta das organizações através de exercícios práticos. “A nossa recomendação é criar playbooks específicos para ameaças particulares, como o ransomware, e testá-los regularmente em exercícios tabletop”, sugeriu, sublinhando que ter um guia claro de ação é fundamental para diminuir o tempo de resposta e garantir a continuidade das operações.

Uma das falhas mais comuns nas empresas, segundo o orador, é a dificuldade em identificar os processos críticos que sustentam o negócio. Explicou que muitas organizações focam-se em identificar aplicações críticas, mas falham em compreender que são os processos suportados por essas aplicações que devem ser considerados críticos. “Os ativos são críticos, não porque são por si críticos, mas porque suportam um processo crítico”, explicou.

Apontou também que o planeamento estratégico da resiliência operacional deve incluir uma análise detalhada das dependências internas e externas, envolvendo todas as áreas da organização, desde IT até ao departamento de risco. “Sem sinergia entre as áreas, nunca vamos conseguir garantir aquilo que é a resiliência”, concluiu.

O desafio do ransomware

Ao abordar o tema do ransomware com alguma profundidade, descreveu os principais desafios enfrentados pelas empresas quando lidam com este tipo de ataque. “Se não sabemos o impacto, não sabemos depois como agir com a contenção”, observou.

Nesse sentido, o especialista sugeriu que as organizações devem investir em métricas que permitam monitorizar continuamente os seus ativos críticos, de forma a estarem preparadas para identificar rapidamente quais os serviços afetados por um ataque. “Estamos a ver cada vez mais a equipa de continuidade do negócio integrada com todas as outras áreas, como o gabinete de crise e a área de IT” e “sem esta sinergia entre áreas, nunca vamos conseguir garantir aquilo que é a resiliência”. O orador explicou que é possível “fazer só a recuperação, mas não conseguimos fazer a manutenção do serviço”. Por isso, adotar uma abordagem proativa que permita garantir a continuidade das operações, em vez de se focar exclusivamente na recuperação do serviço afetado, torna-se primordial.

Um novo caminho para a resiliência

Por fim, Marcelo Ferreira Rodrigues apresentou um roadmap para a construção da resiliência operacional, onde destacou três fases: fundação, aceleração e manutenção. Neste caso, defendeu que as empresas devem começar por identificar os riscos empresariais e as suas capacidades atuais de resiliência, para depois desenvolver planos operacionais e estratégicos que garantam uma resposta eficaz às interrupções. “Vamos fazer testes para garantir esta resiliência, vamos ter uma capacitação tecnológica e entrar num ciclo de melhoria contínua”, finalizou.

Este novo paradigma de resiliência operacional, segundo Marcelo Rodrigues, vai muito além da simples recuperação de incidentes. É importante envolver uma mudança de mentalidade, onde se assume que os ataques vão acontecer, e onde a capacidade de resistir, adaptar e continuar a operar se torna a verdadeira chave para o sucesso no ambiente digital atual.