Courtney Guss | Diretora de Gestão de Crises

À medida que as ameaças cibernéticas — incluindo ransomware e ataques patrocinados por Estados— ganham em intensidade e sofisticação, a resposta a incidentes cibernéticos passou a ocupar o primeiro lugar na lista de prioridades de todas as direções executivas.

Mas mesmo nas empresas que cumprem todos os requisitos e dispõem da estrutura adequada de resposta a incidentes, vejo um problema que se repete frequentemente durante incidentes reais:

As organizações sabem o que devem fazer, mas não conseguem coordenar-se com a rapidez necessária para o pôr em prática.

No primeiro artigo desta série (Repensar a gestão de crises cibernéticas: por que os planos falham — e o que criar em vez disso), argumentei que a maioria das ações de resposta a incidentes cibernéticos falha não porque as organizações não tenham planos, mas porque lhes falta clareza nas decisões.

Os manuais de procedimentos, os manuais de estratégias e os exercícios de simulação são valiosos, mas não conseguem prever a complexidade de uma crise real. Quando o plano não corre como previsto, as equipas têm de se basear em prioridades claras, numa hierarquia de responsabilidades bem definida e na capacidade de tomar decisões justificáveis sob pressão.

Em crise após crise, é aqui que vejo a maioria dos esforços de resposta a incidentes começar a desmoronar-se.

  • Não por causa de uma falha técnica.
  • Não por falta de competência.
  • Mas porque a organização não consegue comunicar, atribuir tarefas, acompanhar e adaptar-se em tempo real.

E é precisamente aqui que a gestão de crises se torna o elo que faltava.


Qualquer crise cibernética acaba por se tornar um problema de coordenação

Não se consegue tomar decisões se não se conseguir comunicar. Em situações de crise, isso é ainda mais verdadeiro.

Os departamentos de segurança, TI, jurídico e de comunicação, bem como os executivos, os líderes empresariais e os parceiros externos, precisam de agir em simultâneo — muitas vezes com informações incompletas e prioridades em constante mudança.

Sem uma forma estruturada de coordenar essa atividade, as equipas recorrem às ferramentas que têm à disposição:

  • Conversas por e-mail
  • Mensagens de chat
  • Folhas de cálculo
  • Notas pessoais
  • Teleconferências
  • Quadros brancos
Figura 1: A existência de demasiadas ferramentas díspares constitui um obstáculo a uma resposta cibernética eficaz.

Por si só, estas ferramentas funcionam. Juntas, geram fragmentação.

As tarefas perdem-se. A responsabilidade torna-se pouco clara. A informação é inconsistente. As decisões são tomadas sem um contexto completo. E os líderes são obrigados a agir sem terem uma visão clara do que realmente está a acontecer.

Numa situação de crise, essa falta de coordenação não é apenas ineficaz — é perigosa.

  • Não se consegue tomar boas decisões se não se tiver uma visão global da situação.
  • Não é possível executar um plano se ninguém souber quem é o responsável pelo próximo passo.
  • Não poderá justificar as suas ações mais tarde se não conseguir provar o que aconteceu.

A gestão de crises não se resume à resposta a incidentes — trata-se de uma coordenação

Os incidentes cibernéticos atuais já não são geridos por uma única equipa. Exigem uma ação coordenada em toda a organização.

Isso significa que a resposta a incidentes já não é apenas uma questão técnica.

  • Está em funcionamento.
  • É um cargo executivo.
  • É legal.
  • É uma questão financeira.
  • É uma questão de reputação.

Gerir esse nível de complexidade requer mais do que documentos.
Requer coordenação.

Uma capacidade eficaz de coordenação em situações de crise deve proporcionar:

  • Atribuição clara de tarefas e responsabilidades
  • Visibilidade em tempo real do progresso e dos obstáculos
  • Fluxos de trabalho definidos e alinhados ao tipo de incidente
  • Acompanhamento de decisões e procedimentos de escalonamento
  • Coordenação da comunicação entre equipas
  • Documentação centralizada das ações e dos resultados

Sem estes elementos, mesmo o quadro de gestão de crises mais bem concebido falha na sua execução.

