Três recursos que os CIO podem utilizar para ajudar à resiliência dos dados

Na economia digital, as organizações digitalizaram a maior parte dos seus processos empresariais e os dados são mais valiosos do que nunca. Esta abordagem não só impulsiona as operações, como também é uma fonte de informação importante para gerar conhecimentos e melhorar os resultados.

No entanto, à medida que os dados cresceram em importância, a sua pegada expandiu-se muito para além do data center. Esta expansão torna as organizações mais vulneráveis a todo o tipo de ameaças: desde desastres naturais, a erros humanos, passando por ciberataques com consequências potencialmente catastróficas. A indisponibilidade dos dados pode paralisar as operações e privar as organizações da sua normal atividade.

Em suma, o valor crescente dos dados, bem como a sua crescente vulnerabilidade, exige que as TI sejam mais resistentes do que nunca. E os CIO e outros líderes de TI precisam de aproveitar todos os recursos à sua disposição para assegurar o nível de resiliência que os processos empresariais exigem.

Recurso 1: Uma Cultura Consciente do Risco

Um recurso frequentemente negligenciado para a resiliência informática é a criação de uma cultura consciente do risco em toda a organização.

Em termos práticos, isto significa que a segurança não é apenas da responsabilidade do CIO ou da equipa de TI, é da responsabilidade de todos e cada um dos funcionários.  Não podemos evitar o risco, pelo que precisamos de promover a consciência e a compreensão das ameaças que enfrentamos, para que as possamos reconhecer e planear a nossa resposta.

Além disso, como todos lidam diariamente com ativos de negócio sensíveis (desde folhas de cálculo com dados de vendas, contratos de clientes ou planos estratégicos de marketing), é necessário prestar atenção à forma como estes ativos são protegidos. Alguém guarda ficheiros numa pasta que não tenha sido bloqueada? Alguém utiliza um serviço público para trocar ficheiros grandes sem considerar que a segurança é mínima?

Ao criar uma cultura consciente do risco, as organizações devem também considerar a implementação de tecnologias de ciber-decoy (ou ciber-engano, se preferirem) como parte de uma abordagem integrada da gestão do risco. Esta tecnologia emergiu como uma peça vital das estratégias de segurança cibernética multicamada, oferecendo ferramentas sofisticadas que detetam e desviam os ataques antes que estes causem danos. Apanhar os "maus da fita" cedo dá aos bons mais hipóteses de vencerem.

Recurso 2: Consolidação e automatização

Outro recurso chave que os CIO podem aproveitar para proporcionar resiliência tecnológica é a consolidação e automatização. Trata-se de reduzir a complexidade da pilha tecnológica global. Quanto mais elementos tiver, maior será a superfície de ataque e as vulnerabilidades.

Passar às aplicações SaaS é uma boa forma de ajudar a atingir este objetivo, mantendo ao mesmo tempo a resiliência das TI. Através do modelo de responsabilidade partilhada, os fornecedores cloud oferecem infraestruturas e segurança lógica e controlos de acesso à plataforma, mas a responsabilidade pelo acesso e controlo dos dados permanece com o utilizador.

Com estas opções em mente, um bom primeiro passo para a consolidação e automatização é analisar um determinado fluxo de trabalho (por exemplo, serviço ao cliente) e examinar os processos e infraestruturas que o suportam. Desenhando-o em papel e mapeando a arquitetura, pode-se determinar se é possível identificar o número de sistemas, integrações e pontos de contacto, e ver o que é SaaS e o que não é. Compreender o nível de complexidade dos fluxos de trabalho críticos ajudará a priorizar quais os que devem ser consolidados primeiro.

Embora a consolidação seja uma medida importante da resiliência das TI, a automação é também fundamental, uma vez que os processos manuais proporcionam mais oportunidades para as pessoas cometerem erros, e esses erros são portas de entrada para os hackers.

Por exemplo: Uma supervisão inocente (como um administrador do servidor que se esquece de marcar a caixa para uma configuração de segurança ao implementar uma nova instância de um serviço) pode criar uma porta de entrada que pode ser facilmente explorada. A automatização desse processo não só torna o processo mais repetível e escalável, como também ajuda a eliminar erros humanos, removendo o tipo de falhas de segurança acidentais que podem comprometer a resiliência das TI.

Recurso N.º 3: BC/DR completo

Um último recurso que não deve ser ignorado é um plano abrangente de continuidade de negócio/recuperação de desastres (BC/DR). Não importa quão segura e bem preparada esteja uma organização, ninguém é invulnerável, e é necessário preparar-se para o momento em que algo de mau aconteça.

Isto exige que os CIO pensem não só na tecnologia, mas também nos processos empresariais que esta suporta. O DR é a peça tecnológica da equação: ocorreu algum tipo de desastre e perdeu o seu sistema e os seus dados - como é que o volta a colocar em funcionamento o mais rapidamente possível? 
O BC, por outro lado, é a parte do processo da equação. Se perder o acesso às ferramentas ou às pessoas que executam os processos, pode garantir que os processos continuarão a funcionar? 

Antes da pandemia, os CIO não enfrentavam tanto este tipo de questões. O papel tradicional do CIO foi mais centrado no DR porque está mais diretamente relacionado com a pilha de tecnologia. A pandemia veio mudar o papel do CIO no sentido de que tem agora de fazer parte da conversa sobre a continuidade do negócio e como manter os processos em movimento mesmo que a tecnologia falhe.

Não faltam desafios às empresas e aos seus dados, mas os recursos certos, devidamente aproveitados, podem proporcionar a resiliência tecnológica de que necessitam para proteger os seus dados e mitigar o impacto de um ciberataque ou outro desastre.