Courtney Guss | Diretora de Gestão de Crises

Passei anos a trabalhar com organizações para as preparar para o pior cenário possível — criando programas de gestão de riscos, quantificando o impacto potencial e ajudando os líderes a compreender o que é mais importante para a empresa.

No entanto, há um aspeto que continua a destacar-se: muitas organizações continuam lamentavelmente mal preparadas para gerir uma verdadeira crise cibernética.

  • Não é por falta de esforço.
  • Não é por falta de talento.
  • Mas porque lhes faltam orientações práticas para tomar decisões sob pressão.

Atualmente, o setor da cibersegurança avalia a existência de planos — e não a eficácia da resposta.

Figura 1: As falhas na comunicação e na coordenação estão a impedir uma resposta cibernética eficaz — mesmo no caso de organizações que dispõem de planos integrados de resposta a crises. (Fonte: Semperis | O estado da preparação para crises cibernéticas)

A maioria das organizações acredita estar preparada porque dispõe de planos de resposta a incidentes, manuais de procedimentos e exercícios simulados. No entanto, estes recursos falham frequentemente quando confrontados com a complexidade do mundo real.

Porquê? Porque tentam escrever o que não pode ser escrito.

A verdadeira preparação para crises cibernéticas não se resume a mais documentação. Depende da clareza quanto às prioridades empresariais e à autoridade decisória.


O setor mede o que não deve

Este não é um problema novo, mas os quadros regulamentares do setor continuam a reforçar uma mentalidade orientada para a conformidade.

As avaliações costumam perguntar:

  • Tem um plano de resposta?
  • Mantêm manuais de procedimentos?
  • Realizam exercícios de simulação?

Se a resposta for sim, o requisito está cumprido. A caixa está marcada. A organização é considerada preparada.

No entanto, no que diz respeito à gestão abrangente de crises cibernéticas, as organizações raramente colocam as questões que mais importam:

  • Os líderes sabem como estabelecer prioridades nas operações empresariais durante uma crise?
  • Será que as equipas compreendem o impacto financeiro e operacional de uma falha do sistema?
  • Os socorristas sabem quem tem autoridade para tomar decisões críticas?
  • A organização consegue funcionar quando a situação não corresponde ao manual de procedimentos?

Ao avaliarmos os aspetos errados, criamos uma lacuna perigosa — uma lacuna que transmite confiança no papel, mas que deixa as organizações operacionalmente vulneráveis em situações reais.


O mito do manual perfeito para a gestão de crises cibernéticas

Outra fonte comum de confusão é a forma como usamos os termos runbook e playbook de forma intercambiável, apesar de terem finalidades muito diferentes. Essa confusão, por si só, pode criar lacunas na preparação.

Os runbooks são guias de execução tática. Fornecem instruções passo a passo para a realização de uma tarefa técnica específica. Foram concebidos para garantir rapidez, consistência e repetibilidade — e funcionam bem quando a situação é previsível.

Os manuais de procedimentos, por outro lado, funcionam a um nível mais elevado. Fornecem orientações para responder a um tipo específico de incidente, incluindo frequentemente passos de coordenação, orientações de comunicação e procedimentos de escalamento entre equipas.

Ambas são valiosas. Mas ambas partilham a mesma limitação: partem do princípio de que a crise se desenrolará de acordo com um cenário conhecido.

As verdadeiras crises cibernéticas raramente o fazem.

Um incidente de ransomware pode envolver a violação de identidades, interrupções do sistema, fuga de dados, comunicação às autoridades reguladoras, impacto nos clientes, análise jurídica e intervenção das autoridades policiais — tudo ao mesmo tempo.

Nenhum manual de estratégias consegue prever esse nível de complexidade em cadeia.

O que vejo na prática é que as equipas abandonam o manual de estratégias em poucas horas e passam a basear-se na experiência, na intuição e na improvisação.

Isso não é uma falha dos socorristas. É uma falha do modelo.

Temos equipas treinadas para seguir procedimentos, mas não as preparámos para tomar decisões quando esses procedimentos não se aplicam.

