A Continuidade de Negócio e o NIS 2.0

Um Plano de Continuidade de Negócio (PCN) é essencial para assegurar as estratégias de continuidade dos Processos, Pessoas e Tecnologia. Embora a Tecnologia seja crucial, um PCN robusto só é possível com a integração eficaz de Processos e Pessoas.

Um PCN robusto é precisamente o que a Diretiva NIS 2.0 exige para a resiliência das áreas operacionais no caso de um incidente de segurança cibernética, de modo a minimizar os impactos no negócio e permitir uma recuperação rápida.

As organizações, de acordo com a sua maturidade, capacidade financeira e Compliance devem definir as estratégias de continuidade de negócio a implementar e testar, tendo como principais pontos para atender aos requisitos do NIS 2.0:

Gestão e Análise de Riscos:

• Identificação de ativos críticos: Mapeamento dos ativos essenciais para a operação da empresa, incluindo sistemas, dados, infraestrutura e recursos humanos.
• Identificação de ameaças: Identificar as principais ameaças cibernéticas que podem afetar a organização, considerando o contexto específico do setor e do negócio.
• Análise de vulnerabilidades: Avaliar as vulnerabilidades, internas e externas, dos sistemas e processos.
• Avaliação do impacto: Estimar o impacto potencial de cada ameaça, considerando a probabilidade de ocorrência e as consequências para o negócio.

Objetivos de Recuperação:

• Definição dos objetivos: Estabelecer os objetivos de recuperação para cada ativo crítico, incluindo o tempo máximo de inatividade tolerável (RTO) e o ponto de recuperação (RPO).
• Priorização dos ativos: Priorizar os ativos de acordo com sua importância para o negócio, garantindo que os mais críticos sejam recuperados primeiro.

Procedimentos de Recuperação:

• Planos de resposta a incidentes: Desenvolver procedimentos detalhados para a deteção, resposta e contenção de incidentes de segurança cibernética.
• Procedimentos de recuperação: Elaborar planos específicos para a recuperação de cada ativo crítico, incluindo a restauração de dados, a reconfiguração de sistemas e a reativação de serviços.
• Testes e exercícios: Realizar testes regulares dos planos de recuperação para garantir a sua eficácia e identificar melhorias.

Comunicação:

• Gestão de crises: Definir uma equipa de resposta a incidentes e estabelecer canais de comunicação claros e eficientes.
• Planos de comunicação: Desenvolver planos de comunicação para informar os stakeholders internos e externos sobre os incidentes de segurança e o estado da recuperação.

Cooperação com Autoridades:

• Notificação: Estabelecer procedimentos para notificar as autoridades competentes em caso de incidentes de segurança, conforme exigido pela legislação.
• Colaboração: Estabelecer mecanismos de colaboração com outras organizações e autoridades para compartilhar informações sobre ameaças e incidentes.

Adicionalmente, dois fatores fundamentais para qualquer PCN robusto:

• Apoio e total envolvimento da Gestão de Topo na implementação, manutenção e testes do PCN, e
• A formação e consciencialização dos colaboradores, definindo treinos com regularidade e, principalmente, realçando o papel importante de todos na prevenção e resposta a incidentes.

Embora estes fatores já estejam presentes nos PCN, a sua relevância aumenta significativamente devido à segurança cibernética e à crescente dependência das organizações em relação aos sistemas e soluções tecnológicas.

Um PCN eficaz e robusto ajuda a minimizar os impactos financeiros e operacionais de qualquer interrupção. Com a rápida evolução da tecnologia, as organizações devem estar atentas às novas oportunidades para melhorar o seu PCN.

A IP Telecom é uma ajuda importante para que as organizações conduzam testes regulares, fortalecendo a sua capacidade de resposta e resiliência perante uma disrupção.

Conteúdo co-produzido pela MediaNext e pela IP Telecom