5 etapas para criar um plano eficaz de preparação para desastres

23/04/2020

Nas últimas semanas, organizações de todo o mundo tiveram que se atualizar rapidamente sobre como lidar com eventos imprevistos.

O coronavírus afetou praticamente todos os aspectos da vida e forçou muitas empresas a mudar suas operações básicas de uma maneira que praticamente ninguém poderia prever.

Essa foi uma lição sobre a necessidade de preparação para desastres e também pode ser um momento de ensino para melhorar os planos de preparação do nível do solo e do futuro.

Construindo um plano de preparação para segurança 

Quando uma crise como uma pandemia ou furacão ocorre, os CISOs e outros líderes de segurança precisam considerar esses fatores ao ajudar a criar e executar um plano de preparação.

1. Interrupção por pessoal reduzido 

Uma crise como a atual pode levar a uma redução na equipe de TI e segurança devido à incapacidade das pessoas de trabalhar por vários motivos.

Uma solução a curto prazo é recorrer a ajuda externa, como um provedor de serviços de segurança gerenciado, até que as coisas voltem ao normal. Sendo assim, estar preparado para contratar terceiros quando surgir a necessidade deve fazer parte do plano.

A ajuda também pode vir de dentro. “Uma nova situação de pandemia cria desafios com funcionários ou contratados que não conseguem trabalhar em condições normais de trabalho”, diz Selim Aissi, Vice-Presidente Sênior e CISO da Ellie Mae, empresa de software que processa aplicativos de hipoteca.

“Além disso, alguns funcionários podem não ser capazes de fazer qualquer trabalho por causa de doenças, condições familiares, transporte ou claramente não serem capazes de trabalhar remotamente devido a alguns desafios tecnológicos”, diz Aissi, acrescentando que a força-tarefa do CISO deve identificar e se preparar para todos os possíveis cenários, para impedir a interrupção dos negócios.

Essa força-tarefa deve estar em vigor como parte do programa geral de resiliência cibernética da empresa, que também deve incluir recuperação de desastres, continuidade dos negócios e gerenciamento de crises, diz Aissi.

“A força-tarefa já deveria estar se reunindo, discutindo seu plano, testando-o e atualizando a alta administração da empresa antes dessa crise de pandemia específica”, diz ele.

2. Necessidade de proteger trabalhadores remotos 

De repente, inúmeras pessoas estão trabalhando em locais remotos, como escritórios domésticos. Todos eles precisam ter acesso seguro a redes e dados.

Lembre-se de que o trabalho remoto pode ser o novo normal, não apenas para a equipe de segurança, mas também para colegas e parceiros de negócios, diz Drew Osborne, ex-CISO e agora consultor de segurança independente.

Os CISOs devem revisar os controles e monitorar agressivamente as ferramentas de acesso remoto, diz Osborne. Eles também devem implementar uma revisão do comportamento de uso, se ainda não o fizeram, e monitorá-lo de perto. O acesso remoto é provavelmente um bom candidato para qualquer capacidade disponível que a TI possa ter em reserva, diz ele.

Os adversários, incluindo hackers e criminosos cibernéticos organizados, aproveitam esse tipo de eventos, pois as pessoas tendem a reagir às suas atrações quando trabalham remotamente sob novas condições, e porque os humanos tendem a reagir a solicitações urgentes, diz Aissi.

“Vimos um grande aumento de ataques de malware com temas COVID-19, ataques de phishing e até ransomware”, diz Aissi. Os CISOs precisam garantir que todas as conexões de rede usadas pelos funcionários remotos sejam seguras, o acesso às redes da empresa seja limitado à autenticação multifatorial e o monitoramento das conexões de rede remotas aumente.

3. Necessidade de proteger novos sistemas 

As organizações precisarão proteger quaisquer novos sistemas e serviços on-line e internos trazidos para lidar com a crise. Eles poderiam trazer novos serviços, aplicativos ou terceirizadas para atender às necessidades de emergência, diz Osborne. A equipe de segurança deve ser solicitada a fornecer controles de segurança, talvez com equipe reduzida. Priorização e eficiência são fundamentais.

