Sendo as técnicas de segurança de informação implementadas em um sistema de gestão de segurança de informação, que complementos e benefícios de continuidade se podem adquirir para o negócio?
Para além das já conhecidas, comecemos por analisar a continuidade dos mesmos, sejam serviços ou industriais.
Em qualquer negócio, existe uma dependência de:
– Fornecedores
– Processamentos (recursos humanos, tecnológicos, etc)
– Clientes
A técnica de continuidade de negócio da segurança de informação (ISO 22301) deve ser alargada à restante organização (https://defenselifecycle.com/services/).
Um relatório de Segurança de Informação e também de continuidade de uma empresa, deve começar por um documento específico, BIA.
B.I.A.
Business Impact Analisis, é um estudo/relatório de risco, onde são identificados os processos críticos do negócio, previsão dos impactos negativos (tempo suportado de paragem, etc), a análise de risco das vulnerabilidades (físicas, humanas, administrativas, tecnológicas, etc) de modo a ser possível efectuar uma mitigação desses impactos.
Exemplo: um fornecedor de energia teve uma avaria, qual o impacto? Alternativas? É suportável? Porquanto tempo e que custos? Ou, a indisponibilidade de um equipamento é suportada por quanto tempo? Qual o tempo previsto para ultrapassar? Que custos?
Este relatório não é trivial, pois para além do elevado número de variáveis, obriga a uma boa analise de risco, mas possibilita de uma forma adicional, uma completa análise de todos os processos críticos ao negócio, levando a uma optimização dos mesmos (recursos e tempo).
Existe ainda um benefício adicional, identifica o que é realmente critico ao negócio, e não, o que é critico a equipas especificas ou grupos, optimizando deste modo o esforço e a direcção do mesmo.
A identificação dos processos críticos ao negócio, vai reforçar a mitigação deles, pois a segurança não é apenas equipamentos, aplicações e comunicações; é também pessoas (uma pessoa doente sem redundância pode ser catastrófico) e condições físicas (uma inundação pode incapacitar e destruir semanas de trabalho).
Reforçando o paragrafo anterior, a determinação das vulnerabilidades e seus impactos, vai criar uma tabela de prioridades e qual o custo de cada uma de modo a ser analisada a sua viabilidade e rentabilidade; de modo a restaurar de modo mais rápido e eficiente o negócio.
B.C.P.
Business Continuity Plan, é a resposta às vulnerabilidades detectadas no BIA.
É a mitigação e consciencialização de toda a análise do BIA (https://www.ibm.com/services/business-continuity/plan).
Nos casos extremos, dá origem ao processo de “Disaster Recovery” que é parte deste mesmo plano (anexo).
O BCP é o processo envolvido na criação de um sistema de prevenção e recuperação de ameaças potenciais a uma organização. O plano garante que o pessoal e os activos estejam protegidos e possam funcionar rapidamente em caso de desastre. O BCP é geralmente concebido com antecedência e envolve a contribuição dos principais interessados e pessoal.
O BCP envolve a definição de todos e quaisquer riscos que possam afectar as operações da empresa, tornando-a uma parte importante da estratégia de gestão de riscos da organização. Os riscos podem incluir desastres naturais – incêndio, inundação ou eventos relacionados ao clima – e ataques cibernéticos. Depois que os riscos são identificados, o plano também deve incluir:
Determinar como esses riscos afetarão as operações
Implementar salvaguardas e procedimentos para mitigar os riscos
Procedimentos de teste para garantir que eles funcionem
Revisão o processo para garantir que ele esteja actualizado
Os BCPs são uma parte importante de qualquer negócio. Ameaças e interrupções significam perda de receita e custos mais altos, o que leva a uma queda nos lucros. E as empresas não podem confiar apenas no seguro, porque ele não cobre todos os custos e os clientes que se mudam para a concorrência.
Como se enquadram num processo inicial de continuidade?
Qualquer auditoria de segurança de informação, para além do analise da infraestrutura e processos associados a ela, deve ter em conta de um modo muito especial o BIA, e no caso de não existir, deve ser começado a ser efectuado, nem que seja apenas na sua área de competência.
Depois, de modo a implementar a Continuidade, Disponibilidade e Integridade nos processos de negócio, é necessário a implementação de um BCP de modo a complementar todo o processo.
Conclusão sobre continuidade de negócio
A segurança de Informação, não é apenas algo que envolve dados, computadores, utilizadores e comunicações.
Devido à interacção e dependência do negócio, obriga a integrar os princípios de segurança de outras áreas que por censo comum seriam descoradas ou ignoradas (exemplo: área de saúde ou riscos geológicos).
Porém, todas elas bem mitigadas e com a percepção de custo/beneficio, levam que a médio prazo, sejam altamente rentáveis no seu investimento.
Nunca esquecer: “segurança de informação, não é um gasto, mas sim um investimento com proveitos no médio prazo”