Como aumentar seu quociente de resiliência

O que as empresas líderes estão fazendo para manter a segurança de suas operações à medida que as conexões digitais se multiplicam

Você não pode proteger o que não vê. Não pode consertar algo com metade da equipe. Não vai melhorar se não puder aprender.

Bom o suficiente não é mais suficiente. Isso fica claro no estudo Digital Trust Insights da PwC sobre estratégias de resiliência feito com mais de 3.500 empresas em todo o mundo. Vivemos uma época de mudança de mentalidade em que é necessário proteger os negócios e estar pronto para se recuperar dos impactos provocados pelas revoluções cibernéticas. Isso fica claro quando vemos que empresas com estratégias mais maduras, que teriam mais condições de reformular planos de resiliência, não conseguem chegar lá. Elas estão buscando estabelecer os seguintes padrões:

  • Ter visão em tempo real dos ativos e processos críticos.
  • Contar com plano e resposta para toda a empresa.
  • Redesenhar continuamente serviços e processos.

Metade dos mais de 3.500 líderes empresariais e de TI entrevistados relataram que práticas de negócios cada vez mais comuns estão “aumentando significativamente a vulnerabilidade a ataques cibernéticos” e levando as empresas a atualizar planos ou reformular completamente as estratégias de resiliência.

O que as organizações estão fazendo para melhorar a resiliência? Que padrões devem buscar? Para descobrir, pesquisamos a maturidade das estratégias de resiliência em três áreas. Encontramos um grupo com alto quociente de resiliência (alto QR), empresas que ficaram entre as 25% melhores nas três áreas.

Esse grupo com alto QR tem probabilidade maior de conseguir reformular estratégias diante de novas ameaças “muito significativas” – 59% contra 31% dos outros participantes da pesquisa. Essas organizações também se mostram mais confiantes em poder gerenciar riscos emergentes e testar a resiliência cibernética – 73% contra 24%.

Em essência, os membros do grupo com alto QR mudaram sua mentalidade saindo do modelo tradicional – e míope – de recuperação de desastres/continuidade de negócios para adotar a “resiliência by design”. Essa abordagem mais abrangente envolve obter visualizações em tempo real de processos de alta prioridade, para que tomadores de decisão e os responsáveis por fornecer as respostas possam reagir a incidentes em conjunto, com danos mínimos aos negócios.

Os três passos para criar resiliência

1. Ter visibilidade dos principais processos, ativos e dependências da sua organização

Se não entender como os ativos de dados e processos estão conectados aos seus principais serviços e as interdependências existentes, uma empresa não pode saber quais sistemas ou ativos isolar, caso ocorra uma grande crise. A diferença mais marcante entre o grupo com alto QR e os demais: 91% das empresas com alto QR mantêm um inventário preciso de ativos e atualizam essa lista, enquanto entre as outras empresas o percentual é de 47%.

A criação desse extenso inventário pode levar a conclusões importantes. Por exemplo, uma empresa mapeou o que pensava ser todos os seus 50 ativos e sistemas críticos em uma área e se considerou bem protegida contra incidentes cibernéticos. No entanto, quando usou o software para sondar suas redes, descobriu conexões secundárias e terciárias que elevaram o número de sistemas críticos para 450 – nove vezes o número original. Por estarem “escondidos”, esses 450 sistemas tornaram a organização mais vulnerável.

O inventário deve abranger relacionamentos com terceiros: as conexões mais sensíveis de uma empresa podem, de fato, estar fora de suas instalações. Em um recente e importante episódio de violação de dados de clientes, os hackers comprometeram um fornecedor de serviços de bate-papo usado por vários varejistas para gerenciar questões de atendimento ao consumidor.

Para grandes empresas, os ativos de TI estão na casa dos milhões e as conexões, nas centenas de milhões. Mas hoje existem tecnologias para mapear ativos e processos críticos em profundidade. Mais da metade das organizações com alto QR automatizou seus processos de inventário e mapeamento – entre as outras empresas, o índice ficou em apenas 10%.

Este primeiro passo para a resiliência não é fácil. Aprendemos com a edição 2019 da Digital Trust InsightsOs pioneiros cibernéticos reformulam a segurança, impulsionando o crescimento dos negócios  que os profissionais de TI (mesmo os pioneiros) consideram seus recursos menos maduros na função “Identify” do NIST Cybersecurity Framework, que aponta os ativos e processos que precisam de proteção.

Como alcançar o nível do grupo com alto QR:

  1. Desenvolva um método para manter um inventário preciso de ativos, que possa ser atualizado conforme mudam as circunstâncias.

  2. Automatize o processo de inventário e mapeamento para ter uma visão contínua e precisa dos pontos finais de dados e da rede.

2. Como definir e testar o nível de disrupção que sua organização consegue tolerar (“tolerâncias a impacto”)

Quanta disrupção uma organização pode suportar sem prejudicar sua capacidade de atender seus clientes?

Para responder a essa pergunta, é necessário primeiro definir seus serviços críticos – uma tarefa pouco trivial. Não surpreende que 73% do grupo com alto QR tenha identificado seus serviços mais importantes, contra apenas 27% das demais organizações.

Em seguida, a organização deve estabelecer limites para a duração e o custo que está disposta a suportar – em resumo, suas tolerâncias a impacto. Cerca de dois terços dos entrevistados com alto QR definiram tolerâncias a impacto para serviços críticos, enquanto apenas 24% dos outros fizeram o mesmo.

