O que deve incluir o seu plano de resiliência informática
A Covid-19 ensinou-nos que a resiliência é uma capacidade que todos devemos dominar. Os responsáveis de TI devem rever agora estas aprendizagens e tornar a criação e um plano de resiliência num objetivo fundamental para 2023.
Leia de seguida as nossas diretrizes sobre como manter-se In[ctrl] e criar um plano sólido de resiliência de TI.
O que é a resiliência informática?
Muitas empresas podem ter sido apanhadas desprevenidas, mas foi exatamente isso que fez com que a COVID-19 funcionasse como um acelerador no desenvolvimento da resiliência das TI, da gestão de crises e da resiliência empresarial em geral.
A resiliência, do ponto de vista informático, é a capacidade de proteger dados e aplicações contra qualquer tipo de problema. Baseia-se na capacidade dos equipamentos e das infraestruturas para resistir a perturbações e/ou interrupções e continuar a funcionar eficazmente.
Por outro lado, a resiliência empresarial é um conceito à escala da empresa que engloba a gestão de crises e a continuidade do negócio face a acontecimentos inesperados, tais como catástrofes naturais ou ciberataques.
Durante a pandemia, as equipas de TI ficaram sobrecarregadas, já que demasiadas questões tiveram de ser tratadas ao mesmo tempo. Por exemplo, houve um conflito entre dar prioridade à continuidade dos serviços de TI e as tarefas de manutenção face a questões de cibersegurança, tais como a aplicação de correções de software, devido a restrições orçamentais.
Se a isto acrescentarmos o facto de os produtos de hardware e software estarem cada vez mais expostos aos ciberataques, torna-se claro por que razão é tão importante melhorar a resiliência no ambiente digital.
De facto, de acordo com a Lei Europeia de Resiliência Cibernética (CRA), o cibercrime global causou uma perda de 5,5 bilhões de euros em 2021 devido ao aumento de ataques informáticos durante a pandemia.
Segundo a Comissão Europeia: "A crise sanitária tem sido um catalisador na aceleração da digitalização para a Europa e para o mundo em geral”. Após o covid, foi criado um novo ambiente rápido e descentralizado que requer, mais do que nunca, um bom planeamento da cibersegurança e uma melhor gestão dos riscos.
Arvind Govindarajan, parceiro na área da Prática de Riscos e Resiliência da McKinsey, diz:
"A longo prazo, as empresas aprenderão que a resiliência é uma capacidade que devem dominar, não um botão de alarme que carregam quando o fogo já deflagrou”.
Porque é que é tão importante a resiliência informática?
Há muitos riscos a enfrentar. Entre eles incluem-se a perda de dados, ciberataques, infiltração de malware, violações de redes e da Internet, falhas de hardware ou software, incêndios e desastres naturais.
Em 2017, por exemplo, um ataque cibernético global conhecido como "WannaCry" afetou mais de 230.000 computadores com Windows, em 150 países num único dia.
Foi um vírus criptográfico de ransomware que visou empresas que executam o sistema operativo Microsoft Windows, afetando companhias como a Telefónica em Espanha, encriptando dados e exigindo pagamentos de resgate em Bitcoin.
Outro tipo de problema surgiu em 2021, quando os investidores afluíram às plataformas de negociação online para negociar ações GameStop, após um aumento acentuado do seu valor.
Arun Gundurao, um diretor da McKinsey & Company, descreve em "Resiliência informática na era digital" que: "No meio do frenesim, milhões de clientes não conseguiram aceder às informações das suas contas ou realizar transações, uma vez que muitas das plataformas falharam subitamente”.
Acrescenta ainda: "Estas situações sublinham a necessidade de as organizações abordarem a resiliência informática, ou seja, a capacidade da empresa para responder a contingências técnicas”.
E parece que muitos já lhe estão a dar prioridade para 2023. No inquérito "Novo Normal - 2021/22" realizado pela Brother, mais de metade dos decisores de TI afirmaram que salvaguardar as suas empresas contra ameaças externas era um dos seus principais desafios para o próximo ano.