O papel da segurança não deve ser tanto para impor regras, mas para fornecer soluções seguras. Isso é especialmente verdade em uma crise, diz Osborne. Priorize os esforços onde a organização corre o maior risco, os aplicativos mais críticos e os dados mais sensíveis.

4. Vulnerabilidades que podem surgir entre parceiros ou fornecedores 

As organizações precisam estar cientes do que está acontecendo com seus principais parceiros de negócios, como fornecedores. Diante disso, parte do plano de preparação deve abordar a comunicação e a colaboração com os parceiros.

“É fundamental que a empresa solicite informações de prontidão para pandemia de todos os seus fornecedores críticos”, diz Aissi. “Normalmente, a classificação desses fornecedores críticos é feita por um programa/equipe de gerenciamento de risco de terceiros na organização do CISO”.

O plano também deve cobrir como lidar com os clientes. “Os clientes devem ser informados sobre o nível de prontidão dos negócios contra qualquer interrupção potencial causada pela situação de pandemia”, diz Aissi.

5. Necessidade de atualizar programas de treinamento 

As organizações podem precisar fazer alterações em seus programas de treinamento de conscientização sobre segurança, devido aos phishers que alavancam a crise, por exemplo.

Considere uma campanha focada em questões de segurança relacionadas à crise, como ataques de phishing, mascarados de comunicação sensível à crise, diz Osborne.

Reconciliando lacunas 

As organizações, sem dúvida, notarão lacunas nas crises que planejaram e na que estão enfrentando hoje, diz Osborne. É uma boa ideia manter um diário ou documentar tudo o que as empresas precisam melhorar entre o agora e a próxima crise.

Uma boa comunicação entre segurança e as linhas de negócios é fundamental. “Os CISOs precisam manter contato próximo com o pessoal de negócios em todos os níveis da empresa para entender como a crise está afetando os sistemas e as pessoas”, diz Amy Worley, parceira administrativa do Berkeley Research Group.

“As redes de comunicação estão respondendo conforme o esperado ou são lentas ou instáveis?” Worley diz. “Esteja preparado para ‘bandidos’ explorarem uma crise e verifique se a empresa está pronta para ataques cibernéticos, como negação de serviço ou golpes de phishing relacionados a crises”.

Os CISOs vão querer continuar a educar os executivos sobre esses riscos e como mitigá-los, mesmo que os líderes seniores possam se concentrar em suas preocupações imediatas com a receita, diz Worley.

“Trabalhe com equipes de comunicação interna para garantir que os funcionários entendam como usar tecnologias de aprimoramento de segurança, como conexões VPN e autenticação de dois fatores, enquanto trabalham remotamente”, explica.

“Com as pessoas se movendo rapidamente para manter os processos de negócios, os colegas de trabalho podem esquecer ou desprezar a privacidade e a segurança – a menos que sejam lembrados nas comunicações de crise”, acrescenta.

Preparando-se para o futuro 

Os líderes e as equipes de segurança podem usar uma crise como uma experiência de aprendizado para que possam estar melhor preparados no futuro.

“Os aprendizados podem ser sobre fornecer melhor comunicação, habilitar as ferramentas necessárias para funcionários remotos ou simplesmente lidar com funcionários infectados”, diz Aissi. “É sempre uma boa prática realizar um exercício de ‘lições aprendidas’ após uma pandemia. Os aprendizados devem ser discutidos, documentados e acompanhados abertamente”.

A oportunidade em uma crise “é de aprender o que funciona e o que não está no seu plano de crise”, diz Worley. “Observe o que funciona bem e o que precisa ser aprimorado à medida que a crise se desenrola. Você precisava de mais largura de banda para suportar tantas reuniões virtuais? Havia muitos funcionários sem laptops ou docking stations? Houve tentativas bem-sucedidas de phishing?”.

Os executivos de segurança devem fazer questão de obter informações de outras partes interessadas sobre suas experiências. “Quando tudo voltar ao normal, pegue a documentação e a transforme em educação executiva sobre as necessidades contínuas de mitigação de crises”, diz Worley.

Fonte: CIO.

Voltar