No passado recente e a nível legal, o RGPD assim como a Directiva NIS vieram obrigar as organizações a compreender os riscos, a definir e a implementar estratégias relacionadas com dados pessoais, assim como com informação relacionada com serviços essenciais (ex. saúde, electricidade, gás, etc.).

Ao abordar dois tipos de informação sensíveis e que atendem directamente a preocupações do cidadão, cresce a consciencialização não só das organizações para o tratamento destas informações como também do cidadão que desta forma passa a compreender e a percepcionar o risco de disponibilizar esta informação de forma “não controlada”.

No entanto, apesar desta maior consciencialização, os riscos permanecem e seguem uma tendência de agravamento. Eu diria que os principais riscos enfrentados pelos responsáveis pela estratégia de resiliência prendem-se com a liderança e compromisso da gestão de topo, orçamentos para a continuidade de negócio, implicações da transformação digital dos negócios, volatilidade das tecnologias de informação a ciberataques sofisticados e com elevados impactos na segurança (confidencialidade, integridade e disponibilidade) da informação.

A juntar a esta realidade, temos a situação particular das empresas de menor dimensão, tipicamente menos capacitadas para avaliar o risco e para assegurar a continuidade do negócio. E são dois os motivos pelos quais as organizações mais pequenas estão normalmente mais incapacitadas: desde logo a falta de conhecimento dos riscos e impactos a que estão expostas e os naturais constrangimentos financeiros que direccionam estas verbas para exigências consideradas primárias do negócio.

Standard específico para a gestão de emergências

As normas NFPA 1600 - Standard on Disaster/Emergency Management and Business Continuity Programs e a ISO/IEC 22301 - Societal security — Business continuity management systems — Requirements endereçam os requisitos a ter em consideração no desenvolvimento de planos de emergência e de continuidade de negócio, desafiando as empresas, de forma estruturada, a identificar os processos e ou actividades criticas para a organização, o impacto da sua perda e os potenciais riscos a que estas estão sujeitas para que se definam planos de recuperação adequados às necessidades do negócio numa situação de contingência.

Este quadro legal e normativo está claramente a impulsionar toda a temática relacionada com a gestão da segurança da informação e, deste modo, a questionar a existência, assim como a necessidade, de existirem estratégias definidas, documentadas e implementadas que visem salvaguardar a disponibilidade desta informação no caso de um incidente com graves impactos de continuidade da organização.

Maior aposta na continuidade do negócio

São muitas as organizações que já endereçam o tema da continuidade de negócio, de forma holística, com a existência de planos de continuidade de negócio ou até mesmo de forma parcial com a existência de apenas planos de emergência (exigidos por lei) ou planos de recuperação de infra-estruturas tecnológicas (também conhecidos como Disaster Recovery Plans).

Contudo, e tendo em conta o crescimento e a frequência de incidentes com impacto efectivo na disponibilidade dos processos de negócio, considero que as organizações, nomeadamente as grandes e médias empresas, encararão a continuidade de negócio como uma necessidade efectiva e não apenas como uma necessidade normativa ou legal.

A melhoria ou desenvolvimento destes planos de continuidade de negócio passará ainda por outro desafio e que é o de considerar cenários de desastre causados por ciber riscos. A natureza destes riscos irá implicar uma estratégia de contenção e recuperação, por vezes, distinta da adoptada pelos riscos de TI.

Um desafio importante que gostaria, ainda, de referir, prende-se com a massificação das estratégias de migração para a cloud por parte das empresas, que, no meu entender, pode criar, em alguns casos, a falsa perspectiva de que, com a transferência do risco, estas deixam de ser responsabilizadas pela informação que tratam. E esta não é efectivamente a realidade. A transferência do risco “apenas” facilita a gestão do risco para uma entidade especializada, sendo que a responsabilidade perante o cliente final é sempre da organização que recolheu ou gerou os dados.

Artigo de opinião de Carla Zibreira, Head of Consultancy na S21sec Portugal