A importância da Continuidade do Negócio para a Ciber-resiliência

A Continuidade do Negócio tem como principal objetivo assegurar a continuidade das atividades críticas na ocorrência de um incidente disruptivo, através da implementação de soluções de prevenção, resposta e recuperação nas quatro principais vertentes de suporte ao negócio – Pessoas, Sistemas de Informação, Instalações e Fornecedores.

As organizações que implementam a Gestão da Continuidade do Negócio tornam-se mais resilientes e conseguem recuperar de forma mais rápida e manter, em caso de incidente, as suas operações críticas em serviços mínimos. 

A continuidade do negócio e a cibersegurança

Vivemos numa era digital em que, cada vez mais, as organizações operacionalizam a sua estratégia de negócio em tecnologia, com o objetivo de otimizar a eficiência e qualidade dos serviços e produtos.

Esta realidade lança novos riscos às organizações, nomeadamente ao nível da cibersegurança, levando a que as ameaças de cibersegurança sejam uma preocupação crescente das organizações. O impacto de um incidente desta natureza pode, não só, conduzir à indisponibilidade dos sistemas, como levar a perdas de reputação, perdas financeiras e perdas operacionais significativas, decorrentes da interrupção das atividades críticas de negócio.

Neste sentido, a cibersegurança tornou-se uma componente crítica da função de Continuidade do Negócio e IT Disaster Recovery, nomeadamente, na incorporação do processo de identificação, gestão e mitigação de riscos de cibersegurança para o planeamento e operação do programa de Continuidade do Negócio e IT Disaster Recovery.

Apesar dos riscos de cibersegurança estarem no topo das agendas de risco corporativo, os incidentes de cibersegurança apresentam uma tendência de crescimento, destacando-se no panorama atual pelos seus potenciais impactos, o ataque de Ransomware.

Sabia que as soluções de IT Disaster Recovery são o principal mecanismo de recuperação dos Sistemas de Informação para as organizações que sofrem este tipo de ataque?

De que forma a continuidade do negócio pode aumentar a ciber-resiliência?

Face a estes novos desafios da cibersegurança, os planos e procedimentos de Continuidade do Negócio deverão incluir os mecanismos específicos de resposta, como por exemplo, saber responder a eventos de ransomware ou data breach.

A Continuidade do Negócio pode ser a chave para que as organizações compreendam e mitiguem os riscos que podem afetar a sua atividade, implementem uma estratégia de prevenção e recuperação que diminua a probabilidade de ocorrência, e minimizem o impacto de um incidente de cibersegurança.

Além da definição de Planos e Procedimentos específicos para incidentes de cibersegurança, a Continuidade do Negócio endereça ainda atividades fundamentais:

• Inputs

  • Análise de Impacto no Negócio: Identificar as funções críticas e o respetivo impacto de indisponibilidade;

  • Avaliação do Risco: Identificar, analisar e avaliar a exposição ao risco de eventos disruptivos;

  • Estratégia de Prevenção e Recuperação: Definir e implementar controlos preventivos para reduzir a exposição ao risco relacionado com eventos disruptivos e soluções de recuperação das funções críticas nas vertentes de Pessoas, Tecnológica, Instalações e Fornecedores.

• Outputs 

  • Testes: Treinar a resposta integrada a eventos disruptivos de cibersegurança;

  • Planos de Resposta: Definir planos e procedimentos específicos a incidentes de cibersegurança; 

  • Planos de Comunicação: Definir estratégia de comunicação orientadas a eventos de cibersegurança.

Com a implementação da Gestão da Continuidade do Negócio, as organizações passam a dispor de um modelo de resposta integrado a incidentes disruptivos e a planos de gestão de crise, fundamentais para assegurar uma comunicação efetiva com os stakeholders e minimizar perdas de reputação.

Como implementar?

A Continuidade do Negócio é uma das claras respostas aos desafios impostos pela cibersegurança, pelos requisitos legais e pela necessidade emergente das organizações serem resilientes. A abordagem para a implementação de um Sistema de Gestão de Continuidade do Negócio deve ser baseada nos requisitos definidos pela norma de referência ISO 22301:2019 e complementada com o alinhamento de standards relevantes nas temáticas de IT Disaster Recovery (ISO 27031:2011), Segurança e Privacidade (ISO 27001:2022) e de Gestão de Risco (ISO 31000:2018), Considera que a sua Organização é resiliente o suficiente para recuperar um incidente de cibersegurança?