Há também uma probabilidade maior de o grupo com alto QR traduzir tolerâncias a impacto em métricas específicas. Uma vítima de ransomware não pode desperdiçar um tempo precioso delimitando sua tolerância após um ataque. Ela deve usar limites predefinidos sobre a natureza, gravidade e duração da disrupção que é capaz de suportar, além de fazer outras considerações de risco, para decidir se deve pagar o resgate.

Empresas mais resilientes também realizam testes para avaliar sua capacidade de se manter nos limites da tolerância a impacto. No início, fazem exercícios simulados com cenários planejados e discussões em mesas-redondas. Os exercícios ajudam as equipes a ensaiar comunicações vitais durante situações críticas e descobrir lacunas na governança e em outros processos. Alguns vão além desses exercícios, espelhando sistemas em um ambiente simulado, para testar dependências e conexões.

E um último diferencial: entre o grupo de alto QR, 61% mapearam tolerâncias a impacto não apenas nos serviços críticos. Apenas 18% dos outros entrevistados tiveram esta iniciativa. Isso é especialmente importante quando as disrupções resultam no pagamento de multas contratuais aos parceiros de negócios.

Como alcançar o nível do grupo com alto QR:

  1. Identifique seus serviços críticos de negócios e defina tolerâncias a impacto para períodos de inatividade.
  2. Defina as tolerâncias a impacto em métricas ou resultados específicos
  3. Teste as tolerâncias a impacto.
  4. Mapeie as tolerâncias a impacto para os serviços.

 

3. Desenvolver resiliência digital by design: a próxima fronteira

A “terceira etapa” da jornada para a resiliência é a mais desafiadora. Talvez por isso poucas organizações concluíram essa etapa, mesmo no grupo das que apresentam alto QR. Perguntadas se haviam implementado “resiliência digital by design” em toda a empresa, apenas 34% das que tinham alto QR disseram “sim”. Entre as restantes, o percentual cai para 14%.

Essa terceira etapa se desdobra em três iniciativas:

  • CEstabelecer uma visão corporativa abrangente do desempenho dos principais ativos e das dependências de TI. Depois de fazer o árduo trabalho de mapear ativos de dados e processos para os serviços de negócios pela primeira vez, vale dar mais um passo para reunir tudo em uma visão sempre atualizada. Isso economiza tempo com futuras atualizações, que passar a ser feitas em minutos, não meses.

  • Criar uma equipe que monitore o fluxo de informações, compreenda-o e responda de forma conjunta. Talvez seja preciso reunir pessoas que nunca colaboraram no trabalho de inteligência a ameaças nem executaram ações de restauração e recuperação. As exposições a ameaças que você enfrenta hoje não podem ser gerenciadas adequadamente sem visibilidade e comunicação de todas as áreas afetadas.
  • Usar a plataforma e aprender com as crises para redesenhar continuamente os serviços de negócios e os processos por trás deles. O que costumava ser oculto ou difícil de decifrar será agora exposto. Por exemplo, você realmente precisa manter ativos que aumentam sua exposição, mas não agregam valor aos negócios? Quais métodos alternativos de recuperação você tem para restaurar os serviços se os sistemas não puderem ser recuperados? (Bancos podem enviar pagamentos para processadores alternativos a fim de proteger os clientes durante um apagão, por exemplo.) Se sua empresa estiver em um processo de fusão com outra, expandindo e tornando mais complexa sua rede de fornecedores, riscos e processos, que mudanças você precisa fazer em relação à segurança? Resiliência by design significa evoluir com o ambiente de negócios.

A PwC viu a evolução e os benefícios do uso de automação, analytics e visualização para ter um panorama sempre atual dos serviços de negócios críticos e dos ativos e processos de TI relacionados. A adoção dessas tecnologias permite fazer melhorias contínuas na resiliência da organização.

A próxima fronteira para o grupo de alto QR: resiliência by design

Criar uma plataforma para acompanhar em tempo real os processos priorizados. Isso permitirá que tomadores de decisão e responsáveis por fornecer as respostas possam reagir a incidentes em conjunto, com danos mínimos aos negócios e aos clientes.

O que sua organização precisará fazer para adotar a resiliência by design?

Para empresas de serviços financeiros, bem representadas no grupo com alto QR, as regulações podem ser o gatilho. Na Inglaterra, por exemplo, uma preocupação para muitas instituições é o teste-piloto de estresse do Banco Central para avaliar como as disrupções podem afetar os pagamentos. O foco do teste nos efeitos das disrupções cibernéticas para os clientes está levando à elaboração de planos para uma resiliência maior.

Sem um desafio regulatório ou uma crise iminente, encontrar motivação para embarcar na jornada de resiliência pode ser um desafio. Mas ouvir esta pergunta do conselho ou do CEO talvez crie o impulso necessário para começar: “Nossa organização está a salvo de uma crise paralisante e custosa ou de um incidente de grande repercussão?”

Contatos

Edgar  D'Andrea

Edgar D'Andrea

Sócio, PwC Brasil

Tel: +55 (11) 3674 2000

Eduardo  Batista

Eduardo Batista

Sócio, PwC Brasil

Tel: +55 (11) 3674 2000

Siga-nos