Blue team

S-Labs

A Ciber-resilência organizacional é essencial para a transformação digital

Ao olhar para a atualidade contatamos que a transformação digital deixou der ser uma mera previsão e passou a ser uma realidade presente na sociedade

22/07/2022

A Ciber-resilência organizacional é essencial para a transformação digital
 

As empresas sentem que não investir na transformação digital, significa ficar para trás relativamente aos seus concorrentes. Se por um lado a adoção de novos processos, serviços e tecnologias emergentes trouxe vantagem competitivas, por outro, introduziu inúmeros desafios para proteção dos negócios, dados e infraestrutura tecnológicas.

Ao olharmos para as PMEs Portuguesas, a visibilidade que temos é de organizações com um nível de maturidade baixo, mal preparadas e com um longo caminho a percorrer em diferentes frentes.

São poucas as empresas que: têm perceção acerca dos seus ativos e riscos; possuem um plano de resposta a incidentes para seguir em caso de incidente; detêm estratégias de continuidade de negócio em casos de desastre; ou olham para a formação, treino e sensibilização dos seus colaboradores como algo fundamental.

Apesar deste cenário temos assistido a uma mudança de comportamentos, que pode ser explicada pelos últimos incidentes tornados públicos, a experiência de incidentes com impacto nos seus negócios, ou a consciência que a ocorrência de ciberataque é uma realidade presente.

A nossa estratégia permite dar resposta a qualquer tipo de empresa independentemente da sua dimensão, maturidade e recurso seja através de equipas de resposta a incidentes, serviços geridos, consultoria ou treino e sensibilização.

A cibersegurança de mãos dadas com o negócio

Na Cipher, temos constatado que a cibersegurança tornou-se um assunto na ordem do dia por parte das administrações das grandes organizações. Como reflexo, surgem os cargos de CISO ou até a contratação de serviços como CISO aaS para servirem como Advisor e participar ativamente na definição da estratégia da organização.

Para que este processo funcione, é essencial que os responsáveis de segurança mudem comportamentos e recorram a novas metodologias/formas de comunicar. A linguagem usada deverá ser uma linguagem percetível pela administração, ou seja, linguagem de negócio.

Outro dos exemplos é a forma como administrações olham neste momento para ferramentas que permitem obter uma visão de forma pontuada no que diz respeito à postura da sua organização, permitindo que sejam tomadas medidas preventivas e decisões de negócio de forma simplificada.

Este tipo de aproximação e envolvimento permite que a cibersegurança seja vista um investimento crucial para o negócio e não um custo para a organização.

Hora de dar importância ao papel do colaborador na cibersegurança

Se analisarmos a maioria dos ataques, conseguimos identificar a engenharia social como uma das estratégias preferenciais, onde são explorados meios como correio eletrónico, redes sociais, telefones ou até exploração de aspetos de psicologia comportamental, com objetivo de manipular, levar a executar ações ou divulgar informações confidenciais.

Em qualquer plano estratégico de cibersegurança, as pessoas, processos e tecnologias são três pontos relevantes que precisam de estar bem alinhados. Ao contrário da maioria que considera a pessoa como sendo o elo mais fraco, o mesmo deverá ser considerado o mais importante e ser trabalhado como tal. Terá é que existir a consciência que historicamente não crescemos com processos de educação e literacia em cibersegurança, sendo algo onde se deve investir rapidamente.

A maioria das organizações “oferece” treino para garantir que os colaboradores entendam as regras e políticas existentes na organização, esquecendo da educação, consciencialização, sensibilização e treino nas questões de cibersegurança.

Em qualquer plano estratégico de cibersegurança, as pessoas, processos e tecnologias são três pontos relevantes que precisam de estar bem alinhados. Ao contrário da maioria que considera a pessoa como sendo o elo mais fraco, o mesmo deverá ser considerado o mais importante e ser trabalhado como tal. Terá é que existir a consciência que historicamente não crescemos com processos de educação e literacia em cibersegurança, sendo algo onde se deve investir rapidamente.

A maioria das organizações “oferece” treino para garantir que os colaboradores entendam as regras e políticas existentes na organização, esquecendo da educação, consciencialização, sensibilização e treino nas questões de cibersegurança.

Se todas as pessoas são um potencial alvo é urgente criar programas regulares de consciencialização, sensibilização, treino e avaliação para colaboradores de forma que todos consigam detetar phishing, vishing e outros tipos de incidentes, e ser desta forma, a primeira linha de segurança da organização.

Resiliência Organizacional

Todas as organizações deverão migrar de um foco exclusivo em segurança cibernética para um conceito de resiliência organizacional. O objetivo é limitar o impacto, nomeadamente no que diz respeito a imagem da organização, confiança, finanças e parte legal. A abordagem passa por assumir que os incidentes vão acontecer e preparar para recuperar a continuidade operacional e do negócio o mais rapidamente, com o mínimo de impacto na organização.

Para tal é essencial as organizações perceberem o que é critico para o seu negócio, qual a exposição dos seus ativos e trabalharem na construção de planos de resposta a incidentes, planos de continuidade de negócio e de recuperação de desastre, tendo em conta os seus requisitos de negócio e as suas capacidades financeiras.

 

Conteúdo co-produzido pela MediaNext e pela Cipher


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº16 Fevereiro 2024

IT SECURITY Nº16 Fevereiro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.