Tudo isto sublinha a grande importância que tem a resiliência no mundo da tecnologia, pois é a forma de manter as empresas em movimento e ser capaz de acelerar a transformação, evitando contratempos, detetando as mudanças e adaptando-se a elas proactivamente. Da mesma forma, também pode ajudar na preparação de firewalls contra ameaças externas fora do nosso controlo.
De acordo com a investigação da IDC, 29% dos líderes de TI continuam preocupados com as complicações decorrentes das restrições do coronavírus. Outras preocupações incluem o custo crescente dos equipamentos informáticos (49%), as interferências na cadeia de distribuição (34%), as tensões políticas (31%), o recrutamento de pessoal (23%) e o aumento potencial da recessão (29%)1.
Então, como podemos aplicar o conceito a estas inquietudes? Continue a ler.
Como podem as empresas melhorar a sua resiliência informática?
Há muitas formas de desenvolver esta capacidade. Questões como o reforço das medidas de segurança contra ameaças externas, o investimento nos equipamentos certos e a atenuação dos riscos de cibersegurança nas soluções de impressão.
No entanto, não é aconselhável o pensamento a curto prazo. A resiliência informática deve ter uma abordagem estratégica de longo prazo como parte de um trabalho coletivo das diferentes direções, com o objetivo de considerar as prioridades, os orçamentos e ter um planeamento mais amplo da capacidade de resposta da organização e da gestão de potenciais riscos.
Basil Fuchs, CIO da Brother International Europe, explica: "É uma responsabilidade partilhada. "Como profissionais de tecnologias de informação, estamos muito alinhados com a gestão de riscos corporativos e a continuidade do negócio, porque promovemos muitos processos”.
Aconselha, também, as empresas a trabalharem em estreita colaboração com as empresas subcontratadas para reforçar a solidez das infraestruturas informáticas. "Os prestadores de serviços externos e os parceiros de TI são especialistas na matéria.
”A nossa tarefa, internamente, é orquestrar o trabalho e o planeamento de todos estes intervenientes para assegurar que estão coordenados e ao mesmo nível.
O que inclui um bom plano de resiliência informática?
- Investir nas tecnologias adequadas;
- Vontade de adaptar as soluções informáticas;
- Seguimento constante de novos serviços e ferramentas;
- Execução de iniciativas de resiliência em toda a empresa;
- Pôr à prova tanto os funcionários, como o hardware e o software.
Muitos líderes de sucesso no setor já estão a aplicar estes conselhos nos seus planos para 2023.
Como pode verificar, aumentar a resiliência não significa necessariamente ficar quieto e proteger o que tem. De facto, uma das primeiras considerações da lista é: estamos a investir na tecnologia adequada?
É também importante dedicar esforços à atualização de ferramentas, plataformas, aplicações e software, para poder alcançar os melhores resultados. Como exemplo, vemos que muitos gestores de TI continuam a acompanhar de perto as tecnologias emergentes e as ofertas de diferentes fornecedores em busca de novas ferramentas de medição, bem como de software financeiro para gerir os ativos tecnológicos e compreender as cadeias de fornecimento.
Ao descrever a abordagem da Brother International Europe, Basil diz:
"Todos os anos realizamos uma estratégia de recuperação digital de desastres e verificamos se os backups estão a funcionar”. "Verificamos também se os sistemas podem ser reiniciados ou deslocados para outro local no caso de uma catástrofe maior”.
Esta abordagem tradicional abrange a recuperação de riscos e é fundamental para qualquer bom plano de resiliência informática.
Também é comum as empresas internacionais realizarem exercícios de simulação para avaliar a capacidade de resposta operacional. Josh Frulinger, da CSO, define-os como "menos do que um exercício à escala real, mas uma oportunidade de ver como a sua organização e o seu pessoal reagem sob pressão". Seria melhor considerar uma abordagem híbrida e rever o seu investimento em TI através destes cenários de ensaio planeados. Isto permitir-lhe-á avaliar a tecnologia no contexto da sua utilidade para os seus empregados durante uma "crise" ou descobrir se é necessária formação adicional para tirar o máximo partido dos sistemas.
Afinal, os erros humanos aumentam drasticamente os riscos, com questões como os ataques de phishing que continuam a aumentar. "Não se trata de gerir uma crise", explica Gonçalo Caseiro, Presidente da INCM.
