Cinco estratégias de ciber-resiliência que as empresas devem adotar

Com a implementação de regulações europeias como o DORA e a Diretiva NIS 2, a Kyndryl identificou cinco estratégias que as empresas deverão adotar para enfrentar os desafios da nova realidade cibernética, garantindo a ciber-resiliência dos sistemas e infraestruturas digitais.

A Kyndryl relembra que, desde dezembro, as empresas públicas devem divulgar nos seus relatórios anuais a sua estratégia de risco de cibersegurança e governance, como o papel desempenhado pelo conselho de administração na gestão dos riscos relevantes.

Ao abrigo do regulamento Dora, os conselhos de administração da maioria das empresas de serviços financeiros regulamentadas na União Europeia são responsabilizados em última instância pela gestão do risco e pela estratégia de resiliência operacional para as TIC. 

“A cibersegurança e a resiliência cibernética são responsabilidades coletivas, especialmente diante das novas regulamentações da União Europeia e dos Estados Unidos. Estas normas podem trazer penalizações que podem ir além da interrupção de negócios, como perda de receita e danos à reputação da empresa. É essencial que empresas e governos adotem uma abordagem proativa para antecipar, proteger e recuperar de eventos cibernéticos adversos”, explica Paulo Coelho, Practice Leader da Kyndryl Portugal.

Neste contexto, as cinco estratégias indicadas pela Kyndryl para ajudar as empresas na sua preparação para os novos desafios cibernéticos incluem:

1. Consciencializar o conselho de administração: a cibersegurança deve ser uma responsabilidade partilhada pela organização inteira e, por isso, é necessário assegurar o envolvimento ativo do conselho de administração, liderança corporativa e os restantes colaboradores;
2. Estabelecer uma “empresa viável mínima”: as empresas devem identificar qual é a estrutura interna essencial para manter as suas operações e apoiar os objetivos de negócios nos ambientes mais críticos;
3. Identificar os riscos: as organizações devem identificar os seus ativos, bem como implementar medidas de proteção e avaliar a probabilidade de interrupções com base nas funções de cada um destes ativos;
4. Elaborar um plano de gestão de crise para situações reais de interrupção: é importante que as empresas estejam preparadas para conseguir gerir ciberataques inevitáveis;
5. Adotar a estrutura zero-trust: as organizações devem estar preparadas para ataques maliciosos inovadores, adotando uma abordagem zero-trust e atualizando com regularidade a sua estratégia de ciber-resiliência.