Sean Deuby

Para fazer face à explosão da cibercriminalidade e ao seu impacto nas operações comerciais, muitas organizações estão a actualizar os seus planos de recuperação de desastres para incluir a resposta a incidentes cibernéticos. Muitos dos processos e directrizes dos planos tradicionais de recuperação de desastres pouco mudaram nos últimos anos, por vezes mesmo em mais de uma década, o que os torna inadequados para lidar com os desastres cibernéticos. Mais importante ainda, a nível empresarial, a recuperação de desastres é apenas um aspecto de uma disciplina mais vasta: a resiliência operacional.

Simon Hodgkinson, antigo Director de Segurança da Informação da bp e Consultor Estratégico da Semperis, sublinha a necessidade de as organizações encararem a recuperação de desastres no contexto da viabilidade global do negócio - incluindo a prevenção, detecção e resposta a ciberataques.

"A recuperação de desastres é bastante restrita na sua definição e, normalmente, é vista num período de tempo reduzido", afirma. "A resiliência operacional é muito mais abrangente, incluindo aspectos como o tipo de governação implementada, a forma como se gere a gestão do risco operacional, os planos de continuidade da actividade e a gestão do risco cibernético, da informação e de fornecedores terceiros."

Por outras palavras, os planos de recuperação de desastres estão principalmente preocupados com a recuperação. A resiliência operacional analisa o panorama geral: todo o seu ecossistema e o que pode ser feito para manter a sua empresa operacional durante eventos perturbadores.

Reparar uma corrente partida

O objectivo mais amplo da resiliência operacional exige a participação de toda a organização. Não se pode simplesmente deixar o assunto a cargo de um único departamento ou equipa. Em vez disso, é necessário o envolvimento de todos, desde os executivos e o conselho de administração até aos funcionários individuais de vários departamentos.

"A liderança precisa de compreender o risco e conhecer a tolerância ao risco e a apetência pelo risco da empresa", afirma Hodgkinson. "Isso inclui até coisas como as funções de aquisição e os acordos com fornecedores terceiros. A resiliência deve ser integrada em tudo até aos fluxos de trabalho quotidianos e, se um único fornecedor for insuficiente para gerir o risco, então a diversidade da oferta é uma obrigação."

Hodgkinson fala de uma realidade importante que muitos parecem esquecer: no clima actual, não é apenas a sua organização que está sob ameaça. Os seus fornecedores, parceiros e vendedores também são alvos. Se um fornecedor importante for comprometido ou derrubado, a sua empresa pode ir ao fundo com ele.

"Vi muitos casos interessantes em que um evento cibernético num fornecedor tornou várias organizações incapazes de cumprir os seus objectivos comerciais", recorda Hodgkinson. "Por exemplo, considere uma organização de retalho que está a utilizar um fornecedor de logística para fazer chegar os produtos às suas estações e esse fornecedor sofre uma ruptura de stock. Evitar estes cenários requer uma perspectiva mais alargada. No contexto da resiliência operacional, todos os cenários e processos de gestão de riscos devem considerar a cadeia de abastecimento."

Colocar a "operação" na resiliência operacional

O Departamento de Transportes dos EUA propôs uma coima de 1 milhão de dólares contra a Colonial Pipeline por "falhas na gestão da sala de controlo" no ataque cibernético de 2021 que interrompeu o fornecimento de gás no leste dos EUA, somando-se às perdas de receita da empresa com o próprio ataque. A opinião do governo é que a empresa ignorou a resiliência operacional: Em vez de planear como gerir e limitar o âmbito de um incidente, a organização simplesmente desligou as suas redes de controlo de processos no momento em que o malware atingiu os seus sistemas.

"É um cenário muito interessante", diz Hodgkinson. "Mas, infelizmente, não creio que seja um cenário único. Eu diria que muitas organizações não compreendem totalmente o impacto da tecnologia operacional num incidente cibernético.

"O ideal seria que as organizações que gerem infra-estruturas nacionais ou fornecimentos críticos pensassem muito mais na gestão da continuidade do negócio e nos controlos de atenuação", afirma. "Essa reflexão começa por conhecer o seu perfil de risco e planear adequadamente a sua gestão. As organizações devem também testar o que podem fazer em termos de encerramento das suas redes, assegurando que têm a capacidade de cortar a ligação entre a tecnologia da informação e a tecnologia operacional, para que o malware não faça com que tudo fique paralisado."

Colmatar o fosso entre TI e OT

A tecnologia que opera sistemas como oleodutos e refinarias é distintamente diferente da encontrada num ambiente de escritório típico. Existem diferentes protocolos de rede, uma abordagem diferente à pilha de segurança e uma maior preocupação com questões críticas de segurança. De acordo com Hodgkinson, uma das maiores fontes de fricção para as empresas industriais - e a razão pela qual os esforços de resiliência operacional falham com tanta frequência - envolve uma desconexão entre a tecnologia da informação (TI) e a tecnologia operacional (TO).

Nenhum dos departamentos compreende totalmente os fluxos de trabalho e os desafios do outro. Esta desconexão precisa de mudar. E isso começa com uma mudança de percepção.

"Penso que parte do problema actual é que o ciberespaço ainda é visto como algo especial", afirma Hodgkinson. "A discussão parece terminar sempre com o pressuposto de que a equipa de segurança ou o departamento de TI está a gerir um determinado risco, pelo que mais ninguém precisa de se preocupar com ele. Temos de desmistificar a cibersegurança. Só com a devida compreensão do negócio e a apropriação do risco é que se podem implementar mecanismos de resiliência adequados. O que funcionou muito bem na minha experiência na bp foi trazer a engenharia para a cibernética e a cibernética para a engenharia, dando a cada equipa conhecimentos e perspectivas que anteriormente não existiam."

A verdade é que as diferentes equipas têm prioridades diferentes. A equipa de engenharia pode estar ciente da importância da cibersegurança, mas precisa de dar prioridade aos elementos processuais e às questões críticas de segurança. Ao encorajar a colaboração interdepartamental, as empresas podem determinar como facilitar a implementação de controlos e estratégias em cada ambiente.

"Penso que, em última análise, é tudo uma questão de contexto", afirma Hodgkinson. "O que é que a empresa está a tentar alcançar e que resultados está a tentar atingir? Como é que apoia esses resultados? Que tecnologia é que utiliza? O que é importante para ela em termos de confidencialidade, integridade e disponibilidade?"

A importância da segurança e recuperação do Active Directory na criação de resiliência operacional

O Active Directory (e o Azure AD, em ambientes de identidade híbrida) ocupa um lugar central na procura de resiliência operacional.

"Temos um mecanismo de definição de prioridades, mas, curiosamente, penso que as pessoas se esquecem muitas vezes que a aplicação mais importante em todas as dimensões é o Active Directory", afirma Hodgkinson. "Sem ele, não é possível atingir nenhum dos resultados comerciais. O Active Directory está no centro da sua capacidade de operar e fornecer resultados comerciais, e precisa de fazer parte da sua estratégia de resiliência operacional em vez de ser tratado como uma ilha."

Assumir um papel activo na resiliência operacional

Os planos de recuperação de desastres que se concentram em desastres naturais são insuficientes para lidar com as ameaças modernas à resiliência operacional. Uma vez que o sistema de identidade da organização é essencial para manter as operações a funcionar - e é o principal alvo dos ciberataques - a sua protecção é fundamental. Ao dar prioridade à defesa do sistema de identidade, as organizações podem abordar uma das ameaças mais graves à resiliência operacional.

Saiba mais