Os manuais de procedimentos e os manuais de resposta continuam a ser ferramentas importantes, mas não foram concebidos para resolver o maior desafio na gestão de crises cibernéticas: coordenar decisões de alto risco em toda a empresa quando a situação não corresponde a um cenário predefinido.


O verdadeiro problema durante uma crise cibernética: a paralisia na tomada de decisões

Na maioria das crises cibernéticas, os maiores atrasos não são de natureza técnica. São decorrentes da tomada de decisões.

  • Quem declara uma crise?
  • Quem pode desligar os sistemas?
  • Quem aprova a comunicação com os clientes?
  • Quem decide o que é restaurado primeiro?
  • Quem assume o risco quando não existe uma opção perfeita?

A incerteza em relação à autoridade pode paralisar até mesmo as ações mais urgentes.

Para tomar decisões eficazes sob pressão, os socorristas precisam de mais do que um plano. Precisam de um quadro de decisão.

Um quadro eficaz para a tomada de decisões em situações de crise deve definir três aspetos:

  1. O que é mais importante para a empresa
    Um acordo claro sobre operações críticas, prioridades e compromissos aceitáveis
  2. Onde se tomam decisões críticas
    Identificar os principais pontos de decisão que surgem durante diferentes tipos de incidentes
  3. Quem tem autoridade nessas etapas
    Definimos a responsabilidade pelas decisões, o que permite que as equipas ajam sem demora

Quando estes elementos são definidos antecipadamente, os responsáveis pela resposta podem agir mais rapidamente, agir com confiança e tomar decisões que se mantêm justificáveis após a crise.

Sem eles, até mesmo equipas bem treinadas hesitam. E a hesitação tem um custo elevado.

Figura 2: 90% das organizações enfrentam obstáculos significativos à resposta eficaz a incidentes cibernéticos. (Fonte: The State of Enterprise Cyber Crisis Readiness)

Testar o que é realmente importante

Se os manuais de procedimentos e os guias de resposta não conseguem captar a complexidade de uma crise real, então os exercícios de simulação de crises cibernéticas também têm de evoluir.

Muitos exercícios de simulação servem apenas para validar o plano, em vez de o pôr à prova .

Os exercícios eficazes devem centrar-se em questões como:

  • Será que os líderes estão realmente de acordo quanto às prioridades empresariais?
  • Os decisores compreendem as compensações?
  • Será que as equipas conseguem coordenar-se sob pressão?
  • A organização consegue funcionar com informações incompletas ou contraditórias?

Os exercícios devem simular:

  • Impactos em cadeia
  • Informações incertas ou em constante mudança
  • Pontos de decisão ao nível da direção
  • Desafios de coordenação interfuncional

O objetivo não é provar que o plano funciona. O objetivo é provar que a organização é capaz de se adaptar quando o plano não funciona.

A verdadeira preparação consiste em desenvolver a capacidade de se adaptar, mantendo-se fiel ao que é mais importante.


O caminho a seguir: Comece por definir um norte

Se aceitarmos que não é possível prever todos os incidentes, então a gestão de crises cibernéticas tem de começar noutro ponto.

Tudo começa com o alinhamento. Faça uma pergunta simples à sua equipa de liderança:

O que é mais importante para esta empresa?

Costumo referir-me a isto como a Estrela Polar da organização .

Quando as equipas compreendem o «North Star», conseguem tomar decisões mesmo quando a situação não é clara. Podem perguntar:

  • Esta medida protege as nossas operações mais críticas?
  • Esta decisão está em consonância com as prioridades das partes interessadas?
  • Será que esta medida nos aproxima da recuperação onde mais importa?

Se a resposta for sim, a decisão é justificável. Se a resposta for não, não deve ser a prioridade durante uma crise.

O North Star não substitui os manuais de procedimentos nem os manuais de estratégias. Torna-os utilizáveis.

Porque quando o plano falhar — e isso vai acontecer — a organização continuará a saber como tomar decisões.

E numa verdadeira crise cibernética, a capacidade de tomar decisões é o que distingue o caos do controlo.


Recursos relacionados