Com elas, as organizações podem agir mais rapidamente, manter-se alinhadas e manter o controlo, mesmo à medida que a situação evolui.


A realidade da resposta a incidentes nos dias de hoje: equipas distribuídas e sem tempo para se reunirem

A resposta a situações de crise costumava partir de um pressuposto que já não se verifica: que as pessoas certas conseguiam reunir-se na mesma sala.

Atualmente, as organizações operam em várias regiões do mundo, em ambientes de trabalho híbridos, em plataformas na nuvem e com prestadores de serviços externos. Os responsáveis pela resposta a situações críticas podem estar em cidades, países ou fusos horários diferentes. O departamento jurídico pode trabalhar remotamente. Os executivos podem estar em viagem. Os principais recursos técnicos podem estar a cargo de prestadores de serviços geridos ou de parceiros externos.

Numa verdadeira crise cibernética, não há tempo para montar uma sala de crise física. E mesmo que houvesse, as pessoas de quem mais precisa podem não conseguir chegar lá a tempo. Esperar que todos se reúnam custa tempo — e, numa crise, o tempo é o recurso mais valioso de que dispõe.

Cada hora perdida devido a atrasos na coordenação pode significar:

  • Interrupções prolongadas
  • Maior impacto financeiro
  • Maior exposição dos dados
  • Prazos regulamentares não cumpridos
  • Perda da confiança dos clientes

O modelo tradicional de gestão de crises — reunir toda a gente num único local para coordenar — não se adapta às organizações modernas.

É por isso que o conceito de um centro de comando virtual se tornou essencial.

Figura 2: Para melhorar a preparação para situações de crise, as organizações devem realizar exercícios de simulação regulares que submetam todas as partes interessadas a cenários práticos e realistas de crise cibernética.

A sala de crise virtual: coordenação em situações de crise sem limites físicos

A resposta moderna a situações de crise requer um local onde a coordenação possa ocorrer de imediato, independentemente da localização das pessoas.

Um centro de comando virtual — ou sala de crise virtual — permite que as organizações reúnam as pessoas certas sem que estas tenham de estar fisicamente juntas. Este espaço virtual oferece vantagens fundamentais:

  • As equipas podem aderir instantaneamente a partir de qualquer lugar
  • A liderança pode manter uma visão em tempo real
  • As tarefas podem ser atribuídas sem confusão
  • A comunicação continua centralizada
  • As decisões são documentadas à medida que são tomadas
  • Podem ser incluídos parceiros externos, quando necessário

Em vez de esperar que todos se reúnam na mesma sala, é a sala que vai até eles.

Isto é mais do que uma questão de conveniência. É o que permite às organizações começar a gerir a crise de imediato, em vez de perderem tempo precioso a tentar organizar a resposta.

Em ambientes distribuídos, a orquestração não é apenas útil — é imprescindível.

Sem um ponto de coordenação virtual, a resposta fragmenta-se rapidamente em conversas paralelas, atualizações desconexas e decisões sem acompanhamento. Precisamos de reunir os intervenientes essenciais para que possam comunicar, partilhar informações, tomar decisões com base no que estão a observar e reduzir o fosso de informação entre as equipas.

Uma sala de crise virtual cria uma fonte única de informação fiável nos momentos mais caóticos, permitindo que equipas distribuídas operem como uma única unidade de resposta coordenada, mesmo quando estão espalhadas por todo o mundo.


A visibilidade leva a melhores decisões

Em «Repensar a gestão de crises cibernéticas», abordei a importância de definir a autoridade decisória e as prioridades empresariais.

Mas a autoridade, por si só, não basta. Os líderes não conseguem tomar decisões eficazes sem visibilidade.

