Recentemente, John Scimone escreveu sobre uma crescente lacuna confiança-capacidade na resiliência cibernética – a ideia de que muitas organizações se sentem preparadas para um evento cibernético, mas muito menos conseguem provar que estão prontas para a recuperação. Essa observação está intimamente alinhada com o que estou vendo em campo.
A resiliência cibernética tornou-se claramente uma prioridade de liderança. Os conselhos estão engajados. As estratégias estão em vigor. Os investimentos estão sendo feitos.
Mas quando as conversas passam da estratégia para a execução – especificamente a recuperação – a confiança muitas vezes torna-se menos certa.
Apenas 39% das organizações relatam ter uma estratégia de resiliência totalmente estabelecida e continuamente otimizada. Essa lacuna entre a percepção e a realidade é onde o risco se acumula.
Onde a confiança se quebra
Nos últimos anos, a maioria das organizações reforçou a prevenção e a detecção. Isso é necessário – mas não é mais suficiente.
Os invasores agora têm como alvo backups, fluxos de trabalho de recuperação e sistemas dos quais as organizações dependem para restaurar as operações.
Portanto, a verdadeira questão é: você consegue se recuperar – de forma rápida, previsível e em grande escala?
Em muitos casos, as organizações não validaram totalmente essa capacidade. Existem planos de recuperação, mas não foram exercidos em condições realistas. As dependências entre sistemas nem sempre são bem compreendidas. E o impacto nos serviços empresariais críticos nem sempre é claramente definido.
É aí que a confiança começa a cair.
O que as principais organizações estão fazendo de diferente
As organizações que estão a colmatar esta lacuna não estão necessariamente a gastar mais.
Estão a abordar a resiliência cibernética de forma diferente – tratando-a como uma disciplina empresarial e não apenas como uma função técnica.
Alinhe a resiliência às prioridades de negócios
Eles começam com o negócio – identificando os serviços mais importantes e definindo a rapidez com que esses serviços devem ser restaurados. A recuperação está alinhada ao impacto nos negócios e não à infraestrutura.
Estabelecer propriedade executiva
A resiliência cibernética tem uma responsabilidade clara a nível executivo, com CIOs, CISOs e líderes empresariais alinhados em relação às prioridades, compromissos e riscos.
Teste a recuperação em condições realistas
Eles não presumem que a recuperação funcionará – mas são realistas sobre o que pode ser provado antecipadamente. A recuperação completa de ponta a ponta raramente pode ser comprovada de forma conclusiva antes que ocorra um incidente, porque os ataques reais variam amplamente em escopo e impacto. Em vez disso, as organizações mais maduras simulam atividades críticas de recuperação, validam os principais pressupostos e concentram-se na compreensão de como a recuperação se degrada sob stress.
Eu estava trabalhando com um cliente do setor de serviços financeiros onde as expectativas de testes de recuperação aumentavam constantemente – desde a restauração de um arquivo até um aplicativo e, posteriormente, um servidor. A auditoria interna acabou perguntando como a organização demonstraria a recuperação de um serviço de negócios inteiro – uma pergunta que eles tiveram dificuldade para responder, porque a recuperação do nível de serviço cruzava equipes, sistemas e autoridades de decisão que não haviam sido exercidas em conjunto.
Esse nível de testes é o objetivo certo, mas muito poucas organizações estão atualmente comprovando recuperação nesse nível. Os mais maduros são honestos sobre a lacuna e trabalham metodicamente para reduzi-la.
Envolva a liderança nos testes
Executivos e conselhos não são afastados do processo. Eles participam de exercícios práticos e cenários de recuperação, obtendo informações em primeira mão sobre como as decisões são tomadas sob pressão.
Refinar continuamente
A resiliência é tratada como uma disciplina contínua – medida, testada e melhorada ao longo do tempo.
Pagando dívidas de resiliência
Quando as organizações sobrestimam a sua preparação, acumulam o que muitas vezes chamamos de dívida de resiliência – o risco oculto criado pelas lacunas entre expectativas e capacidades.
Essa dívida não aparece nos painéis.
Aparece durante uma crise.
A única maneira de reduzi-lo é através do alinhamento, propriedade e validação – liderados de cima para baixo.
Uma responsabilidade de liderança
A resiliência cibernética não é mais algo que pode ser delegado inteiramente às equipes de TI ou de segurança.
É uma responsabilidade da liderança.
Porque, em última análise, a resiliência não se define pela presença de uma estratégia. É definido pela capacidade de execução – sob pressão, quando é mais importante.
Informou a Dell.
Fonte: www.dell.com
Link da Fonte
