Vivemos em uma época em que os ataques se tornaram comuns. Eles são cada vez mais frequentes e sofisticados, e começamos a aceitar que, em algum momento, nossa organização será atacada. Por isso, as organizações, além de continuar trabalhando na prevenção, precisam se preparar para agir durante e após um incidente, para minimizar seu impacto nas operações e manter uma boa experiência para o cliente.
Manter o negócio funcionando, durante e após um ciberataque é o princípio da ciber-resiliência. Trata-se de um conjunto de processos, procedimentos e tecnologias que permitem a operação de processos críticos durante um ataque (que pode durar semanas) e a recuperação das operações críticas rapidamente, minimizando o impacto sobre o negócio e os clientes finais.
Embora seja comum as organizações confundirem ciber-resiliência com cibersegurança, eles são conceitos distintos e complementares. A cibersegurança foca na proteção e na detecção de ameaças, enquanto a ciber-resiliência se dedica a preparar a organização para enfrentar um ataque, abrangendo planos de ação durante e após o incidente, além de estratégias de recuperação.
Portanto, um plano efetivo de ciber-resiliência deve considerar aspectos de cibersegurança e, ao mesmo tempo, se integrar à estratégia da empresa, à cultura dos funcionários, ao tratamento dos ativos críticos, à configuração do ambiente de trabalho dos funcionários e até mesmo a estratégias específicas, como métodos antifraude.
No centro desse plano deve estar a preparação das pessoas. Na cibersegurança, a capacitação visa permitir que os colaboradores detectem possíveis ataques e adotem comportamentos específicos, como relatar e-mails suspeitos, evitar abrir anexos de remetentes desconhecidos ou desconectar-se da rede em caso de anomalias. Na ciber-resiliência, a capacitação deve focar em como agir durante um incidente, especialmente como realizar o trabalho sem a ajuda dos sistemas que possam estar afetados. Um exemplo recente: colaboradores de algumas companhias aéreas, diante de uma falha em seus sistemas, fizeram cartões de embarque manualmente e, com um processo simples e bem executado, mantiveram o funcionamento do negócio.
É possível avaliar a ciber-resiliência de uma organização? Sim, a postura de ciber-resiliência pode ser avaliada para identificar oportunidades de melhoria. Existem guias e controles que orientam essa avaliação. No entanto, o verdadeiro nível de ciber-resiliência só pode ser determinado após um incidente. O estresse da situação e a quantidade de fatores inesperados que surgirem vão colocar à prova todas as estratégias planejadas. Por isso, o aprendizado contínuo durante a gestão dos incidentes é essencial para aprimorar a ciber-resiliência.
Os ciberataques estão cada vez mais sofisticados, frequentes e difíceis de detectar. Nenhuma organização está isenta de sofrer um ataque. A diferença está em saber o que fazer se isso acontecer. Uma empresa ciber-resiliente é capaz de enfrentar incidentes minimizando perdas econômicas, o investimento em recuperação e os custos associados a multas e reclamações. Além disso, busca causar o menor impacto possível em terceiros, proteger ao máximo sua reputação e, o mais importante, manter sua competitividade para garantir a liderança no futuro.