Durante uma crise, os decisores devem compreender:

  • O que já foi concluído
  • O que ainda está em curso
  • O que está bloqueado
  • Que sistemas são afetados
  • Que riscos estão a aumentar
  • Que medidas terão maior impacto

Sem essa visibilidade, as decisões tornam-se suposições e são difíceis de justificar ou defender — o que contribui para a paralisia decisória.

Quando a coordenação está em vigor, os líderes podem acompanhar o andamento da resposta em tempo real. Podem estabelecer prioridades com base em factos, e não em suposições. Podem ajustar o rumo sem perder o controlo da execução.

É isto que permite a uma organização passar de uma postura reativa para uma postura deliberada — mesmo no meio de uma crise.


A responsabilização é importante após o término do incidente

Um dos aspetos mais negligenciados na resposta a uma crise é o que acontece após o evento.

Qualquer incidente cibernético de grande repercussão acaba por suscitar questões:

  • O que aconteceu?
  • Quando é que ficámos a saber?
  • Quem tomou essa decisão?
  • Por que tomámos essa medida?
  • Seguimos o nosso processo?
  • Será que poderíamos ter feito melhor?

Estas questões podem ser colocadas por entidades reguladoras, clientes, auditores, conselhos de administração, seguradoras ou pela liderança interna.

Se a resposta foi gerida através de e-mails, registos de chat e notas dispersas, torna-se quase impossível reconstruir a cronologia dos acontecimentos. Isso cria riscos muito tempo depois de o incidente técnico ter sido resolvido.

Uma resposta coordenada oferece algo diferente:

  • Registo das medidas tomadas
  • Cronologia das decisões
  • Documentação das aprovações
  • Indícios de coordenação
  • Prova de que a organização seguiu o seu processo

Isto vai além de garantir a conformidade. Protege a organização. Permite que os líderes defendam as suas decisões com confiança.

E, no atual contexto regulamentar e jurídico, isso é tão importante quanto a própria resposta.


A orquestração melhora a maturidade a todos os níveis

Um dos maiores equívocos é pensar que a orquestração se destina apenas a organizações altamente maduras.

Na realidade, é precisamente o contrário.

  • As organizações com baixo nível de maturidade precisam de estrutura.
  • As organizações com elevado grau de maturidade necessitam de coordenação.
  • As organizações de média dimensão precisam de consistência.

A orquestração ajuda em todas as fases.

  • As organizações menos maduras ganham estrutura.
  • As organizações mais maduras ganham impulso.
  • As organizações altamente maduras ganham controlo e capacidade de defesa.

A orquestração não substitui o planeamento. Permite que o planeamento seja aplicado mesmo sob pressão.

Figura 3: O Modelo de Maturidade de Capacidades (CMM) — um quadro de referência amplamente aceite para avaliar as operações empresariais — é frequentemente utilizado para ajudar as organizações a aumentar a sua maturidade em matéria de cibersegurança.

Como as organizações saem a ganhar após um incidente cibernético

Todas as organizações esperam evitar uma crise. Mas os incidentes vão acontecer .

A diferença entre as organizações que se recuperam rapidamente e aquelas que enfrentam dificuldades não reside no número de manuais de procedimentos que possuem.

A questão é se eles conseguem:

  • Concentrem-se no que é importante
  • Tome decisões sem hesitar
  • Coordenar as atividades em toda a empresa
  • Manter a visibilidade sob pressão
  • Registe o que aconteceu
  • Justificar as suas ações posteriormente

É isto que uma gestão eficaz de crises permite.

  • Transforma os planos em ação.
  • Transforma decisões em ação.
  • Transforma o caos em controlo.

E quando a poeira assentar, as organizações mais fortes poderão afirmar algo que poucas outras conseguem.

Não nos limitámos a reagir. Gerimos a crise.


Saiba mais