gestão de mudanças e resiliência organizacional
Na última semana, o apagão cibernético global causado por problemas no serviço da CrowdStrike alertou as empresas sobre a relevância dos processos de segurança e resiliência cibernética.
Este caso lançou luz sobre assuntos importantes que as organizações devem considerar para aumentar sua capacidade de resposta a crises, minimizando o impacto de interrupções futuras.
O incidente recente destaca a importância da gestão de mudanças nas empresas, incluindo patches de atualização. A implementação de atualizações em sistemas críticos, ainda que de rotina e com o propósito de manter a segurança, devem ser avaliadas. Isso inclui a realização de testes em ambientes controlados e menos críticos antes da aplicada em produção, sempre que possível. Além de realizar atualizações de forma gradual para minimizar impactos.
Infelizmente, é comum que organizações se sintam seguras em relação aos processos geridos por fornecedores de soluções de tecnologia, muitas vezes realizando aplicação de atualizações em produção sem testes prévios e ignorando seus riscos. Trata-se de um dilema a ser gerenciado pelas organizações, dado que muitas atualizações são críticas e buscam mitigar riscos de segurança, mas essas mesmas atualizações podem trazer novas vulnerabilidades e causar danos consideráveis.
Outro ponto relevante é a potencial dependência de sistemas, pois é comum que as organizações tenham seus serviços suportados por soluções de mercado. Realizar uma Análise de Impacto nos Negócios (BIA) pode ajudar a identificar essas dependências em operações críticas e a avaliar os riscos associados a elas.
Identificar a criticidade de sistemas permite definir controles adequados, como redundância, sistemas alternativos e processo de gestão de atualização, diminuindo o potencial impacto de falhas de terceiros.
Para a resiliência organizacional, a implementação de um plano de contingência é essencial. Este plano deve incluir procedimentos sobre a recuperação de processos e sistemas críticos ou essenciais, alocação de recursos durante uma crise e comunicação com as partes interessadas.
A eficácia deste plano está conectada com a realização de testes regulares, monitoramento e atualizações para refletir mudanças no ambiente operacional e novas ameaças. No incidente da CrowdStrike, as organizações que possuíam planos de contingência foram potencialmente menos afetadas ou se recuperaram mais rapidamente.
Além disso, a transparência e a comunicação durante uma crise são fundamentais. Durante uma crise, manter uma comunicação efetiva e a transparência são fundamentais para reduzir impactos.
No caso recente, a comunicação proativa da CrowdStrike e das empresas afetadas contribuiu para o gerenciamento das expectativas dos clientes e para a redução do risco de confiança. Por isso, as organizações devem planejar e estabelecer canais de comunicação adequados e planos de resposta a incidentes que incluam procedimentos para informar rapidamente as partes interessadas sobre a situação e as medidas tomadas com transparência.
Este apagão cibernético global nos ofereceu lições importantes. A capacidade de antecipar, preparar e responder de maneira eficaz a falhas de sistemas não é apenas uma prática recomendada de segurança cibernética, mas uma necessidade estratégica para a continuidade e o sucesso dos negócios no cenário digital atual.
Everson Probst
Líder de Cibersegurança na Grant Thornton Brasil
Conte conosco para oferecer soluções completas e equipes especializadas para atuar em prevenção, controle e resposta a incidentes de maneira abrangente a fim de proteger a sua empresa de ameaças cibernéticas.
