3 Usos da BIA nos Ataques Cibernéticos

3 Usos da BIA nos Ataques Cibernéticos

3 Usos da BIA nos Ataques CibernéticosAparentemente neste período de quarentena houve um aumento significativo de ataques cibernéticos às organizações.   Pode ser somente um percepção, uma maior divulgação, um aumento de fato ou um pouco de cada.   Veja alguns destes incidentes em https://www.sans.org/newsletters/newsbites/xxii/73

O Banco Central do Brasil – BACEN demanda na Resolução 4.658 e na Circular 3.909 que as instituições financeiras tenham uma Política de Segurança Cibernética.   Esta necessidade pode ser estendida à todas as organizações, financeiras ou não, uma vez que todas, sem exceção, estão sujeitas a ataques cibernéticos, ou segurança cibernética, como nominado pelo BACEN.

A BIA – Análise de Impacto nos Negócios, etapa fundamental no Programa de Continuidade de Negócios das organizações, fornece informações fundamentais para a implantação dos procedimentos de resposta aos ataques cibernéticos.

1 – Tempo Máximo de Indisponibilidade – Recovery Time Objective (RTO)

O objetivo primário da BIA – Análise de Impacto nos Negócios é compilar e prover uma série de informações para a tomada de decisão do Apetite ao Risco a ser tomado frente aos impactos potenciais decorrentes de uma indisponibilidade dos produtos, serviços ou processos da organização.

A BIA – Análise de Impacto nos Negócios conterá, inicialmente, a tolerância de cada gestor de negócio participante à indisponibilidade dos produtos, serviços ou processos sob sua responsabilidade.   Esta tolerância, este tempo, poderá ser posteriormente aumentado (mais frequente) ou diminuído (menos frequente) pela Diretoria Executiva ao decidir por tomar mais ou menos risco.

Assim, após esta decisão teremos definido, corporativamente, o Tempo Máximo de Indisponibilidade – Recovery Time Objective (RTO) de cada produto, serviço ou processo crítico da organização.

Este deveria ser o tempo alvo dos procedimentos de resposta aos ataques cibernéticos.   E é a partir destes tempos alvo que as infraestruturas de prevenção, mitigação e resposta aos ataques cibernéticos deveriam ser desenvolvidas, implantadas e mantidas atualizadas.

O que temos observado, em geral, é uma dissociação entre o Tempo Máximo de Indisponibilidade – Recovery Time Objective (RTO) quantificado na BIA – Análise de Impacto nos Negócios e o tempo de recuperação dos ataques cibernéticos.   Estes dois tempos devem estar alinhados visto que os impactos ao negócio são os mesmos, independente da causa da indisponibilidade.

2 – Quantidade de Postos de Trabalho no Tempo

Outra informação muito útil obtida na BIA – Análise de Impacto nos Negócios é a quantidade de postos de trabalho ao longo do tempo, D0, D1, D2 e assim sucessivamente.

O objetivo primário desta informação é o dimensionamento do Local Alternativo de Trabalho na eventualidade da indisponibilidade do local primário.

Para a eventualidade de ataques cibernéticos que afetem as estações de trabalho esta informação servirá para dimensionar a quantidade de estações desinfectadas – limpas – a serem entregues a cada área ou departamento da organização ao longo do tempo, de forma a manterem a operação dos seus produtos, serviços ou processos críticos operando em níveis previamente estabelecidos.

O que temos observado, em geral, é um agravamento da crise decorrente dos ataques cibernéticos provocada pela pressão adicional dos executivos demandando mais estações de trabalho em menor tempo.

Novamente, há a necessidade de que estas duas curvas de demanda estejam alinhadas.

3 – RTOs e RPOs das Aplicações

Na BIA – Análise de Impacto nos Negócios também foram estimados, a partir da tolerância à indisponibilidade dos gestores de negócios, os RTOs – Tempos Máximos de Indisponibilidade ou de Recuperação como preferir e os RPOs – Perda Máxima de Dados.

No caso do comprometimento de bases de dados, servidores de arquivos etc. devido a ataques cibernéticos ou erros operacionais, um script errado por exemplo, estes tempos devem governar todo o processo de recuperação e restauração destes arquivos, através de recoveries (forward ou backward) ou restores.

É frequente identificarmos tempos de restore de bases de dados 3, 5, 10 vezes maiores que os RTOs – Tempos Máximos de Indisponibilidade estabelecidos.   Portanto há, nas operações diárias, uma inconsistência entre os RTOs e RPOs demandados pelas áreas de negócios com os que, efetivamente, as áreas de TI – Tecnologia da Informação e SI – Segurança da Informação conseguem entregar de fato.   Não há nem a necessidade de ataques cibernéticos para expor este gap.

4 – Visão Holística

Todos as políticas e procedimentos de resposta a incidentes sejam de ataques cibernéticos, de TI, de indisponibilidade de fornecedores etc. devem estar alinhados com o Apetite ao Risco a ser tomado, que foi devidamente compilado e quantificado na BIA – Análise de Impacto nos Negócios.

Devido as inúmeras transformações que a organização está realizando decorrentes da quarentena da covid-19 a BIA – Análise de Impacto nos Negócios está desatualizada?   Uma das recomendações da ISO 22301:2019 Security and Resilience – Business Continuity Management Systems – Requirements é que a BIA seja atualizada quando a organização passar por grandes transformações ou forem identificados novos riscos.   Leia mais sobre a atualização do PCN em https://strohlbrasil.com.br/e-hora-de-atualizar-o-pcn/

Quer saber mais sobre Planos de Contingência ou Continuidade de Negócios, de Recuperação de Desastres (Disaster Recovery) ou Gestão de Crises?

Por favor preencha o formulário abaixo e entraremos em contato.

#ataquecibernetico   #ataquesciberneticos   #cyberattack   #cyberattacks   #continuidadedenegocios   #businesscontinuity   #Businessimpactanalysis   #analise de impacto nos negócios   #BIA   #iso22301   #Resolucao4658   #Circular3909

Compartilhe este Artigo

Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp

Artigos Relacionados

Explosão no Líbano e Resiliência

Explosão no Líbano e a Resiliência das Sociedades Histórico Terça-feira – 04/08/20: duas explosões (vamos nos referir como uma só), sendo a segunda de maior

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza cookies para proporcionar uma melhor experiência para nossos usuários. Ao continuar a navegação neste site, você estará de acordo com os cookies que estão sendo utilizados. Se quiser saber mais sobre nossa política de cookies, clique aqui.